dez 30 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Microsoft corrige falha de acesso a dados entre locatários do Azure.
    A Microsoft corrigiu silenciosamente uma falha de segurança de gravidade importante em seu Azure Cognitive Search (ACS) depois que um pesquisador externo alertou que um recurso com bugs permitia ataques de desvio de rede entre locatários. A vulnerabilidade, documentada por pesquisadores da Mnemonic, removeu efetivamente toda a rede e o perímetro de identidade em torno de instâncias de Pesquisa Cognitiva do Azure isoladas na Internet e permitiu acesso entre inquilinos ao plano de dados de instâncias ACS de qualquer local, incluindo instâncias sem qualquer exposição de rede explícita. De acordo com o pesquisador da Mnemonic Emilien Socchi, a falha foi corrigida silenciosamente pela Microsoft no final de agosto de 2022, aproximadamente seis meses após ter sido relatada pela primeira vez. A exposição, apelidada de ACSESSED , impactou todas as instâncias do Azure Cognitive Search que habilitaram o recurso “Permitir acesso do portal”.
  • Falhas de segurança foram encontradas em controladores Rockwell.
    As organizações que usam controladores fabricados pela Rockwell Automation foram informadas recentemente sobre várias vulnerabilidades potencialmente sérias. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) publicou na semana passada três alertas para descrever um total de quatro vulnerabilidades de alta gravidade. A Rockwell Automation publicou recomendações individuais para cada falha de segurança. Uma falha afeta o software de emulação do controlador Studio 5000 Logix Emulate. A vulnerabilidade é causada por uma configuração incorreta que resulta na concessão de permissões elevadas aos usuários em determinados serviços do produto. Um invasor pode explorar executando comandos remotamente. A segunda vulnerabilidade afeta os controladores CompactLogix, GuardLogix (incluindo Compact) e ControlLogix.
  • Violação de dados em provedor de assistência médica afeta 270.000 pacientes.
    O prestador de serviços de saúde do sudoeste da Louisiana, Lake Charles Memorial Health System (LCMHS), está informando a cerca de 270.000 pacientes que suas informações pessoais e médicas foram comprometidas em uma violação de dados. Um sistema regional de saúde comunitário composto por várias instalações, o LCMHS identificou o ataque cibernético em 25 de outubro e começou a informar os pacientes afetados sobre o incidente em 23 de dezembro. Em uma notificação em seu site, o LCMHS diz que ‘um terceiro não autorizado’ obteve acesso à sua rede entre 20 e 21 de outubro. Os invasores acessaram e provavelmente exfiltraram certos arquivos contendo dados do paciente, diz o provedor de saúde. Os arquivos roubados continham informações do paciente, como nomes, endereços, datas de nascimento, informações de seguro de saúde, números de registros médicos, números de identificação do paciente, dados de pagamento e detalhes sobre o atendimento recebido no LCMH.
Rubens Zolotujin 0 Comentários
dez 29 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos estão explorando vulnerabilidade crítica em plug-in do WordPress.
    Os hackers estão se aproveitando de um bug crítico no plug-in YITH WooCommerce Gift Cards para fazer upload de backdoors em lojas de comércio eletrônico. O plug-in permite que as lojas online vendam cartões-presente usados por diversos sites. A exploração da falha permite que um invasor carregue arquivos, incluindo web shells, em sites vulneráveis. Existem mais de 50.000 sites que ainda estão usando as versões vulneráveis do plug-in, permitindo que os agentes de ameaças explorem a falha e coloquem um backdoor para lançar ataques de execução remota de código e assumir o controle de sites. O problema foi descoberto em 22 de novembro e resolvido com o lançamento da versão 3.20.2 do plug-in. De acordo com os pesquisadores , a maioria dos ataques ocorreu no dia seguinte à divulgação da vulnerabilidade e continua desde então. Os pesquisadores alertam que a vulnerabilidade é trivial de explorar e fornece acesso total a um site vulnerável.
  • 15,3% dos usuários da internet sofreram ataques em 2022.
