fev 28 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Grupo LAPSUS$ sofre ataque de ransomware após atacar Nvidia.
    O grupo LAPSUS$, que invadiu os sistemas das lojas Americanas, assumiu neste sábado (26) a responsabilidade pelo ataque aos sistemas de da fabricante de chips americana Nvidia. A companhia afirmou que estava trabalhando para avaliar o escopo da ocorrência que afetou os sistemas de e-mail e ferramentas de desenvolvedores, ficando indisponíveis por alguns dias. Ao identificar o ataque, a NVIDIA foi capaz de se infiltrar nos sistemas usados pelo grupo LAPSUS$. A retaliação da empresa veio na forma de um ataque de ransomware próprio, no qual foi capaz de criptografar o acesso aos 1 terabyte em dados roubados durante o ataque — os cibercriminosos afirmam ter feito backups deles antes de que isso acontecesse. Em seu canal do Telegram, o grupo publicou dois arquivos, sendo um com 21897 linhas e o outro com 89351 linhas. Segundo afirmação do grupo cada linha é um registro de credencial de funcionário da Nvidia.
  • Ucrânia prepara exécito de hackers atacar Rússia.
    A Ucrânia afirmou neste sábado, 26, que vai recrutar profissionais de cibersegurança para intensificar as investidas nos sistemas de internet da Rússia. A Ucrânia convocou hackers para ajudar a proteger a infraestrutura crítica digital do país e realizar missões de espionagem cibernética contra tropas russas. O vice-primeiro-ministro Mykhailo Fedorov, publicou em um tweet vinculado a um canal do Telegram, uma lista de sites russos proeminentes e que deveriam ser os possíveis alvos do grupo de hackers. O grupo ucrâniano no Telegram listou 31 grandes empresas e organizações estatais russas, incluindo a gigante de energia Gazprom, o segundo maior produtor de petróleo da Rússia, Lukoil, três bancos e vários sites governamentais.
  • Grupo de cibercriminosos do Irã usa novo malware em ataques cibernéticos.
    Agências de segurança cibernética do Reino Unido e dos EUA revelaram um novo malware usado pelo grupo de ameaças persistentes avançadas (APT) patrocinado pelo governo iraniano em ataques direcionados a redes governamentais e comerciais em todo o mundo. O grupo MuddyWater está posicionado tanto para fornecer dados e acessos roubados ao governo iraniano quanto para compartilhá-los com outros atores cibernéticos maliciosos. O ator de ciberespionagem foi apontado este ano por conduzir operações maliciosas como parte do Ministério de Inteligência e Segurança do Irã (MOIS) visando uma ampla gama de organizações governamentais e do setor privado, incluindo telecomunicações, defesa, governo local e setores de petróleo e gás natural. na Ásia, África, Europa e América do Norte. Além de explorar vulnerabilidades relatadas publicamente, o grupo tem sido historicamente observado empregando ferramentas de código aberto para obter acesso a dados confidenciais, implantar ransomware e obter persistência nas redes das vítimas.
Rubens Zolotujin 0 Comentários
fev 25 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Polícia Federal está criando força-tarefa para derrubar cibercriminosos.
    A PF começou a negociar com empresas privadas e bancos públicos e privados a formação de uma parceria para entender o modus operandi dos cibercriminosos, tentar se antecipar a novos ataques e quebrar a resistência de servidores, normalmente hospedados no exterior, em compartilhar informações que possam ajudar nas investigações. Nesta quinta-feira 24, a PF anunciará a consolidação das primeiras parcerias, que devem incluir instituições financeiras e gigantes do e-commerce, que formarão uma força-tarefa de troca de informações confidenciais sobre crimes cibernéticos, vulnerabilidades em sistemas e negociações de pedidos de resgate de dados. O anúncio ocorre dias depois de o grupo de hackers LAPSUSS ter reivindicado o ataque que derrubou, no sábado 19, os sites da Americanas e do Submarino. Na manhã desta segunda-feira, 21, as ações da empresa caíam 4%, registrando a maior queda da bolsa de valores. A apresentação do projeto da Polícia Federal para o enfrentamento às ameaças cibernéticas terá a participação de empresas como Banco do Brasil, Caixa Econômica, Santander, XP, Mercado Livre e Zetta, além da Federação Nacional dos Bancos (Febraban) e de associações financeiras, de crédito e de varejo.
  • Empresa Farmacêutica EMS é a nova vítima de cibercriminosos no Brasil.
    A companhia comunicou ao mercado, por meio da CVM, nesta quinta-feira, 24/02, a ocorrência de um incidente cibernético em sua rede. Os primeiros rumores sobre um possível incidente na EMS surgiram na noite de ontem nas redes sociais, foram confirmados nesta quinta-feira, 24, e o site da empresa segue até o momento, fora do ar. A empresa informou que executou os protocolos de segurança e está atuando para restabelecer os seus sistemas no menor tempo possível. Até o momento não foi identificado vazamento de dados e a distribuição de medicamentos não sofreu alterações.
  • Agências dos EUA e do Reino Unido alertam sobre novo botnet Russo.
    Agências de inteligência no Reino Unido e nos EUA divulgaram detalhes de um novo malware botnet chamado Cyclops Blink que foi atribuído ao grupo de ameaças Sandworm apoiado pela Rússia. Sandworm é um adversário altamente avançado que opera na Rússia e que está ativo desde pelo menos 2008. O grupo de ameaças mostrou um foco particular em atacar entidades na Ucrânia e é acusado de estar por trás do ataques no setor de energia que causaram quedas de energia generalizadas no final de 2015. Ainda mais preocupante, o botnet é implantado como uma atualização falsa e é capaz de sobreviver a reinicializações e atualizações de firmware, com comunicações de comando e controle (C2) facilitadas pela rede de anonimato Tor. O malware em si é sofisticado e modular, com funcionalidade básica para enviar informações do dispositivo de volta a um servidor e permitir que os arquivos sejam baixados e executados.
Rubens Zolotujin 0 Comentários
