dez 5 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Falhas críticas no UEFI permitem bypass de segurança.
    Pesquisadores de segurança identificaram falhas críticas no código da Unified Extensible Firmware Interface (UEFI) de vários fornecedores independentes de firmware/BIOS (IBVs). Essas falhas, coletivamente chamadas de “LogoFAIL”, podem ser exploradas por atores de ameaças para entregar payloads maliciosos e burlar tecnologias de segurança como Secure Boot e Intel Boot Guard. Os ataques são realizados injetando uma imagem de logotipo maliciosa na partição do sistema EFI, o que permite aos atacantes contornar soluções de segurança e entregar malware persistente durante a fase de inicialização. As falhas incluem um estouro de buffer baseado em heap e uma leitura fora dos limites. Detalhes adicionais sobre essas vulnerabilidades serão divulgados na conferência Black Hat Europe.
  • Microsoft alerta sobre novos ataques de Ransomware CACTUS.
    A Microsoft emitiu um alerta sobre uma nova onda de ataques do ransomware CACTUS, que utiliza iscas de malvertising para implantar o DanaBot como vetor de acesso inicial. Essas infecções pelo DanaBot levaram a atividades diretas de operadores de ransomware, culminando na implantação do ransomware CACTUS. “A campanha atual do DanaBot, observada pela primeira vez em novembro, parece estar usando uma versão privada do malware de roubo de informações, em vez da oferta de malware como serviço”, observou a Microsoft. As credenciais coletadas pelo malware são transmitidas para um servidor controlado pelo ator, seguido de movimento lateral via tentativas de login RDP e, finalmente, passando o acesso para o Storm-0216. A divulgação ocorre dias após a descoberta do conjunto de ataques de ransomware CACTUS que estão explorando ativamente vulnerabilidades críticas em uma plataforma de análise de dados chamada Qlik Sense para ganhar acesso a redes corporativas.
  • Ransomware Qilin foca em servidores VMware ESXi.
    O ransomware Qilin, uma operação de cibercrime que começou como “Agenda” em agosto de 2022 e foi renomeada para Qilin em setembro do mesmo ano, está agora focando em servidores VMware ESXi. Este ransomware é conhecido por invadir redes de empresas, roubar dados e espalhar-se lateralmente para outros sistemas antes de implantar o ransomware para criptografar todos os dispositivos na rede. O Qilin utiliza técnicas avançadas de criptografia e é capaz de determinar se está operando em um servidor Linux, FreeBSD ou VMware ESXi. Se detectar um servidor VMware ESXi, executa comandos específicos para aumentar o desempenho ao executar comandos ESXi no servidor. Os comandos utilizados pelo Qilin incluem a criação e exclusão de discos virtuais e a configuração de parâmetros de desempenho do servidor. Antes de criptografar as máquinas virtuais detectadas, o ransomware primeiro encerra todas as VMs e exclui seus snapshots. As demandas de resgate do Qilin variam em torno de $25.000 milhões de dólares. 
Rubens Zolotujin 0 Comentários
dez 1 2023
Configurando VPN GlobalProtect Palo Alto Networks usando Certificado CA Root Windows Server

How to configure Globalprotect Palo Alto Networks VPN using Certificate external Root CA AD Configurando GlobalProtect Palo Alto Networks VPN usando Certificado externo Root CA do Windows

Server Active Directory

Realizado todos os passos de configurar, criar, exportar certificado CSR no Palo Alto Network Firewall, usando o Windows Server Active Directory Certificate, Importando o Certificado em um Computador Cliente, realizando a configuração e acessando a VPN e portal do serviço GlobalProtect Palo Alto Network.

Rubens Zolotujin

Rubens Zolotujin, renomado fundador da Luigi Tecnologia, é um visionário na área de segurança cibernética. Com um compromisso inabalável com a excelência, ele lidera sua empresa na missão de oferecer soluções de segurança de alta qualidade para empresas de todos os tamanhos. Com uma carreira pautada pela inovação e expertise em cibersegurança, Rubens se destacou como um líder respeitado no setor.
Rubens Zolotujin 0 Comentários
nov 30 2023
Configurando Certificado | GlobalProtect | Palo Alto Firewall | Laboratório Por Rubens Zolotujin

How to configure certificate palo alto networks vpn globalprotect to using | Lab by Rubens Zolotujin

Configurando Certificado | GlobalProtect | Palo Alto Firewall | Laboratório Por Rubens Zolotujin

Engenheiro de Cibersegurança Palo Alto Networks | Ingram Micro Demonstration of how to set up a CA root certificate and certificate for Global Protect vpn use with Palo Alto Networks firewall.