    O número aparece em um relatório da Kaspersky, que aponta malwares financeiros, ransomwares e mineradores de criptomoedas como as principais ameaças do período. No caso das ameaças que tentam minerar criptomoedas usando os dispositivos das vítimas, por exemplo, foram mais de 1,3 milhão de casos em todo o mundo, enquanto 376,7 mil tentativas de contaminação por malwares bancários foram bloqueadas pelos antivírus da companhia, também responsáveis por impedir 271,2 mil golpes de ransomware. o Brasil aparece com força nas estatísticas relacionadas a golpes envolvendo a Internet das Coisas. Nosso país é o quarto maior entre os que mais hospedam dispositivos infectados, utilizados principalmente em golpes de negação de serviço, agindo para derrubar redes ou sistemas inteiros devido a um gigantesco número de acessos simultâneos.
  • BitKeep confirma ataque cibernético e perde mais de US$ 9 milhões em moedas digitais.
    A carteira multi-chain BitKeep confirmou ontem (28), um ataque cibernético que permitiu que agentes de ameaças distribuíssem versões fraudulentas de seu aplicativo Android com o objetivo de roubar moedas digitais dos usuários. “Com código implantado de forma maliciosa, o APK alterado levou ao vazamento das chaves privadas do usuário e permitiu que o hacker movimentasse fundos”, disse o CEO da BitKeep. “Os fundos roubados estão no BNB Chain, Ethereum, TRON e Polygon”, observou a BitKeep em uma série de tweets. “Mais de 200 endereços nas outras três redes foram usados no assalto e todos os fundos foram transferidos para 2 endereços principais no final.” Mais de cinco versões falsificadas do aplicativo Android com os seguintes nomes de pacote foram identificadas, sugerindo que os aplicativos foram potencialmente distribuídos por meio de sites de phishing. O nome legítimo do pacote é “com.bitkeep.wallet”.
Rubens Zolotujin 0 Comentários
dez 26 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Novo Malware Zerobot explora vulnerabilidades do Apache para lançar ataque DDoS.
    Como resultado da exploração de vulnerabilidades de segurança encontradas em servidores Apache não corrigidos que estão expostos à Internet, a botnet Zerobot foi recentemente atualizada com a capacidade de infectar novos dispositivos. A versão mais recente também apresenta novos recursos de DDoS, conforme observado pela equipe de pesquisa do Microsoft Defender para IoT. Desde pelo menos novembro, o Zerobot está ativo como parte de seu processo de desenvolvimento. Além das atualizações descobertas pela Microsoft, o kit de ferramentas do malware também inclui novas explorações. Esta atualização mais recente permite agora direcionar sete novos tipos de dispositivos e software, o que é uma melhoria significativa. O Zerobot também é capaz de explorar vulnerabilidades conhecidas para se propagar por meio de dispositivos comprometidos. A coisa mais interessante sobre esse malware é que as falhas de segurança conhecidas que ele explora não estão incluídas no binário do malware.
  • Malware Raspberry Robin ataca setores de telecomunicações e governos.
    Pesquisadores notaram o Raspberry Robin em ataques recentes a provedores de serviços de telecomunicações e redes governamentais. O malware agora está lançando uma carga útil falsa para evitar a detecção quando detecta que está sendo executado em sandboxes e ferramentas de depuração. Os pesquisadores dizem que, devido ao uso de arquivos .lnk, ele parece se propagar pelos sistemas como um worm através de um USB infectado. A maioria das vítimas do grupo são empresas de telecomunicações ou governos da Europa, Oceania (Austrália) e América Latina. O Raspberry Robin aparece pela primeira vez como um atalho ou arquivo LNK quando o usuário conecta o USB infectado ao computador. Uma linha de comando no arquivo LNK inicia um executável legítimo para baixar um pacote do Windows Installer (MSI). Após a execução, ele faz um esforço para verificar o registro do Windows em busca de indicadores de infecção antes de começar a coletar dados fundamentais do sistema.
  • Cibercriminosos exploram vulnerabilidades de Zero Day em produtos Citrix.
    A Citrix recomenda fortemente que os administradores apliquem atualizações de segurança para uma vulnerabilidade ‘crítica’ (CVE-2022-27518) no Citrix ADC e Gateway que é explorada ativamente por hackers patrocinados pelo estado para obter acesso a redes corporativas. Essa nova vulnerabilidade permite que um invasor não autenticado execute comandos remotamente em dispositivos vulneráveis e assuma o controle sobre eles. A Citrix está alertando os administradores para instalar a atualização mais recente “o mais rápido possível”, pois a vulnerabilidade é explorada ativamente em ataques. “Estamos cientes de um pequeno número de ataques direcionados na natureza usando essa vulnerabilidade”, menciona a Citrix na atualização de segurança que acompanha o comunicado.
