dez 5 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Falhas críticas no UEFI permitem bypass de segurança.
    Pesquisadores de segurança identificaram falhas críticas no código da Unified Extensible Firmware Interface (UEFI) de vários fornecedores independentes de firmware/BIOS (IBVs). Essas falhas, coletivamente chamadas de “LogoFAIL”, podem ser exploradas por atores de ameaças para entregar payloads maliciosos e burlar tecnologias de segurança como Secure Boot e Intel Boot Guard. Os ataques são realizados injetando uma imagem de logotipo maliciosa na partição do sistema EFI, o que permite aos atacantes contornar soluções de segurança e entregar malware persistente durante a fase de inicialização. As falhas incluem um estouro de buffer baseado em heap e uma leitura fora dos limites. Detalhes adicionais sobre essas vulnerabilidades serão divulgados na conferência Black Hat Europe.
  • Microsoft alerta sobre novos ataques de Ransomware CACTUS.
    A Microsoft emitiu um alerta sobre uma nova onda de ataques do ransomware CACTUS, que utiliza iscas de malvertising para implantar o DanaBot como vetor de acesso inicial. Essas infecções pelo DanaBot levaram a atividades diretas de operadores de ransomware, culminando na implantação do ransomware CACTUS. “A campanha atual do DanaBot, observada pela primeira vez em novembro, parece estar usando uma versão privada do malware de roubo de informações, em vez da oferta de malware como serviço”, observou a Microsoft. As credenciais coletadas pelo malware são transmitidas para um servidor controlado pelo ator, seguido de movimento lateral via tentativas de login RDP e, finalmente, passando o acesso para o Storm-0216. A divulgação ocorre dias após a descoberta do conjunto de ataques de ransomware CACTUS que estão explorando ativamente vulnerabilidades críticas em uma plataforma de análise de dados chamada Qlik Sense para ganhar acesso a redes corporativas.
  • Ransomware Qilin foca em servidores VMware ESXi.
    O ransomware Qilin, uma operação de cibercrime que começou como “Agenda” em agosto de 2022 e foi renomeada para Qilin em setembro do mesmo ano, está agora focando em servidores VMware ESXi. Este ransomware é conhecido por invadir redes de empresas, roubar dados e espalhar-se lateralmente para outros sistemas antes de implantar o ransomware para criptografar todos os dispositivos na rede. O Qilin utiliza técnicas avançadas de criptografia e é capaz de determinar se está operando em um servidor Linux, FreeBSD ou VMware ESXi. Se detectar um servidor VMware ESXi, executa comandos específicos para aumentar o desempenho ao executar comandos ESXi no servidor. Os comandos utilizados pelo Qilin incluem a criação e exclusão de discos virtuais e a configuração de parâmetros de desempenho do servidor. Antes de criptografar as máquinas virtuais detectadas, o ransomware primeiro encerra todas as VMs e exclui seus snapshots. As demandas de resgate do Qilin variam em torno de $25.000 milhões de dólares. 
Rubens Zolotujin 0 Comentários
nov 13 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Ransomware LockBit paralisa operação de um dos maiores bancos do mundo.
    O Industrial and Commercial Bank of China (ICBC), um dos maiores bancos do mundo, está lidando com um ataque de ransomware. O Financial Times foi o primeiro a noticiar que o ICBC, banco estatal chinês e o maior do país com receitas de $214.7 bilhões em 2022, foi atingido por um ransomware na último dia (09). A Securities Industry and Financial Markets Association, um grupo comercial que representa firmas de valores mobiliários, bancos e empresas de gestão de ativos, supostamente enviou uma mensagem aos seus membros sobre o incidente após certas negociações no mercado de títulos do Tesouro dos EUA não conseguirem ser concluídas. Fontes informaram ao Financial Times que o grupo de ransomware LockBit estava por trás do ataque. O grupo realizou vários grandes ataques a governos, empresas e organizações ao longo de 2023, superando qualquer outro grupo de ransomware atualmente em operação. O banco informou a vários clientes que um problema de cibersegurança exigiria que eles redirecionassem algumas negociações.
  • Invasores aproveitam falha no Confluence para instalar backdoor Effluence.
