Brasil foi o principal alvo dos cibercriminosos em 2022. O Brasil se tornou um dos alvos preferidos dos cibercriminosos, é o que aponta os últimos levantamentos que revelam um aumento superior a 200% na quantidade de ataques cibernéticos contra empresas ou órgãos brasileiros no último ano. Esses ataques tem se tornado cada vez mais sofisticados e suas consequências têm atingido escalas cada vez maiores. O principal motivo por trás desse aumento vertiginoso está na forma como empresas e entidades públicas encaram o assunto, demonstrando um baixo engajamento e baixa maturidade com a defesa cibernética. Por isso o investimento em serviços especializados e contratação de profissionais qualificados se tornou cada vez mais urgente para os negócios que desejam sobreviver num mercado digital cada vez mais competitivo e visado pelos criminosos.
Gangue de ransomware LockBit segue com seu programa de Bug Bounty. A operação de ransomware oferece recompensas para os afiliados que realizam testes em seu ransomware. A operação de ransomware LockBit 3.0 foi lançada em 2019 e desde então se tornou a operação de ransomware mais prolífica, respondendo por 40% de todos os ataques de ransomware conhecidos em 2022. A gangue de cibercriminosos possui também uma operação de ransomware como serviço (RaaS), que já esta sendo usada em ataques. Com o lançamento do LockBit 3.0, a operação introduziu o primeiro programa de recompensas de bugs oferecido por uma gangue de ransomware, pedindo aos pesquisadores de segurança que enviassem relatórios de bugs em troca de recompensas que variam entre US$ 1.000 e US$ 1 milhão. “Convidamos todos os pesquisadores de segurança, hackers éticos e antiéticos do planeta a participar do nosso programa de recompensas por bugs”, diz a página de recompensas dos cibercriminosos. Além disso, a LockBit não está apenas oferecendo recompensas por recompensas em vulnerabilidades, mas também está pagando recompensas por “idéias brilhantes” para melhorar a operação do ransomware e para doxxar o gerente do programa de afiliados.
Spyware Pegasus é usado por pelo menos 5 países europeus. A agência israelense de software de vigilância NSO Group, admitiu que seu Spyware está sendo utilizado pela União Europeia. A ferramenta Pegasus foi usada por pelo menos cinco países da região. “Estamos tentando fazer a coisa certa e isso é mais do que outras empresas que trabalham no setor”, disse Chaim Gelfand, conselheiro geral e diretor de conformidade da empresa, segundo um relatório do Politico. Reconhecendo que “cometeu erros”, a empresa também enfatizou a necessidade de um padrão internacional para regular o uso de spyware pelo governo. O Pegasus foi projetado para ser instalado furtivamente em um smartphone, explorando vulnerabilidades desconhecidas em softwares como zero-days para obter o controle remoto do dispositivo e coletar dados confidenciais.
Cisco alerta sobre vulnerabilidades antigas sendo exploradas em ataques. A Cisco atualizou vários avisos de segurança para alertar sobre a exploração maliciosa de vulnerabilidades graves que afetam seus dispositivos de rede. Muitos dos bugs, que carregam classificações de gravidade ‘crítica’ ou ‘alta’, foram corrigidos 4 a 5 anos atrás, mas as organizações que não corrigiram seus dispositivos continuam sendo afetadas. Na semana passada, a gigante da tecnologia adicionou avisos de exploração a mais de 20 avisos detalhando defeitos de segurança no software Cisco IOS, NX-OS e HyperFlex. Cinco dos alertas atualizados resolvem vulnerabilidades de gravidade crítica que podem permitir que invasores remotos executem código arbitrário (RCE), causem uma condição de negação de serviço (DoS) ou executem comandos arbitrários. A Cisco também atualizou 15 avisos que lidam com falhas de alta gravidade no Cisco IOS e IOS XE, e um que aborda um problema de execução de comando arbitrário de alta gravidade em roteadores da série Small Business RV. Vários avisos detalhando bugs de gravidade média também foram atualizados.