Rubens Zolotujin 0 Comentários
dez 23 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Malware bancário mira o Brasil para roubar Pix.
    Os smartphones Android são os alvos de um malware recém-descoberto que mira os usuários brasileiros. O BrasDex vem agindo há cerca de um ano e já teria registrado pelo menos 1.000 contaminações no país, com prejuízos de centenas de milhares de reais após ataques que envolvem o desvio de transferências do Pix e o roubo de credenciais bancárias. 10 instituições do país:PicPay, Nubank, Original, Inter, Binance, Banco do Brasil, Itaú, Bradesco, Caixa e Santander são focos dos ataques envolvendo o malware, que só age contra brasileiros. Caso o vírus detecte que o cartão SIM em uso no smartphone não é de nosso país, a cadeia de contaminação é interrompida, caso contrário, é feito o contato com o servidor de comando e controle, de onde vêm as ordens envolvendo características do aparelho e também dos apps bancários instalados nele. Para agir, o BrasDex abusa de permissões concedidas pelo usuário após a instalação de apps maliciosos, principalmente em relação aos sistemas de acessibilidade do Android. O vírus é capaz de reconhecer elementos da tela e os dados digitados pelo usuário, obtendo suas credenciais de acesso e reconhecendo caminhos, interfaces e, principalmente, o saldo disponível na conta. A fraude vem na sequência, com a realização de transferências via Pix para contas de laranjas a serviço da quadrilha.
  • Empresa Okta tem códigos-fonte roubados em incidente.
    A Okta está mais uma vez envolvida em um incidente cibernético, agora envolvendo os códigos-fonte de algumas de suas soluções de verificação de identidade. O furto dos materiais foi confirmado em um e-mail enviado a parceiros e clientes de alto padrão da empresa de segurança e seria resultado de um comprometimento dos repositórios da companhia no GitHub. Não houve acesso a sistemas internos da empresa ou exposição de dados e informações de segurança de parceiros e clientes. O acesso ao sistema de desenvolvimento teria resultado no furto de códigos relacionados ao Workforce Identity Cloud (WIC), um sistema fornecido pela Okta para autenticação de colaboradores atuando de forma remota.
  • Jornal The Guardian sofre suposto ataque de ransomware.
    O jornal britânico The Guardian sofreu um grave incidente de cibersegurança na última terça-feira (20), com as primeiras indicações sendo de um ataque de ransomware. O golpe teria atingido a infraestrutura de TI do diário, um dos principais do Reino Unido, mas sem tirar sites e portais disponíveis ao público do ar. Os detalhes ainda são escassos, mas de acordo com publicação do próprio The Guardian, as interrupções causadas pelo suposto ataque teria afetado serviços dos bastidores da operação. A impressão do jornal impresso também teria sido atingida, mas a empresa se diz confiante quanto as próximas edições que não serão impactadas pelo incidente cibernético.
Rubens Zolotujin 0 Comentários
dez 22 2022
OLETIM DIÁRIO DE CIBERSEGURANÇA

  • Brasil foi o principal alvo dos cibercriminosos em 2022.
    O Brasil se tornou um dos alvos preferidos dos cibercriminosos, é o que aponta os últimos levantamentos que revelam um aumento superior a 200% na quantidade de ataques cibernéticos contra empresas ou órgãos brasileiros no último ano. Esses ataques tem se tornado cada vez mais sofisticados e suas consequências têm atingido escalas cada vez maiores. O principal motivo por trás desse aumento vertiginoso está na forma como empresas e entidades públicas encaram o assunto, demonstrando um baixo engajamento e baixa maturidade com a defesa cibernética. Por isso o investimento em serviços especializados e contratação de profissionais qualificados se tornou cada vez mais urgente para os negócios que desejam sobreviver num mercado digital cada vez mais competitivo e visado pelos criminosos.
