maio 30 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Falha grave no serviço Cloud SQL do Google Cloud expôs dados confidenciais.
    Uma nova falha de segurança foi divulgada no serviço Cloud SQL da Google Cloud Platform (GCP) que pode ser potencialmente explorada para obter acesso a dados confidenciais. A vulnerabilidade pode ter permitido que um agente mal-intencionado passasse de um usuário básico do Cloud SQL para um administrador de sistema completo em um contêiner, obtendo acesso a dados internos do GCP, como arquivos confidenciais, senhas, além de dados do cliente. O Cloud SQL é uma solução totalmente gerenciada para criar bancos de dados MySQL, PostgreSQL e SQL Server para aplicativos baseados em nuvem. As permissões elevadas subsequentemente tornaram possível abusar de outra configuração incorreta crítica para obter direitos de administrador do sistema e assumir o controle total do servidor de banco de dados.
  • Malware QBot abusa de uma falha de DLL no Windows.
    A operação de malware QBot começou a abusar de uma falha de sequestro de DLL no programa WordPad do Windows 10 para infectar computadores, usando o programa legítimo para evitar a detecção por software de segurança. Uma DLL é um arquivo de biblioteca contendo funções que podem ser usadas por mais de um programa ao mesmo tempo. O sequestro de DLL ocorre quando um agente de ameaça cria uma DLL maliciosa com o mesmo nome de uma legítima e a coloca no caminho de pesquisa inicial do Windows, geralmente na mesma pasta do executável. Quando esse executável for iniciado, ele carregará a DLL do malware em vez da legítima e executará qualquer comando malicioso dentro dela. Gangues de ransomware, incluindo Black Basta, Egregor e Prolock, fizeram parceria com a operação para obter acesso inicial a redes corporativas para realizar ataques de extorsão.
  • CISA adverte agências governamentais falha de Zero Day recentemente corrigida.
    A CISA alertou sobre uma vulnerabilidade de Zero Day recentemente corrigida, explorada na semana passada para invadir dispositivos Barracuda Email Security Gateway (ESG). A Barracuda diz que suas soluções de segurança são usadas por mais de 200.000 organizações em todo o mundo, incluindo empresas de alto nível como Samsung, Mitsubishi, Kraft Heinz e Delta Airlines. A empresa disse que a investigação sobre os dispositivos comprometidos foi limitada ao seu produto ESG e aconselhou os clientes afetados a revisar seus ambientes para garantir que os invasores não obtivessem acesso a outros dispositivos em sua rede. Portanto, os órgãos federais também terão que considerar o alerta da CISA como um alerta para verificar suas redes em busca de sinais de invasões. Embora apenas as agências federais dos EUA sejam obrigadas a corrigir os bugs adicionados à lista de Vulnerabilidades Exploradas Conhecidas, as empresas privadas também são fortemente recomendadas a priorizar a correção delas.
Rubens Zolotujin 0 Comentários
maio 29 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • MCTI anuncia programa “Hackers do Bem” para fortalecer a cibersegurança no Brasil.
    O Ministério da Ciência, Tecnologia e Inovação (MCTI) lançou o “Hackers do Bem”, um programa inovador destinado a treinar e capacitar profissionais de tecnologia. O anúncio foi feito na última semana, e já ganhou elogios e apoio de várias organizações de tecnologia no país. O governo se comprometeu a investir R$ 32,6 milhões no programa, com o objetivo de formar mais de 30 mil pessoas até 2025. O programa proporcionará oportunidades de aprendizado em diferentes níveis. Além disso, os participantes terão a oportunidade de realizar residências tecnológicas em laboratórios de cibersegurança em todo o país, permitindo-lhes adquirir experiência prática valiosa. A iniciativa do governo busca atrair estudantes do ensino técnico, médio e superior, além de profissionais de tecnologia que buscam especialização ou que estão explorando uma nova área de atuação.
  • Spyware Pegasus foi implantado na Armênia em meio à guerra de Nagorno-Karabakh.