fev 24 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Sites das lojas americanas estão voltando gradativamente após ataque de cibercriminosos.
    A plataforma de e-commerce permaneceu fora do ar desde sábado, quando a Americanas S/A , dona da marca, detectou um “acesso não autorizado”. A companhia não fornece mais detalhes sobre o ocorrido. A equipe de TI da empresa foi mobiliada e o retorno gradativo é o primeiro sinal de retorno em quatro dias fora do ar. É um problema e tanto, uma vez que mais de 60% das vendas do grupo hoje se dão por meios digitais. A empresa foi duramente castigada pelo mercado financeiro nesta semana: apenas na segunda-feira e na terça, seus papéis tiveram desvalorização superior a 10%, o que se refletiu em uma queda de valor de mercado da ordem de R$ 3,5 bilhões. Ontem, os papéis subiram, mas em ritmo bem menor: 2,3%, por volta das 12h20, para R$ 30,50 cada ação. A instabilidade motivou críticas de clientes, que reclamam nas redes sociais de não conseguirem acompanhar a entrega de seus produtos ou até mesmo retirá-los nas lojas físicas — que seguem operando normalmente. O que irritou os usuários foi a falta de clareza na comunicação ou a ausência dela aos clientes. O problema expõe parte do problema das operações destas empresas no país: o despreparo para lidar com a cibersegurança.
  • Organizações da Ucrânia são atingidas por um novo malware.
    Depois que a Rússia anunciou que enviaria tropas para a Ucrânia, um novo malware começou a atacar empresas ucranianas na última quarta-feira (24). Os sites do governo e do Ministério das Relações Exteriores da Ucrânia ficaram fora do ar. Nesta semana, avisos online de hackers foram emitidos alertando que seriam feitos grandes ataques contra agências governamentais, bancos e o setor de Defesa. O governo da Ucrânia tenta mudar o tráfego dos sites para outros provedores para minimizar os danos. As autoridades não apontaram um suspeito para o ciberataque, porém o problema acontece dois dias após o presidente russo Vladimir Putin reconhecer como independentes duas regiões separatistas do leste da Ucrânia e ordenar o envio de tropas ao local. Na semana passada, vários sites militares oficiais e de dois grandes bancos estatais do país foram alvos de um ataque cibernético.
  • Países da União Europeia oferecem assistência em defesa cibernética à Ucrânia.
    Os países da União Europeia concordaram em oferecer ajuda à Ucrânia na luta contra possíveis ataques cibernéticos russos. O apoio aparentemente está sendo fornecido por meio das Equipes de Resposta Rápida Cibernética da UE (CRRTs) – um projeto recentemente anunciado apoiado pelos governos da Croácia, Estônia, Lituânia, Holanda, Polônia e Romênia. Os CRRTs foram estabelecidos para pesquisar experiências e melhores práticas na construção de resiliência cibernética e resposta a incidentes. Eles também têm a missão de ajudar com treinamento, avaliações de vulnerabilidade e outros apoios solicitados de parceiros.
Rubens Zolotujin 0 Comentários
fev 23 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Americanas perde bilhões em valor de mercado com indisponibilidade de suas plataformas de comércio eletrônico.
    Sites da Americanas, Submarino e Shoptime continuam sem operar pelo quarto dia consecutivo após invasão aos servidores da empresa. As ações do grupo B2W, detentor das marcas de e-commerce, continuam despencando enquanto a companhia vem tentando reestabelecer suas plataformas para voltar à atividade normal. Com a interrupção dos serviços de vendas os clientes passaram a comprar nas plataformas concorrentes da Americanas. Um fator agravante é que uma pesquisa recente da HackerSec apontou que 75% das pessoas deixariam de comprar em empresas que sofreram ataques cibernéticos. Especialistas apontam que nunca foi tão importante que as empresas deem a devida atenção para cibersegurança, pois a onda de ataques cibernéticos tende a piorar. Além de investir em ferramentas de proteção é preciso investir em pessoas, formando equipes de cibersegurança e conscientizando todos os profissionais.
  • Pesquisa revela que a maioria das grandes empresas do Brasil, não tem setor de cibersegurança qualificado.
    Apesar de ser uma das ramificações mais críticas na estruturação do setor de TI, a área de cibersegurança ainda carece de uma dedicação de profissionais por parte das grandes empresas. Uma pesquisa conduzida pela equipe da HackerSec com Heads de Cibersegurança de diversas empresas apontou que 55% delas não tem uma separação, sendo atribuído a profissionais de infraestrutura e desenvolvimento as responsabilidades de cibersegurança. Um dos motivos é a falta de entendimento por parte da alta gestão sobre as diferenças e particularidades de cada uma das áreas do TI, além dos riscos inerentes da transferência dessa responsabilidade.
  • Bancos dos EUA se preparam para um possível ataque de cibercriminosos russos.
    Nos últimos dias, o impasse Rússia-Ucrânia no mundo físico também se espalhou para o reino cibernético, com políticos e especialistas em segurança cibernética alertando sobre possíveis ataques contra o setor financeiro dos EUA. A suspeita ocorreu depois que funcionários do governo Biden anunciaram que acreditavam agentes de ameaça apoiados pela Rússia tinham como alvo bancos ucranianos, bem como o Ministério da Defesa da Ucrânia. Nos últimos dias, a Casa Branca considerou a Rússia responsável por pelo menos um grande ataque distribuído de negação de serviço (DDoS). O governo do presidente Joe Biden preparou um pacote inicial de sanções contra a Rússia, que inclui impedir as instituições financeiras dos EUA de processar transações para os principais bancos russos. De fato, além do acesso óbvio a fundos e dados que os criminosos podem usar em outros esquemas de fraude, a segmentação de bancos pode causar interrupções na infraestrutura dos EUA e afetar severamente a reputação das instituições financeiras que podem violar.
Rubens Zolotujin 0 Comentários
fev 22 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