    Pesquisadores de cibersegurança descobriram um backdoor furtivo chamado Effluence, que é implantado após a exploração bem-sucedida de uma falha de segurança recentemente divulgada no Atlassian Confluence Data Center e Server. O malware atua como um backdoor persistente e não é remediado pela aplicação de patches no Confluence. O backdoor oferece capacidade para movimentação lateral para outros recursos de rede, além da exfiltração de dados do Confluence. Importante destacar que os atacantes podem acessar o backdoor remotamente sem autenticação no Confluence. A cadeia de ataque documentada envolveu a exploração do CVE-2023-22515 (pontuação CVSS: 10.0), uma falha crítica no Atlassian que pode ser abusada para criar contas de administrador não autorizadas e acessar servidores Confluence.
  • Nova frente de ataques cibernéticos do Irã no Oriente Médio.
    Um grupo com ligações ao Irã mirou os setores de transporte, logística e tecnologia no Oriente Médio, incluindo Israel, em outubro de 2023, em meio a um aumento na atividade cibernética iraniana desde o início da guerra entre Israel e Hamas. Os ataques foram atribuídos pela CrowdStrike a um ator de ameaça que a empresa monitora sob o nome de “Imperial Kitten”. A atividade do adversário, ativa desde pelo menos 2017, provavelmente atende aos requisitos de inteligência estratégica iraniana associados às operações do IRGC”, disse a CrowdStrike em um relatório técnico. Sua atividade é caracterizada pelo uso de engenharia social, particularmente conteúdo temático de recrutamento de emprego, para entregar implantes personalizados baseados em .NET. 
Rubens Zolotujin 0 Comentários
out 25 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Ex-Funcionário da NSA é preso por tentar vender segredos para a Rússia.
    Um ex-funcionário da NSA, Jareh Sebastian Dalke, de 31 anos, se declarou culpado de tentar transmitir informações de defesa classificadas para a Rússia. Dalke trabalhou como Designer de Segurança de Sistemas de Informação para a NSA de 6 de junho a 1 de julho de 2022. Dalke foi preso mais de um ano após sua prisão inicial. Ele admitiu que, entre agosto e setembro de 2022, usou um e-mail criptografado para transmitir trechos de três documentos classificados para um indivíduo que acreditava ser um agente russo. Na realidade, o suposto agente era um funcionário secreto online trabalhando para o FBI dos EUA. Dalke também é acusado de ter solicitado $85.000 em troca das informações que possuía, alegando que seriam valiosas para a Rússia. A transmissão dos documentos ocorreu na Union Station, no centro de Denver, Colorado, através de um laptop. Quatro dos cinco arquivos transmitidos continham Informações de Defesa Nacional de Nível Top Secret.
  • Ataques de Ransomware custam bilhões ao setor de saúde dos EUA.
    Um novo estudo da Comparitech revela que os ataques de ransomware custaram à economia dos EUA dezenas de bilhões de dólares apenas em tempo de inatividade nos últimos sete anos. A pesquisa analisou dados de todos os ataques de ransomware conhecidos que afetaram organizações médicas entre 2016 e meados de outubro de 2023. Durante esse período, foram relatados 539 ataques a organizações de saúde, afetando aproximadamente 9.780 hospitais, clínicas e outras instituições. Mais de 52 milhões de registros de pacientes foram comprometidos. Até agora, em 2023, 66 ataques de ransomware afetaram 1.568 organizações médicas, levando ao comprometimento de mais de 7,3 milhões de registros de pacientes.
  • Campanha de espionagem ameaça segurança de dispositivos Apple.
    A Kaspersky revelou detalhes sobre uma campanha de espionagem avançada, apelidada de “Operação Triangulação”, que visa dispositivos Apple iOS. O ataque utiliza um implante chamado TriangleDB com múltiplos módulos para coletar informações sensíveis. O ataque foi inicialmente descoberto em junho de 2023 e explora vulnerabilidades de dia zero (CVE-2023-32434 e CVE-2023-32435) na plataforma iMessage para obter controle total sobre o dispositivo e os dados do usuário. A identidade e a escala do ator de ameaça ainda são desconhecidas. A própria Kaspersky foi um dos alvos no início do ano, o que levou à investigação. O núcleo do ataque é um backdoor chamado TriangleDB, que é implantado após os atacantes obterem privilégios de root no dispositivo iOS alvo. Antes da implantação do implante, são executadas duas etapas de validação, JavaScript Validator e Binary Validator, para determinar se o dispositivo alvo não está associado a um ambiente de pesquisa.