    De acordo com pesquisadores de várias organizações de direitos digitais, esta é a primeira instância conhecida de Pegasus sendo usado em meio a uma guerra. O software de espionagem, desenvolvido pelo NSO Group de Israel, visou jornalistas, ativistas, funcionários do governo e civis armênios durante a guerra entre Armênia e Azerbaijão na região disputada de Nagorno-Karabakh no outono de 2020. A investigação sobre o uso do spyware começou em 2021, quando a Apple enviou notificações para os usuários alertando-os sobre possíveis alvos de spyware patrocinado pelo estado. Diversas pessoas da Armênia contataram as organizações de direitos digitais CyberHUB-AM e Access Now para verificar seus dispositivos em busca de evidências de tal spyware. A investigação identificou 12 indivíduos cujos dispositivos Apple foram alvo do spyware em vários momentos entre outubro de 2020 e dezembro de 2022.
  • Venda de “Contas-Piratas” da Netflix Aumenta após Fim do Compartilhamento.
    esde o recente anúncio de que o serviço de streaming iria limitar o compartilhamento de contas entre usuários de diferentes residências, houve um aumento nas vendas de perfis fraudados ou “contas-pirata”. Essas contas estão sendo comercializadas em fóruns dedicados ao cibercrime e grupos no Telegram, com preços a partir de R$ 10. Os principais alvos são os mercados mais significativos da Netflix, como os Estados Unidos e a Índia, onde o fim do compartilhamento de contas terá maior impacto. As chamadas “contas-pirata” são essencialmente contas de clientes pagantes que tiveram seus dados roubados. A explicação para os preços tão baixos é a utilização dessas contas furtadas, obtidas por meio de senhas vazadas ou ataques que envolvem malwares capazes de roubar credenciais dos dispositivos dos usuários. Com a nova política da Netflix de restringir perfis compartilhados, espera-se um aumento na procura por esse tipo de acesso ilegal.
Rubens Zolotujin 0 Comentários
maio 26 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Grupos de cibercriminosos brasileiros atacam bancos no exterior.
    A operação começou no início deste ano, mas a maior parte dos ataques ocorreu no mês passado. A campanha em andamento foi apelidada de Operação Magalenha e inicialmente contou com provedores de serviços em nuvem como DigitalOcean e Dropbox, mas como essas empresas reforçaram suas regras sobre como seus serviços são usados, a operação migrou para o provedor de hospedagem TimeWeb da Rússia. O ecossistema de malware brasileiro está chamando a atenção da indústria de cibersegurança há quase uma década, quando grupos de cibercriminosos cada vez mais sofisticados do Brasil realizaram operações em conjunto com desenvolvedores de malware baseados no exterior, inclusive na Europa Oriental e na Rússia. A Operação Magalenha ilustra a natureza persistente do crime cibernético brasileiro e a evolução da ameaça representada por seus atores. Esses grupos demonstram uma capacidade consistente de atualizar seu arsenal e táticas de malware, permitindo que permaneçam cada vez mais eficazes em suas campanhas.
  • Zyxel lança patches de segurança críticos para produtos de firewall e VPN.
    A Zyxel lançou atualizações de software para corrigir duas falhas críticas de segurança que afetam alguns produtos de firewall e VPN que podem ser usados de forma abusiva por invasores remotos para obter a execução do código. Ambas as falhas CVE-2023-33009 e CVE-2023-33010, são vulnerabilidades de estouro de buffer e são classificadas como 9,8 de 10 no sistema de pontuação CVSS. O comunicado vem menos de um mês depois que a Zyxel enviou correções para outra falha crítica de segurança em seus dispositivos de firewall que poderia ser explorada para obter a execução remota de código nos sistemas afetados.
  • Serviço gratuito SuperVPN expõe 360 milhões de registros de usuários.
    O banco de dados exposto continha impressionantes 360.308.817 registros, totalizando 133 GB de tamanho. Esses registros incluíam uma ampla gama de informações confidenciais, incluindo endereços de e-mail de usuários, endereços IP originais, dados de geolocalização e registros de uso do servidor. Além disso, a violação revelou chaves secretas, números exclusivos de ID do usuário do aplicativo e números UUID, que podem ser utilizados para identificar mais informações úteis. Outras informações encontradas no banco de dados abrangem modelos de telefone ou dispositivo, sistemas operacionais, tipos de conexão com a Internet e versões de aplicativos VPN. Além disso, solicitações de reembolso e detalhes de contas pagas também estavam presentes na violação. Embora o SuperVPN afirme que não armazena logs de usuários, os dados vazados mostram o contrário e contradizem a política da empresa. Com as crescentes preocupações com a privacidade e segurança online, a demanda por serviços VPN disparou nos últimos anos.
