abr 29 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Onyx ransomware destrói arquivos em vez de criptografá-los.
    Uma nova operação de ransomware Onyx está destruindo arquivos maiores que 2 MB em vez de criptografá-los, impedindo que esses arquivos sejam descriptografados mesmo que um resgate seja pago. Como a maioria das operações de ransomware atuais, os agentes de ameaças Onyx roubam dados de uma rede antes de criptografar os dispositivos. Esses dados são usados em esquemas de extorsão dupla, onde eles ameaçam liberar publicamente os dados se um resgate não for pago. A gangue do ransomware teve um sucesso razoável até agora, com seis vítimas listadas em sua página de vazamento de dados. A funcionalidade técnica do ransomware Onyx não era conhecida até 27/04, quando o MalwareHunterTeam encontrou uma amostra do criptografador. O que foi encontrado é preocupante, pois o ransomware substituirá muitos arquivos com dados indesejados aleatórios em vez de criptografá-los.
  • Cloudflare detecta um dos maiores ataques de DDoS distribuídos da história.
    A empresa de infraestrutura de Internet Cloudflare disse hoje que mitigou um dos maiores ataques volumétricos distribuídos de negação de serviço (DDoS) registrados até o momento. A Cloudflare disse que detectou e mitigou um ataque DDoS de 15,3 milhões de solicitações por segundo (rps) no início deste mês. Os ataques DDoS volumétricos diferem dos ataques DDoS de largura de banda tradicionais, nos quais os invasores tentam esgotar e obstruir a largura de banda da conexão à Internet da vítima. Em vez disso, os invasores se concentram em enviar o máximo de solicitações HTTP inúteis para o servidor da vítima, a fim de ocupar a preciosa CPU e RAM do servidor e impedir que usuários legítimos usem sites direcionados. O ataque, que durou menos de 15 segundos, foi lançado de um botnet de aproximadamente 6.000 bots únicos e originado de 112 países ao redor do mundo.
  • Polícia Federal faz operação contra ciberataques à universidades.
    Quase um ano após os sistemas da Universidade Federal da Grande Dourados serem alvo de hacker e invadidos, a Polícia Federal deflagrou – na manhã de ontem (28) – a operação Área Restrita. Conforme a PF, a finalidade da ação é apurar não somente o ataque à UFGD, como também os que aconteceram em várias Universidades Federais do país durante o mesmo período de maio de 2021. Segundo a Polícia Federal, o ataque cibernético de invasão dos sistemas de informática das universidades provocou o chamado “defacement”, que consiste em modificar o conteúdo mostrado no site, ou pichação e, além da UFGD, pelo menos outras cinco universidades federais foram atacadas. Estão entre os alvos as universidades federais do Rio de Janeiro; Minas Gerais; Tocantins; Alagoas e Bahia. Na época, a UFGD chegou a tirar o site do ar para verificação da segurança, mantendo apenas alguns serviços, como o de e-mail, login para os cursos EaD, que funcionaram com instabilidade.
Rubens Zolotujin 0 Comentários
abr 28 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Microsoft encontra vulnerabilidades de alta gravidade no Linux.
    Especialistas em segurança da Microsoft descobriram duas vulnerabilidades no Linux que dão ao invasor acesso root ao sistema. Chamadas pela companhia de Nimbuspwn, as falhas são consideradas graves. Ambas podem ser exploradas para ataques de ransomware ou roubo de dados, por exemplo. Oficialmente, as vulnerabilidades foram identificadas como CVE-2022-29799 e CVE-2022-29800. Elas se manifestam no networkd-dispatcher. Trata-se de um componente presente na maioria das distribuições Linux que reporta mudanças no status de rede e pode executar scripts em resposta a elas. Para garantir que a carga maliciosa seja executada, o invasor precisa injetar vários scripts no sistema. Mas esse é apenas um complicador, não um impeditivo. Com essa abordagem, os pesquisadores da Microsoft precisaram de apenas três tentativas para um script malicioso ser executado durante o experimento. A exploração de ambos os problemas dá acesso ao sistema com privilégios de administrador.
