ago 31 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Governo brasileiro é vítima de ataque de Ransomware.
    O grupo de ransomware Everest alega que invadiu a rede governamental do Brasil e roubou dados do governo. O grupo anunciou que possui 3TB de dados e está vendendo o acesso ao sistema para terceiros. Até o momento, não existem mais detalhes sobre como o ataque teria ocorrido e se o sistema GOV BR foi afetado, bem como quais dados teriam sido coletados. A gangue Everest é bastante ativa no segmento de ransomware e ganhou destaque por causa de seu “modelo de negócio”. Além de invadir sistemas, o grupo costuma comercializar o acesso às redes burladas, o que pode tornar a invasão ainda mais nociva. Após coletar e criptografar dados do cliente, o grupo dá um tempo para a vítima pagar o resgate. Caso isso não aconteça, a gangue de hackers coloca as credenciais de acesso à venda na deeb web. Ao comercializar o acesso a uma rede, o grupo Everest permite que mais cibercriminosos tenham acesso às informações alcançadas. Ou seja, ao invés de lidar com apenas uma invasão, a vítima — neste caso o governo — pode ter que proteger a rede de diversos ataques simultaneamente.
  • Google lança programa de Bug Bounty para projetos de código aberto.
    O Google lançou hoje um novo programa de recompensas por bugs para recompensar pesquisadores de segurança que descobrem e relatam vulnerabilidades nos projetos de código aberto da empresa. Como parte do novo Open Source Software Vulnerability Rewards Program (OSS VRP), o Google está oferecendo recompensas por bugs de até US$ 31.337. A recompensa de vulnerabilidade mais baixa será de US$ 100. Focado em software de código aberto, o novo programa destina-se a abordar os riscos associados ao comprometimento da cadeia de suprimentos. “No ano passado, houve um aumento de 650% ano a ano nos ataques direcionados à cadeia de suprimentos de código aberto, incluindo incidentes de destaque como Codecov e Log4Shell, que mostraram o potencial destrutivo de uma única vulnerabilidade de código aberto”, observa o Google.
  • FBI alerta investidores para tomarem precauções com plataformas de criptomoedas.
    O FBI emitiu um alerta na última segunda-feira (30), sobre os ataques cibernéticos direcionados em plataformas descentralizadas (DeFi) para roubar criptomoedas. “O FBI observou criminosos cibernéticos explorando vulnerabilidades nos contratos inteligentes que regem as plataformas DeFi para roubar criptomoedas dos investidores”, disse a agência em uma notificação. Os invasores estão usando métodos diferentes para hackear e roubar criptomoedas das plataformas DeFi, incluindo iniciar empréstimos em flash que acionam explorações nos contratos inteligentes das plataformas e explorar falhas de verificação de assinatura em sua ponte de token para retirar todos os investimentos. os agentes de ameaças estão procurando tirar proveito do crescente interesse público em criptomoedas, mais uma vez indicando a natureza oportunista dos ataques.
Rubens Zolotujin 0 Comentários
ago 30 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cisco corrige vulnerabilidades de alta gravidade em switches empresariais.
    A Cisco anunciou patches para duas vulnerabilidades que afetam o software NX-OS que alimenta seus switches comerciais da série Nexus. Afetando o recurso OSPF versão 3 (OSPFv3) do NX-OS, o primeiro desses problemas é rastreado como CVE-2022-20823 e pode ser explorado remotamente, sem autenticação, para causar uma condição de negação de serviço (DoS). A falha existe devido à validação de entrada incompleta de pacotes OSPFv3 específicos, permitindo que um invasor envie um anúncio de estado de link (LSA) OSPFv3 malicioso para um dispositivo vulnerável para acionar o bug. A segunda vulnerabilidade do NX-OS que a Cisco abordou esta semana também pode ser explorada para causar uma condição DoS. Rastreado como CVE-2022-20824 , o bug reside no recurso Cisco Discovery Protocol e também afeta o software FXOS. Causada pela validação inadequada de valores específicos em uma mensagem do Cisco Discovery Protocol, a falha pode ser explorada enviando pacotes maliciosos do Discovery Protocol para um dispositivo vulnerável.
  • Empresa de spyware está oferecendo serviços para iOS e Android.