https://luigitecnologia.com.br

Rubens Zolotujin 0 Comentários
jan 3 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Vários malwares estão à venda em fóruns da Deep Web.
    Pesquisadores identificaram um novo grupo de ameaças, apelidado de PureCoder, vendendo vários tipos de malwares, incluindo mineradores, ladrões de informações e criptografadores, na deep web. Esses malwares são usados por vários agentes de ameaças para suas campanhas. Os dois malwares mais impactantes promovidos e vendidos pela PureCoder incluem PureLogs e PureCrypt. Os invasores postaram detalhes desses malwares em um fórum de crimes cibernéticos para chamar a atenção dos clientes. PureLogs é um programa DotNET malicioso projetado para roubar dados de navegadores, carteiras criptográficas e vários outros aplicativos. Os invasores estão vendendo a assinatura de um ano por US$ 99. O PureCrypter espalha vários RATs e ladrões. Ele está sendo vendido por $59 para uma assinatura de um mês e $245 para uma assinatura vitalícia. Já o PureMiner é uma ferramenta oferecida ao preço de US$ 99 por um ano de acesso e US$ 199 para acesso vitalício. Ele opera como um minerador silencioso oculto e furtivo.
  • Falha de segurança é identificada no Google Home.
    De acordo com uma pesquisa recente, uma vulnerabilidade nos alto-falantes do Google Home Smart pode permitir que invasores controlem o dispositivo inteligente e escutem as conversas do usuário em ambientes fechados. A vulnerabilidade foi identificada por Matt Kunze, um pesquisador de segurança que usa o apelido de DownrightNifty Matt. Os pesquisadores revelaram que, se explorada, a vulnerabilidade pode permitir a instalação de backdoors e converter os alto-falantes do Google Home Smart em dispositivos de escuta telefônica. A vulnerabilidade pode permitir que um adversário presente na proximidade sem fio do dispositivo instale uma conta backdoor no dispositivo e comece a enviar comandos remotos, acessar a alimentação do microfone e iniciar solicitações HTTP arbitrárias. Tudo isso pode ser possível se o invasor estiver dentro do alcance da LAN do usuário, porque fazer solicitações maliciosas expõe a senha Wi-Fi do dispositivo e fornece ao invasor acesso direto a todos os dispositivos conectados à rede.
  • Campanha de malvertising abusa do Google Ads.
    Especialistas alertam sobre uma nova campanha de malvertising que abusa do Google Ads e tem como alvo usuários que procuram software popular. A campanha visa fornecer versões contaminadas de software popular que implantam cargas maliciosas na máquina do usuário, incluindo malware para roubo de informações, como Raccoon Stealer e Vidar. Os agentes de ameaças por trás dessa campanha usaram domínios com nomes digitados que apareceram no topo dos resultados de pesquisa do Google. O invasor usou um conjunto de sites benignos, projetados para induzir os visitantes a clicar neles e, em seguida, redirecioná-los para sites não autorizados. Alguns dos softwares que foram representados pelos agentes de ameaças são Grammarly, Malwarebytes, Afterburner, Zoom, Slack, Brave e Tor.
Rubens Zolotujin 0 Comentários
dez 8 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Google lança atualização de segurança para corrigir falhas no Android.
    O Google lançou a atualização de segurança de dezembro de 2022 para Android, corrigindo quatro vulnerabilidades de gravidade crítica, incluindo uma falha de execução remota de código explorável via Bluetooth. A atualização deste mês aborda 45 vulnerabilidades nos principais componentes do Android com nível de patch 2022-12-01 e outras 36 vulnerabilidades que afetam componentes de terceiros abordadas no nível de patch 2022-12-05. O restante das vulnerabilidades corrigidas envolve elevação de privilégios (EoP), execução remota de código, divulgação de informações e problemas de negação de serviço.
  • Hackers visam empresas de criptomoedas pelo Telegram.
    “A Microsoft investigou recentemente um ataque em que o agente da ameaça, rastreado como DEV-0139, aproveitou os grupos de bate-papo do Telegram para atingir empresas de investimento em criptomoedas”, revelou a equipe de inteligência de ameaças de segurança da empresa. “DEV-0139 juntou-se a grupos do Telegram usados para facilitar a comunicação entre clientes VIP e plataformas de troca de criptomoedas e identificou seu alvo entre os membros.” Em 19 de outubro, invasores com amplo conhecimento da indústria de investimentos em cripto convidaram pelo menos um alvo (se passando por representantes de outras empresas de gerenciamento de criptoativos) para outro grupo do Telegram, onde pediram feedback sobre a estrutura de taxas das plataformas de troca de criptomoedas. Depois de ganhar a confiança de seus alvos, os invasores enviaram planilhas Excel maliciosas chamadas “OKX Binance & Huobi VIP rate comparision.xls”.
  • Várias vulnerabilidades de execução de código são corrigidas no Sophos Firewall.