  • Cibercriminosos alegam ter roubado mais de 161 GB de dados da Coca-Cola.
    A Coca-Cola está conduzindo uma investigação interna para apurar um possível vazamento de dados de seus sistemas internos. o grupo de cibercriminosos Stormous alega ter roubado mais de 161 GB de dados da empresa. A empresa afirmou, em um comunicado, que já notificou as autoridades sobre a suposta invasão, além de estar em busca de “determinar a validade da alegação”. O grupo Stormous está disponibilizando os dados roubados da Coca-Cola por US$ 65 mil (em torno de R$ 320 mil) ou 1,6 bitcoin. Entre as informações comprometidas, estariam senhas, documentos financeiros, notas fiscais em ZIP e dados de fornecedores. O grupo Stormous surgiu no cenário de cibersegurança em fevereiro, logo após o início dos conflitos entre Ucrânia e Rússia. Seu foco inicial foi de ataques, justamente, contra o exército digital do país invadido; depois, os bandidos assumiram uma postura contrária ao Ocidente, com o suposto comprometimento de dados da Coca-Cola sendo a segunda vez que um golpe contra uma empresa é divulgado pelo bando.
  • EUA oferecem recompensa de US$ 10 milhões por hackers russos.
    Os EUA estão oferecendo até US$ 10 milhões para identificar ou localizar seis hackers russos do GRU que fazem parte do notório grupo de hackers Sandworm. Essa recompensa está sendo oferecida como parte do programa do Departamento de Estado, que recompensa informantes por informações que levem à identificação ou localização de agentes de ameaças de governos estrangeiros que realizam operações cibernéticas maliciosas contra a infraestrutura crítica dos EUA. O Departamento de Estado dos EUA anunciou que está buscando informações sobre seis oficiais russos da Diretoria Principal de Inteligência do Estado-Maior das Forças Armadas da Federação Russa (GRU) por seu suposto papel em ataques cibernéticos maliciosos contra infraestrutura crítica dos EUA.
Rubens Zolotujin 0 Comentários
abr 27 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Brasil é o segundo país mais atacado pelo ransomware BlackCat.
    O grupo de ransomware BlackCat é um agente de ameaças que opera desde, pelo menos, dezembro de 2021. Diferentemente de muitos agentes de sequestros virtuais, o agente malicioso do grupo é escrito na linguagem de programação Rust. Graças às avançadas funcionalidades de compilação cruzada do Rust, o BlackCat consegue atingir sistemas Windows e Linux — resultados que podem ser resumidos como a introdução de avanços progressivos e uma mudança nas tecnologias usadas para vencer os desafios do desenvolvimento desse tipo de ameaça. Segundo a Kaspersky o agente de ameaças atacou empresas de petróleo, gás, mineração e construção na América do Sul. Nos últimos 12 meses a Kaspersky identificou atividades do malware em alguns países da América Latina, principalmente no Brasil, Colômbia e México. Esse destaque também se dá ao BlackMatter, que registrou detecções no Brasil e na República Dominicana — o que explica o BlackCat estar se expandindo pela mesma região.
  • Botnet Emotet está utilizando novos mecanismos para contaminar sistemas microsoft.
    O agente de ameaças por trás do botnet Emotet está testando novos métodos de ataque em suas campanhas de spam, potencialmente em resposta à decisão da Microsoft de desabilitar as macros do Visual Basic (VBA) por padrão em seus produtos. A nova campanha de phishing envolveu o uso de iscas com temas salariais e URLs do OneDrive que hospedam arquivos ZIP que contêm arquivos do Microsoft Excel Add-in (XLL), que, quando executados, descartam e executam o Emotet com sua carga útil. É provável que o agente da ameaça esteja testando novos comportamentos em pequena escala antes de entregá-los às vítimas de forma mais ampla ou distribuí-los por meio de novos TTPs juntamente com suas campanhas de alto volume existentes.
  • Hackers norte-coreanos atacam jornalistas com malware GOLDBACKDOOR.