    Documentos vazados parecem mostrar uma empresa de spyware pouco conhecida oferecendo serviços que incluem explorações de dispositivos Android e iOS por aproximadamente US$ 8 milhões. Corretores de exploração e provedores de spyware têm estado no centro das atenções recentemente, principalmente devido a revelações em torno do uso da controversa solução Pegasus da empresa israelense NSO Group. Um dos concorrentes relativamente novos da NSO é a Intellexa, uma empresa fundada pelo empresário israelense Tal Dilian. A empresa afirma em seu site que está oferecendo tecnologias que capacitam as agências de aplicação da lei e de inteligência para ‘ajudar a proteger as comunidades’. A empresa diz que está sediada na UE e regulamentada, com seis locais e laboratórios de P&D na Europa. Enquanto alguns descreveram os US $ 8 milhões como o preço de uma exploração do iOS, o cliente realmente obteria muito mais pelo preço.
  • Ataques de Ransomware continuam aumentando ao redor do mundo.
    Os casos de ransomware aumentaram 47% em meio a um aumento nos ataques envolvendo novas variedades de software malicioso que infectam alvos, de acordo com a empresa de segurança cibernética NCC Group. Os incidentes relatados aumentaram para 198 em julho, de 135 em junho, de acordo com a empresa que emite relatórios semi-regulares sobre a atividade de ransomware rastreando sites que publicam detalhes das vítimas. Semana passada, operadores de ransomware associados ao LockBit, que está implantando uma nova versão potente de seu malware, comprometeram um hospital francês, fazendo com que alguns pacientes tivessem que ser redirecionados para outras instalações. O LockBit foi associado a 62 incidentes em julho, de acordo com o NCC Group, quase 20% acima do total de 52 incidentes conhecidos em junho.
Rubens Zolotujin 0 Comentários
ago 29 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cisco corrige vulnerabilidades de alta gravidade em switches empresariais.
    A Cisco anunciou patches para duas vulnerabilidades que afetam o software NX-OS que alimenta seus switches comerciais da série Nexus. Afetando o recurso OSPF versão 3 (OSPFv3) do NX-OS, o primeiro desses problemas é rastreado como CVE-2022-20823 e pode ser explorado remotamente, sem autenticação, para causar uma condição de negação de serviço (DoS). A falha existe devido à validação de entrada incompleta de pacotes OSPFv3 específicos, permitindo que um invasor envie um anúncio de estado de link (LSA) OSPFv3 malicioso para um dispositivo vulnerável para acionar o bug. A segunda vulnerabilidade do NX-OS que a Cisco abordou esta semana também pode ser explorada para causar uma condição DoS. Rastreado como CVE-2022-20824 , o bug reside no recurso Cisco Discovery Protocol e também afeta o software FXOS. Causada pela validação inadequada de valores específicos em uma mensagem do Cisco Discovery Protocol, a falha pode ser explorada enviando pacotes maliciosos do Discovery Protocol para um dispositivo vulnerável.
  • Empresa de spyware está oferecendo serviços para iOS e Android.
    Documentos vazados parecem mostrar uma empresa de spyware pouco conhecida oferecendo serviços que incluem explorações de dispositivos Android e iOS por aproximadamente US$ 8 milhões. Corretores de exploração e provedores de spyware têm estado no centro das atenções recentemente, principalmente devido a revelações em torno do uso da controversa solução Pegasus da empresa israelense NSO Group. Um dos concorrentes relativamente novos da NSO é a Intellexa, uma empresa fundada pelo empresário israelense Tal Dilian. A empresa afirma em seu site que está oferecendo tecnologias que capacitam as agências de aplicação da lei e de inteligência para ‘ajudar a proteger as comunidades’. A empresa diz que está sediada na UE e regulamentada, com seis locais e laboratórios de P&D na Europa. Enquanto alguns descreveram os US $ 8 milhões como o preço de uma exploração do iOS, o cliente realmente obteria muito mais pelo preço.
  • Ataques de Ransomware continuam aumentando ao redor do mundo.