Rubens Zolotujin 0 Comentários
out 17 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Vazamento de dados da Decathlon expõe 8 Mil funcionários na Deep Web.
    Um vazamento de dados da Decathlon expôs informações pessoais de aproximadamente 8.000 funcionários da empresa na deep web. O vazamento foi descoberto em um post de um fórum ilegal em 7 de setembro de 2023. O usuário do fórum carregou um banco de dados de 61 MB supostamente vinculado à Decathlon. Este banco de dados contém informações de cerca de 8.000 funcionários da Decathlon. O vazamento de dados também incluiu uma variedade de informações sensíveis, como nomes completos, nomes de usuário, números de telefone, endereços de e-mail, detalhes de países e cidades de residência, tokens de autenticação e até fotografias. Além das informações da Decathlon, o vazamento também apresentou dados da Bluenove, uma empresa de tecnologia e consultoria. A Bluenove confirmou a presença de cópias duplicadas do banco de dados circulando em fóruns da deep web.
  • Grupo de Ransomware LockBit exige 80 milhões em resgate.
    O grupo de ransomware LockBit assumiu a responsabilidade por hackear a CDW, uma grande fornecedora de soluções e serviços de tecnologia para empresas, governo e educação. O grupo ameaçou vazar os dados roubados e exigiu um resgate de 80 milhões de dólares da empresa. A CDW iniciou uma investigação sobre as alegações feitas pelo grupo de ransomware LockBit. A empresa possui uma divisão secundária, a CDW-G, que se concentra em atender entidades governamentais dos Estados Unidos, incluindo escolas do ensino fundamental ao médio, universidades, organizações de saúde sem fins lucrativos e vários níveis de governo. O grupo de ransomware alega que a CDW ofereceu apenas 1 milhão de dólares em resposta à sua exigência de resgate de 80 milhões de dólares. Essa informação foi divulgada em uma mensagem publicada no site de vazamento da deep web operado pelo grupo. Um representante do grupo LockBit afirmou que eles publicaram as informações porque a CDW, uma empresa de 20 bilhões de dólares, se recusou a pagar um valor adequado.
  • Hackers Russos exploram vulnerabilidade crítica no WinRAR.
    Grupos de hackers pró-russos exploraram recentemente uma vulnerabilidade de segurança no utilitário de arquivamento WinRAR. Essa exploração faz parte de uma campanha de phishing destinada a coletar credenciais de sistemas comprometidos. A vulnerabilidade em questão afeta as versões do WinRAR anteriores à 6.23 e é identificada como CVE-2023-38831. O mecanismo de ataque envolve o uso de arquivos de arquivo maliciosos que exploram a vulnerabilidade mencionada. Quando um usuário clica em um arquivo PDF armadilhado dentro do arquivo, um script do Windows Batch é executado. Esse script, por sua vez, lança comandos do PowerShell que abrem um shell reverso, concedendo ao invasor acesso remoto ao sistema alvo. Além do shell reverso, um script do PowerShell é implantado para roubar dados, incluindo credenciais de login, dos navegadores Google Chrome e Microsoft Edge.
Rubens Zolotujin 0 Comentários
out 5 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • CIA desenvolve Chatbot de inteligência artificial para auxiliar espiões.
    A Agência Central de Inteligência dos Estados Unidos (CIA) está trabalhando em um projeto para desenvolver um chatbot de inteligência artificial generativa. O objetivo é auxiliar agentes federais e espiões na análise de grandes volumes de informações públicas. Randy Nixon, diretor de iniciativas de código aberto da CIA, oficializou o projeto. Ele destacou que a tarefa de inteligência é semelhante a “encontrar uma agulha no palheiro”, especialmente com o desafio apresentado pelo Big Data. O chatbot permitirá que os oficiais façam perguntas, solicitem sumários de informações e ajam com base em contextos específicos. A única limitação mencionada por Nixon é o custo de servidores para armazenar as crescentes quantidades de informações. O acesso à tecnologia será restrito a agências de inteligência, excluindo legisladores, políticos e o público em geral. Em relação às questões de privacidade, Nixon afirmou que a futura IA da CIA utilizará apenas dados públicos em suas análises e estará em conformidade com as leis americanas de privacidade.