Google Workspace obtém criptografia client-side no Gmail. O Google anunciou na última sexta-feira a disponibilidade beta da criptografia no lado do cliente no Gmail para alguns de seus clientes do Workspace. O recurso visa melhorar a confidencialidade dos e-mails quando eles permanecem nos servidores do Google, aplicando criptografia ao corpo e aos anexos do e-mail, ao mesmo tempo em que fornece aos clientes do Workspace controle sobre as chaves de criptografia e o serviço de identidade usado para acessar as chaves. “O Google Workspace já usa os padrões criptográficos mais recentes para criptografar todos os dados em repouso e em trânsito entre nossas instalações. A criptografia do lado do cliente ajuda a fortalecer a confidencialidade de seus dados, ajudando a atender a uma ampla gama de necessidades de soberania e conformidade de dados”, anunciou o Google.
Botnet KmsdBot suspeito de ser usado como serviço DDoS para afiliados. Uma análise contínua do botnet KmsdBot levantou a possibilidade de que seja um serviço DDoS de aluguel oferecido a outros agentes de ameaças. O KmsdBot é um malware baseado em Go que aproveita o SSH para infectar sistemas e realizar atividades como mineração de criptomoeda e comandos de lançamento usando TCP e UDP para montar ataques distribuídos de negação de serviço (DDoS). “Com base em IPs e domínios observados, a maioria das vítimas está localizada na Ásia, América do Norte e Europa”, disseram os pesquisadores da Akamai. A Akamai, que examinou o tráfego de ataque, identificou 18 comandos diferentes que o KmsdBot aceita de um servidor remoto, um dos quais, apelidado de “bigdata”, serve para enviar pacotes indesejados contendo grandes quantidades de dados para um alvo na tentativa de esgotar sua largura de banda.
Novo Ransomware Agenda está visando setor de Infraestrutura Crítica. Uma variante do ransomware Agenda foi escrita em Rust, tornando-o o malware mais recente a adotar a linguagem de programação de plataforma cruzada após BlackCat, Hive, Luna e RansomExx. O Agenda, atribuído a um operador chamado Qilin, é um grupo de ransomware como serviço (RaaS), vinculado a uma série de ataques direcionados principalmente aos setores de manufatura e TI em diferentes países. Uma versão anterior do ransomware, escrita em Go destacava os setores de saúde e educação em países como Indonésia, Arábia Saudita, África do Sul e Tailândia. O malware, expande a ideia de criptografia parcial (também conhecida como criptografia intermitente) configurando parâmetros que são usados para determinar a porcentagem do conteúdo do arquivo a ser criptografado. Essa tática está se tornando mais popular entre os grupos de ransomware, pois permite que eles criptografem mais rapidamente e evitem detecções que dependem fortemente de operações de leitura e gravação de arquivos.
Microsoft detalha vulnerabilidade em sistemas macOS da Apple. A Microsoft divulgou detalhes de uma falha de segurança agora corrigida no macOS que pode ser explorada por um invasor para contornar as proteções de segurança impostas para execução de aplicativos maliciosos. A falha, apelidada de Achilles ( CVE-2022-42821, pontuação CVSS: 5,5), foi abordada pelo fabricante no macOS Ventura 13, Monterey 12.6.2 e Big Sur 11.7.2 , descrevendo-a como uma questão lógica que poderia ser armada por um aplicativo para contornar as verificações do Gatekeeper. Gatekeeper é um mecanismo de segurança projetado para garantir que apenas aplicativos confiáveis sejam executados no sistema operacional. Isso é aplicado por meio de um atributo estendido chamado “com.apple.quarantine” que é atribuído a arquivos baixados da Internet. É análogo ao sinalizador Mark of the Web ( MotW ) no Windows.
Operadores do botnet Glupteba ressurgem em 2022. O botnet Glupteba ressurgiu em junho de 2022 como parte de uma campanha renovada e “aumentada”, meses depois que o Google interrompeu a atividade maliciosa. Segundo os pesquisadores o ataque em andamento sugere a resiliência do malware diante de quedas. Além disso, houve um aumento de dez vezes nos serviços ocultos do TOR usados como servidores C2 desde a campanha de 2021. O malware, que é distribuído por meio de anúncios fraudulentos ou cracks de software, também está equipado para recuperar cargas adicionais que permitem roubar credenciais, minerar criptomoedas e expandir seu alcance explorando vulnerabilidades em dispositivos IoT do MikroTik e Netgear. Especificamente, o botnet foi projetado para pesquisar o blockchain público do Bitcoin em busca de transações relacionadas a endereços de carteira pertencentes ao agente da ameaça, a fim de buscar o endereço do servidor C2 criptografado.