    Os casos de ransomware aumentaram 47% em meio a um aumento nos ataques envolvendo novas variedades de software malicioso que infectam alvos, de acordo com a empresa de segurança cibernética NCC Group. Os incidentes relatados aumentaram para 198 em julho, de 135 em junho, de acordo com a empresa que emite relatórios semi-regulares sobre a atividade de ransomware rastreando sites que publicam detalhes das vítimas. Semana passada, operadores de ransomware associados ao LockBit, que está implantando uma nova versão potente de seu malware, comprometeram um hospital francês, fazendo com que alguns pacientes tivessem que ser redirecionados para outras instalações. O LockBit foi associado a 62 incidentes em julho, de acordo com o NCC Group, quase 20% acima do total de 52 incidentes conhecidos em junho.
Rubens Zolotujin 0 Comentários
ago 26 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Novo Ransomware criado em Go está visando empresas.
    Um novo ransomware foi criado na linguagem de programação Go. Isso foi evidenciado pelos endereços de e-mail e credenciais específicos que o ransomware usou. Malwares escritos na linguagem Go (também conhecido como Golang) tornou-se comum entre os agentes de ameaças. Uma possível razão para esse aumento na popularidade é que o Go compila estaticamente as bibliotecas necessárias, tornando a análise de segurança muito mais difícil. O novo ransomware em questão visa empresas na Ásia e na África. Com base em postagens na dark web de um usuário chamado “Qilin” (que parece estar conectado aos distribuidores de ransomware) e através de notas de resgate, o ransomware é chamado de “Agenda”. O Agenda pode reinicializar sistemas no modo de segurança, tenta interromper muitos processos e serviços específicos do servidor e possui vários modos de execução. As amostras do ransomware que coletamos foram personalizadas para cada vítima e incluíam IDs exclusivos da empresa e detalhes de contas vazados.
  • Cibercriminosos adotam o kit de ferramentas Sliver como alternativa.
    Nos últimos anos, o Cobalt Strike cresceu em popularidade como uma ferramenta de ataque para vários agentes de ameaças, incluindo operações de ransomware, para cair em redes comprometidas que permitem se mover lateralmente para sistemas de alto valor. Como as equipes de defesa aprenderam a detectar e interromper ataques com base nesse kit de ferramentas, os hackers estão tentando outras opções que podem burlar as soluções de detecção e resposta de endpoint (EDR) e antivírus. Enfrentando defesas mais fortes contra o Cobalt Strike, os agentes de ameaças encontraram alternativas. Um relatório da Microsoft observa que os grupos de cibercriminosos estão usando cada vez mais em ataques a ferramenta de teste de segurança Sliver baseada em Go desenvolvida por pesquisadores da empresa de segurança cibernética BishopFox. A estrutura de comando e controle (C2) do Sliver está sendo adotada e integrada em campanhas de intrusão por agentes de ameaças de várias nações, grupos de crimes cibernéticos que apoiam diretamente ransomware, e outros agentes de ameaças para evitar a detecção.
  • Twilio e Cloudflare são atacados em campanha que atingiu mais de 130 organizações.
    Os ataques divulgados recentemente pela Twilio e Cloudflare fizeram parte de uma campanha massiva de phishing que teve como alvo pelo menos 130 outras organizações. Twilio disse que os invasores conseguiram obter credenciais de funcionários, que usaram para acessar sistemas internos e dados de clientes. Em uma atualização compartilhada em 24 de agosto, Twilio disse que o incidente afetou 163 de seus 270.000 clientes, bem como 93 dos 75 milhões de usuários individuais do Authy. Authy é a solução de autenticação de dois fatores (2FA) do Twilio e os invasores registraram dispositivos adicionais nas contas Authy comprometidas.
Rubens Zolotujin 0 Comentários
ago 25 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos ameaçam vazar dados roubados de hospital.
    O Hospital Metodista McKinney, com sede no Texas, foi ameaçado pelo grupo Karakurt de ter informações sobre dados roubados de seus servidores. Os invasores alegaram ter exfiltrado 360 GB de arquivos do Metodista McKinney, bem como dois de seus centros cirúrgicos, incluindo cartões de pacientes, exames de prescrição, faturas, contabilidade, contratos e documentos financeiros. Alguns especialistas em segurança cibernética elogiaram a decisão do metodista McKinney de não pagar o resgate exigido por Karakurt. “Acho que foi absolutamente a decisão certa. Se o hospital tivesse pago, não havia garantias de que os dados seriam excluídos”, disse Brett Callow, analista de ameaças da Emsisoft. No entanto, o incidente deve levar os provedores de saúde a fortalecer suas defesas, com violações de dados já afetando mais de 50 hospitais nos EUA até agora este ano.
