jun 23 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Empresa americana ignora solicitação da CISA para corrigir falhas exploráveis remotamente.
    A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) divulgou esta semana alertas detalhando duas vulnerabilidades não corrigidas nos produtos Enphase. Na terça-feira, a CISA publicou dois alertas do ICS para alertar sobre vulnerabilidades nos produtos Enphase que podem levar a vazamentos de informações ou execução de comandos. Ambos são considerados remotamente exploráveis com baixa complexidade de ataque. A CISA adverte que o Enphase Installer Toolkit para Android versões 3.27.0 e anteriores contém credenciais codificadas que um invasor pode usar para obter acesso a dados confidenciais. O Enphase Installer Toolkit está atualmente disponível para download como versão 3.30.0 para Android e iOS. De acordo com a CISA, a Enphase Energy não respondeu aos pedidos para trabalhar com a agência no tratamento dessas vulnerabilidades. Ambos os problemas foram relatados por um pesquisador de segurança usando apenas o identificador ‘OBSWCY3F’.
  • Código para exploração do bug no Cisco AnyConnect já esta disponível.
    O código de exploração de prova de conceito agora está disponível para uma falha de alta gravidade no Cisco Secure Client Software para Windows (anteriormente AnyConnect Secure Mobility Client) que pode permitir que invasores elevem privilégios para system. O Cisco Secure Client ajuda os funcionários a trabalhar de qualquer lugar usando uma rede privada virtual (VPN) segura e fornece aos administradores de rede recursos de telemetria e gerenciamento de terminais. A vulnerabilidade (rastreada como CVE-2023-20178) pode permitir que agentes de ameaças autenticados escalem privilégios para a conta SYSTEM usada pelo sistema operacional Windows em ataques de baixa complexidade que não requerem interação do usuário. No início desta semana, o código de exploração de prova de conceito (PoC) foi publicado pelo pesquisador de segurança Filip Dragovic, que encontrou e relatou a vulnerabilidade de exclusão de arquivo arbitrário à Cisco.
  • Milhões de repositórios do GitHub estão vulneráveis ao ataque RepoJacking.
    A vulnerabilidade da cadeia de suprimentos, também conhecida como sequestro de repositório de dependência, é uma classe de ataques que permite assumir o controle de organizações ou nomes de usuário aposentados e publicar versões trojanizadas de repositórios para executar códigos maliciosos. Uma análise de um subconjunto de 1,25 milhão de repositórios no mês de junho de 2019 revelou que até 36.983 repositórios eram vulneráveis ao RepoJacking, denotando uma taxa de sucesso de 2,95%. Esta não é a primeira vez que tais preocupações são levantadas. Em outubro de 2022, o GitHub mudou-se para fechar uma brecha de segurança que poderia ter sido explorada para criar repositórios maliciosos e montar ataques à cadeia de suprimentos contornando a desativação de namespace de repositório popular.
Rubens Zolotujin 0 Comentários
jun 19 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Especialistas em Cibersegurança se Reuniram no HackerSec Conference 2023.
    No último sábado 17/06, ocorreu a quarta edição do HackerSec Conference, um evento que já se tornou referência no cenário de cibersegurança no Brasil. Promovido pela HackerSec, empresa líder em cibersegurança, o evento teve lugar no Teatro Gazeta, localizado na Avenida Paulista, uma das regiões mais emblemáticas da cidade de São Paulo. O evento reuniu profissionais e entusiastas da área de cibersegurança, criando uma oportunidade única para networking e aprendizado. Entre os participantes, estiveram presentes especialistas renomados que compartilharam suas experiências, conhecimentos e perspectivas sobre os desafios e tendências sobre o futuro da cibersegurança. O HackerSec Conference 2023 explorou as complexidades do cenário de ameaças em constante evolução e como os profissionais podem se adaptar para proteger as organanizações e empresas. Os palestrantes abordaram temas como proteção contra ataques cibernéticos, a importância da educação em cibersegurança, inovações tecnológicas na área, e as práticas de segurança mais eficazes.
  • Microsoft Enfrenta Ataques DDoS que Impactam Azure, Outlook e OneDrive.