* Pesquisa aponta que consumidores tendem a deixar de comprar de empresas que tenham sofrido ataques cibernéticos.
Em meio a uma onda de ataques contra plataformas de e-commerce, uma pesquisa conduzida por consultores da empresa HackerSec apontou que 75% dos entrevistados afirmam que deixariam de consumir produtos ou serviços on-line de empresas que tenham sofrido ataques cibernéticos. A pesquisa também revelou que pouco mais de 90% dizem preferir comprar pela internet, uma vez que os preços são mais atraentes e a entrega é rápida, mas que se mostram preocupados com o que as empresas fazem com seus dados pessoais ou se são realmente seguras para realizar as transações. 64% ainda afirmam que pesquisam sobre a empresa antes de comprar em seu site, e que notícias sobre vazamentos de dados ou ataques cibernéticos são fatores decisivos e que podem fazer desistir de comprar em um determinado site.

* Americanas perde milhões em vendas após ataque de cibercriminosos.
Após um ataque hacker iniciado no sábado (19), os sites e aplicativos Americanas e Submarino, ambos do grupo Americanas, estão fora do ar. No início da tarde da última segunda-feira (21), também o site Shoptime, que pertence ao grupo, ficou inativo. Com isso, a empresa perdeu cerca de R$ 220 milhões em vendas até agora. As ações da Americanas chegaram a liderar as quedas no pregão desta segunda. Elas encerraram o dia como a terceira maior baixa: recuo de 6,61%, com o papel cotado a R$ 31,49. Com isso, a empresa amargou uma perda de valor de mercado de mais de R$ 2 bilhões, segundo dados da Refinitiv. O Procon-SP notificou a Americanas nesta segunda-feira a apresentar explicações sobre o que ocorreu nos sites da companhia no fim de semana. A autarquia quer saber se o ataque afetou o banco de dados da empresa e se a varejista adota medidas de segurança para proteger os dados pessoais de acessos não autorizados.