    Um agente de ameaças apoiado pelo Estado com vínculos com a República Popular Democrática da Coreia (DRPK) foi atribuído a uma campanha de phishing direcionada a jornalistas que cobrem o país com o objetivo final de implantar um backdoor em sistemas Windows infectados. “Os jornalistas são alvos de alto valor para governos hostis”, disse a empresa de segurança cibernética Stairwell em um relatório publicado na semana passada. “Comprometer um jornalista pode fornecer acesso a informações altamente confidenciais e permitir ataques adicionais contra suas fontes”. As mensagens de phishing foram enviadas de um endereço de e-mail pessoal pertencente a um ex-oficial de inteligência sul-coreano, levando à implantação do backdoor em um processo de infecção em vários estágios para evitar a detecção. As mensagens de e-mail continham um link para baixar um arquivo ZIP de um servidor remoto projetado para representar o portal de notícias focado na Coreia do Norte.
Rubens Zolotujin 0 Comentários
abr 26 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Mais de 13 milhões de dólares em NFTs são roubados.
    A conta do Instagram e o servidor Discord da famosa coleção de NFTs Bored Ape Yacht Club (BAYC) foram hackeados na última segunda-feira (25), confirmaram os líderes do projeto via Twitter. Os invasores divulgaram um link falso para os seguidores com o objetivo de drenar as carteiras das vítimas. Alguns usuários parecem ter caído no golpe. O incidente expôs a vulnerabilidade contínua dos canais de mídia social operados por empreendimentos de criptomoedas, que podem colocar os usuários em risco, mesmo que a tecnologia blockchain subjacente seja segura. A coleção de NFT do Bored Ape Yacht Club é gerenciada pela Yuga Labs, que está lançando várias outras coleções de NFT valiosas e planejando outras iniciativas de blockchain e metaverso em torno delas. Embora os conselhos de segurança no espaço cripto sugiram que os detentores de NFT nunca conectem sua carteira a um terceiro desconhecido ou não confiável, o fato de o link de phishing ter sido enviado pela conta oficial de mídia social do BAYC provavelmente convenceu as vítimas de que era legítimo, levantando questões difíceis sobre onde exatamente está a falha.
  • Pesquisadores relatam vulnerabilidade crítica de RCE na plataforma VirusTotal.
    Pesquisadores de segurança divulgaram uma vulnerabilidade de segurança na plataforma VirusTotal que poderia ter sido potencialmente armada para alcançar a execução remota de código (RCE). A falha, agora corrigida, possibilitou “executar comandos remotamente dentro da plataforma VirusTotal e obter acesso a seus vários recursos de varredura”, disseram os pesquisadores da Cysource Shai Alfasi e Marlon Fabiano da Silva em um relatório compartilhado. O VirusTotal , parte da subsidiária de segurança Chronicle do Google, é um serviço de verificação de malware que analisa arquivos e URLs suspeitos e verifica vírus usando mais de 70 produtos antivírus de terceiros. O ataque envolveu o upload de um arquivo DjVu através da interface de usuário web da plataforma, usando-o para acionar um exploit para uma falha de execução remota de código de alta gravidade no ExifTool.
  • Bug crítico na carteira Everscale poderia permitir que invasores roubassem criptomoedas.
    Uma vulnerabilidade de segurança foi divulgada na versão web da carteira Ever Surf que, se armada com sucesso, pode permitir que um invasor obtenha controle total sobre a carteira da vítima. Ao explorar a vulnerabilidade, é possível descriptografar as chaves privadas e as frases iniciais que são armazenadas no armazenamento local do navegador. Em outras palavras, os invasores podem obter controle total sobre as carteiras das vítimas. Ever Surf é uma carteira de criptomoedas para o blockchain Everscalex’ que também funciona como um mensageiro multiplataforma e permite que os usuários acessem aplicativos descentralizados, bem como enviem e recebam tokens não fungíveis (NFTs). Diz-se que tem cerca de 669.700 contas em todo o mundo.
Rubens Zolotujin 0 Comentários
abr 25 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Gigante de telecomunicações T-Mobile é atacada pelo grupo Lapsus$.