    A Microsoft atribuiu uma série de interrupções de serviço que afetaram Azure, Outlook e OneDrive no início deste mês a um agente de ameaças que a empresa monitora sob o nome Storm-1359. A empresa afirmou que os ataques provavelmente envolveram o acesso a vários servidores virtuais privados (VPS), infraestrutura de nuvem alugada, proxies abertos e ferramentas DDoS. Storm-1359 é uma designação temporária que a Microsoft usa para grupos desconhecidos, emergentes ou em desenvolvimento cuja identidade ou afiliação ainda não foi definitivamente estabelecida. Os ataques incluíam um alto volume de solicitações HTTP(S); bypass de cache, onde o atacante tentava contornar a camada de CDN e sobrecarregar os servidores de origem; e uma técnica conhecida como Slowloris, que força o servidor web a manter a conexão aberta e o recurso solicitado na memória.
  • Gangue de ransomware Clop começa a extorquir vítimas.
    A gangue de ransomware conhecida como Clop iniciou uma nova tática para aumentar a pressão sobre suas vítimas: ameaçar vazar seus dados roubados. O grupo, que é conhecido por criptografar os sistemas das vítimas e exigir resgate para desbloqueá-los, agora começou a extorquir aqueles que tiveram seus dados roubados através do software de transferência de arquivos MoveIt. O Clop adotou uma abordagem dupla para a extorsão, criptografando os arquivos das vítimas e, ao mesmo tempo, ameaçando vazá-los publicamente se não pagarem o resgate exigido. A gangue também criou um site na deep web para divulgar as informações confidenciais de suas vítimas. O MoveIt é um software de transferência de arquivos muito usado por empresas para compartilhar documentos sensíveis.
Rubens Zolotujin 0 Comentários
jun 14 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Dia 17 de junho, evento de Cibersegurança em São Paulo
    Neste próximo sábado, dia 17 de junho, ocorrerá o HackerSec Conference 2023. O evento, promovido pela empresa referência em cibersegurança, HackerSec, realizará sua quarta edição no Teatro Gazeta, um dos principais teatros do Brasil, localizado na Avenida Paulista. É uma oportunidade única para se conectar com profissionais experientes e aprender sobre as últimas tendências e desafios da área de cibersegurança. “O HackerSec Conference também se destaca como um local perfeito para estabelecer parcerias estratégicas e ampliar sua rede de contatos. As conexões que você fará durante a conferência podem abrir novas portas e ser a chave para o próximo passo da sua carreira ou do seu negócio”, diz Andrew Martinez, CEO da HackerSec. Será um dia inteiro de palestras, com a abertura do evento programada para as 10h.
  • Pesquisadores descobrem bug no instalador do Microsoft Visual Studio.
    Pesquisadores de segurança alertaram sobre uma falha “facilmente explorável” no instalador do Microsoft Visual Studio que pode ser usada por um ator mal-intencionado para se passar por um editor legítimo e distribuir extensões maliciosas. A vulnerabilidade, rastreada como CVE-2023-28299, foi corrigida pela Microsoft como parte de suas atualizações do Patch Tuesday de abril de 2023, descrevendo-a como uma falha de falsificação. Especificamente, o bug ignora uma restrição que impede os usuários de inserir informações na propriedade de extensão “nome do produto” abrindo um pacote do Visual Studio Extension ( VSIX ) como um arquivo .ZIP e, em seguida, adicionando manualmente caracteres de nova linha à marca “DisplayName” no arquivo “extension.vsixmanifest”. Ao introduzir caracteres de nova linha suficientes no arquivo vsixmanifest e adicionar texto falso de “Assinatura Digital”, descobriu-se que os avisos sobre a extensão não ser assinada digitalmente poderiam ser facilmente suprimidos, enganando assim um desenvolvedor para instalá-lo.
  • Microsoft alerta sobre ataques de phishing contra organizações financeiras.
