jun 30 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Firefox corrige 19 vulnerabilidades e melhora a privacidade do usuário.
    A Mozilla anunciou esta semana a disponibilidade do Firefox 102 com patches para 19 vulnerabilidades, incluindo quatro bugs de alta gravidade. Com a atualização mais recente, a Mozilla corrigiu o CVE-2022-34470, um problema de uso após a liberação de alta gravidade no nsSHistory que foi acionado ao navegar entre documentos XML e que pode levar a uma falha potencialmente explorável. As vulnerabilidades de uso após a liberação podem ser exploradas para obter execução arbitrária de código, corrupção de dados ou negação de serviço, e podem levar ao comprometimento total do sistema se combinadas com outras falhas. Sites maliciosos podem explorar esses bugs para escapar da sandbox de um navegador. O Firefox 102 também melhora a privacidade do usuário mitigando o rastreamento de parâmetros de consulta ao navegar na Internet com o modo restrito Enhanced Tracking Protection (ETP) ativado. Com o ETP, o Firefox limita os cookies aos sites que os criaram, o que impede o rastreamento entre sites.
  • Novo malware YTStealer visa sequestrar contas de criadores de conteúdo do YouTube.
    Pesquisadores de segurança cibernética documentaram um novo malware de roubo de informações que visa os criadores de conteúdo do YouTube roubando seus cookies de autenticação. Apelidado de “YTStealer”, acredita-se que a ferramenta maliciosa seja vendida como um serviço na deep web, sendo distribuída usando instaladores falsos. “O que diferencia o YTStealer de outros malwares vendidos na deep web é que ele se concentra exclusivamente na coleta de credenciais para um único serviço, em vez de pegar tudo o que se pode obter”, disse o pesquisador de segurança Joakim Kenndy em um relatório de cibersegurança. A maioria das cargas úteis do dropper que entregam o YTStealer são empacotadas sob o disfarce de instaladores para software de edição de vídeo legítimo, como Adobe Premiere Pro, Filmora e HitFilm Express.
  • CISA alerta para exploração ativa da vulnerabilidade Linux ‘PwnKit’.
    A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) mudou esta semana para adicionar uma vulnerabilidade no Linux apelidada de PwnKit ao seu Catálogo de Vulnerabilidades conhecidas, citando evidências de exploração ativa. O problema, rastreado como CVE-2021-4034 (pontuação CVSS: 7,8), veio à tona em janeiro de 2022 e diz respeito a um caso de escalação de privilégio local no utilitário pkexec do polkit, que permite que um usuário autorizado execute comandos como outro usuário. A exploração bem-sucedida da falha pode induzir o pkexec a executar código arbitrário, concedendo a um invasor sem privilégios direitos administrativos na máquina de destino e comprometendo o host. Para mitigar qualquer risco potencial de exposição a ataques cibernéticos, é recomendável que as organizações e empresas priorizem a correção vulnerabilidade.
Rubens Zolotujin 0 Comentários
jun 29 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Novo método de ataque desenvolvido para abusar do Microsoft WebView2.
    Uma nova técnica de phishing pode abusar dos aplicativos do Microsoft Edge WebView2 para roubar cookies de autenticação das vítimas, usando os quais os hackers ignoram o MFA para registrar contas. Um pesquisador conhecido como Sr.d0x desenvolveu um novo método de phishing chamado WebView2-Cookie-Stealer. O ataque inclui um executável WebView2, para o qual o pesquisador criou uma prova de conceito que abre um formulário de login genuíno da Microsoft. O ataque permite que um invasor acesse cookies diretamente e insira JavaScript dentro de uma página da Web carregada por um aplicativo para registrar pressionamentos de tecla e roubar cookies de autenticação. Além disso, o pesquisador revelou que era possível usar o aplicativo WebView2 para roubar cookies de um perfil de usuário do Chrome existente apenas copiando seu perfil do Chromium existente. A técnica de phishing torna possível até mesmo contornar mecanismos de segurança como MFA. Assim, os especialistas sugerem seguir as melhores práticas cibernéticas, evitando a instalação de aplicativos de fontes não confiáveis e sempre implementando o Microsoft Defender ou software antimalware.
  • Cibercriminosos começam a movimentar parte dos 100 milhões roubados.