  • Gangue de ransomware LockBit segue com seu programa de Bug Bounty.
    A operação de ransomware oferece recompensas para os afiliados que realizam testes em seu ransomware. A operação de ransomware LockBit 3.0 foi lançada em 2019 e desde então se tornou a operação de ransomware mais prolífica, respondendo por 40% de todos os ataques de ransomware conhecidos em 2022. A gangue de cibercriminosos possui também uma operação de ransomware como serviço (RaaS), que já esta sendo usada em ataques. Com o lançamento do LockBit 3.0, a operação introduziu o primeiro programa de recompensas de bugs oferecido por uma gangue de ransomware, pedindo aos pesquisadores de segurança que enviassem relatórios de bugs em troca de recompensas que variam entre US$ 1.000 e US$ 1 milhão. “Convidamos todos os pesquisadores de segurança, hackers éticos e antiéticos do planeta a participar do nosso programa de recompensas por bugs”, diz a página de recompensas dos cibercriminosos. Além disso, a LockBit não está apenas oferecendo recompensas por recompensas em vulnerabilidades, mas também está pagando recompensas por “idéias brilhantes” para melhorar a operação do ransomware e para doxxar o gerente do programa de afiliados.
  • Spyware Pegasus é usado por pelo menos 5 países europeus.
    A agência israelense de software de vigilância NSO Group, admitiu que seu Spyware está sendo utilizado pela União Europeia. A ferramenta Pegasus foi usada por pelo menos cinco países da região. “Estamos tentando fazer a coisa certa e isso é mais do que outras empresas que trabalham no setor”, disse Chaim Gelfand, conselheiro geral e diretor de conformidade da empresa, segundo um relatório do Politico. Reconhecendo que “cometeu erros”, a empresa também enfatizou a necessidade de um padrão internacional para regular o uso de spyware pelo governo. O Pegasus foi projetado para ser instalado furtivamente em um smartphone, explorando vulnerabilidades desconhecidas em softwares como zero-days para obter o controle remoto do dispositivo e coletar dados confidenciais.
Rubens Zolotujin 0 Comentários
dez 21 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cisco alerta sobre vulnerabilidades antigas sendo exploradas em ataques.
    A Cisco atualizou vários avisos de segurança para alertar sobre a exploração maliciosa de vulnerabilidades graves que afetam seus dispositivos de rede. Muitos dos bugs, que carregam classificações de gravidade ‘crítica’ ou ‘alta’, foram corrigidos 4 a 5 anos atrás, mas as organizações que não corrigiram seus dispositivos continuam sendo afetadas. Na semana passada, a gigante da tecnologia adicionou avisos de exploração a mais de 20 avisos detalhando defeitos de segurança no software Cisco IOS, NX-OS e HyperFlex. Cinco dos alertas atualizados resolvem vulnerabilidades de gravidade crítica que podem permitir que invasores remotos executem código arbitrário (RCE), causem uma condição de negação de serviço (DoS) ou executem comandos arbitrários. A Cisco também atualizou 15 avisos que lidam com falhas de alta gravidade no Cisco IOS e IOS XE, e um que aborda um problema de execução de comando arbitrário de alta gravidade em roteadores da série Small Business RV. Vários avisos detalhando bugs de gravidade média também foram atualizados.
  • Google Workspace obtém criptografia client-side no Gmail.
    O Google anunciou na última sexta-feira a disponibilidade beta da criptografia no lado do cliente no Gmail para alguns de seus clientes do Workspace. O recurso visa melhorar a confidencialidade dos e-mails quando eles permanecem nos servidores do Google, aplicando criptografia ao corpo e aos anexos do e-mail, ao mesmo tempo em que fornece aos clientes do Workspace controle sobre as chaves de criptografia e o serviço de identidade usado para acessar as chaves. “O Google Workspace já usa os padrões criptográficos mais recentes para criptografar todos os dados em repouso e em trânsito entre nossas instalações. A criptografia do lado do cliente ajuda a fortalecer a confidencialidade de seus dados, ajudando a atender a uma ampla gama de necessidades de soberania e conformidade de dados”, anunciou o Google.
  • Botnet KmsdBot suspeito de ser usado como serviço DDoS para afiliados.