    Uma campanha de phishing Adversary-in-the-Middle (AitM) e ataque BEC recém-descoberta tem como alvo organizações bancárias e financeiras. De acordo com a Microsoft, o ataque se originou de um fornecedor confiável comprometido e fez a transição para uma série de ataques AitM e BEC. Durante esse período, os invasores abusaram do relacionamento de confiança entre vendedores, fornecedores e outras organizações parceiras para lançar fraudes financeiras. O ataque começou com um e-mail de phishing de um fornecedor confiável, que continha um código exclusivo de sete dígitos como assunto. O kit de phishing permitiu que os invasores enviassem mais de 16.000 e-mails para os contatos de um alvo como parte da campanha de phishing de segundo estágio.
Rubens Zolotujin 0 Comentários
jun 9 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Especialistas revelam exploração para vulnerabilidade recente em sistemas Windows.
    A vulnerabilidade, rastreada como CVE-2023-29336, é classificada como um bug de elevação de privilégio no componente Win32k. “Um invasor que explorou com sucesso esta vulnerabilidade pode obter privilégios elevados no sistema”, divulgou a Microsoft em um comunicado divulgado como parte das atualizações do Patch Tuesday. Os pesquisadores da Avast Jan Vojtěšek, Milánek e Luigino Camastra receberam o crédito por descobrir e relatar a falha. Win32k.sys é um driver de modo kernel e parte integrante da arquitetura do Windows, sendo responsável pela interface gráfica do dispositivo (GUI) e pelo gerenciamento de janelas. As vulnerabilidades do Win32k são bem conhecidas na história do Windows. No entanto, na versão mais recente do Windows 11, a Microsoft tentou refatorar esta parte do código do kernel usando Rust. Isso pode eliminar tais vulnerabilidades no novo sistema muito em breve.
  • Cisco lança atualizações para falhas críticas de segurança.
    A Cisco lançou correções para uma falha crítica em seu Expressway Series e TelePresence Video Communication Server (VCS) que pode permitir que um invasor autenticado com credenciais somente leitura em nível de administrador eleve seus privilégios para administrador com credenciais de leitura e gravação em um sistema afetado. A falha de escalonamento de privilégio (CVE-2023-20105), decorre do tratamento incorreto de solicitações de alteração de senha, permitindo assim que um invasor altere as senhas de qualquer usuário no sistema, incluindo uma leitura e gravação administrativa usuário e, em seguida, representar esse usuário. Uma segunda vulnerabilidade de alta gravidade no mesmo produto (CVE-2023-20192) pode permitir que um invasor local autenticado execute comandos e modifique os parâmetros de configuração do sistema.
  • Zoom expande opções de privacidade para clientes europeus.
    A Zoom anunciou uma série de recursos de privacidade de dados, desenvolvidos em colaboração com a organização holandesa de educação e pesquisa SURF, para seus clientes europeus. O elemento-chave é a opção de armazenamento de dados do Espaço Econômico Europeu (EEA). Os clientes pagos poderão especificar determinados dados para reuniões, webinars e bate-papo da equipe a serem armazenados no EEE. “Esses dados serão compartilhados apenas com equipes dos EUA em casos individuais e circunstâncias excepcionais, como com a equipe de Trust & Safety da Zoom”, diz o anúncio. Um segundo anúncio importante é a disponibilização de uma ferramenta para facilitar as solicitações de acesso do titular dos dados (DSAR). Isso permite, que os administradores respondam facilmente às solicitações dos titulares de dados para acesso ou exclusão de seus dados pessoais para Zoom Meetings, Webinars e Team Chat.
Rubens Zolotujin 0 Comentários
jun 8 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Novo malware PowerDrop visando a indústria aeroespacial dos EUA.
    Um ator de ameaça desconhecido foi observado visando a indústria aeroespacial dos EUA com um novo malware baseado em PowerShell chamado PowerDrop. Segundo os pesquisadores, o PowerDrop foi implantado em um empreiteiro domestico de defesa aeroespacial e usa técnicas avançadas para evitar a detecção, codificação e criptografia. O PowerDrop também é uma ferramenta de pós-exploração, o que significa que foi projetada para coletar informações das redes das vítimas após obter o acesso inicial por outros meios. Além do mais, o comando PowerShell é executado por meio do serviço Windows Management Instrumentation (WMI), indicando as tentativas do adversário de alavancar táticas de sobrevivência para contornar a detecção.