    Os cibercriminosos por trás do ataque de US$ 100 milhões na blockchain Harmony na semana passada começaram a movimentar parte dos valores desviados do projeto na noite do dia 27, mostram os dados públicos visualizados na blockchain. O projeto Harmony está ciente da movimentação dos invasores e está colaborando com empresas de análise de blockchain e com o FBI para identificar os culpados, disseram os desenvolvedores do projeto em um tweet na manhã da última terça-feira (28). O ataque ao protocolo Harmony é o mais recente roubo multimilionário a protocolos de Finanças Descentralizadas (ou DeFi). A empresa anunciou que irá oferecer uma recompensa de US$ 1 milhão pela devolução dos fundos roubados da bridge, afirmando, via Twitter, que não iria abrir acusações criminais se os fundos fossem devolvidos. Por conta das transferências feitas no início da semana, a oferta parece ter sido rejeitada.
  • OpenSSL lançará patch de segurança para vulnerabilidade de corrupção de memória.
    A versão mais recente da biblioteca OpenSSL foi descoberta como suscetível a uma vulnerabilidade de corrupção de memória remota em sistemas selecionados. O problema foi identificado no OpenSSL versão 3.0.4 , lançado em 21 de junho de 2022 e afeta sistemas x64 com o conjunto de instruções AVX-512. OpenSSL 1.1.1, bem como bifurcações OpenSSL BoringSSL e LibreSSL não são afetados. O pesquisador de segurança Guido Vranken, que relatou o bug no final de maio, disse que “pode ser acionado trivialmente por um invasor”. Embora a falha tenha sido corrigida, nenhum patch foi disponibilizado ainda.
Rubens Zolotujin 0 Comentários
jun 28 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA
  • Cibercriminosos pagam $1 milhão de dólares em recompensas.
    A operação de ransomware LockBit lançou o ‘LockBit 3.0’, apresentando o primeiro programa de recompensas por bugs de ransomware e vazando novas táticas de extorsão e opções de pagamento de criptomoeda Zcash. A operação de ransomware foi lançada em 2019 e desde então se tornou a operação de ransomware mais prolífica, respondendo por 40% de todos os ataques de ransomware conhecidos até maio de 2022. No último fim de semana, a gangue de cibercriminosos lançou uma nova operação de ransomware como serviço (RaaS) chamada LockBit 3.0, que já esta sendo usada em ataques. Com o lançamento do LockBit 3.0, a operação introduziu o primeiro programa de recompensas de bugs oferecido por uma gangue de ransomware, pedindo aos pesquisadores de segurança que enviassem relatórios de bugs em troca de recompensas que variam entre US$ 1.000 e US$ 1 milhão. “Convidamos todos os pesquisadores de segurança, hackers éticos e antiéticos do planeta a participar do nosso programa de recompensas por bugs”, diz a página de recompensas dos cibercriminosos.
  • Ataque cibernético força empresa do iran a interromper sua produção.
    Uma das principais siderúrgicas do Irã disse na última segunda-feira (27) que foi forçada a interromper a produção após ser atingida por um ataque cibernético, aparentemente marcando um dos maiores ataques desse tipo ao setor industrial estratégico do país. Um grupo de hackers anônimo reivindicou a responsabilidade pelo ataque nas mídias sociais, dizendo que tinha como alvo as três maiores empresas siderúrgicas do Irã em resposta à “agressão da República Islâmica”. Os ataques cibernéticos tornaram-se cada vez mais comuns no Irã nos últimos anos. O país, há muito sancionado pelo Ocidente, tem demorado a atualizar suas redes para combater o crescente uso de ransomware por cibercriminosos, bem como invasões de atores estatais. O Irã já acusou os Estados Unidos e Israel por ataques cibernéticos que prejudicaram a infraestrutura do país.
  • Comunidade LGBTQ+ é alertada sobre extorsões em aplicativos de namoro.