Rubens Zolotujin 0 Comentários
maio 24 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Campanha de espionagem visa Ucrânia, Israel e outros países.
    Uma campanha de espionagem cibernética foi identificada na Ucrânia, visando uma agência governamental não revelada, segundo o CERT-UA, a equipe de resposta a emergências de computadores do país. O ator de ameaça, identificado como UAC-0063, demonstrou interesse em atingir outros países, incluindo Mongólia, Cazaquistão, Quirguistão, Israel e Índia. Embora as origens do grupo ainda sejam desconhecidas, sua motivação é a coleta de informações. Em abril, os hackers utilizaram uma conta de e-mail comprometida da Embaixada do Tadjiquistão na Ucrânia para enviar um e-mail malicioso à agência governamental ucraniana, infectando o destinatário com programas maliciosos, como o keylogger LOGPIE, o backdoor CHERRYSPY e o malware STILLARCH. Para dificultar a investigação, os hackers utilizaram ferramentas de proteção contra engenharia reversa e acesso não autorizado. Outras campanhas de espionagem cibernética direcionadas à Ucrânia também estão sendo monitoradas por pesquisadores de segurança cibernética, como o grupo Nodaria ou UAC-0056, que utiliza o malware Graphiron contra alvos no país.
  • Vulnerabilidade nos firewalls Zyxel pode ser explorada por cibercriminosos.
    Uma vulnerabilidade de injeção de comando recentemente corrigida (CVE-2023-28771) que afeta uma variedade de firewalls Zyxel pode ser explorada por agentes de ameaças. A vulnerabilidade surge devido ao tratamento inadequado de mensagens de erro e pode ser acionada através do envio de um pacote UDP especialmente criado para a porta 500 na interface WAN dos dispositivos vulneráveis. Isso permite que invasores executem comandos do sistema operacional como usuário root. A vulnerabilidade afeta firewalls Zyxel APT, USG FLEX e VPN, assim como gateways/firewalls ZyWALL/USG executando certas versões de firmware. Os pesquisadores destacam que a exploração bem-sucedida não requer autenticação prévia.
  • Google lança programa de Bug Bounty para seus aplicativos Android.
    O Google lançou o Mobile Vulnerability Rewards Program (Mobile VRP), um programa de recompensas por bugs que visa encontrar e corrigir vulnerabilidades nos aplicativos Android da empresa. O programa abrange uma ampla gama de aplicativos, incluindo Google Play Services, Google Chrome, Gmail e outros. O objetivo é incentivar pesquisadores de segurança a identificar falhas e ajudar a melhorar a segurança dos aplicativos. O programa também visa proteger os usuários e seus dados, mitigando vulnerabilidades e garantindo a confiabilidade dos aplicativos móveis do Google. O Google oferece recompensas de até US$ 30.000 por falhas de execução remota de código sem interação do usuário e até US$ 7.500 por bugs que permitam o roubo remoto de dados confidenciais. Essas recompensas incentivam os pesquisadores de segurança a dedicar tempo e esforço para identificar e relatar problemas de segurança.
Rubens Zolotujin 0 Comentários
maio 22 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Nova falha de segurança em dispositivos Samsung.
    A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre a exploração ativa de uma falha que afeta dispositivos Samsung. O problema, rastreado como CVE-2023-21492, afeta alguns dispositivos Samsung que executam as versões 11, 12 e 13 do Android. A gigante eletrônica sul-coreana descreveu o problema como uma falha de divulgação de informações que poderia ser explorada por um invasor privilegiado para contornar as proteções de randomização de layout de espaço de endereço (ASLR). ASLR é uma técnica de segurança projetada para evitar corrupção de memória e falhas de execução de código, obscurecendo a localização de um executável na memória de um dispositivo. Outros detalhes sobre como a falha está sendo explorada atualmente não são conhecidos, mas vulnerabilidades em telefones Samsung foram armadas por fornecedores de spyware comercial no passado para implantar software malicioso.