  • VMware corrige vulnerabilidades críticas na ferramenta de análise de rede vRealize.
    A VMware emitiu vários patches de segurança hoje para lidar com vulnerabilidades críticas e de alta gravidade no VMware Aria Operations for Networks, permitindo que invasores obtenham execução remota ou acessem informações confidenciais. Anteriormente conhecida como vRealize Network Insight (vRNI), essa ferramenta de visibilidade e análise de rede ajuda os administradores a otimizar o desempenho da rede ou gerenciar e dimensionar várias implantações VMware e Kubernetes. O mais grave dos três bugs de segurança corrigidos hoje é uma vulnerabilidade de injeção de comando rastreada como CVE-2023-20887, que agentes de ameaças não autenticados podem explorar em ataques de baixa complexidade que não requerem interação do usuário. A WMware diz que não há soluções disponíveis para remover o vetor de ataque, portanto, os administradores devem corrigir todas as instalações locais do VMware Aria Operations Networks 6.x para protegê-las contra ataques. Em abril, a VMware também corrigiu um bug crítico que permitia que invasores executassem código como root na ferramenta de análise de log do vRealize Log Insight.
  • Cibercriminosos se aproveitam do uso do ChatGPT para atacar usuários.
    As técnicas tradicionais de malware estão aproveitando cada vez mais o interesse no ChatGPT e outros programas geradores de IA, de acordo com um relatório da Palo Alto Networks sobre tendências de malware. Entre novembro de 2022 e abril de 2023, houve um aumento de 910% nos registros mensais de domínios, benignos e maliciosos, relacionados ao ChatGPT. A popularidade do ChatGPT também levou ao aparecimento de grayware relacionado, que é um software que fica entre malicioso e benigno. Esta categoria inclui adware, spyware e programas potencialmente indesejados. Grayware pode não ser explicitamente prejudicial, mas ainda pode causar problemas ou invadir a privacidade das pessoas. Além disso, houve um aumento de 55% nas tentativas de exploração de vulnerabilidades, por cliente, em média, no ano passado.
Rubens Zolotujin 0 Comentários
jun 7 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Apple revela os próximos recursos de privacidade e segurança.
    Na Conferência Mundial de Desenvolvedores de 2023 , a Apple detalhou novos recursos de privacidade e segurança que serão lançados em seus dispositivos ainda este ano. O navegador Safari da Apple está recebendo um modo de navegação privada aprimorado, que será bloqueado quando não estiver em uso, para que os usuários possam deixar as guias abertas mesmo que precisem se afastar do dispositivo. A navegação privada do Safari também oferecerá proteções avançadas de rastreamento e impressão digital, para evitar que sites usem as tecnologias mais recentes para rastrear e identificar usuários, diz a Apple. Para proteger ainda mais a privacidade dos usuários, os aplicativos de mensagens e e-mail da Apple removerão das URLs qualquer informação que os sites possam usar para rastrear usuários pela Internet. A navegação privada do Safari também removerá essas informações.
  • Atualização de segurança do Android corrige falha explorada por Spyware.
    O Google lançou a atualização de segurança mensal para a plataforma Android, adicionando correções para 56 vulnerabilidades, cinco delas com classificação de gravidade crítica e uma explorada desde pelo menos dezembro passado. O novo nível do patch de segurança 2023-06-05 integra um patch para CVE-2022-22706, uma falha de alta gravidade no driver do kernel da GPU do Mali da Arm que o Threat Analysis Group (TAG) do Google acredita que pode ter sido usado em uma campanha de Spyware segmentada para telefones Samsung. Dispositivos com Android 10 ou anterior não são mais compatíveis e não receberão esta atualização de segurança. Vale a pena notar que a Samsung abordou a CVE-2022-22706 em sua atualização de maio de 2023.
  • Microsoft reserva US$ 425 milhões para multa antecipada da GDPR.