    A Comissão Federal de Comércio dos EUA (FTC) alertou esta semana sobre golpistas de extorsão que visam a comunidade LGBTQ + ao abusar de aplicativos de namoro online. De acordo com a FTC, os criminosos se apresentam como potenciais parceiros românticos em aplicativos de namoro LGBTQ+, enviando fotos explícitas para seus alvos e pedindo que retribuam. Se eles caírem nessa, as vítimas são chantageadas para pagar um resgate, geralmente em cartões-presente não rastreáveis, sob a ameaça de ter imagens sexuais compartilhadas com os golpistas vazadas para sua família, amigos ou empregadores. A FTC aconselha os usuários de aplicativos de namoro LGBTQ+ a não compartilhar fotos explícitas com pessoas que acabaram de conhecer online ou se não tiverem 100% de certeza de quem está do outro lado do bate-papo.
Rubens Zolotujin 0 Comentários
jun 27 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • 100 milhões em criptomoedas foram roubados em outro grande ciberataque.
    Cibercriminosos roubaram US$ 100 milhões em criptomoedas da Horizon, empresa de criptomoedas com sede na Califórnia no mais recente ataque direcionado a indústria de moedas digitais. Os invasores atingiram a chamada “ponte”, um programa que permite a transferência de criptomoedas entre plataformas. Os detalhes do ataque ainda são escassos, mas Harmony, os desenvolvedores por trás do Horizon, disseram que identificaram o roubo no último dia (23). Em um tweet de acompanhamento, a empresa disse que está trabalhando com o FBI e várias empresas de segurança cibernética para investigar o ataque. As pontes Blockchain desempenham um grande papel no espaço DeFi, oferecendo aos usuários uma maneira de transferir seus ativos de uma blockchain para outra. No caso da Horizon, os usuários podem enviar tokens da rede Ethereum para a Binance Smart Chain. A Harmony não revelou exatamente como os fundos foram roubados.
  • Rússia tentou espionar EUA, OTAN e Brasil.
    A Rússia vem tentando espionar 42 países – incluindo o Brasil, segundo um relatório divulgado nesta semana pela Microsoft. As ações ocorrem em meio a uma guerra de espionagem entre agências de inteligência russas e o Comando Cibernético dos Estados Unidos no contexto da guerra na Ucrânia. A americana Microsoft afirmou que Moscou atacou 128 alvos espalhados pelo mundo, entre eles governos, think tanks, organizações de ajuda humanitária, empresas de tecnologia da informação e organizações responsáveis por infraestrutura crítica dos países. Em 29% dos ataques, hackers russos conseguiram invadir os computadores de seus alvos. Porém, a Microsoft não detalhou quais países tiveram dados roubados nem que tipo de informações os russos procuravam. O outro objetivo da espionagem cibernética é descobrir o quanto os políticos dos países-alvos estão dispostos a apoiar a Ucrânia ou a Rússia. Com essas informações, Moscou pode explorar, por exemplo, divisões nos países da OTAN ou no Congresso americano. Ou pode ainda decidir quais nações vai cortejar diplomaticamente para conseguir aliados ou apoio político. Fontes da cúpula do governo brasileiro afirmaram a este colunista que até agora não foram detectados vazamentos de dados significativos ou estratégicos do Brasil. Mas não é possível dizer com certeza que não tenha havido invasão.
  • Spyware tem como alvo usuários do sistema Android e iOS.
    Pesquisadores do google detectaram um fornecedor italiano de spyware recebendo ajuda de alguns ISPs para infectar usuários Android e iOS com ferramentas de vigilância comercial. Os usuários-alvo são da Itália e do Cazaquistão. O fornecedor do spyware é identificado como RCS Labs cuja atividade é atualmente rastreada pela TAG do Google. Os aplicativos maliciosos implantados nos dispositivos da vítima não estão disponíveis na App Store ou no Google Play.
Rubens Zolotujin 0 Comentários
jun 24 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Fast Shop é invadida por Cibercriminosos
    A rede de lojas Fast Shop sofreu um grande ciberataque em seus sistemas. O site da companhia também apresenta instabilidade e, em uma publicação no Twitter, ela diz que fechou suas lojas temporariamente. A conta da empresa no Twitter também foi invadida e existia uma publicação informando sobre o fechamento de suas lojas até domingo (26), assim como o adiamento de todos os pedidos online até segunda-feira (27), mas não é possível determinar quem foi o autor das mensagens. Os cibercriminosos informaram, em outra postagem, quais sistemas teriam tido acesso. “Os dados que temos acesso incluem informações de usuários e corporativas. Estamos felizes em negociar com vocês para evitar o vazamento desses dados e para ajudar a resolver os problemas”. No Instagram, a empresa está informando os clientes que estão passando por uma “indisponibilidade interna” e que “os canais digitais estão passando por algumas atualizações”.