    A Sophos informou aos clientes que o Sophos Firewall versão 19.5, cuja disponibilidade geral foi anunciada em meados de novembro, corrige várias vulnerabilidades, incluindo aquelas que podem levar à execução arbitrária de códigos. Além de melhorias de resiliência e aumento de desempenho, a versão mais recente do Sophos Firewall traz patches para sete vulnerabilidades. De acordo com um comunicado de segurança divulgado em 1º de dezembro, uma das vulnerabilidades corrigidas na versão 19.5 é a CVE-2022-3236, que possui uma classificação de gravidade ‘crítica’. Três das vulnerabilidades corrigidas no Sophos Firewall 19.5 têm uma classificação de gravidade ‘alta’, incluindo CVE-2022-3226, um problema de injeção de comando do sistema operacional que pode ser explorado por um invasor com privilégios de administrador para executar código por meio de uploads de configuração SSL VPN. As três vulnerabilidades restantes têm gravidade média ou baixa. Eles incluem um problema de XSS armazenado que permite a escalação de privilégios e duas vulnerabilidades de injeção de SQL que expõem conteúdos não confidenciais do banco de dados de configuração.
Rubens Zolotujin 0 Comentários
dez 8 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Google lança atualização de segurança para corrigir falhas no Android.
    O Google lançou a atualização de segurança de dezembro de 2022 para Android, corrigindo quatro vulnerabilidades de gravidade crítica, incluindo uma falha de execução remota de código explorável via Bluetooth. A atualização deste mês aborda 45 vulnerabilidades nos principais componentes do Android com nível de patch 2022-12-01 e outras 36 vulnerabilidades que afetam componentes de terceiros abordadas no nível de patch 2022-12-05. O restante das vulnerabilidades corrigidas envolve elevação de privilégios (EoP), execução remota de código, divulgação de informações e problemas de negação de serviço.
  • Hackers visam empresas de criptomoedas pelo Telegram.
    “A Microsoft investigou recentemente um ataque em que o agente da ameaça, rastreado como DEV-0139, aproveitou os grupos de bate-papo do Telegram para atingir empresas de investimento em criptomoedas”, revelou a equipe de inteligência de ameaças de segurança da empresa. “DEV-0139 juntou-se a grupos do Telegram usados para facilitar a comunicação entre clientes VIP e plataformas de troca de criptomoedas e identificou seu alvo entre os membros.” Em 19 de outubro, invasores com amplo conhecimento da indústria de investimentos em cripto convidaram pelo menos um alvo (se passando por representantes de outras empresas de gerenciamento de criptoativos) para outro grupo do Telegram, onde pediram feedback sobre a estrutura de taxas das plataformas de troca de criptomoedas. Depois de ganhar a confiança de seus alvos, os invasores enviaram planilhas Excel maliciosas chamadas “OKX Binance & Huobi VIP rate comparision.xls”.
  • Várias vulnerabilidades de execução de código são corrigidas no Sophos Firewall.
    A Sophos informou aos clientes que o Sophos Firewall versão 19.5, cuja disponibilidade geral foi anunciada em meados de novembro, corrige várias vulnerabilidades, incluindo aquelas que podem levar à execução arbitrária de códigos. Além de melhorias de resiliência e aumento de desempenho, a versão mais recente do Sophos Firewall traz patches para sete vulnerabilidades. De acordo com um comunicado de segurança divulgado em 1º de dezembro, uma das vulnerabilidades corrigidas na versão 19.5 é a CVE-2022-3236, que possui uma classificação de gravidade ‘crítica’. Três das vulnerabilidades corrigidas no Sophos Firewall 19.5 têm uma classificação de gravidade ‘alta’, incluindo CVE-2022-3226, um problema de injeção de comando do sistema operacional que pode ser explorado por um invasor com privilégios de administrador para executar código por meio de uploads de configuração SSL VPN. As três vulnerabilidades restantes têm gravidade média ou baixa. Eles incluem um problema de XSS armazenado que permite a escalação de privilégios e duas vulnerabilidades de injeção de SQL que expõem conteúdos não confidenciais do banco de dados de configuração.
Rubens Zolotujin 0 Comentários
dez 8 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Google lança atualização de segurança para corrigir falhas no Android.
    O Google lançou a atualização de segurança de dezembro de 2022 para Android, corrigindo quatro vulnerabilidades de gravidade crítica, incluindo uma falha de execução remota de código explorável via Bluetooth. A atualização deste mês aborda 45 vulnerabilidades nos principais componentes do Android com nível de patch 2022-12-01 e outras 36 vulnerabilidades que afetam componentes de terceiros abordadas no nível de patch 2022-12-05. O restante das vulnerabilidades corrigidas envolve elevação de privilégios (EoP), execução remota de código, divulgação de informações e problemas de negação de serviço.
  • Hackers visam empresas de criptomoedas pelo Telegram.