  • Cibercriminosos estão distribuindo extensões maliciosas do VSCode.
    O VSCode é um editor de código-fonte amplamente utilizado e disponível gratuitamente. Ele oferece aos desenvolvedores um ambiente de codificação eficiente e personalizável, com suporte para várias linguagens de programação, estruturas e ferramentas. O VSCode Marketplace, onde os usuários podem encontrar e baixar extensões para aprimorar sua experiência de codificação, tornou-se recentemente um alvo para cibercriminosos. Os pesquisadores revelaram que as extensões comprometidas foram baixadas por desenvolvedores do Windows em um total de 46.600 vezes. O malware fornecia aos invasores acesso não autorizado às máquinas das vítimas, permitindo-lhes furtar credenciais, coletar informações do sistema e estabelecer um shell remoto na máquina da vítima.
  • Microsoft alerta para aumento de ataques direcionados para e-mails corporativos.
    A Microsoft lançou um novo relatório alertando as empresas sobre o aumento alarmante de ataques de comprometimento de e-mail comercial e as táticas em evolução empregadas pelos cibercriminosos. O relatório fornece uma análise abrangente do cenário de ameaças de abril de 2022 a abril de 2023, sugerindo que os sistemas da empresa atualmente detectam e investigam uma média de 156.000 ataques diariamente. Esses ataques aumentaram significativamente em 38% nos últimos quatro anos. De acordo com as descobertas da Microsoft, os invasores têm cada vez mais utilizado plataformas como BulletProftLink para orquestrar campanhas de e-mail maliciosas em grande escala. O BulletProftLink oferece aos cibercriminosos um serviço de ponta a ponta, incluindo modelos, hospedagem e serviços automatizados, permitindo que eles executem ataques BEC facilmente. Além disso, a Microsoft alertou que a especialização e consolidação da economia do cibercrime neste setor pode levar a um aumento no uso de endereços IP residenciais para evitar a detecção.
Rubens Zolotujin 0 Comentários
maio 19 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos utilizam ChatGPT e Midjourney para enganar usuários.
    Anúncios maliciosos do Google para serviços de IA generativos, como ChatGPT e Midjourney, estão sendo usados para direcionar usuários a sites maliciosos como parte de uma campanha projetada para fornecer o malware RedLine Stealer. Ambos os serviços de IA são extremamente populares, mas carecem de aplicativos autônomos ou seja, os usuários interagem com o ChatGPT por meio de sua interface web, enquanto o Midjourney usa o Discord. Esse vácuo foi explorado por agentes de ameaças que procuram levar os buscadores de aplicativos de IA e páginas Web que promovem aplicativos falsos aos usuários. O malware de carregamento é propagado por meio de downloads drive-by, onde os usuários que pesquisam determinadas palavras-chave nos mecanismos de pesquisa exibem anúncios falsos que, quando clicados, os redirecionam para páginas de destino desonestas que hospedam malware.
  • Apple emite patches de emergência para 3 novas vulnerabilidades de Zero Day.
    A Apple lançou na quinta-feira atualizações de segurança para iOS, iPadOS, macOS, tvOS, watchOS e o navegador Safari para corrigir três novas falhas de Zero Day que, segundo ela, estão sendo exploradas ativamente. Atualmente, não há especificações técnicas adicionais sobre as falhas, a natureza dos ataques ou a identidade dos agentes de ameaças que podem explorá-las. Dito isso, essas falhas têm sido historicamente aproveitadas como parte de invasões altamente direcionadas para implantar spyware mercenário nos dispositivos de dissidentes, jornalistas e ativistas de direitos humanos, entre outros. Até agora, a Apple corrigiu um total de seis dias zero explorados ativamente desde o início de 2023. No início de fevereiro, a empresa corrigiu uma falha do WebKit ( CVE-2023-23529 ) que poderia levar à execução remota de código.
  • Sindicato do cibercrime infectou mais de 8,9 milhões de dispositivos Android em todo o mundo.
