BOLETIM DIÁRIO DE CIBERSEGURANÇA

• Falhas críticas no UEFI permitem bypass de segurança.
  Pesquisadores de segurança identificaram falhas críticas no código da Unified Extensible Firmware Interface (UEFI) de vários fornecedores independentes de firmware/BIOS (IBVs). Essas falhas, coletivamente chamadas de “LogoFAIL”, podem ser exploradas por atores de ameaças para entregar payloads maliciosos e burlar tecnologias de segurança como Secure Boot e Intel Boot Guard. Os ataques são realizados injetando uma imagem de logotipo maliciosa na partição do sistema EFI, o que permite aos atacantes contornar soluções de segurança e entregar malware persistente durante a fase de inicialização. As falhas incluem um estouro de buffer baseado em heap e uma leitura fora dos limites. Detalhes adicionais sobre essas vulnerabilidades serão divulgados na conferência Black Hat Europe.
• Microsoft alerta sobre novos ataques de Ransomware CACTUS.
  A Microsoft emitiu um alerta sobre uma nova onda de ataques do ransomware CACTUS, que utiliza iscas de malvertising para implantar o DanaBot como vetor de acesso inicial. Essas infecções pelo DanaBot levaram a atividades diretas de operadores de ransomware, culminando na implantação do ransomware CACTUS. “A campanha atual do DanaBot, observada pela primeira vez em novembro, parece estar usando uma versão privada do malware de roubo de informações, em vez da oferta de malware como serviço”, observou a Microsoft. As credenciais coletadas pelo malware são transmitidas para um servidor controlado pelo ator, seguido de movimento lateral via tentativas de login RDP e, finalmente, passando o acesso para o Storm-0216. A divulgação ocorre dias após a descoberta do conjunto de ataques de ransomware CACTUS que estão explorando ativamente vulnerabilidades críticas em uma plataforma de análise de dados chamada Qlik Sense para ganhar acesso a redes corporativas.
• Ransomware Qilin foca em servidores VMware ESXi.
  O ransomware Qilin, uma operação de cibercrime que começou como “Agenda” em agosto de 2022 e foi renomeada para Qilin em setembro do mesmo ano, está agora focando em servidores VMware ESXi. Este ransomware é conhecido por invadir redes de empresas, roubar dados e espalhar-se lateralmente para outros sistemas antes de implantar o ransomware para criptografar todos os dispositivos na rede. O Qilin utiliza técnicas avançadas de criptografia e é capaz de determinar se está operando em um servidor Linux, FreeBSD ou VMware ESXi. Se detectar um servidor VMware ESXi, executa comandos específicos para aumentar o desempenho ao executar comandos ESXi no servidor. Os comandos utilizados pelo Qilin incluem a criação e exclusão de discos virtuais e a configuração de parâmetros de desempenho do servidor. Antes de criptografar as máquinas virtuais detectadas, o ransomware primeiro encerra todas as VMs e exclui seus snapshots. As demandas de resgate do Qilin variam em torno de $25.000 milhões de dólares.