    Após obter as credenciais de alguns funcionários da T-Mobile, o Lapsus$ utilizou ferramentas internas da empresa, como o sistema de gerenciamento de clientes Atlas da T-Mobile, para realizar um ataque de SIM SWAP. As credenciais de VPN usadas para o acesso inicial foram supostamente obtidas em um fórum da deep web. De acordo com os dados, os cibercriminosos conseguiram invadir os sistemas da operadora alemã T-Mobile e roubaram o seu código-fonte. A T-Mobile é uma das maiores empresas de telecomunicações do mundo, com mais de 100 milhões de assinantes, e também é uma operadora comumente usada por chineses no exterior. O grupo Lapsus$ tem ganho popularidade devido aos muitos ataques realizados a várias empresas de tecnologia nos últimos meses, como a Microsoft, Samsung e Nvidia.
  • Binance recupera US$ 5,8 milhões de ataque hacker na Axie Infinity.
    A exchange de criptomoedas Binance recuperou uma pequena fração dos US$ 622 milhões roubados da sidechain Ronin no mês passado, de acordo com um tweet do CEO Changpeng Zhao (CZ). CZ twittou que o grupo de hackers norte-coreano responsável pelo roubo começou a canalizar parte do saque na exchange em “mais de 86 contas” e que “US$ 5,8 milhões foram recuperados”. Na semana passada, seguindo uma recomendação do FBI, o Tesouro dos EUA adicionou a carteira Ethereum do grupo hacker à sua lista de sanções. A carteira, intitulada de Ronin Bridge Exploiter no Etherscan, estava conectada ao grupo de hackers norte-coreano Lazarus, uma organização que o FBI descreve como “patrocinada pelo Estado”. O Lazarus é responsável por vários hacks no mercado de criptomoedas, incluindo o ataque de ransomware WannaCry de 2017, o ataque da Sony Pictures de 2014 e uma série de ataques cibernéticos a empresas farmacêuticas em 2020, incluindo a AstraZeneca.
  • Falso suporte da Coinbase rouba R$ 400 mil em criptomoedas.
    Um novo site que surgiu na comunidade já conseguiu roubar R$ 400 mil em criptomoedas, se passando pelo atendimento aos clientes e suporte da Coinbase, maior corretora dos Estados Unidos. A plataforma em breve deverá chegar ao Brasil em seu processo de expansão global. No mercado de criptomoedas e financeiro, é comum que hackers e estelionatários criem falsos sites para se passar pelos serviços legítimos de atendimento a clientes. Essa prática é chamada phishing, sendo uma das maiores ameaças a investidores de todo mundo. O aplicativo Coinbase Wallet é o novo alvo de uma prática golpista no mercado de criptomoedas, segundo um alerta da PeckShield no último domingo (24). Dessa forma, uma nova divulgação informou que golpistas estão fingindo ser do suporte da Coinbase, levando as vítimas a copiar um site de phishing para a carteira da empresa. Após copiar o endereço e aprovar ele, todos os fundos da wallet das vítimas são levados.
Rubens Zolotujin 0 Comentários
abr 24 2022
Conscientização em Segurança da Informação é o caminho certo

Conscientização em Segurança da Informação é o caminho certo a ser implementado, isso é um dever de casa a ser cuidado constantemente. Por isso, devemos sempre ministrar esses treinamentos de 3 em 3 meses e não anualmente.

Porque isso?

O ser humano adora comodidades, quando se perde o medo perde-se o respeito sobre os processos da segurança da informação e, aí o risco aumenta.

Vamos a algumas dicas.

1 – Faça treinamentos periódicos de 3 em 3 meses, as pessoas esquecem rápido pois, como nunca aconteceu um problema de hacking e/ou vazamentos de dados, colocam na cabeça que nunca virão acontecer com eles.

2 – Crie uma provinha básica sobre o assunto e de um certificado de participação a esses treinamentos. Isso entrega mais responsabilidades aos colaboradores. Ter um prova “obriga” aos colaboradores a estudar mais e, ter a consciência das suas obrigações aos processos da empresa.