  • NSO Group confirma que o spyware Pegasus é usado por pelo menos 5 países europeus.
    A agência israelense de software de vigilância NSO Group, admitiu esta semana aos legisladores da União Europeia que sua ferramenta Pegasus foi usada por pelo menos cinco países da região. “Estamos tentando fazer a coisa certa e isso é mais do que outras empresas que trabalham no setor”, disse Chaim Gelfand, conselheiro geral e diretor de conformidade da empresa, segundo um relatório do Politico. Reconhecendo que “cometeu erros”, a empresa também enfatizou a necessidade de um padrão internacional para regular o uso de spyware pelo governo. A divulgação ocorre quando um comitê especial de inquérito foi lançado em abril de 2022 para investigar supostas violações da lei da UE após revelações de que o spyware Pegasus da empresa está sendo usado para bisbilhotar telefones pertencentes a políticos, diplomatas e membros da sociedade civil.
  • FBI emitiu um aviso sobre golpes de criptomoeda no LinkedIn.
    De acordo com Sean Ragan, agente especial do FBI encarregado de São Francisco e Sacramento, os golpes de criptomoeda representam uma ameaça significativa na plataforma social, pois podem atingir executivos seniores. Os golpistas criam perfis falsos com aparência profissional e tentam iniciar conversas com os usuários usando o recurso de mensagens integrado. Para ganhar a confiança dos usuários, os golpistas inicialmente os direcionam para uma plataforma de investimento legítima. Eles constroem um relacionamento com as vítimas ao longo de vários meses antes de convencê-los a transferir dinheiro para uma plataforma de criptomoeda diferente que é realmente operada por golpistas. Tenha cuidado com solicitações de conexão de pessoas que você não reconhece. Desconfie de pessoas pedindo dinheiro que você não conhece. Isso pode incluir o envio de dinheiro diretamente, criptomoeda, cartões-presente e prêmios.
Rubens Zolotujin 0 Comentários
jun 23 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Pesquisadores descobrem maneiras de quebrar a criptografia do serviço de armazenamento em nuvem ‘MEGA’.
    Uma nova pesquisa de acadêmicos da ETH Zurich identificou vários problemas críticos de segurança no serviço de armazenamento em nuvem MEGA que podem ser aproveitados para quebrar a confidencialidade e a integridade dos dados do usuário. Os pesquisadores apontam como o sistema do MEGA não protege seus usuários contra um servidor malicioso, permitindo assim que um agente desonesto comprometa totalmente a privacidade dos arquivos enviados. Além disso, a integridade dos dados do usuário é danificada na medida em que um invasor pode inserir arquivos maliciosos de sua escolha que passam em todas as verificações de autenticidade do cliente. A MEGA, que se anuncia como a “empresa de privacidade” e afirma fornecer armazenamento em nuvem criptografado de ponta a ponta controlado pelo usuário, tem mais de 10 milhões de usuários ativos diariamente, com mais de 122 bilhões de arquivos carregados na plataforma até o momento. O principal entre os pontos fracos é um ataque de recuperação de chave RSA que possibilita que o MEGA ou um invasor engenhoso no controle de sua infraestrutura de API recupere a chave privada RSA de um usuário adulterando 512 tentativas de login e descriptografando o conteúdo.
  • Adobe Acrobat pode impedir que ferramentas antivírus monitorem arquivos PDF.
    Pesquisadores de segurança descobriram que o Adobe Acrobat está tentando impedir que o software de segurança tenha visibilidade dos arquivos PDF que ele abre, criando um risco de segurança para os usuários. O produto da Adobe está verificando se componentes de 30 produtos de segurança estão carregados em seus processos e provavelmente os bloqueia, basicamente impedindo que eles monitorem atividades maliciosas. Para que uma ferramenta de segurança funcione, ela precisa de visibilidade de todos os processos no sistema, o que é obtido pela injeção de bibliotecas de vínculo dinâmico (DLLs) em produtos de software lançados na máquina. Arquivos PDF foram abusados no passado para executar malware no sistema. Um método é adicionar um comando na seção ‘OpenAction’ do documento para executar comandos do PowerShell para atividades maliciosas. De acordo com um relatório desta semana, a lista cresceu para incluir 30 DLLs de produtos de segurança de vários fornecedores.