  • A IBM corrige vulnerabilidades graves no middleware.
    A IBM anunciou esta semana patches para vulnerabilidades de alta gravidade no IBM MQ, alertando que invasores podem explorá-los para contornar restrições de segurança ou acessar informações confidenciais. O IBM MQ fornece mensagens de nível empresarial entre aplicativos, permitindo a transferência de dados entre programas e o envio de mensagens para vários assinantes. Dois problemas de segurança foram resolvidos no IBM MQ esta semana, ambos residindo na biblioteca libcurl. Ambas as falhas podem ser exploradas remotamente, observa a IBM em um comunicado. Rastreado como CVE-2022-27780, o primeiro desses bugs pode permitir que um invasor ignore as restrições de segurança usando um nome de host especialmente criado em uma URL. A segunda vulnerabilidade, CVE-2022-30115, existe devido a uma falha de desvio de verificação HSTS e pode ser explorada para obter informações confidenciais em HTTP de texto simples.
  • Dados de funcionários são expostos após ataque de phishing.
    O ciberataque permitiu que os invasores tivessem acesso aos dados pessoais de 182 funcionários,do departamento de Segurança e Seguros no estado de Dakota do Norte nos EUA. O incidente ocorreu quando um funcionário abriu um anexo de e-mail malicioso. A tentativa de phishing bem-sucedida permite que os invasores acessem informações nos e-mails e correios de voz do destinatário. Essas mensagens incluíam detalhes pessoais dos funcionários, e a agência entrou em contato para notificar os indivíduos afetados, disse a agência em um FAQ sobre o incidente. “Esses e-mails continham informações recebidas e enviadas por um avaliador de sinistros para processar reclamações de funcionários feridos, incluindo e-mails de e para funcionários e parceiros de negócios da WSI”, afirmou a agência. “Sabemos que os invasores tiveram acesso a informações pessoais nos e-mails. Não podemos verificar quais informações foram realmente obtidas devido ao uso de técnicas antiforenses pelo invasor.
Rubens Zolotujin 0 Comentários
ago 24 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Evento de cibersegurança em São Paulo
    Nesse próximo sábado, dia 27 de agosto, acontecerá o HackerSec Conference 2022, um dos maiores eventos de cibersegurança e inovação do Brasil. O evento promovido pela empresa referência em cibersegurança, HackerSec, terá sua terceira edição no Teatro Gazeta, um dos principais teatros do Brasil, localizado na Avenida Paulista. Estarão presentes palestrantes renomados da área de defesa cibernética, investigação criminal e gestão, onde o grande objetivo do evento será apresentar as principais tendências para o mercado B2B em cibersegurança. “O HackerSec Conference é um grande dia para discussão sobre os avanços e demandas da área, além do networking entre grandes profissionais. Esse ano todos os temas serão voltados para as principais emergências na área como 5G e Metaverso, Investigações de Incidentes, Ransomwares, Guerras Cibernéticas e entre outros”, diz Andrew Martinez, CEO da HackerSec. Será um dia inteiro de palestras, com a abertura do evento programada para às 10h. “O local foi totalmente pensado para o conforto de todos, e o espaço é preparado para o networking. Contaremos com a presença de muitos profissionais de grandes empresas do mercado e estudantes que buscam uma oportunidade”.
  • STF identificou 2,4 milhões de ciberataques nos últimos sete meses.
    O Supremo Tribunal Federal (STF) identificou e conteve nos últimos sete meses 2.434.627 ataques ao ambiente tecnológico da Corte. A maior parte dos ataques chegou perto de conseguir o objetivo e foi definida como crítica pelas equipes de cibersegurança do tribunal. O órgão interno que cuida da segurança cibernética conseguiu conter todas as ameaças. Caso um invasor consiga efetivar um ataque, o Supremo tem um plano específico de combate, algo que envolve até mesmo investidas com maior potencial de dano. Simulações para analisar todos os cenários de ataques são feitas com frequência, e providências são tomadas constantemente para minimizar as fragilidades. O Supremo vem aumentando os investimentos em segurança. Enquanto em 2021, o orçamento foi de R$ 1,8 milhão; para 2022, a previsão é de R$ 8 milhões e, para 2023, R$ 10,8 milhões.