Ex-funcionário do Twitter é condenado a 3,5 anos de prisão por espionar em nome da Arábia Saudita. Um ex-funcionário do Twitter foi considerado culpado de espionar em nome da Arábia Saudita, compartilhando dados pertencentes a indivíduos específicos, foi condenado a três anos e meio de prisão. Ahmad Abouammo, 45, foi condenado no início de agosto por várias acusações criminais, incluindo lavagem de dinheiro, fraude, falsificação de registros e agente ilegal de um governo estrangeiro. “O Sr. Abouammo violou a confiança depositada nele para proteger a privacidade dos indivíduos ao fornecer suas informações pessoais a uma potência estrangeira com fins lucrativos”, disse o procurador-geral adjunto Matthew G. Olsen, da Divisão de Segurança Nacional do Departamento de Justiça. “Sua conduta tornou-se ainda mais flagrante pelo fato de que a informação tinha como alvo dissidentes políticos que se manifestavam contra aquela potência estrangeira.”
Cibercriminosos utilizam repositórios de código aberto como vetor de ataque. Os ecossistemas NuGet, PyPi e npm são o alvo de uma nova campanha que resultou na publicação de mais de 144.000 pacotes por agentes de ameaças desconhecidos. Segundo pesquisadores, os pacotes faziam parte de um novo vetor de ataque, com invasores enviando spam ao ecossistema de código aberto com pacotes contendo links para campanhas de phishing. Dos 144.294 pacotes relacionados a phishing detectados, 136.258 foram publicados no NuGet, 7.824 no PyPi e 212 no npm. As bibliotecas ofensivas foram retiradas da lista ou retiradas do ar. “Os agentes de ameaças por trás dessa campanha provavelmente queriam melhorar a otimização do mecanismo de busca (SEO) de seus sites de phishing, vinculando-os a sites legítimos como o NuGet”, disseram os pesquisadores. O envenenamento do NuGet, PyPi e npm com pacotes fabricados mais uma vez ilustra os métodos em evolução que os agentes de ameaças usam para atacar a cadeia de suprimentos de software.
Pesquisadores descobrem ataques cibernéticos direcionados a entidades japonesas. Um grupo de ameaça persistente avançada (APT), chamado MirrorFace, foi atribuído a uma campanha de spear phishing visando instituições políticas japonesas. A atividade, apelidada de Operação LiberalFace, focou especificamente em membros de um partido político não identificado no país com o objetivo de entregar um implante chamado LODEINFO e um ladrão de credenciais até então inédito chamado MirrorStealer. “O LODEINFO foi usado para fornecer malware adicional, exfiltrar as credenciais da vítima e roubar seus documentos e e-mails”, disse o pesquisador Dominik Breitenbacher em um relatório publicado na última semana. Os e-mails de spear phishing, enviados eram supostamente do departamento de relações públicas do partido político, instando os destinatários a compartilhar os vídeos anexados em seus próprios perfis de mídia social para “garantir a vitória” nas eleições.
Cibercriminosos usam drivers maliciosos para comprometer o Windows. Atores de ameaças estão utilizando drivers de hardware maliciosos certificados para ignorar as verificações de segurança no windows. Esses drivers estão sendo usados em atividades pós exploração em sistemas nos quais o invasor já obteve privilégios administrativos. A Microsoft foi notificada de que várias contas de desenvolvedores para o Microsoft Partner Center estavam enviando drivers de hardware maliciosos para obter uma assinatura da Microsoft. Como vários grupos de hackers estão usando drivers assinados pela Microsoft, os especialistas avaliam que os grupos estão aproveitando um serviço criminoso comum para assinatura de código ou um fornecedor de serviço está projetando e desenvolvendo kits de ferramentas e drivers que outros grupos pagam para acessar. A Microsoft revogou várias contas de desenvolvedor de hardware associadas a drivers usados em ataques cibernéticos. A empresa lançou novas assinaturas do Microsoft Defender (1.377.987.0) para detectar drivers assinados legítimos em ataques pós exploração.
