BOLETIM DIÁRIO DE CIBERSEGURANÇA

• Ransomware LockBit paralisa operação de um dos maiores bancos do mundo.
  O Industrial and Commercial Bank of China (ICBC), um dos maiores bancos do mundo, está lidando com um ataque de ransomware. O Financial Times foi o primeiro a noticiar que o ICBC, banco estatal chinês e o maior do país com receitas de $214.7 bilhões em 2022, foi atingido por um ransomware na último dia (09). A Securities Industry and Financial Markets Association, um grupo comercial que representa firmas de valores mobiliários, bancos e empresas de gestão de ativos, supostamente enviou uma mensagem aos seus membros sobre o incidente após certas negociações no mercado de títulos do Tesouro dos EUA não conseguirem ser concluídas. Fontes informaram ao Financial Times que o grupo de ransomware LockBit estava por trás do ataque. O grupo realizou vários grandes ataques a governos, empresas e organizações ao longo de 2023, superando qualquer outro grupo de ransomware atualmente em operação. O banco informou a vários clientes que um problema de cibersegurança exigiria que eles redirecionassem algumas negociações.
• Invasores aproveitam falha no Confluence para instalar backdoor Effluence.
  Pesquisadores de cibersegurança descobriram um backdoor furtivo chamado Effluence, que é implantado após a exploração bem-sucedida de uma falha de segurança recentemente divulgada no Atlassian Confluence Data Center e Server. O malware atua como um backdoor persistente e não é remediado pela aplicação de patches no Confluence. O backdoor oferece capacidade para movimentação lateral para outros recursos de rede, além da exfiltração de dados do Confluence. Importante destacar que os atacantes podem acessar o backdoor remotamente sem autenticação no Confluence. A cadeia de ataque documentada envolveu a exploração do CVE-2023-22515 (pontuação CVSS: 10.0), uma falha crítica no Atlassian que pode ser abusada para criar contas de administrador não autorizadas e acessar servidores Confluence.
• Nova frente de ataques cibernéticos do Irã no Oriente Médio.
  Um grupo com ligações ao Irã mirou os setores de transporte, logística e tecnologia no Oriente Médio, incluindo Israel, em outubro de 2023, em meio a um aumento na atividade cibernética iraniana desde o início da guerra entre Israel e Hamas. Os ataques foram atribuídos pela CrowdStrike a um ator de ameaça que a empresa monitora sob o nome de “Imperial Kitten”. A atividade do adversário, ativa desde pelo menos 2017, provavelmente atende aos requisitos de inteligência estratégica iraniana associados às operações do IRGC”, disse a CrowdStrike em um relatório técnico. Sua atividade é caracterizada pelo uso de engenharia social, particularmente conteúdo temático de recrutamento de emprego, para entregar implantes personalizados baseados em .NET.