  • Hackers russos exploram vulnerabilidade do Microsoft Follina.
    A Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) alertou sobre um novo conjunto de ataques de spear phishing explorando a falha “Follina” no sistema operacional Windows para implantar malware de roubo de senha. Atribuindo as invasões a um grupo do estado russo rastreado como APT28 ou Sofacy, a agência disse que os ataques começam com um documento de atração intitulado “Terrorismo nuclear uma ameaça muito real.rtf” que, quando aberto, explora uma vulnerabilidade para baixar e executar um malware chamado CredoMap.
Rubens Zolotujin 0 Comentários
jun 22 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Grupo de ransomware Avos se expande com novo arsenal de ataque.
    Avos é um grupo de ransomware que foi identificado pela primeira vez em 2021 visando inicialmente máquinas Windows. Mais recentemente, uma nova variante do ransomware AvosLocker, com o nome do grupo, também tem como alvo ambientes Linux. Bem financiado e motivado financeiramente, o Avos está ativo desde junho de 2021 e segue o modelo de ransomware-as-a-service (RaaS), um programa de afiliados para recrutar potenciais parceiros. O anúncio do programa inclui informações sobre os recursos do ransomware e permite que os afiliados saibam que os operadores do AvosLocker estão aplicando práticas de negociação e extorsão. O usuário “Avos” também foi observado tentando recrutar indivíduos no fórum russo XSS. Normalmente, a Avos usa campanhas de e-mail de spam como um vetor de infecção inicial para entregar ransomware. Nesse incidente em particular, no entanto, o vetor inicial foi um servidor ESXi exposto na Internet por meio do VMWare Horizon Unified Access Gateways (UAG), que estava vulnerável à vulnerabilidade do Log4Shell. Com um agente de ameaças altamente motivado como a Avos recrutando ativamente afiliados, esses ataques provavelmente se proliferarão no futuro.
  • Pesquisadores divulgam 56 vulnerabilidades que afetam dispositivos OT.
    As vulnerabilidades de segurança foram divulgadas em dispositivos de 10 fornecedores de tecnologia operacional (OT) devido ao que os pesquisadores chamam de “práticas inseguras por design”. Explorando essas vulnerabilidades, os invasores com acesso à rede a um dispositivo de destino podem executar remotamente código, alterar arquivos ou firmware de dispositivos OT, ignorar autenticação, comprometer credenciais, causar negações de serviço ou ter uma variedade de impactos operacionais. Essas vulnerabilidades podem ter consequências desastrosas, considerando que os produtos impactados são amplamente empregados em indústrias de infraestrutura crítica, como petróleo e gás, química, nuclear, geração e distribuição de energia, manufatura, tratamento e distribuição de água, mineração e automação predial.
  • Especialistas identificaram um aumento no conteúdo de phishing entregue via Azure Front Door.
    Os recursos identificados em uma das campanhas maliciosas personificam vários serviços que parecem ter sido criados legitimamente no domínio “azurefd.net” – Isso permite que os agentes mal-intencionados enganem os usuários e espalhem conteúdo de phishing para interceptar credenciais de aplicativos comerciais e contas de e-mail. Notavelmente, a maioria dos recursos de phishing foi projetada para atingir os clientes SendGrid, Docusign e Amazon, juntamente com vários outros grandes provedores e corporações de serviços online do Japão e do Oriente Médio. De acordo com especialistas, essas táticas confirmam como os cibercriminosos procuram continuamente aprimorar suas táticas e procedimentos para evitar a detecção de phishing.
Rubens Zolotujin 0 Comentários
jun 16 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Gangue de ransomware cria site para funcionários procurarem seus dados roubados.