    A Microsoft está alertando os investidores de que pode receber uma multa de reguladores europeus de privacidade por publicidade direcionada em sua rede social LinkedIn. A gigante da computação comprou o LinkedIn em 2016 por US$ 26 bilhões, dois anos antes da entrada em vigor do Regulamento Geral de Proteção de Dados da União Europeia. As autoridades europeias de proteção de dados demonstraram maior disposição de usar o GDPR para limitar a publicidade direcionada por motivos de privacidade. Em uma divulgação na quinta-feira, a Microsoft disse que recebeu uma notificação da Comissão Irlandesa de Proteção de Dados em abril dizendo que a agência pretende impor uma multa ao concluir uma investigação sobre uma reclamação de 2018 afirmando que a publicidade direcionada no LinkedIn e outros sites violam a lei. A Microsoft diz que está aumentando o tamanho de um fundo de reserva e assumirá um encargo de aproximadamente US$ 425 milhões no quarto trimestre deste ano.
Rubens Zolotujin 0 Comentários
jun 6 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Extensões maliciosas do Chrome com 75 milhões de instalações foram removidas da Web Store.
    O Google removeu da Chrome Web Store 32 extensões maliciosas que podem alterar os resultados da pesquisa e enviar spam ou anúncios indesejados. Coletivamente, eles vêm com uma contagem de download de 75 milhões. As extensões apresentavam funcionalidade legítima para manter os usuários inconscientes do comportamento malicioso que vinha no código ofuscado para entregar as cargas úteis. O pesquisador de segurança cibernética Wladimir Palant analisou a extensão PDF Toolbox (2 milhões de downloads) disponível na Chrome Web Store e descobriu que incluía um código disfarçado com uma API de extensão legítima. O potencial de abuso varia desde a inserção de anúncios em páginas Web até o roubo de informações confidenciais. O pesquisador também notou que o código foi configurado para ativar 24 horas após a instalação da extensão, comportamento normalmente associado a intenções maliciosas.
  • Windows 11 exigirá assinatura SMB para evitar ataques NTLM.
    A Microsoft diz que a assinatura SMB será exigida por padrão para todas as conexões para se defender contra ataques de retransmissão NTLM, começando com a versão atual do Windows sendo lançada para Insiders no Canary Channel. Nesses ataques, os agentes de ameaças forçam os dispositivos de rede (incluindo controladores de domínio) a se autenticar em servidores mal-intencionados sob o controle dos invasores para representá-los e elevar privilégios para obter controle total sobre os sistemas windows. “Isso muda o comportamento legado, onde o Windows 10 e 11 exigiam assinatura SMB por padrão apenas ao conectar-se a compartilhamentos chamados SYSVOL e NETLOGON e onde os controladores de domínio do Active Directory exigiam assinatura SMB quando qualquer cliente estivesse conectado a eles”, disse a Microsoft.
  • Gigabyte lança atualizações de BIOS para remover backdoor de placas-mãe.
    A fabricante taiwanesa de componentes de computador Gigabyte anunciou atualizações de BIOS destinadas a remover um recurso que foi encontrado recentemente em centenas de suas placas-mãe. O problema, divulgado na semana passada compromete o firmware de mais de 270 placas-mãe Gigabyte e descarta um binário do Windows que é executado na inicialização para buscar e executar uma carga útil dos servidores da Gigabyte. “Os engenheiros da Gigabyte já mitigaram os riscos potenciais e carregaram o BIOS Beta da série Intel 700/600 e AMD 500/400 no site oficial após realizar testes completos e validação do novo BIOS nas placas-mãe Gigabyte”, anunciou a empresa no final da semana passada. A atualização implementa verificações de segurança mais rígidas durante a inicialização do sistema, incluindo validação aprimorada para arquivos baixados de servidores remotos e verificação padrão de certificados de servidor remoto.
Rubens Zolotujin 0 Comentários
jun 5 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Vulnerabilidades de Alta Gravidade são Corrigidas no Splunk Enterprise.