    Uma análise contínua do botnet KmsdBot levantou a possibilidade de que seja um serviço DDoS de aluguel oferecido a outros agentes de ameaças. O KmsdBot é um malware baseado em Go que aproveita o SSH para infectar sistemas e realizar atividades como mineração de criptomoeda e comandos de lançamento usando TCP e UDP para montar ataques distribuídos de negação de serviço (DDoS). “Com base em IPs e domínios observados, a maioria das vítimas está localizada na Ásia, América do Norte e Europa”, disseram os pesquisadores da Akamai. A Akamai, que examinou o tráfego de ataque, identificou 18 comandos diferentes que o KmsdBot aceita de um servidor remoto, um dos quais, apelidado de “bigdata”, serve para enviar pacotes indesejados contendo grandes quantidades de dados para um alvo na tentativa de esgotar sua largura de banda.
Rubens Zolotujin 0 Comentários
dez 20 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Novo Ransomware Agenda está visando setor de Infraestrutura Crítica.
    Uma variante do ransomware Agenda foi escrita em Rust, tornando-o o malware mais recente a adotar a linguagem de programação de plataforma cruzada após BlackCat, Hive, Luna e RansomExx. O Agenda, atribuído a um operador chamado Qilin, é um grupo de ransomware como serviço (RaaS), vinculado a uma série de ataques direcionados principalmente aos setores de manufatura e TI em diferentes países. Uma versão anterior do ransomware, escrita em Go destacava os setores de saúde e educação em países como Indonésia, Arábia Saudita, África do Sul e Tailândia. O malware, expande a ideia de criptografia parcial (também conhecida como criptografia intermitente) configurando parâmetros que são usados para determinar a porcentagem do conteúdo do arquivo a ser criptografado. Essa tática está se tornando mais popular entre os grupos de ransomware, pois permite que eles criptografem mais rapidamente e evitem detecções que dependem fortemente de operações de leitura e gravação de arquivos.
  • Microsoft detalha vulnerabilidade em sistemas macOS da Apple.
    A Microsoft divulgou detalhes de uma falha de segurança agora corrigida no macOS que pode ser explorada por um invasor para contornar as proteções de segurança impostas para execução de aplicativos maliciosos. A falha, apelidada de Achilles ( CVE-2022-42821, pontuação CVSS: 5,5), foi abordada pelo fabricante no macOS Ventura 13, Monterey 12.6.2 e Big Sur 11.7.2 , descrevendo-a como uma questão lógica que poderia ser armada por um aplicativo para contornar as verificações do Gatekeeper. Gatekeeper é um mecanismo de segurança projetado para garantir que apenas aplicativos confiáveis sejam executados no sistema operacional. Isso é aplicado por meio de um atributo estendido chamado “com.apple.quarantine” que é atribuído a arquivos baixados da Internet. É análogo ao sinalizador Mark of the Web ( MotW ) no Windows.
  • Operadores do botnet Glupteba ressurgem em 2022.
    O botnet Glupteba ressurgiu em junho de 2022 como parte de uma campanha renovada e “aumentada”, meses depois que o Google interrompeu a atividade maliciosa. Segundo os pesquisadores o ataque em andamento sugere a resiliência do malware diante de quedas. Além disso, houve um aumento de dez vezes nos serviços ocultos do TOR usados como servidores C2 desde a campanha de 2021. O malware, que é distribuído por meio de anúncios fraudulentos ou cracks de software, também está equipado para recuperar cargas adicionais que permitem roubar credenciais, minerar criptomoedas e expandir seu alcance explorando vulnerabilidades em dispositivos IoT do MikroTik e Netgear. Especificamente, o botnet foi projetado para pesquisar o blockchain público do Bitcoin em busca de transações relacionadas a endereços de carteira pertencentes ao agente da ameaça, a fim de buscar o endereço do servidor C2 criptografado.
Rubens Zolotujin 0 Comentários
dez 19 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Ex-funcionário do Twitter é condenado a 3,5 anos de prisão por espionar em nome da Arábia Saudita.