    “A Microsoft investigou recentemente um ataque em que o agente da ameaça, rastreado como DEV-0139, aproveitou os grupos de bate-papo do Telegram para atingir empresas de investimento em criptomoedas”, revelou a equipe de inteligência de ameaças de segurança da empresa. “DEV-0139 juntou-se a grupos do Telegram usados para facilitar a comunicação entre clientes VIP e plataformas de troca de criptomoedas e identificou seu alvo entre os membros.” Em 19 de outubro, invasores com amplo conhecimento da indústria de investimentos em cripto convidaram pelo menos um alvo (se passando por representantes de outras empresas de gerenciamento de criptoativos) para outro grupo do Telegram, onde pediram feedback sobre a estrutura de taxas das plataformas de troca de criptomoedas. Depois de ganhar a confiança de seus alvos, os invasores enviaram planilhas Excel maliciosas chamadas “OKX Binance & Huobi VIP rate comparision.xls”.
  • Várias vulnerabilidades de execução de código são corrigidas no Sophos Firewall.
    A Sophos informou aos clientes que o Sophos Firewall versão 19.5, cuja disponibilidade geral foi anunciada em meados de novembro, corrige várias vulnerabilidades, incluindo aquelas que podem levar à execução arbitrária de códigos. Além de melhorias de resiliência e aumento de desempenho, a versão mais recente do Sophos Firewall traz patches para sete vulnerabilidades. De acordo com um comunicado de segurança divulgado em 1º de dezembro, uma das vulnerabilidades corrigidas na versão 19.5 é a CVE-2022-3236, que possui uma classificação de gravidade ‘crítica’. Três das vulnerabilidades corrigidas no Sophos Firewall 19.5 têm uma classificação de gravidade ‘alta’, incluindo CVE-2022-3226, um problema de injeção de comando do sistema operacional que pode ser explorado por um invasor com privilégios de administrador para executar código por meio de uploads de configuração SSL VPN. As três vulnerabilidades restantes têm gravidade média ou baixa. Eles incluem um problema de XSS armazenado que permite a escalação de privilégios e duas vulnerabilidades de injeção de SQL que expõem conteúdos não confidenciais do banco de dados de configuração.
Rubens Zolotujin 0 Comentários
ago 12 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Ataque de phishing abusa do Microsoft Azure e Google Sites para roubar criptomoedas.
    Uma nova campanha de phishing em grande escala direcionada aos usuários da Coinbase, MetaMask, Kraken e Gemini está abusando do Google Sites e do Microsoft Azure Web para criar sites fraudulentos. Essas páginas de phishing são promovidas por meio de comentários postados em sites legítimos por uma rede de bots controlada pelos agentes das ameaças. A publicação de links para páginas de phishing em vários sites legítimos visa aumentar o tráfego e aumentar as classificações do mecanismo de pesquisa do site malicioso. Além disso, como os sites de phishing são hospedados nos serviços da Microsoft e do Google, eles não são sinalizados por sistemas de moderadores automatizados, permitindo que as mensagens promocionais permaneçam na seção de comentários por mais tempo. O Google Sites é uma ferramenta gratuita de criação de páginas da Web, parte do pacote de serviços online do Google, que permite aos usuários criar sites e hospedá-los no Google Cloud ou em outros provedores. Da mesma forma, os Aplicativos Web do Azure da Microsoft são uma plataforma que ajuda os usuários a criar, implantar e gerenciar aplicativos e sites da Web.
  • 36% das organizações expõem protocolos FTP e Telnet inseguros na Internet.
    Uma porcentagem significativa de organizações expõe protocolos inseguros ou altamente confidenciais na internet, incluindo FTP, SMB, SSH e Telnet, mostrou o relatório ExtraHop Benchmarking Cyber Risk and Readiness. Intencionais ou acidentais, essas exposições ampliam a superfície de ataque de qualquer organização, fornecendo aos ciberataques um ponto de entrada fácil na rede. “Portas e protocolos são essencialmente as portas e corredores que os invasores usam para explorar redes e causar danos”, disse Jeff Costlow, CISO, ExtraHop. “É por isso que saber quais protocolos estão sendo executados em sua rede e quais vulnerabilidades estão associadas a eles é tão importante.
  • Empresas de saúde são principal alvo dos cibercriminosos no segundo trimestre.
    As empresas do setor de saúde foram os principais alvos dos cibercriminosos no segundo trimestre de 2022. No período, os casos envolvendo o setor registraram alta de 90% em relação aos três primeiros meses do ano. A alta foi impulsionada principalmente por ataques de ransomware. A tática, que consiste em extorquir companhias por meio do sequestro de dados, voltou a ganhar força entre abril e junho. Os dados foram coletados pela Kroll, consultoria global de riscos, investigação empresarial e cibersegurança, com destaque para o monitoramento em tempo real. O levantamento não inclui informações específicas sobre o Brasil. Apesar do foco no setor de saúde, companhias nacionais de diferentes setores já foram vítimas de hackers ao longo dos últimos anos, com uma escalada de casos durante a crise sanitária da covid-19.
Rubens Zolotujin 0 Comentários
jul 1 2022
Convite para evento ao vivo sobre Cyber Security Experience – 2ª edição