  • Google anuncia novas diretrizes para combater Spam no Gmail.
    O Google anunciou novas diretrizes para o envio de e-mails em massa aos usuários do Gmail, que entrarão em vigor em fevereiro do próximo ano. As empresas e serviços que realizam comunicações em massa deverão seguir melhores práticas de autenticação de contas e fornecer links de fácil acesso para cancelamento de inscrição. O principal objetivo dessas novas regras é combater o spam. A iniciativa faz parte de um esforço contínuo da empresa para lidar com e-mails indesejados, que também inclui o aprimoramento da inteligência artificial e a validação obrigatória para o recebimento de mensagens. Além disso, as novas diretrizes exigem que os links para cancelamento de inscrição sejam processados em até dois dias e que possam ser acessados com um único clique.
  • Sony confirma vazamento de dados na divisão do PlayStation.
    A Sony confirmou recentemente o vazamento de dados pessoais de 6.791 funcionários da divisão responsável pelo PlayStation. O incidente foi comunicado por e-mail aos colaboradores e seus familiares nos Estados Unidos. Embora os detalhes exatos dos dados comprometidos não tenham sido divulgados, a empresa registrou o incidente junto às autoridades do estado do Maine, nos EUA, indicando que as informações são sensíveis. O ataque foi atribuído à gangue de ransomware Cl0p, que já realizou ataques contra mais de 100 empresas explorando uma vulnerabilidade no software MOVEit. Grandes corporações como Shell, British Airways e BBC também foram afetadas por essa vulnerabilidade, identificada como CVE-2023-34362. A Sony está oferecendo serviços de monitoramento de identidade e crédito aos funcionários afetados, válidos até fevereiro do próximo ano, para ajudar a detectar possíveis fraudes. 
Rubens Zolotujin 0 Comentários
set 29 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Governo Federal anuncia projeto de lei para criação da Agência Nacional de Segurança Cibernética.
    O governo federal do Brasil, representado pelo ministro-chefe do Gabinete de Segurança Institucional (GSI), general Marcos Antônio Amaro dos Santos, anunciou planos para enviar um projeto de lei ao Congresso Nacional. O objetivo é a criação da Agência Nacional de Segurança Cibernética. Além da agência, o ministro também revelou que uma Política Nacional de Segurança Cibernética será estabelecida. Ambas as iniciativas estão programadas para serem apresentadas até o final de outubro. O anúncio foi feito durante o seminário “4ª Revolução Industrial: Desafios para a Defesa, Segurança e Desenvolvimento Nacional”, que ocorreu no Banco Nacional de Desenvolvimento Econômico e Social (BNDES), no Rio de Janeiro. A Política Nacional de Segurança Cibernética será definida por meio de um decreto presidencial, enquanto o projeto de lei para a criação da agência será submetido ao Congresso.
  • Campanha maliciosa rouba dados sensíveis através de pacotes npm e PyPi.
    Uma série de pacotes maliciosos nas plataformas npm e PyPi foi descoberta roubando uma ampla gama de dados sensíveis de desenvolvedores de software. A campanha teve início em 12 de setembro de 2023 e foi primeiramente identificada pela empresa Sonatype. Segundo os pesquisadores, após uma breve pausa operacional em 16 e 17 de setembro, o ataque foi retomado e se expandiu para o ecossistema PyPi. Desde o início da campanha, os invasores carregaram 45 pacotes maliciosos, sendo 40 no npm e 5 no PyPi. Variações no código indicam uma rápida evolução do ataque. Vários pacotes utilizaram “typosquatting” para se assemelhar a pacotes legítimos populares, enganando desenvolvedores a instalá-los. Alguns exemplos incluem pacotes que imitam bibliotecas populares como “Shineout” e “APM”.
  • Autoridades Ucranianas alertam para intensificação de ataques cibernéticos Russos.