* Pesquisadores descriptografam o Ransomware Hive.
Pesquisadores afirmam ter decifrado o código de criptografia do Hive ransomware. Eles identificaram uma vulnerabilidade criptográfica durante a análise, o que levou à descoberta da chave mestra usada para desbloquear os arquivos. O ransomware criptografa apenas partes selecionadas do arquivo em vez de todo o conteúdo usando dois fluxos de chaves derivados da chave mestra. Os pesquisadores notaram que é possível adivinhar os fluxos de chaves e recuperar a chave mestra. Com isso, eles poderiam decodificar os arquivos criptografados sem exigir a chave privada de um invasor. O método pode ser usado para limitar os danos causados pelo ransomware Hive. Isso permitirá que as vítimas recuperem arquivos gratuitamente e forneçam motivação na luta contra as ameaças mortais representadas pelo ransomware em todo o mundo.

Rubens Zolotujin 0 Comentários
fev 21 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

* Departamento de Justiça nomeia primeiro diretor da Equipe Nacional de Aplicação em Criptomoedas.
O Departamento de Justiça dos EUA (DoJ) no início desta semana nomeou Eun Young Choi para atuar como o primeiro diretor da Equipe Nacional de Aplicação em Criptomoedas (NCET). O NCET foi criado para combater o uso indevido criminoso de criptomoedas e ativos digitais, com foco em atividades ilegais em trocas de moedas virtuais, serviços de mixagem e lavagem de dinheiro para alimentar ataques cibernéticos e esquemas de ransomware e extorsão. O Departamento de Justiça também está estabelecendo uma nova Iniciativa Internacional de Moeda Virtual para permitir que as operações internacionais de aplicação da lei rastreiem os rastros de movimentação no blockchain, bem como desenvolver regulamentos e legislação antilavagem de dinheiro para erradicar o abuso de criptomoedas. Os cibercriminosos lavaram US$ 8,6 bilhões em criptomoedas em 2021, um aumento de 30% em relação a 2020, de acordo com a empresa de análise de blockchain Chainalysis.

* Falha crítica descoberta no plug-in de backup do WordPress usado por mais de 3 milhões de sites.
Patches de segurança já foram emitidos para conter uma vulnerabilidade grave no UpdraftPlus, um plugin do WordPress com mais de três milhões de instalações, que pode ser utilizado para baixar os dados privados do site usando uma conta nos sites vulneráveis. Todas as versões do UpdraftPlus de março de 2019 em diante continham uma vulnerabilidade causada por uma verificação de nível de permissões ausente, permitindo que usuários não confiáveis tivessem acesso aos backups. O UpdraftPlus é uma solução de backup e restauração capaz de realizar backups completos, manuais ou agendados de arquivos, bancos de dados, plugins e temas do WordPress, que podem ser restabelecidos através do painel de administração do WordPress. Uma consequência desse falha é que ele permite que qualquer usuário logado em uma instalação do WordPress com o UpdraftPlus instalado exerça o privilégio de baixar um backup existente – permissões que deveriam ser reservadas apenas para usuários administrativos.

* Cibercriminosos visam usuários do Microsoft Teams.
Os cibercriminosos estão abusando do Microsoft Teams anexando executáveis maliciosos às conversas, na tentativa de espalhá-los entre os participantes. Atualmente, o Microsoft Teams tem cerca de 270 milhões de usuários ativos mensais, o que o torna um alvo lucrativo. Os criminosos obtêm acesso às contas do Teams falsificando um usuário por meio de e-mails maliciosos ou usando credenciais coletadas por meio de outros ataques de phishing. Eles fazem login nessas contas e inserem um arquivo executável ‘User Centric.exe’ dentro de um bate-papo para enganar os participantes do chat. Quando executado, o código malicioso instala arquivos DLL e cria links de atalho para autoadministração.