    O grupo de ransomware conhecido como BlackCat, trouxe a extorsão a um novo nível ao criar um site dedicado que permite que clientes e funcionários de suas vítimas verifiquem se seus dados foram roubados em um ataque. Quando as gangues de ransomware realizam ataques, roubam silenciosamente os dados corporativos. Depois de coletar todos os dados sensíveis, o agente da ameaça começa a criptografar os dispositivos. Os dados roubados são então usados em esquemas de dupla extorsão, onde os cibercriminosos exigem um pagamento de resgate para entregar um decodificador e impedir a divulgação pública de dados corporativos. Para pressionar as vítimas a pagar, as gangues de ransomware criam sites de vazamento de dados onde liberam lentamente partes dos dados roubados ou enviam emails a clientes e funcionários avisando que suas informações foram roubadas. No entanto, essas técnicas de extorsão nem sempre funcionam e as empresas simplesmente decidem não pagar, mesmo que seus dados corporativos, de funcionários e clientes corram o risco de serem vazados.
  • Aplicativos de carteira de criptomoedas foram clonados para roubar usuários.
    Pesquisadores divulgaram uma campanha em grande escala, apelidada de SeaFlower, usando os aplicativos clonados de carteiras de criptomoedas, como os serviços MetaMask, Coinbase, imToken e TokenPocket. A atividade é descrita como uma ameaça tecnicamente sofisticada visando usuários da web3. Os aplicativos maliciosos de criptomoeda são os mesmos que os reais. No entanto, esses aplicativos falsos vêm com um backdoor que pode roubar frases de segurança dos usuários para acessar ativos digitais. De acordo com os relatórios, o principal canal de distribuição são os serviços de pesquisa. Supõe-se que os cibercriminosos também estejam promovendo por meio de mídias sociais, fóruns e malvertising. Além disso, os aplicativos trojanizados se espalham por meio de sites falsos de carteiras criptográficas e técnicas avançadas de envenenamento de SEO.
  • Campanha de hackers iranianos foi direcionada ao ex-embaixador dos EUA.
    Um grupo de hackers afiliados ao Irã está realizando uma campanha de spear phishing que inclui vários funcionários importantes de vários governos. Segundo relatos, os hackers se passaram até mesmo por um ex-embaixador dos EUA. A lista de alvos dos hackers inclui ex-oficiais israelenses, militares de alto escalão, o chefe de um importante gabinete de segurança e o ex-embaixador dos EUA em Israel. A campanha inclui spear phishing usando contas de e-mail legítimas e falsas, um encurtador de URL falso e uma página de phishing com tema do Yahoo para coleta de credenciais. A atribuição parcial é baseada nos principais alvos da campanha, um endereço IP iraniano no código-fonte da página de phishing do Yahoo e um código antigo e comentado.
Rubens Zolotujin 0 Comentários
jun 15 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Anatel vai exigir requisitos de cibersegurança para certificar equipamentos.
    A Anatel indicou nesta quarta-feira (04), que vai dar um novo aperto nas medidas de proteção às redes de telecomunicações. Segundo especialista da agência que atua no Grupo Técnico criado sobre o tema, a discussão com fabricantes e fornecedores dentro desse GT evolui para tornar obrigatórios alguns requisitos de segurança que atualmente são voluntários. Na questão da segurança cibernética, a Anatel atua na regulamentação, na certificação de equipamentos e na conscientização dos usuários. A agência editou um regulamento em dezembro de 2020, que foi o segundo marco setorial com regulação própria para infraestruturas críticas [o primeiro foi do Banco Central]. E um ponto muito importante é olhar par aa cadeia de fornecedores”, destacou especialista da Anatel. O GT Ciber tem participação obrigatória das operadoras com poder de mercado – Oi, Vivo, Claro, TIM e Sky, além de representantes das prestadoras de pequeno porte.
  • EUA planeja contratar mais profissionais na unidade de aplicação de criptomoedas para combater fraudes.
    A SEC (Comissão de Valores Mobiliários) dos EUA, órgão responsável pela fiscalização e regularização do mercado de capitais do país, anunciou nesta semana que abrirá 20 novas vagas em sua Unidade de Criptoativos e Cibersegurança, para aumentar a proteção desses setores. Segundo o comunicado, a abertura das 20 novas vagas se dá pelo constante aumento de investidores que estão entrando no mercado de criptomoedas. Com um novo total de 50 especialistas, a agência poderá avaliar com mais atenção e eficácia os diversos golpes para proteger o setor. O anúncio da expansão da Unidade de Criptoativos e Cibersegurança da SEC ocorre pouco menos de dois meses após o atual presidente dos EUA, Joe Biden, assinar uma ordem executiva que pedia para empresas do país desenvolverem recomendações para proteção do mercado de criptomoedas.