    Um ex-funcionário do Twitter foi considerado culpado de espionar em nome da Arábia Saudita, compartilhando dados pertencentes a indivíduos específicos, foi condenado a três anos e meio de prisão. Ahmad Abouammo, 45, foi condenado no início de agosto por várias acusações criminais, incluindo lavagem de dinheiro, fraude, falsificação de registros e agente ilegal de um governo estrangeiro. “O Sr. Abouammo violou a confiança depositada nele para proteger a privacidade dos indivíduos ao fornecer suas informações pessoais a uma potência estrangeira com fins lucrativos”, disse o procurador-geral adjunto Matthew G. Olsen, da Divisão de Segurança Nacional do Departamento de Justiça. “Sua conduta tornou-se ainda mais flagrante pelo fato de que a informação tinha como alvo dissidentes políticos que se manifestavam contra aquela potência estrangeira.”
  • Cibercriminosos utilizam repositórios de código aberto como vetor de ataque.
    Os ecossistemas NuGet, PyPi e npm são o alvo de uma nova campanha que resultou na publicação de mais de 144.000 pacotes por agentes de ameaças desconhecidos. Segundo pesquisadores, os pacotes faziam parte de um novo vetor de ataque, com invasores enviando spam ao ecossistema de código aberto com pacotes contendo links para campanhas de phishing. Dos 144.294 pacotes relacionados a phishing detectados, 136.258 foram publicados no NuGet, 7.824 no PyPi e 212 no npm. As bibliotecas ofensivas foram retiradas da lista ou retiradas do ar. “Os agentes de ameaças por trás dessa campanha provavelmente queriam melhorar a otimização do mecanismo de busca (SEO) de seus sites de phishing, vinculando-os a sites legítimos como o NuGet”, disseram os pesquisadores. O envenenamento do NuGet, PyPi e npm com pacotes fabricados mais uma vez ilustra os métodos em evolução que os agentes de ameaças usam para atacar a cadeia de suprimentos de software.
  • Pesquisadores descobrem ataques cibernéticos direcionados a entidades japonesas.
    Um grupo de ameaça persistente avançada (APT), chamado MirrorFace, foi atribuído a uma campanha de spear phishing visando instituições políticas japonesas. A atividade, apelidada de Operação LiberalFace, focou especificamente em membros de um partido político não identificado no país com o objetivo de entregar um implante chamado LODEINFO e um ladrão de credenciais até então inédito chamado MirrorStealer. “O LODEINFO foi usado para fornecer malware adicional, exfiltrar as credenciais da vítima e roubar seus documentos e e-mails”, disse o pesquisador Dominik Breitenbacher em um relatório publicado na última semana. Os e-mails de spear phishing, enviados eram supostamente do departamento de relações públicas do partido político, instando os destinatários a compartilhar os vídeos anexados em seus próprios perfis de mídia social para “garantir a vitória” nas eleições.
Rubens Zolotujin 0 Comentários
dez 16 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos usam drivers maliciosos para comprometer o Windows.
    Atores de ameaças estão utilizando drivers de hardware maliciosos certificados para ignorar as verificações de segurança no windows. Esses drivers estão sendo usados em atividades pós exploração em sistemas nos quais o invasor já obteve privilégios administrativos. A Microsoft foi notificada de que várias contas de desenvolvedores para o Microsoft Partner Center estavam enviando drivers de hardware maliciosos para obter uma assinatura da Microsoft. Como vários grupos de hackers estão usando drivers assinados pela Microsoft, os especialistas avaliam que os grupos estão aproveitando um serviço criminoso comum para assinatura de código ou um fornecedor de serviço está projetando e desenvolvendo kits de ferramentas e drivers que outros grupos pagam para acessar. A Microsoft revogou várias contas de desenvolvedor de hardware associadas a drivers usados em ataques cibernéticos. A empresa lançou novas assinaturas do Microsoft Defender (1.377.987.0) para detectar drivers assinados legítimos em ataques pós exploração.
  • Operadores do Ransomware LockBit visam organizações de saúde.
    O HC3 emitiu um comunicado para alertar as organizações de saúde sobre ataques envolvendo o ransomware LockBit 3.0. Uma das características proeminentes do ransomware inclui o modelo de extorsão tripla. No resumo da ameaça, foi destacado que o LockBit 3.0 apareceu pela primeira vez em junho e contém muitas das mesmas funções da variante anterior do LockBit 2.0. O malware parece estar utilizando recursos de outro ransomware conhecido, o BlackMatter, como a capacidade de enviar notas de resgate para uma impressora na rede, excluir cópias de sombra de volume e obter os detalhes do sistema operacional da vítima, juntamente com vários recursos de depuração.