Rubens Zolotujin 0 Comentários
fev 18 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA
  • Novo Botnet kraken está usando carregador de malware SmokeLoader para se espalhar.
    Usando o SmokeLoader para instalar ainda mais softwares maliciosos em máquinas direcionadas, a Kraken está pegando centenas de novos bots cada vez que um novo servidor de comando e controle (C2) é implantado. No final de outubro de 2021, embora ainda estivesse em desenvolvimento, o botnet já tinha a capacidade de desviar dados confidenciais de hosts Windows, podendo baixar e executar cargas secundárias, como comandos shell e screenshots do sistema da vítima. As iterações posteriores ficaram ainda mais repletas, com o autor adicionando a escolha seletiva de alvos para comandos (individualmente ou por grupo, ao contrário da versão anterior, que permitia apenas que um operador de bot escolhesse quantas vítimas visava), tarefa e histórico de comandos, ID da tarefa, comando sendo enviado, quantas vítimas o comando deve ser enviado, a geolocalização de destino e um carimbo de data e hora de quando a tarefa foi iniciada.
  • Microsoft Teams é alvo de cibercriminosos.
    Os agentes de ameaças estão visando usuários do Microsoft Teams ao plantar documentos maliciosos em conversas de bate-papo que executam cavalos de Troia que podem dominar as máquinas do usuário final. Usando um arquivo executável ou um arquivo que contém instruções para o sistema executar, os cibercriminosos podem instalar arquivos DLL e permitir que o programa se autoadministre e assuma o controle do computador. Esse interesse dos invasores pode ser atribuído ao seu aumento no uso durante a pandemia do COVID-19, já que muitos funcionários das organizações que trabalhavam remotamente dependiam do aplicativo para colaborar. De fato, o número de usuários ativos diários do Teams quase dobrou no ano passado, aumentando de 75 milhões de usuários em abril de 2020 para 145 milhões no segundo trimestre de 2021.
  • FBI vê aumento no uso de plataformas de reuniões virtuais para golpes.
    O Federal Bureau of Investigation dos EUA disse hoje que viu um aumento no uso de plataformas de reuniões virtuais como forma de induzir as organizações a enviar pagamentos para contas erradas como parte de um tipo de ataque conhecido como golpes BEC. Normalmente, como o próprio nome sugere, os golpes de comprometimento de e-mail comercial (BEC) geralmente ocorrem por e-mail. Os cibercriminosos comprometem o endereço de e-mail de um executivo e o usam para instruir funcionários ou parceiros de negócios externos a enviar pagamentos urgentes ou futuros em uma nova conta bancária. A técnica, embora simples, é extremamente difícil de detectar e tem sido a principal causa da grande maioria das perdas relacionadas a crimes cibernéticos nos EUA nos últimos cinco anos, sendo responsável por US$ 1,8 bilhão em fundos perdidos apenas em 2020.
Rubens Zolotujin 0 Comentários
fev 16 2022
Segurança não é brinquedo

Uma Fintech foi hackeada: 73 bancos de dados criptografados, com pedido de cerca de 4 milhões dólares em resgate, mas tinha seguro cibernético.

Ao acionar a Seguradora, a tal Fintech teve que apresentar os últimos pentests que realizou e o changelog das correções das vulnerabilidades evidenciadas.

Ao analisar as informações e documentos, ficou evidente que a Fintech só fazia pentest na estrutura que estava em produção, e ainda levava em média 4 meses para testar as novas versões em produção.

Pois bem, a Fintech perdeu o prêmio do seguro cibernético, onde ficou demonstrada sua negligência em não validar a segurança dos processos de deploy e nem testar a aplicação antes de ir para produção.

E quem aqui é o cliente?

Ah, claro que é a Seguradora né! 😎

Infelizmente não vamos poder Decriptar esses bancos de dados. Ficamos na vontade dessa vez.