  • Deepfake de executivo da Binance é utilizado para realizar reuniões falsas.
    Cibercriminosos usaram o deepfake para copiar o rosto do diretor de comunicação da Binance, Patrick Hillman. O rosto do executivo esta sendo utilizado em videoconferências para realizar reuniões das quais ele nunca participou — nem presencialmente, nem pela internet. Ele começou a entender o que estava acontecendo quando começou a receber mensagens de líderes de vários projetos de criptomoedas agradecendo por encontros até então desconhecidos por ele. O executivo dessa que é uma das maiores corretoras de criptomoeda do mundo não divulgou quantos desses projetos de criptomoedas foram enganados, mas aparentemente houve uma onda de criminosos fingindo serem funcionários da empresa em várias redes sociais.
Rubens Zolotujin 0 Comentários
ago 23 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • FBI adverte organizações dos EUA contra o ransomware Zeppelin.
    A CISA e o FBI alertaram contra ataques contínuos de ransomware Zeppelin que criptografam arquivos várias vezes. O aviso recente é emitido para organizações dos EUA que trabalham em vários setores. As agências compartilharam os TTPs e IOCs para ajudar os administradores de segurança a identificar e bloquear ataques de ransomware. O FBI detectou o ransomware em junho. Ele está operando como um RaaS e seu malware passou por várias mudanças de nome até chegar em Zeppelin. Em alguns casos, os operadores do Zeppelin executaram seu malware várias vezes, resultando na criação de diferentes IDs ou extensões de arquivo, garantindo que a vítima precisasse de várias chaves de descriptografia exclusivas. Os invasores são conhecidos por roubar dados para pedidos duplos de extorsão e resgate em Bitcoin, com demandas iniciais que variam de milhares de dólares a mais de um milhão de dólares. Para infecção, o Zeppelin usa exploração RDP, vulnerabilidades do firewall SonicWall e ataques de phishing. As agências aconselham as organizações a tomar medidas para se manterem protegidas do ransomware Zeppelin. Essas medidas incluem corrigir vulnerabilidades exploradas, treinar funcionários e usuários para identificar e relatar tentativas de phishing e habilitar e implementar a autenticação multifator.
  • Hospital sofre ciberataque e cibercriminosos pedem resgate de US$ 10 milhões.
    O Centro hospitalar ao sul de Paris, França, sofreu um ataque cibernético no último sábado (20), que está provocando graves disrupções, de acordo com o centro de saúde, os criminosos estão pedindo um resgate de 10 milhões de dólares. Foi aberta na promotoria de Paris uma investigação por invasão ao sistema informático e tentativa de extorsão por parte de um grupo organizado. Segundo uma fonte próxima, “foi identificada uma família de ransomware”, tipo de software malicioso destinado a sequestrar dados. O CHSF, que serve uma população de cerca de 600 mil pessoas, ativou um plano de emergência para garantir a continuidade de seu atendimento.
  • Cibercriminosos comprometem sites do WordPress para exibir páginas falsas de proteção contra DDoS.
    Recentemente, especialistas em segurança detectaram injeções de JavaScript direcionadas a sites WordPress para exibir páginas falsas de proteção contra DDoS que levam as vítimas a baixar malware trojan de acesso remoto. Os invasores começaram a aproveitar ativos de segurança familiares em suas próprias campanhas de malware. A injeção de JavaScript maliciosa resultou em um pop-up falso de proteção contra DDoS do CloudFlare. O arquivo se apresenta como uma ferramenta necessária para contornar a verificação DDoS. Para induzir os visitantes a abrir o arquivo, e uma nova mensagem informa que o código de verificação para acessar o site está contido no arquivo. Ao abrir o arquivo, o arquivo de imagem é montado e seu conteúdo é mostrado aos visitantes.
Rubens Zolotujin 0 Comentários
ago 22 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Brasil é o segundo país que mais sofre ataques cibernéticos.