  • Mozilla corrige vulnerabilidades do Firefox que poderiam levar ao controle do sistema.
    Várias vulnerabilidades de alto impacto que afetam Thunderbird, Firefox ESR e Firefox foram corrigidas por atualizações da Mozilla. Os bugs podem ter gerado execução arbitrária de código se forem explorados com sucesso. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) aconselha usuários e administradores a corrigir as vulnerabilidades identificadas e atualizar seus sistemas. Todos os três produtos da Mozilla são afetados por uma das vulnerabilidades de alto impacto, identificada como CVE-2022-46878. De acordo com os desenvolvedores do Mozilla, o Firefox 107 e o Firefox ESR 102.5 têm problemas de segurança de memória. Essas falhas incluíam aquelas que pareciam ter corrupção de memória, algumas delas poderiam ter sido utilizadas para executar código arbitrário. Outra fraqueza séria, CVE-2022-46872 , que afeta os produtos das três empresas, pode permitir que um hacker visualize qualquer arquivo após assumir o controle de um processo de conteúdo.
Rubens Zolotujin 0 Comentários
dez 15 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Novo Botnet GoTrim está invadindo contas em sites WordPress.
    Um novo botnet baseado em Go foi flagrado realizando ataques de força bruta em sites WordPress para assumir o controle dos sistemas visados. A campanha ativa, observada desde setembro de 2022, utiliza uma rede de bots para realizar ataques de força bruta distribuídos em uma tentativa de fazer login no servidor web de destino. O GoTrim pode, funcionar em um modo de servidor em que inicia um servidor para escutar as solicitações recebidas enviadas pelo agente da ameaça por meio do servidor de comando e controle (C2). Isso, no entanto, só ocorre quando o sistema violado está conectado diretamente à Internet. Outra característica importante do malware botnet é sua capacidade de imitar solicitações legítimas do navegador Mozilla Firefox no Windows de 64 bits para contornar as proteções anti-bot, além de burlar as barreiras CAPTCHA presentes nos sites WordPress. Ataques de força bruta são perigosos, pois podem levar ao comprometimento da aplicação e implantação de malware.
  • Nova vulnerabilidade de Zero Day descoberta em produtos da Apple.
    A Apple lançou na terça-feira atualizações de segurança para os navegadores iOS, iPadOS, macOS, tvOS e Safari para resolver uma nova vulnerabilidade de dia zero que pode resultar na execução de código malicioso. Rastreado como CVE-2022-42856, o problema foi descrito pela gigante da tecnologia como um problema de confusão de tipo no mecanismo do navegador WebKit que pode ser acionado ao processar conteúdo especialmente criado, levando à execução arbitrária do código. A empresa disse que está “ciente de um relatório de que esse problema pode ter sido explorado ativamente em versões do iOS lançadas antes do iOS 15.1”. Embora os detalhes sobre a natureza exata dos ataques ainda sejam desconhecidos, é provável que tenha envolvido um caso de engenharia social para infectar os dispositivos ao visitar um domínio não autorizado ou legítimo, mas comprometido por meio do navegador.
  • SAP lança atualizações para falhas críticas de segurança.
    A fabricante de software alemã SAP anunciou esta semana o lançamento de 14 notas de segurança novas e cinco atualizadas como parte do Security Patch Day de dezembro de 2022, incluindo quatro notas que abordam vulnerabilidades críticas em Business Client, BusinessObjects, NetWeaver e Commerce. Com uma pontuação CVSS de 10, a mais severa das notas de segurança da SAP atualiza uma nota lançada no Patch Day de abril de 2018, que trata de atualizações de software para o navegador baseado em Chrome no SAP Business Client. No mês passado, o Google anunciou várias atualizações do Chrome, incluindo dois patches de emergência que abordam vulnerabilidades de dia zero nas versões 107 e 108 do navegador, e a SAP está tentando acompanhar: a nota de segurança aborda 34 vulnerabilidades, incluindo 24 de alto nível.
Rubens Zolotujin 0 Comentários