    A Rússia intensificou seus ataques cibernéticos contra as agências de aplicação da lei da Ucrânia, visando descobrir informações sobre crimes de guerra cometidos por soldados russos, conforme afirmado por autoridades de cibersegurança ucranianas. Victor Zhora, vice-presidente do serviço de cibersegurança da Ucrânia (SSSCIP), revelou que as recentes campanhas de espionagem do Kremlin têm como alvo o escritório do procurador-geral da Ucrânia, tribunais e outras entidades envolvidas em investigações de crimes de guerra. Zhora não especificou se algum dos ataques foi bem-sucedido ou se informações sensíveis relacionadas às investigações de crimes de guerra foram expostas. Desde o início da guerra em fevereiro de 2022, os ucranianos têm coletado evidências de crimes de guerra russos, que incluem assassinato de civis, estupro, tomada de reféns, tortura e bombardeio de infraestrutura civil.
Rubens Zolotujin 0 Comentários
set 25 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Aumento de incidentes em sistemas Infraestruturas Críticas revela tendência preocupante.
    Pesquisas recentes indicam que 60% dos ataques cibernéticos contra o setor industrial são conduzidos por atores afiliados a estados e frequentemente habilitados, mesmo que inadvertidamente, por pessoal interno. Esses dados corroboram outras pesquisas que mostram um aumento no volume e na frequência de incidentes de cibersegurança em Sistemas de Controle Industrial (ICS) e Tecnologia Operacional (OT), especialmente contra infraestruturas críticas como produtores de energia. Infraestruturas Críticas de energia, manufatura, tratamento de água e instalações nucleares estão entre os tipos de indústrias frequentemente atacadas. A expectativa é que regulamentações e padrões mais rigorosos para relatar ataques cibernéticos se tornem comuns, fornecendo insights valiosos sobre a natureza e a gravidade dos ataques.
  • Apple lança correções para três novas vulnerabilidades de Dia Zero.
    Em uma ação rápida e decisiva, a Apple lançou uma série de atualizações de segurança para abordar três novas vulnerabilidades de dia zero que afetam uma gama de seus produtos, incluindo iOS, iPadOS, macOS, watchOS e o navegador Safari. Com essas novas descobertas, o número total de falhas de dia zero identificadas nos softwares da empresa neste ano chega a 16. As falhas de segurança recém-identificadas são críticas e variadas em sua natureza. A primeira, conhecida como CVE-2023-41991, é um problema de validação de certificado que poderia permitir que um aplicativo mal-intencionado burlasse a validação de assinatura. A segunda, CVE-2023-41992, é uma falha no Kernel que poderia permitir a um atacante local elevar seus privilégios no sistema. A terceira, CVE-2023-41993, é uma vulnerabilidade no WebKit que poderia levar à execução arbitrária de código quando processando conteúdo web malicioso.
  • Falhas de alta gravidade descobertas em produtos Atlassian.
    Atlassian e o Internet Systems Consortium (ISC) revelaram várias falhas de segurança em seus produtos que poderiam ser exploradas para realizar ataques de negação de serviço (DoS) e execução remota de código. A Atlassian, fornecedora australiana de serviços de software, confirmou que quatro falhas de alta gravidade foram corrigidas em novas versões lançadas no mês passado. As falhas incluem um bug de desserialização no pacote Google Gson que afeta o gerenciamento de patches no Jira Service Management Data Center e Server. Outra é uma falha de DoS no Confluence Data Center e Server. A terceira é uma falha de execução remota de código no Bitbucket Data Center e Server. A quarta é uma falha de DoS no servidor Apache Tomcat que afeta o Bamboo Data Center e Server. As correções para essas falhas estão disponíveis nas seguintes versões: Jira Service Management Server e Data Center, Confluence Server e Data Center, Bitbucket Server e Data Center e Bamboo Server e Data
Rubens Zolotujin 0 Comentários
set 22 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cisco faz sua maior aquisição comprando Splunk por $28 Bilhões.