    Na última quinta-feira (02), a Splunk anunciou atualizações de segurança para o Splunk Enterprise que resolvem várias vulnerabilidades de alta gravidade. A mais grave dessas é a CVE-2023-32707, um problema de escalonamento de privilégios que permite a usuários com baixos privilégios, aumentar os privilégios para administrador, através de uma solicitação web especialmente criada. Outra vulnerabilidade de alta gravidade abordada no Splunk Enterprise é a CVE-2023-32708, um problema de divisão de resposta HTTP que permite a um usuário com baixos privilégios acessar outros endpoints REST no sistema e visualizar conteúdo restrito. A Splunk também resolveu várias questões graves em pacotes de terceiros usados no Splunk Enterprise, como Libxml2, OpenSSL, Curl, Libarchive, SQLite, Go, entre outros. Algumas dessas vulnerabilidades são conhecidas publicamente há mais de quatro anos.
  • Novo Ransomware BlackSuit ataca sistemas Windows e Linux.
    Pesquisadores descobriram uma nova família de ransomware chamada BlackSuit, capaz de atacar sistemas Windows e Linux. Este ransomware apresenta semelhanças notáveis com o conhecido ransomware Royal, sugerindo que pode ser um novo afiliado ou um reuso do código fonte do Royal. O ransomware adiciona a extensão de arquivo .blacksuit aos arquivos criptografados e deixa uma nota de resgate que inclui informações sobre o ataque, um ID único para a vítima e um link para comunicação via chat na rede TOR. Além disso, os operadores do malware usam um site de vazamento de dados para postar dados vazados caso a vítima não pague o resgate.
  • Nova exploração Zero Click visa dispositivos iOS.
    Uma ameaça persistente avançada (APT) previamente desconhecida está visando dispositivos iOS como parte de uma campanha móvel sofisticada. “Os alvos são infectados usando exploits de zero clique por meio da plataforma iMessage, e o malware funciona com privilégios de root, obtendo controle total sobre o dispositivo e os dados do usuário”, disse a Kaspersky. A empresa russa de cibersegurança disse que descobriu vestígios de comprometimento após criar backups offline dos dispositivos alvo. A cadeia de ataque começa com o dispositivo iOS recebendo uma mensagem via iMessage que contém um anexo com o exploit. O implante, que funciona com privilégios de root, é capaz de coletar informações sensíveis e equipado para executar código baixado como módulos de plugin do servidor. Além disso, o spyware também transmite silenciosamente informações privadas para servidores remotos: gravações de microfone, fotos de mensageiros instantâneos, geolocalização e dados sobre várias outras atividades do proprietário do dispositivo infectado.
Rubens Zolotujin 0 Comentários
jun 2 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Toyota descobre servidores mal configurados vazando informações de clientes.
    A montadora Toyota descobriu recentemente que mais servidores estavam mal configurados, resultando no vazamento de informações de seus clientes. Essa falha de segurança expôs dados confidenciais, como nomes, endereços, números de telefone e outras informações pessoais de milhares de pessoas. Os servidores mal configurados foram encontrados durante uma investigação interna realizada pela equipe de segurança da Toyota. Essa investigação foi iniciada após um incidente anterior, no qual servidores desprotegidos também vazaram informações dos clientes. Os servidores mal configurados estavam acessíveis na internet sem autenticação adequada, permitindo o acesso não autorizado aos dados dos clientes. Essa descoberta levantou preocupações sobre a segurança das informações pessoais dos proprietários de veículos da Toyota. A montadora afirmou que está tomando medidas para corrigir as configurações inadequadas e fortalecer a segurança de seus servidores.
  • Terminator Antivirus Killer está comprometendo sistemas Windows.
    Foi descoberto recentemente um programa chamado Terminator Antivirus Killer que, na verdade, é um driver disfarçado para o sistema operacional Windows. No entanto, esse driver possui vulnerabilidades significativas que podem comprometer a segurança do sistema. O Terminator Antivirus Killer é apresentado como um software antivírus poderoso que promete proteger os usuários contra ameaças cibernéticas. No entanto, pesquisadores de segurança descobriram que, por trás dessa fachada, o programa é, na verdade, um driver malicioso. Esse driver vulnerável pode ser explorado por atacantes para executar código arbitrário no sistema, permitindo o controle remoto e a instalação de malware. Além disso, o Terminator Antivirus Killer não possui mecanismos adequados de segurança e proteção, o que torna ainda mais perigoso.
