BOLETIM DIÁRIO DE CIBERSEGURANÇA

Home  ›  Boletim  ›  BOLETIM DIÁRIO DE CIBERSEGURANÇA
BOLETIM DIÁRIO DE CIBERSEGURANÇA
abril 21, 2023 No Comments Boletim Rubens Zolotujin

  • APT28 usa vulnerabilidade em roteadores Cisco para implantar malware.
    A NSA, a CISA e o FBI publicaram um comunicado conjunto delineando como o grupo de hackers russo APT28 está explorando roteadores Cisco. O APT28 tem implantado malware nos roteadores não corrigidos desde 2021. Esta campanha afetou alguns roteadores localizados na Europa e instituições governamentais dos EUA, bem como cerca de 250 indivíduos. Foi explorado o bug CVE-2017-6742 para implantar um malware personalizado conhecido como Jaguar Tooth. Após a instalação, o malware extrai informações do roteador e concede acesso não autorizado ao dispositivo. Esse malware permite que os invasores obtenham acesso a contas locais sem a necessidade de autenticação ao se conectar via Telnet ou sessão física. Além disso, o Jaguar Tooth gera um novo processo conhecido como ‘Service Policy Lock’, que coleta a saída de comandos específicos da interface de linha de comando (CLI) e a transfere usando o Trivial File Transfer Protocol (TFTP).
  • Cibercriminosos armazenam malware no Google Drive com arquivos ZIP para evitar a detecção.
    O Google divulgou o relatório do horizonte de ameaças de abril de 2023, que mostrava vários métodos usados pelos agentes de ameaças para escapar dos sistemas de segurança. A Equipe de Ação de Cibersegurança do Google ( GCAT ) pesquisaram uma lista de técnicas e métodos usados por agentes de ameaças durante o período para penetrar nos ambientes e outras atividades maliciosas. As observações durante o quarto trimestre de 2022 mostraram uma técnica em que os agentes de ameaças armazenavam arquivos maliciosos no Google Drive com arquivos ZIP criptografados para evitar a detecção. Uma campanha de malware também distribuiu malware URSNIF, um bot bancário e software de intrusão hospedando o binário URSNIF no Google Drive. Os criminosos usam e-mails de phishing para induzir as vítimas a baixar os arquivos ZIP maliciosos protegidos por senha, que instalarão o malware na máquina da vítima.
  • Servidores Microsoft SQL foram hackeados para implantar o ransomware Trigona.
    Os cibercriminosos estão invadindo servidores Microsoft SQL (MS-SQL) expostos para implantar cargas úteis do ransomware Trigona e criptografar todos os arquivos. Os servidores MS-SQL estão sendo violados por meio de ataques de força bruta ou de dicionário que se aproveitam de credenciais de contas. Eles também configuram o binário do ransomware para iniciar automaticamente em cada reinicialização do sistema por meio de uma chave de execução automática do Windows para garantir que os sistemas sejam criptografados mesmo após uma reinicialização. Antes de criptografar o sistema e implantar as notas de resgate, o malware desativa a recuperação do sistema e exclui todas as cópias do Windows Volume Shadow, impossibilitando a recuperação sem a chave de descriptografia.
Sobre o Autor
Rubens Zolotujin Rubens Zolotujin, renomado fundador da Luigi Tecnologia, é um visionário na área de segurança cibernética. Com um compromisso inabalável com a excelência, ele lidera sua empresa na missão de oferecer soluções de segurança de alta qualidade para empresas de todos os tamanhos. Com uma carreira pautada pela inovação e expertise em cibersegurança, Rubens se destacou como um líder respeitado no setor.

Leave a reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.