    O agente de ameaça conhecido como Lemon Group, está aproveitando milhões de smartphones Android pré-infectados em todo o mundo para realizar suas operações maliciosas, apresentando riscos significativos à cadeia de suprimentos. A infecção transforma esses dispositivos em proxies móveis, ferramentas para roubar e vender mensagens SMS, mídias sociais e contas de mensagens online e monetização por meio de anúncios e cliques fraudulentos. As infecções estão espalhadas globalmente em mais de 180 países, com mais de 50 marcas de dispositivos móveis comprometidos por uma cepa de malware chamada Guerilla. O malware foi documentado pela Sophos em 2018, quando descobriu 15 aplicativos carregados na Play Store que continham funcionalidades para se envolver em fraudes de cliques e atuar como backdoor. Os pesquisadores não revelaram o modus operandi exato de como os dispositivos são infectados com o firmware trojanizado contendo Guerilla, como são vendidos no mercado e quais marcas são afetadas.
Rubens Zolotujin 0 Comentários
maio 18 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • EUA oferecem recompensa de US$ 10 milhões pela captura de cibercriminoso.
    Um cidadão russo foi acusado e indiciado pelo Departamento de Justiça dos EUA (DoJ) por lançar ataques de ransomware contra “milhares de vítimas” no país e em todo o mundo. Mikhail Pavlovich Matveev, indivíduo de 30 anos, é considerado uma “figura central” no desenvolvimento e implantação das variantes de ransomware LockBit, Babuk e Hive desde junho de 2020. As demandas totais de resgate supostamente feitas pelos membros dessas três campanhas globais de ransomware para suas vítimas chegam a US$ 400 milhões, enquanto os pagamentos totais de resgate das vítimas chegam a US$ 200 milhões. O hacker foi acusado de conspirar para transmitir pedidos de resgate, e danificar computadores protegidos. Se condenado, o que é improvável, ele pode pegar mais de 20 anos de prisão. O Departamento de Estado dos EUA também anunciou um prêmio de até US$ 10 milhões por informações que levem à prisão e/ou condenação de Matveev.
  • Cibercriminosos estão abusando do console serial do Azure.
    Um ator cibernético com motivação financeira foi observado abusando do Microsoft Azure Serial Console em máquinas virtuais (VMs) para instalar ferramentas de gerenciamento remoto de terceiros em ambientes comprometidos. Esse método de ataque foi único porque evitou muitos dos métodos de detecção tradicionais empregados no Azure e forneceu ao invasor acesso administrativo total à VM. O grupo de ameaças UNC3944, veio à tona pela primeira vez no final do ano passado, e é conhecido por alavancar ataques de troca de SIM para violar empresas de telecomunicações e terceirização de processos de negócios (BPO) desde pelo menos maio de 2022. Armado com o acesso elevado, o agente da ameaça se move para pesquisar a rede de destino, explorando as extensões de VM do Azure, como Azure Network Watcher, Azure Windows Guest Agent, VMSnapshot e configuração de convidado do Azure Policy.
  • Google anuncia esta semana o lançamento de uma atualização de segurança para o Chrome.
    O Google lançou uma atualização do Chrome 113 para corrigir 12 vulnerabilidades, incluindo uma falha crítica de uso após a liberação. Rastreado como CVE-2023-2721 e relatado pelo pesquisador do Qihoo 360, Guang Gong, o problema é descrito como uma falha de uso após a liberação na navegação. Um invasor remoto pode criar uma página HTML para acionar uma corrupção de heap quando um usuário acessa a página. O invasor teria que convencer o usuário a visitar a página. Vulnerabilidades de uso após liberação são bugs de corrupção de memória que ocorrem quando o ponteiro não é limpo após a liberação da alocação de memória, o que pode levar à execução arbitrária de código, negação de serviço ou corrupção de dados.
Rubens Zolotujin 0 Comentários
maio 16 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Nova operação de Ransomware ataca servidores VMware ESXi.