Rubens Zolotujin 0 Comentários
fev 16 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Nova variante do malware MyloBot envia e-mails de chantagem sexual exigindo US$ 2.732 em Bitcoin.
    Uma nova versão do malware MyloBot foi observada implantando cargas maliciosas que estão sendo usadas para enviar e-mails de sextortion exigindo que as vítimas paguem US$ 2.732 em moeda digital. O MyloBot, detectado pela primeira vez em 2018, é conhecido por apresentar uma variedade de recursos sofisticados de antidepuração e técnicas de propagação para prender máquinas infectadas em uma botnet, sem mencionar a remoção de vestígios de outros malwares concorrentes. O principal entre seus métodos para evitar a detecção e permanecer sob o radar incluiu um atraso de 14 dias antes de acessar seus servidores de comando e controle e a facilidade de executar binários maliciosos diretamente na memória. Esse malware foi projetado para abusar do endpoint e enviar mensagens de extorsão abusivas aos destinatários, além de ameaçar vazar um vídeo que supostamente foi gravado ao invadir a webcam das vítimas.
  • Google emite correções de segurança para seu navegador Chrome.
    O primeiro bug de dia zero do ano no Chrome pode levar a execução de código arbitrário em sistemas vulneráveis. O Google emitiu nesta segunda-feira, 11 correções de segurança para seu navegador Chrome, incluindo um bug de dia zero de alta gravidade que está sendo explorado ativamente por invasores. Rastreada como CVE-2022-0609, uma vulnerabilidade no componente de Animação do Chrome. Esse tipo de falha pode levar a corrupção de dados válidos até a execução de código arbitrário em sistemas vulneráveis. Essas falhas também podem ser usadas para burlar a sandbox de segurança do navegador. Para corrigir o problema de animação, juntamente com outros 10 problemas de segurança, o Google lançou o Chrome 98.0.4758.102 para Windows, Mac e Linux, com lançamento previsto para os próximos dias ou semanas. O crédito pela descoberta vai para Adam Weidemann e Clément Lecigne, ambos do Grupo de Análise de Ameaças (TAG) do Google.
  • Cibercriminosos estão visando setores de aviação e defesa.
    Entidades nas indústrias de aviação, transporte, manufatura e defesa têm sido alvo de um grupo de cibercriminosos desde pelo menos 2017, como parte de uma série de campanhas de spear phishing montadas para fornecer uma variedade de trojans de acesso remoto (RATs) em sistemas comprometidos. As iscas de engenharia social usadas pelo grupo TA2541, não se baseiam em temas atuais, mas aproveitam mensagens maliciosas relacionadas à aviação, transporte e viagens. Dito isso, o TA2541 mudou recentemente para iscas com tema COVID-19, distribuindo e-mails sobre remessas de carga de equipamentos de proteção individual (EPI) ou kits de teste. Embora o TA2541 seja consistente em alguns comportamentos, como usar e-mails disfarçados de empresas de aviação para distribuir trojans de acesso remoto, outras táticas, como método de entrega de anexos, URLs e infraestrutura também evoluiram.
Rubens Zolotujin 0 Comentários
fev 15 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Ransomware se torna cada dia mais mortal para Empresas.
    Os perigos cibernéticos são a maior preocupação das empresas globalmente, acima da pandemia de Covid-19 ou da cadeia de suprimentos deficitária. É o que aponta o Barômetro de Risco Allianz 2022. Isso se deve ao poder incapacitante que os ataques cibernéticos têm, especialmente os de ransonware, que em 2021 acumularam mais de U$600 milhões em resgastes pagos aos cibercriminosos. Estima-se que 30% das empresas afetadas por esse tipo de ataque desde 2019 encerraram suas atividades por conta do impacto.
  • Provedores de serviços em nuvem asiáticos enfrentam ameaças cibernéticas.
    Uma nova família de malware, CoinStomp, tem como alvo serviços em nuvem para mineração de criptomoedas. Atualmente, esse malware parece estar focado em provedores de serviços em nuvem na Ásia. O CoinStomp possui vários recursos, incluindo timestomping, desabilitando políticas criptográficas em todo o sistema e o uso de comunicação C2 iniciada através de um shell reverso. Para evitar ações forenses contra si mesmo, o malware tenta adulterar as políticas criptográficas do servidor Linux. Essas políticas destinam-se a interromper executáveis maliciosos. Portanto, os autores usam comandos para desabilitar as políticas criptográficas de todo o sistema antes de sua atividade. Além disso, qualquer tentativa dos administradores de desfazer essa ação garante ainda mais que o malware atinja seus objetivos.
  • Cibercriminosos estão utilizando metaprogramação para burlar mecanismos de proteção.
    Os pesquisadores forneceram informações sobre técnicas específicas de ofuscação que envolvem metaprogramação ou metaprogramação baseada em modelo estudando as técnicas usadas na família do malware BazarLoader. Na metaprogramação, os programas são criados para examinar ou gerar um novo código em tempo de execução. A metaprogramação baseada em templates envolve templates servindo como modelos para a reutilização de código. Os desenvolvedores de malware usam essa de metaprogramação para ofuscar dados importantes e garantir que determinados elementos, como chaves de criptografia e padrões de código, sejam criados exclusivamente em cada compilação. Isso torna a análise desafiadora e o desenvolvimento de assinaturas para detecção estática mais difícil porque o código de criptografia sempre muda para cada amostra compilada.
Rubens Zolotujin 0 Comentários