    A Fortinet divulgou os dados coletados no primeiro semestre de 2022 pelo FortiGuard Labs que indicam que o Brasil sofreu 31,5 bilhões de tentativas de ataques cibernéticos de janeiro a junho deste ano. De acordo com a empresa, isso representa um aumento de 94% com relação ao mesmo período do ano passado. Além disso, os dados revelam um aumento no uso de estratégias mais sofisticadas para ataques virtuais. Conforme informou o FortiGuard Labs, o número de assinaturas de ransomware quase dobrou em seis meses. No primeiro semestre de 2022 foram encontradas 10.666 assinaturas de ransomware na América Latina, sendo que no último semestre de 2021 foram vistas apenas 5.400. Além do aumento do uso de Ransomware-as-a-Service (RaaS), a atividade ganhou até suporte online. Os cibercriminosos empregam serviços independentes para negociar o resgate de dados, ajudar as vítimas a realizarem pagamentos e arbitrar disputas entre grupos de cibercriminosos. Tudo para agilizar o pagamento do resgate e a restauração de sistemas ou dos dados criptografados.
  • Malware bancário Grandoreiro tem como alvo fabricantes na Espanha e México.
    O notório trojan bancário ‘Grandoreiro’ foi detectado em ataques recentes contra funcionários de um fabricante de produtos químicos na Espanha e trabalhadores de fabricantes de automóveis e máquinas no México. O malware está ativo desde pelo menos 2017 e continua sendo uma das ameaças mais significativas desse tipo para usuários que falam espanhol. A campanha recente, descoberta por analistas da Zscaler, começou em junho de 2022 e ainda está em andamento. Envolve a implantação de uma variante do malware Grandoreiro com vários novos recursos para evitar detecção e anti-análise, além de um sistema de comando e controle renovado.
  • CISA adicionou uma vulnerabilidade crítica do SAP em seu Catálogo.
    A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade crítica do SAP ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas menos de uma semana depois que seus detalhes foram divulgados nas conferências de hackers Black Hat e Def Con. A vulnerabilidade SAP adicionada à lista da CISA, rastreada como CVE-2022-22536, foi corrigida pelo fornecedor em fevereiro no NetWeaver Application Server ABAP, NetWeaver Application Server Java, ABAP Platform, Content Server 7.53 e Web Dispatcher. Não parece haver nenhuma informação pública descrevendo os ataques que exploram o CVE-2022-22536, mas a CISA alertou em fevereiro que a exploração pode levar ao roubo de dados confidenciais, fraude financeira, interrupção de processos de negócios de missão crítica ou implantação de ransomware. “Vimos um aumento na atividade de ameaças, particularmente relacionada ao CVE-2022-22536, nos últimos dias e, embora continuemos trabalhando nisso, é muito cedo para fazer qualquer avaliação sobre a atribuição.
Rubens Zolotujin 0 Comentários
ago 19 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Pesquisadores detalham criptografia evasiva usada para entregar malware.
    Um criptador evasivo baseado em .NET chamado DarkTortilla tem sido usado por agentes de ameaças para distribuir uma ampla variedade de malware de commodities, bem como cargas úteis direcionadas no Cobalt Strike e Metasploit. “Ele também pode fornecer ‘pacotes adicionais’, como cargas maliciosas adicionais, documentos como iscas e executáveis”, disse a empresa de segurança cibernética Secureworks em um relatório na última quarta-feira (18). “Ele apresenta controles robustos anti-análise e anti-adulteração que podem tornar a detecção, análise e erradicação um desafio.” O malware entregue pelo crypter inclui bifurcadores de informações e trojans de acesso remoto (RATs), como Agent Tesla, AsyncRat, NanoCore e RedLine Stealer. A Secureworks disse que identificou uma média de 93 amostras exclusivas de DarkTortilla sendo carregadas no banco de dados de malware VirusTotal por semana durante um período de 17 meses, de janeiro de 2021 a maio de 2022.
  • Apple lança atualizações de segurança para corrigir duas novas vulnerabilidades de Zero Day.
    A Apple lançou atualizações de segurança para plataformas iOS, iPadOS e macOS para corrigir duas vulnerabilidades de dia zero anteriormente exploradas por agentes de ameaças para comprometer seus dispositivos. A Apple disse que abordou ambos os problemas com verificação de limites aprimorada, acrescentando que está ciente de que as vulnerabilidades “podem ter sido exploradas ativamente”. A empresa não divulgou nenhuma informação adicional sobre esses ataques ou as identidades dos agentes de ameaças que os perpetram, embora seja provável que eles tenham sido abusados como parte de invasões altamente direcionadas. Ambas as vulnerabilidades foram corrigidas no iOS 15.6.1, iPadOS 15.6.1 e macOS Monterey 12.5.1. As atualizações do iOS e iPadOS estão disponíveis para iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração).