3 – Faça pequenas demonstrações práticas de vazamentos e invasões sobre ambientes controlados. Ver ao vivo é melhor do que ler notícias e acreditar nos powerpoints de treinamentos. O ser humano tem outro problema grave, acredita que nunca irá acontecer com eles então, ver ao vivo e a cores os ataques demonstram que até o garoto da esquina, com a receita de bolo certa na mão, pode fazer um estrago enorme na sua empresa.

4 – Crie um ambiente de Ensino On-line na sua empresa pois, sempre terá rotatividade entre colaboradores, parceiros de negócios e fornecedores. O RH deverá estar sempre alinhado as ações de segurança da informação ajudando nesse processo de compliance.

5 – Entreviste seus colaboradores e pergunte o quão estão preparados na segurança da empresa.

6 – Seja básico, seja simples… ações como essas tem um peso enorme que, nenhuma ferramenta de mercado vai lhe dar.

seguranca #informacao #concientizacao #treinamento #empresa #seguranca #colaboradores #dados #dadospessoais #vazamento

Rubens Zolotujin 0 Comentários
abr 22 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Amazon Web Services (AWS) disponibiliza patches para falha Log4Shell.
    A AWS corrigiu quatro problemas de segurança em seu hot patch de dezembro que abordou a vulnerabilidade crítica do Log4Shell (CVE-2021-44228) que afetava ambientes em nuvem ou local executando aplicativos Java com uma versão vulnerável da biblioteca de log Log4j ou containers. Porém pesquisadores da Palo Alto identificaram problemas de segurança nas correções da AWS seis dias após o lançamento do hotfix e informaram a Amazon em 21 de dezembro de 2021. Nos meses seguintes, pesquisadores forneceram mais informações sobre como contornaram as novas correções e, em 4 de abril de 2022, os problemas restantes foram mínimos. No último dia 19 a AWS lançou as atualizações finais para suas soluções de patch Log4Shell, e a empresa recomenda que os administradores apliquem as devidas correções.
  • Ransomware BlackCat está atacando organizações ao redor do mundo.
    Somente em março deste ano o FBI identificou cerca de 60 ataques que foram atribuidos ao BlackCat. Em abril, mais nove vítimas caíram nas teias do ransomware escrito na linguagem de programação Rust. Com capacidades avançadas, ele ataca tanto sistemas Windows quanto o Linux. Os cibercriminosos que operam o BlackCat priorizam nos ataques organizações industriais e são conhecidos pelos nomes de Darkside ou Blackmatter. Os invasores que integram esses grupos exigem pagamentos de milhões de dólares para liberarem o acesso aos dados das empresas, principalmente informações confidenciais. Para isso, eles empregam credenciais de usuário comprometidas e implantam o ransomware, utilizando scripts do PowerShell, Cobalt Strike Beacon e ferramentas legítimas do Windows e utilitários Sysinternals.
  • Falha crítica em chipset deixa milhões de dispositivos android vulneráveis.
    Três vulnerabilidades de segurança foram divulgadas nos decodificadores de áudio dos chips Qualcomm e MediaTek que, se não forem resolvidas, podem permitir que um invasor obtenha acesso remoto a conversas de mídia e áudio de dispositivos móveis afetados. As falhas podem ser usadas como uma plataforma de lançamento para realizar ataques de execução remota de código (RCE) simplesmente enviando um arquivo de áudio especialmente criado. O impacto de uma vulnerabilidade como esta, pode variar desde a execução de remota de código e até mesmo que um invasor obtenha controle total sobre os dados multimídia de um usuário, incluindo streaming da câmera de um dispositivo comprometido.
Rubens Zolotujin 0 Comentários
abr 21 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Pesquisadores detalham bug que pode paralisar o sistema de detecção de intrusão Snort
    Surgiram detalhes sobre uma vulnerabilidade de segurança agora corrigida no sistema de detecção e prevenção de intrusão do Snort que pode desencadear uma condição de negação de serviço (DoS) e torná-lo impotente contra tráfego malicioso. Rastreada como CVE-2022-20685, a vulnerabilidade é classificada como 7,5 para gravidade e reside no pré-processador Modbus do mecanismo de detecção Snort. Ela afeta todos os lançamentos de projetos Snort de código aberto anteriores a 2.9.19, bem como a versão 3.1.11.0. Mantido pela Cisco, o Snort é um sistema de detecção de intrusão (IDS) de código aberto e sistema de prevenção de intrusão (IPS) que oferece análise de tráfego de rede em tempo real para detectar possíveis sinais de atividade maliciosa com base em regras predefinidas.