    A Cisco anunciou sua maior aquisição até o momento, comprando a empresa de software de cibersegurança Splunk por $157 por ação em um acordo em dinheiro avaliado em cerca de $28 bilhões. A tecnologia da Splunk ajuda as empresas a monitorar e analisar seus dados para minimizar o risco de ataques cibernéticos e resolver problemas técnicos mais rapidamente. O preço de compra é equivalente a cerca de 13% do valor de mercado da Cisco, uma grande aposta para uma empresa que historicamente evitou acordos de grande porte. A Cisco tem buscado novas e grandes fontes de receita à medida que o setor de nuvem pública consome mais de seus negócios tradicionais de back-end. Em 2023, a Cisco adquiriu quatro empresas focadas em segurança, incluindo Armorblox, Oort, Valtix e Lightspin. Se o acordo for bloqueado por reguladores ou se a Cisco desistir, terá que pagar uma taxa de rescisão de $1,48 bilhão à Splunk. Se a Splunk desistir, pagará uma taxa de rescisão de $1 bilhão à Cisco.
  • Atores Maliciosos usam falso Exploit WinRAR para espalhar Malware.
    Um ator malicioso divulgou um falso exploit de prova de conceito (PoC) para uma vulnerabilidade recentemente revelada no WinRAR. O objetivo era infectar usuários que baixassem o código com o malware Venom RAT. A vulnerabilidade no WinRAR, identificada como CVE-2023-40477, está relacionada a um problema de validação inadequada que poderia ser explorado para executar código remotamente em sistemas Windows. A conta do GitHub que hospedava o repositório, conhecida como whalersplonk, não está mais acessível. A PoC foi publicada quatro dias após o anúncio público da vulnerabilidade. O script Python, em vez de executar a PoC, se conecta a um servidor remoto para buscar um executável chamado Windows.Gaming.Preview.exe, que é uma variante do Venom RAT. O Venom RAT tem a capacidade de listar processos em execução e receber comandos de um servidor controlado pelo ator.
  • Batalha cibernética entre China e EUA atinge novo pico.
    O Ministério de Segurança do Estado da China (MSS) acusou os Estados Unidos de invadir servidores da Huawei, roubar dados críticos e implantar backdoors desde 2009. A acusação ocorre em meio a crescentes tensões geopolíticas entre os dois países. Em uma mensagem postada no WeChat, o MSS afirmou que as agências de inteligência dos EUA têm feito “tudo o possível” para conduzir vigilância, roubo secreto e invasões em muitos países, incluindo a China. O MSS destacou especificamente a Agência de Segurança Nacional dos EUA (NSA) por realizar ataques sistemáticos e baseados em plataforma contra a China para saquear seus recursos de dados importantes. O MSS afirmou que os EUA têm usado armas e equipamentos em grande escala para realizar ataques cibernéticos e operações de espionagem cibernética contra a China, Rússia e outros 45 países e regiões ao redor do mundo. 
Rubens Zolotujin 0 Comentários
set 21 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Pizza Hut enfrenta ataque cibernético e dados de clientes são comprometidos.
    A filial australiana da Pizza Hut foi vítima de um ataque cibernético, resultando no roubo de dados de clientes, incluindo endereços de entrega e detalhes de pedidos. Em um e-mail enviado aos clientes na quarta-feira, o CEO da Pizza Hut Austrália, Phil Reed, informou que a empresa tomou conhecimento em setembro de um acesso não autorizado por terceiros a parte dos dados da empresa. Reed afirmou que, após o incidente, a empresa tomou medidas para proteger seus sistemas, contratou especialistas em forense e cibersegurança e iniciou uma investigação para entender o ocorrido e identificar os dados afetados. Os dados comprometidos incluem detalhes de clientes e pedidos online da base de dados da Pizza Hut, como nomes, endereços de entrega, instruções, e-mails e números de contato. Para contas registradas, os dados também incluem números de cartão de crédito criptografados e senhas criptografadas.
  • DHS Alerta sobre Aumento de Ataques de Ransomware em 2023.
    A ameaça de ataques de ransomware continua sendo uma preocupação significativa para os Estados Unidos, com 2023 a caminho de se tornar o segundo ano mais lucrativo para os atacantes, conforme relatado pelo Departamento de Segurança Interna (DHS) em seu relatório anual. O relatório divulgado na semana passada, abordou uma variedade de questões, incluindo terrorismo, drogas ilegais, desinformação e atividades dos governos da Rússia, China e Irã. Uma seção inteira foi dedicada a ameaças cibernéticas e ransomware. Durante o primeiro semestre de 2023, os atacantes de ransomware extorquiram pelo menos $449,1 milhões globalmente. O DHS observou que, em média, uma empresa precisa de pelo menos 22 dias para se recuperar de um ataque de ransomware, e a recuperação frequentemente custa 50 vezes mais do que a demanda de resgate. O DHS também alertou sobre a crescente ameaça de malware desenvolvido por IA e desenvolvimento de software assistido por IA, que pode permitir ataques cibernéticos em maior escala e mais evasivos contra infraestrutura crítica dos EUA.