Convido a todos amigos para participar desse evento super completo e interativo, pensado para você que quer aprender e se inspirar com grandes referências em cibersegurança.

Aproveite o conteúdo valioso das sessões ao vivo e online, totalmente gratuitas, para fortalecer seu networking.

Nos dias 4 e 5 de julho, uma super programação, com speakers nacionais e internacionais, trará os melhores especialistas em segurança cibernética e governança corporativa. 🚨


Increva-se aqui >> https://lnkd.in/d3T_MDrd

Maiores informações: https://lnkd.in/d7Y6zGaW

Rubens Zolotujin 0 Comentários
maio 2 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Custos de um ataque de ransomware pode ultrapassar sete vezes o valor do resgate.
    Um levantamento apontou que os custos envolvidos em um ataque desse tipo podem ser até sete vezes mais do que o resgate pedido pelos criminosos, que na medida em que miram organizações cada vez maiores, transformam os valores em uma pequena parcela dos prejuízos que também envolvem tarefas de resposta e mitigação de incidentes, indisponibilidade de sistemas, custos de monitoramento e honorários jurídicos. A conclusão aparece em um levantamento da Check Point Research, que decidiu olhar para o outro lado dos incidentes cibernéticos que acontecem todos os dias. De acordo com a companhia, na medida em que os ataques se tornam mais frequentes e rápidos, aumenta o valor do resgate, mas também o impacto sobre as corporações atingidas e o chamado “custo colateral”. O estudo estabeleceu uma relação inversa entre o preços de resgate e os gastos gerais relacionados às ocorrências. A métrica de sempre continua valendo — quanto maior a companhia, mais caro o resgate —, mas o que os analistas notaram é que o valor pedido é um pequeno componente do custo total, ainda que varie de 0,7% a 5% da receita anual.
  • Google lança prévia do Sandbox de Privacidade para Android 13.
    O Google liberou a primeira prévia do seu Sandbox de Privacidade, baseada no Android 13, para seus desenvolvedores. A ferramenta, que funciona como um ambiente de desenvolvimento isolado do restante de um sistema operacional, deve facilitar a implementação de medidas que reforçam a segurança de dados dos usuários finais — especialmente frente à exibição de anúncios na plataforma. Comparável às últimas decisões da Apple, a medida da Google marca o início de um longo plano de aprimoramento da privacidade de dados no âmbito de anúncios no Android. Nesse contexto, a ferramenta recententemente lançada conta com APIs e serviços exclusivos, exigindo um lançamento independente da última versão beta do Android 13 disponibilizada. Uma das principais novidades é a estreia do Topics API, que revisa como os dados dos usuários são aproveitados nas propagandas com novos filtros e processamento de informações.
  • Carteira de criptomoedas tem backdoor de famoso grupo hacker.
    Uma recente investigação conduzida pela Kaspersky descobriu que uma carteira DeFi foi desenvolvida por um grupo de cibercriminosos e tinha embutida nela uma backdoor para facilitar futuros ataques aos usuários desse serviço. Segundo a empresa de segurança os responsáveis pela carteira são o grupo Lazarus, um dos mais famosos da internet. De acordo com a Kaspersky, um arquivo suspeito foi submetido ao VirusTotal, serviço de identificação de malware. Os pesquisadores descobriram que o arquivo em questão continha um instalador infectado de uma carteira de criptomoedas descentralizada legítima. Esse instalador cria dois executáveis, um programa legítimo de carteira de criptomoedas e um malware.
Rubens Zolotujin 0 Comentários