  • EUA e aliados alertam para ataque massivo russo.
    EUA, Grã-Bretanha, Canadá, Austrália e Nova-Zelândia, membros da rede de compartilhamento de inteligência “Five Eyes”, declarou nessa última quarta-feira (20) que a Rússia prepara ações cibernéticas contra governos e empresas globalmente. “A inteligência em evolução indica que o governo russo está explorando opções para possíveis ataques cibernéticos. Essa atividade pode ocorrer como resposta aos custos econômicos sem precedentes impostos à Rússia, bem como ao suporte de material fornecido pelos Estados Unidos e aliados e parceiros dos EUA”, afirmou o grupo de países em alerta oficial. Esse alerta é preocupante, uma vez que diversos grupos hackers tem declarado apoio público ao governo russo, colocando-se à disposição em ações ofensivas contra membros da OTAN. Esses grupos têm a capacidade de comprometer redes de TI, roubar dados, implantar malwares ou realizar grandes ataques de negação de serviço, completa o alerta.
  • Empresa suspende pedidos após ciberataque
    A varejista de cartões-presente, Funky Pegeon, sofreu um ciberataque que deixou todos os seus sistemas offline, levando a empresa a suspender suas atividades por tempo indeterminado. Em um comunicado oficial, a empresa disse que “Assim que descobrimos o incidente, lançamos uma investigação forense liderada por especialistas externos para entender o incidente e se houve algum impacto nos dados do cliente. Atualmente, estamos investigando até que ponto quaisquer dados pessoais foram acessados”. A empresa não informou como ocorreu o ataque ou seus responsáveis. As autoridades de proteção de dados europeias acompanham o caso. De acordo com a GDPR, lei de proteção de dados pessoais da Europa, a empresa pode sofrer sansões caso seja comprovado o comprometimento de dados dos clientes.
Rubens Zolotujin 0 Comentários
abr 20 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Ataques contra plataformas de criptomoedas continuam aumentando.
    À medida que o cenário das criptomoedas muda, os crimes relacionados a criptomoedas também evoluem. Ultimamente, as plataformas de Finanças Descentralizadas (DeFi) se tornaram um alvo bastante comum para os cibercriminosos. A DeFi tem sofrido tanto com fundos roubados quanto com golpes de criptomoedas. No ano passado, mais de US$ 3 bilhões em ativos digitais foram roubados. No primeiro trimestre de 2022, mais de US$ 1,3 bilhão já foram roubados, indicando que o caminho percorrido pelos cibercriminosos é ainda mais agressivo em relação ao ano passado. Essas plataformas são totalmente descentralizadas e não possuem intermediários, corretores ou exchanges. Elas precisam depender de modelos de desenvolvimento transparentes e de código aberto para provar sua confiabilidade. Independentemente disso, isso permite que os invasores analisem os contratos e serviços inteligentes e abusem de uma falha antes que ela seja corrigida. Outro problema é que o mercado pode ser manipulado durante uma ação de empréstimo, elevando o valor do token emprestado e comprando-o novamente a um preço reduzido.
  • Grupo de vigilância de direitos digitais alertou o governo do Reino Unido sobre infecções por spyware.
    O grupo de vigilância de direitos digitais Citizen Lab disse nesta semana que alertou autoridades britânicas que dispositivos eletrônicos conectados a redes governamentais, incluindo alguns dentro do gabinete do primeiro-ministro e do Ministério das Relações Exteriores, parecem estar infectados com software de espionagem israelense. O software espião é conhecido como Pegasus, um produto do revendedor israelense de armas cibernéticas NSO Group. Um porta-voz da NSO disse que as alegações são “falsas e não podem estar relacionadas a produtos da NSO por razões tecnológicas e contratuais”. O Citizen Lab disse acreditar que a segmentação ligada ao gabinete do primeiro-ministro foi feita por clientes da NSO nos Emirados Árabes Unidos, enquanto os hackers do Ministério das Relações Exteriores britânico vieram de outros países, incluindo Chipre, Jordânia e Índia. O Pegasus pode ser usado para invadir iPhones remotamente, dando aos clientes acesso profundo à memória de um telefone alvo ou transformando-os em dispositivos de gravação.