  • Gangues de ransomware adotam práticas comerciais para alavancar os lucros.
    Recentemente, foi revelado que grupos criminosos envolvidos em ataques de ransomware estão adotando práticas comerciais preocupantes. Esses grupos estão se tornando mais organizados e profissionais, transformando o ransomware em uma verdadeira operação comercial lucrativa. Os criminosos estão adotando uma abordagem de negócios, criando modelos de receita complexos e estabelecendo parcerias para maximizar seus ganhos financeiros. Eles estão desenvolvendo redes sofisticadas, com divisão de tarefas e especialização, para tornar seus ataques mais eficazes e difíceis de rastrear. Além disso, os grupos de ransomware estão aprimorando suas táticas de extorsão. Eles estão usando técnicas de engenharia social avançadas para convencer as vítimas a pagar os resgates exigidos, muitas vezes ameaçando vazar dados sensíveis ou prejudicar a reputação da empresa caso o pagamento não seja feito.
Rubens Zolotujin 0 Comentários
jun 1 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos atacam instâncias Apache NiFi para mineração de criptomoeda.
    Um agente de ameaça com motivação financeira está vasculhando ativamente a Internet em busca de instâncias Apache NiFi desprotegidas para instalar um minerador de criptomoeda. Os ataques também envolvem a execução de shell script projetado para coletar chaves SSH do host infectado para se conectar a outros sistemas dentro da organização da vítima. Devido ao seu uso como plataforma de processamento de dados, os servidores NiFi geralmente têm acesso a dados críticos para os negócios. Os servidores NiFi provavelmente são alvos atraentes, pois são configurados com CPUs maiores para suportar tarefas de transformação de dados. O ataque é trivial se o servidor NiFi não estiver protegido.
  • Falha crítica de firmware em sistemas Gigabyte expõe aproximadamente 7 milhões de dispositivos.
    Pesquisadores de cibersegurança descobriram um comportamento semelhante a um “backdoor” nos sistemas Gigabyte, que permite que o firmware UEFI desses dispositivos instale um executável do Windows e recupere atualizações de maneira insegura. A anomalia foi inicialmente detectada em abril de 2023 e a Gigabyte já reconheceu e corrigiu o problema. A maioria dos firmwares da Gigabyte inclui um executável Windows Native Binary embutido no firmware UEFI. Esse executável é gravado no disco e executado como parte do processo de inicialização do Windows, semelhante ao ataque LoJack double agent. O executável, está incorporado no firmware UEFI e é gravado no disco pelo firmware como parte do processo de inicialização do sistema, sendo posteriormente lançado como um serviço de atualização.
  • Microsoft detalha vulnerabilidade crítica no macOS da Apple.
    A Microsoft compartilhou detalhes de uma falha agora corrigida no Apple macOS que pode ser abusada por agentes de ameaças com acesso root para contornar as imposições de segurança e executar ações arbitrárias nos dispositivos afetados. A falha apelidada de Migraine e rastreada como CVE-2023-32369, pode ser usada para contornar uma importante medida de segurança chamada System Integrity Protection ( SIP ), que limita as ações que o usuário root pode executar em computadores protegidos. Pior ainda, pode ser explorado para obter a execução arbitrária do código do kernel e até mesmo acessar dados confidenciais, substituindo os bancos de dados que gerenciam as políticas de Transparência, Consentimento e Controle (TCC). O desvio é possível graças ao uso de uma ferramenta integrada do macOS chamada Migration Assistant para ativar o processo de migração por meio de um AppleScript projetado para lançar uma carga arbitrária. Como resultado, um agente de ameaça que já possui recursos de execução de código como root pode acionar systemmigrationd para executar perl, que pode ser usado para executar um script de shell malicioso enquanto o processo de migração está em andamento.
Rubens Zolotujin 0 Comentários