    Uma nova operação de ransomware como serviço (RaaS), chamada MichaelKors, tornou-se a mais recente visando afetar sistemas Linux e VMware ESXi a partir de abril de 2023. A segmentação de hypervisors VMware ESXi com ransomware para escalar essas campanhas é uma técnica conhecida como hipervisor jackpotting. Ao longo dos anos, a abordagem foi adotada por vários grupos de ransomware, incluindo o Royal. Além do mais, uma análise do SentinelOne na semana passada revelou que 10 famílias diferentes de ransomware, incluindo Conti e REvil, utilizaram o código-fonte vazado do Babuk em setembro de 2021 para desenvolver ataques direcionados ao VMware ESXi. Parte do motivo pelo qual os hypervisors VMware estão se tornando um alvo atraente é que o software é executado diretamente em um servidor físico, concedendo a um invasor em potencial a capacidade de executar binários maliciosos e obter acesso irrestrito aos recursos subjacentes da máquina.
  • Várias vulnerabilidades foram divulgadas em plataformas de gerenciamento OT.
    Foram divulgadas várias vulnerabilidades de segurança em plataformas de gerenciamento em nuvem vinculadas a três fornecedores de roteadores celulares industriais. Essas vulnerabilidades têm o potencial de expor redes de tecnologia operacional (OT) a ataques externos. As falhas residem nas soluções de gerenciamento baseadas em nuvem oferecidas pela Sierra Wireless, Teltonika Networks e InHand Networks para gerenciar e operar dispositivos remotamente. A exploração bem-sucedida das vulnerabilidades pode representar sérios riscos para os ambientes industriais, permitindo que os adversários contornem as camadas de segurança, exfiltrem informações confidenciais e executem códigos remotamente nas redes internas. Cada fornecedor de roteadores celulares industriais possui suas próprias vulnerabilidades específicas que podem ser exploradas pelos invasores.
  • RA Group ransomware atinge organizações dos EUA e Coréia do Sul.
    Um novo grupo de ransomware conhecido como RA Group tornou-se o mais recente agente de ameaças a aproveitar o código-fonte vazado do ransomware Babuk para gerar sua própria variante. A gangue que supostamente opera desde pelo menos 22 de abril de 2023, até o momento comprometeu três organizações nos EUA e uma na Coreia do Sul em vários setores de negócios, incluindo manufatura, gestão de patrimônio, seguradoras e produtos farmacêuticos. O RA Group não é diferente de outras gangues de ransomware porque lança ataques duplos de extorsão e administra um site de vazamento de dados para aplicar pressão adicional sobre as vítimas para que paguem resgates. O binário baseado no Windows emprega criptografia intermitente para acelerar o processo e evitar a detecção, sem mencionar a exclusão de cópias de sombra de volume e conteúdo da Lixeira da máquina.
Rubens Zolotujin 0 Comentários
maio 12 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Google anuncia novos recursos de privacidade e segurança em seus serviços.
    O Google revelou uma série de novos recursos de privacidade, segurança e proteção em sua conferência anual de desenvolvedores, Google I/O. As últimas iniciativas da gigante de tecnologia visam proteger seus usuários contra ameaças cibernéticas, incluindo ataques de phishing e sites maliciosos, ao mesmo tempo em que fornecem mais controle e transparência sobre seus dados pessoais. Entre os recursos recém introduzidos, o primeiro da lista é o controle de dados aprimorado e a transparência. O Google lançou uma atualização para seu sistema operacional Android que permite aos usuários controlar melhor o compartilhamento de localização por meio de aplicativos instalados em seus dispositivos. Além disso, a empresa disse que está expandindo os relatórios da dark web para todos os usuários com uma conta do Gmail nos EUA para alertar se seus dados confidenciais estiverem circulando em sites não indexados pelos mecanismos de pesquisa.
  • Nova ferramenta esta sendo utilizada em campanhas de Phishing.
    A ferramenta Greatness incorpora recursos vistos em algumas plataformas maliciosas de phishing (PaaS), como bypass de autenticação multifator (MFA), filtragem de IP e integração com bots do Telegram. Os cibercriminosos estão utilizando a plataforma para desenvolver campanhas voltadas ao Office 365, fornecendo a seus afiliados um construtor de anexos e links. Ele contém recursos como ter o endereço de e-mail da vítima pré-preenchido e exibir o logotipo da empresa e a imagem de plano de fundo apropriadas, extraídos da página de login real do Microsoft 365 da organização de destino. Isso torna o Greatness particularmente adequado para usuários corporativos de phishing.