  • Novas vulnerabilidades de firmware UEFI da Lenovo afetam milhões de laptops.
    Três vulnerabilidades de segurança da Interface de Firmware Extensível Unificada (UEFI) de alto impacto foram descobertas afetando vários modelos de laptops da Lenovo, permitindo que agentes mal-intencionados implantem e executem implantes de firmware nos dispositivos afetados. Rastreados como CVE-2021-3970, CVE-2021-3971 e CVE-2021-3972, os dois últimos “afetam drivers de firmware originalmente destinados a serem usados apenas durante o processo de fabricação de notebooks de consumo Lenovo”.
Rubens Zolotujin 0 Comentários
abr 19 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Grupo Lazarus tem como alvo organizações que operam no setor químico na Coreia do Sul.
    Lazarus, o grupo APT ligado à Coreia do Norte, tem como alvo organizações que operam no setor químico na Coreia do Sul. Em janeiro, a Symantec detectou ataques a redes de várias organizações da Coreia do Sul. As organizações visadas eram principalmente do setor químico, enquanto algumas pertenciam também ao setor de TI. A gangue está mirando nas organizações de TI para obter acesso às organizações do setor químico, suspeitam os pesquisadores. Em 2020 e 2021, as campanhas Dream Job visaram organizações de defesa, governo e engenharia. No entanto, o foco recente em empresas químicas começou em janeiro de 2022. Os invasores usaram ofertas de trabalho falsas para enganar os candidatos a clicar em links ou abrir anexos maliciosos, o que permitiu que os cibercriminosos instalassem spyware nos computadores das vítimas. Em alguns casos, os invasores estavam despejando credenciais do registro, instalando um arquivo BAT para obter persistência e usando uma tarefa agendada configurada para ser executada como um determinado usuário.
  • Microsoft derrubou dezenas de domínios usados como servidores C2 pelo botnet ZLoader.
    A Unidade de Crimes Digitais (DCU) da Microsoft derrubou dezenas de domínios usados como servidores C2 pelo botnet ZLoader. Ao longo do esforço investigativo, várias empresas de segurança cibernética e provedores de telecomunicações, incluindo ESET, Black Lotus Labs, Unidade 42 da Palo Alto Networks e Avast, fizeram parceria com a Microsoft. Tudo aconteceu depois que a ordem judicial permitiu que a DCU assumisse 65 domínios codificados usados pelo ZLoader como seus servidores C2 e 319 domínios adicionais registrados usando o algoritmo de geração de domínio. Esses domínios foram usados para criar canais de comunicação de fallback e backup. Além disso, os pesquisadores identificaram um dos indivíduos, Denis Malikov, que mora em Simferopol, e acredita-se que esteja por trás da criação de um componente usado na botnet ZLoader para espalhar ransomware.
  • Hacker rouba R$900 milhões da rede de criptomoedas Beanstalk Farms.
    Uma ação rápida e precisa. Assim foi o ataque de um hacker contra a rede de blockchain de finanças descentralizadas (DeFi), Beanstalk Farms, ocorrido no último domingo (17). Ao realizar um empréstimo instantâneo no protocolo descentralizado Aave, o cibercriminoso conseguiu desviar US$ 182 milhões, o equivalente a R$ 900 milhões, driblando a segurança do sistema para conseguir obter o token de governança conhecido como Stalk. O montante foi enviado para uma carteira privada da Ethereum e a lavagem do dinheiro foi possível por meio do Tornado Cash, uma ferramenta que ofusca as transações em criptomoedas. A ação foi detectada pela empresa de análise de blockchain PeckShield e aconteceu em apenas 13 segundos.
Rubens Zolotujin 0 Comentários