  • Desenvolvedores de malware ja contornaram o novo recurso de segurança do Android 13.
    Os desenvolvedores de malware para Android já estão ajustando suas táticas para contornar um novo recurso de segurança de ‘configuração restrita’ introduzido pelo Google no recém-lançado Android 13. O Android 13 foi lançado esta semana, com o novo sistema operacional sendo lançado nos dispositivos Google Pixel e o código fonte publicado no AOSP. Como parte desta versão, o Google tentou paralisar o malware móvel que tentava habilitar permissões poderosas do Android, como AccessibilityService, para realizar um comportamento malicioso e furtivo em segundo plano. Durante a instalação, os aplicativos de malware solicitam que os usuários concedam acesso a permissões arriscadas e, em seguida, façam sideload (ou descarte) de cargas maliciosas, abusando dos privilégios do Serviço de Acessibilidade.
Rubens Zolotujin 0 Comentários
ago 18 2022

BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Prefeitura do Rio é vítima de ataque hacker e sistemas ficam fora do ar.
    A Prefeitura da Cidade do Rio de Janeiro sofreu um ataque hacker na madrugada de segunda-feira (15). A Empresa Municipal de Informática e Planejamento (IplanRio) retirou do ar os serviços digitais, para preservar os dados. O site da Prefeitura e das secretarias municipais não estavam funcionando, bem como a emissão de notas fiscais, o Portal Carioca Digital e sistemas de atendimento ao público e internos. “A prefeitura pede a compreensão de todos e ressalta que os servidores da Iplan trabalham para que o sistema volte à sua normalidade o mais rápido possível”, ressaltou o Executivo municipal, em nota divulgada nesta quarta-feira, 17. “O ataque hacker ao Datacenter municipal, sofrido na madrugada de segunda-feira, já foi registrado na Delegacia de Repressão aos Crimes de Informática (DRCI) para que o responsável possa ser identificado e punido”, completou. Apesar dos avanços, a prefeitura carioca optou por manter os serviços offline (desligados) até que o ambiente digital esteja seguro em sua totalidade. Ainda não há previsão para o retorno do portal da prefeitura e das páginas de serviços aos cidadãos (Carioca Digital).
  • Cibercriminosos roubam US$ 6 milhões em skins da Plataforma CS:GO.
    O CS.MONEY, uma das maiores plataformas de negociação de skins do CS:GO, colocou seu site offline depois que um ataque cibernético permitiu que invasores roubassem 20.000 itens no valor de aproximadamente US$ 6.000.000. CS:GO (Counter-Strike: Global Offensive) é a quarta versão do popular jogo de tiro multiplayer que se tornou free-to-play em 2018, mantendo o forte jogo competitivo da série. Ele suporta uma economia virtual vibrante com skins de armas de raridade e conveniência variada, o que levou à criação de sites de negociação que usam a API Steamworks para permitir que os jogadores troquem skins entre si. A plataforma ainda está restaurando seus serviços e enquanto os usuários afetados ainda não recuperaram seus itens roubados.
  • CISA avisa sobre exploração de múltiplas vulnerabilidades no Zimbra Collaboration Suite.
    A Agência de Segurança Cibernética e de Infraestrutura (CISA) publicou um novo alerta sobre os agentes de ameaças que exploram ativamente cinco vulnerabilidades diferentes no Zimbra Collaboration Suite (ZCS). O documento foi compilado em colaboração com o Multi-State Information Sharing & Analysis Center (MS-ISAC) e explica como os agentes de ameaças podem ter como alvo instâncias ZCS não corrigidas em redes governamentais e do setor privado. Todas as vulnerabilidades foram divulgadas ao Zimbra e foram corrigidas pela empresa entre maio e final de julho. Apesar disso, a CISA recomendou que os administradores, especialmente aqueles em empresas que não atualizaram imediatamente suas instâncias ZCS após o lançamento do patch, procurem atividades maliciosas usando assinaturas de detecção de terceiros mencionadas no comunicado.
Rubens Zolotujin 0 Comentários