  • BlackCat Evolui com Ataque Sphynx e Compromete Armazenamento Azure.
    Em um incidente de segurança recente, a Sophos identificou a variante mais recente do ransomware BlackCat/ALPHV, denominada Sphynx. Esta versão apresenta novas funcionalidades e foi utilizada para criptografar contas de armazenamento Azure. Durante o incidente, os atacantes conseguiram infiltrar-se na conta Sophos Central de uma vítima e criptografar com sucesso 39 contas de armazenamento Azure. O modus operandi dos atacantes envolveu o acesso não autorizado à conta Sophos Central da vítima usando um OTP roubado. Em seguida, o grupo BlackCat desativou o recurso de Proteção contra Alterações e fez modificações nas políticas de segurança. Essas ações foram possíveis após o roubo do OTP do cofre LastPass da vítima através da extensão LastPass para Chrome. 
Rubens Zolotujin 0 Comentários
set 20 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Oriente Médio na mira de novos Ataques Cibernéticos.
    Provedores de serviços de telecomunicações no Oriente Médio estão sendo alvo de um novo conjunto de intrusões chamado ShroudedSnooper, que utiliza um backdoor furtivo denominado HTTPSnoop. “HTTPSnoop é um backdoor simples, mas eficaz, que utiliza técnicas inovadoras para interagir com drivers e dispositivos do kernel HTTP do Windows, ouvindo solicitações de entrada para URLs HTTP(S) específicos e executando esse conteúdo no endpoint infectado”, disse a Cisco Talos em um relatório. Suspeita-se que o ShroudedSnooper explore servidores voltados para a internet e implante o HTTPSnoop para obter acesso inicial aos ambientes-alvo. Ambas as variantes de malware se passam por componentes do aplicativo Cortex XDR da Palo Alto Networks. Até o momento, foram detectadas três amostras diferentes do HTTPSnoop.
  • Trojan XWorm surge como a nova ameaça global.
    O XWorm, um trojan de acesso remoto emergente, tem se destacado como uma das ameaças mais persistentes globalmente. Desde sua primeira observação em 2022, o malware passou por atualizações significativas que aprimoraram sua funcionalidade. A equipe de analistas da ANY.RUN analisou a versão mais recente do XWorm, desmontando suas mecânicas e configurações. A amostra analisada foi encontrada no banco de dados de malware da ANY.RUN, tendo sido inicialmente distribuída via MediaFire, um serviço de hospedagem de arquivos. Ao ser executado, o XWorm foi imediatamente detectado pelas regras do Suricata. A análise do sandbox revelou várias técnicas usadas pelo malware, incluindo a adição de seu atalho ao diretório de inicialização e o uso do agendador de tarefas para reiniciar-se com privilégios elevados. Uma tentativa de evasão da análise do sandbox foi observada quando o malware falhou ao ser executado, indicando que o XWorm agora verifica se está sendo executado em um ambiente virtualizado. Para contornar isso, a equipe ativou o Residential Proxy nas configurações do sandbox.
  • Erro da Microsoft revela segredos internos através do GitHub.
    A Microsoft inadvertidamente expôs uma vasta quantidade de informações internas sensíveis, abrangendo mais de três anos, através de um repositório público no GitHub. Embora o repositório fosse destinado apenas a fornecer acesso a código aberto e modelos de IA para reconhecimento de imagem, a URL do Azure Storage estava configurada erroneamente para conceder permissões em toda a conta, conforme informado pelos pesquisadores. Essa conta continha 38TB de dados adicionais, incluindo backups de computadores pessoais de funcionários da Microsoft. Estes backups continham dados pessoais sensíveis, como senhas de serviços da Microsoft, chaves secretas e mais de 30.000 mensagens internas do Microsoft Teams. Além do acesso excessivamente permissivo, o token estava configurado para permitir permissões de “controle total” em vez de apenas leitura.
Rubens Zolotujin 0 Comentários