  • Novo decodificador de ransomware recupera dados de arquivos parcialmente criptografados.
    Um novo descriptografador de ransomware ‘White Phoenix’ permite que as vítimas recuperem parcialmente arquivos criptografados por variedades de ransomware que usam criptografia intermitente. A criptografia intermitente é uma estratégia empregada por vários grupos de ransomware que alterna entre criptografar e não criptografar blocos de dados. Esse método permite que um arquivo seja criptografado muito mais rapidamente, deixando os dados inutilizáveis pela vítima. Em setembro de 2022, o Sentinel Labs relatou que a criptografia intermitente está ganhando força no espaço do ransomware, com todos os grandes RaaS oferecendo-a pelo menos como uma opção para seus afiliados. Os analistas relatam que sua ferramenta automatizada de recuperação de dados deve funcionar bem para os tipos de arquivo mencionados criptografados pelas seguintes cepas de ransomware: BlackCat, Qilin/Agenda, BianLian e DarkBit.
Rubens Zolotujin 0 Comentários
maio 11 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Twitter finalmente lança suporte para mensagens criptografadas.
    O Twitter está oficialmente lançando o suporte para mensagens diretas criptografadas (DMs) na plataforma, mais de seis meses depois que seu presidente-executivo, Elon Musk, confirmou os planos para o recurso. A Fase 1 da iniciativa aparecerá como conversas separadas junto com as mensagens diretas existentes nas caixas de entrada dos usuários. Os bate-papos criptografados carregam um emblema de ícone de cadeado para diferenciá-los visualmente. Dito isso, o recurso de aceitação está atualmente limitado a usuários verificados ou afiliados a uma organização verificada. Também é essencial que o remetente e o destinatário estejam nas versões mais recentes dos aplicativos do Twitter para Android, iOS e Web para desktop. Outro critério para enviar e receber mensagens criptografadas é que o destinatário deve seguir o remetente, ter enviado uma mensagem ao remetente no passado ou ter aceitado uma solicitação de mensagem direta do remetente em algum momento. Embora o Twitter não tenha divulgado o método exato que usa para proteger as conversas, a empresa disse que emprega uma “combinação de fortes esquemas criptográficos” para criptografar mensagens, links e reações dos usuários.
  • GitHub estende a proteção push para evitar vazamentos acidentais.
    O GitHub anunciou a disponibilidade geral de um novo recurso de segurança chamado push protection, que visa impedir que os desenvolvedores vazem inadvertidamente chaves e outros segredos em seu código. A plataforma de hospedagem de repositório da Microsoft, que começou a testar o recurso há um ano, disse que também está estendendo a proteção push a todos os repositórios públicos sem nenhum custo extra. A funcionalidade foi projetada para trabalhar lado a lado com o recurso de verificação secreta existente, que verifica repositórios em busca de formatos secretos conhecidos para impedir seu uso fraudulento e evitar consequências potencialmente graves.
  • Especialistas detalham nova falha de roubo de credenciais no Windows.
    Pesquisadores de segurança cibernética compartilharam detalhes sobre uma falha de segurança corrigida na plataforma Windows MSHTML que pode ser abusada para ignorar as proteções de integridade nas máquinas visadas. A vulnerabilidade, rastreada como CVE-2023-29324, foi descrita como um bypass de recurso de segurança. Ela foi resolvida pela Microsoft como parte de suas atualizações do Patch Tuesday para maio de 2023. O pesquisador de segurança da Akamai, Ben Barnea, que descobriu e relatou o bug, observou que todas as versões do Windows foram afetadas, mas apontou que os servidores Microsoft e Exchange com a atualização de março omitem o recurso vulnerável. Para ficar com o ambiente totalmente protegido, a Microsoft está recomendando aos usuários que instalem atualizações cumulativas para solucionar vulnerabilidades na plataforma MSHTML e no mecanismo de script.
Rubens Zolotujin 0 Comentários