  • Cisco emite patches para 3 novas falhas que afetam o software NFVIS corporativo.
    A Cisco Systems enviou nesta quarta-feira (04), patches de segurança para conter três falhas que afetam seu Enterprise NFV Infrastructure Software (NFVIS) que podem permitir que um invasor comprometa totalmente e assuma o controle sobre os hosts. Rastreadas como CVE-2022-20777, CVE-2022-20779 e CVE-2022-20780, as vulnerabilidades “podem permitir que um invasor escape da máquina virtual convidada (VM) para a máquina host, injete comandos que são executados na raiz ou vazar dados do sistema do host para a VM”, disse a empresa. Além disso, a Cisco emitiu na semana passada um “aviso de campo” pedindo aos usuários dos dispositivos Catalyst 2960X/2960XR que atualizem seu software para o IOS versão 15.2(7)E4 ou posterior para habilitar novos recursos de segurança projetados para “verificar a autenticidade e integridade de nossas soluções” e evitar compromissos.
Rubens Zolotujin 0 Comentários
jun 14 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Novo malware para Linux está sendo usado em ataques para ocultar processos maliciosos.
    Um novo rootkit para Linux chamado ‘Syslogk’, está sendo usado em ataques para ocultar processos maliciosos, usando “pacotes mágicos” especialmente criados para despertar um backdoor inativo no dispositivo. O malware está atualmente em desenvolvimento pesado, e seus criadores parecem basear seu projeto no Adore-Ng, um antigo rootkit de código aberto. O Syslogk pode forçar o carregamento de seus módulos no kernel do Linux, ocultar diretórios, tráfego de rede e, eventualmente, carregar um backdoor chamado ‘Rekoobe’. Os rootkits do Linux são malwares instalados como módulos do kernel no sistema operacional. Uma vez instalados, eles interceptam comandos legítimos do Linux para filtrar informações que não desejam que sejam exibidas, como a presença de arquivos, pastas ou processos.
  • Hackers chineses estão usando o novo malware em ataques de ciberespionagem.
    Uma ameaça persistente avançada chinesa (APT) conhecida como Gallium foi observada usando um trojan de acesso remoto anteriormente não documentado em seus ataques de espionagem direcionados a empresas que operam no Sudeste Asiático, Europa e África. Chamado de PingPull, o backdoor “difícil de detectar” é notável pelo uso do Internet Control Message Protocol ( ICMP ), para comunicações de comando e controle (C2), de acordo com uma nova pesquisa publicada no último dia (13). Baseado em C++, o malware fornece a um agente de ameaças a capacidade de acessar um shell reverso e executar comandos arbitrários em um host comprometido. Isso abrange a realização de operações de arquivo, enumeração de volumes de armazenamento e arquivos de marcação de tempo.
  • FBI e DOJ dizem que menos de 25% das vítimas de ransomware relataram incidentes.
    Apenas um quarto de todas as vítimas do ransomware NetWalker relataram incidentes à aplicação da lei, de acordo com funcionários do FBI e do Departamento de Justiça que lideraram a remoção do grupo. Ryan Frampton, um membro da equipe de ação cibernética da Divisão do FBI – e Carlton Gammons – o principal promotor da Procuradoria dos EUA para o Distrito Médio da Flórida – falaram longamente sobre seu trabalho de desligar a infraestrutura do ransomware NetWalker no Conferência RSA na última quinta-feira (09). O FBI e o DOJ conseguiram obter muitas informações sobre o grupo depois de apreender os servidores de back-end do NetWalker na Bulgária durante uma investigação ao longo de 2020. Frampton disse que apenas 115 vítimas do NetWalker apresentaram relatórios ao centro IC3 do FBI ou ao escritório local do FBI. Mas esse número é ofuscado pelo que eles encontraram nos servidores NetWalker usados para hospedar seu site TOR. Os servidores continham mais de 1.000 “builds” – diferentes versões do ransomware NetWalker personalizadas para cada vítima com base em uma análise de sistemas já violados.
Rubens Zolotujin 0 Comentários