Operadores do Ransomware LockBit visam organizações de saúde. O HC3 emitiu um comunicado para alertar as organizações de saúde sobre ataques envolvendo o ransomware LockBit 3.0. Uma das características proeminentes do ransomware inclui o modelo de extorsão tripla. No resumo da ameaça, foi destacado que o LockBit 3.0 apareceu pela primeira vez em junho e contém muitas das mesmas funções da variante anterior do LockBit 2.0. O malware parece estar utilizando recursos de outro ransomware conhecido, o BlackMatter, como a capacidade de enviar notas de resgate para uma impressora na rede, excluir cópias de sombra de volume e obter os detalhes do sistema operacional da vítima, juntamente com vários recursos de depuração.
Mozilla corrige vulnerabilidades do Firefox que poderiam levar ao controle do sistema. Várias vulnerabilidades de alto impacto que afetam Thunderbird, Firefox ESR e Firefox foram corrigidas por atualizações da Mozilla. Os bugs podem ter gerado execução arbitrária de código se forem explorados com sucesso. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) aconselha usuários e administradores a corrigir as vulnerabilidades identificadas e atualizar seus sistemas. Todos os três produtos da Mozilla são afetados por uma das vulnerabilidades de alto impacto, identificada como CVE-2022-46878. De acordo com os desenvolvedores do Mozilla, o Firefox 107 e o Firefox ESR 102.5 têm problemas de segurança de memória. Essas falhas incluíam aquelas que pareciam ter corrupção de memória, algumas delas poderiam ter sido utilizadas para executar código arbitrário. Outra fraqueza séria, CVE-2022-46872 , que afeta os produtos das três empresas, pode permitir que um hacker visualize qualquer arquivo após assumir o controle de um processo de conteúdo.
Novo Botnet GoTrim está invadindo contas em sites WordPress. Um novo botnet baseado em Go foi flagrado realizando ataques de força bruta em sites WordPress para assumir o controle dos sistemas visados. A campanha ativa, observada desde setembro de 2022, utiliza uma rede de bots para realizar ataques de força bruta distribuídos em uma tentativa de fazer login no servidor web de destino. O GoTrim pode, funcionar em um modo de servidor em que inicia um servidor para escutar as solicitações recebidas enviadas pelo agente da ameaça por meio do servidor de comando e controle (C2). Isso, no entanto, só ocorre quando o sistema violado está conectado diretamente à Internet. Outra característica importante do malware botnet é sua capacidade de imitar solicitações legítimas do navegador Mozilla Firefox no Windows de 64 bits para contornar as proteções anti-bot, além de burlar as barreiras CAPTCHA presentes nos sites WordPress. Ataques de força bruta são perigosos, pois podem levar ao comprometimento da aplicação e implantação de malware.
Nova vulnerabilidade de Zero Day descoberta em produtos da Apple. A Apple lançou na terça-feira atualizações de segurança para os navegadores iOS, iPadOS, macOS, tvOS e Safari para resolver uma nova vulnerabilidade de dia zero que pode resultar na execução de código malicioso. Rastreado como CVE-2022-42856, o problema foi descrito pela gigante da tecnologia como um problema de confusão de tipo no mecanismo do navegador WebKit que pode ser acionado ao processar conteúdo especialmente criado, levando à execução arbitrária do código. A empresa disse que está “ciente de um relatório de que esse problema pode ter sido explorado ativamente em versões do iOS lançadas antes do iOS 15.1”. Embora os detalhes sobre a natureza exata dos ataques ainda sejam desconhecidos, é provável que tenha envolvido um caso de engenharia social para infectar os dispositivos ao visitar um domínio não autorizado ou legítimo, mas comprometido por meio do navegador.
SAP lança atualizações para falhas críticas de segurança. A fabricante de software alemã SAP anunciou esta semana o lançamento de 14 notas de segurança novas e cinco atualizadas como parte do Security Patch Day de dezembro de 2022, incluindo quatro notas que abordam vulnerabilidades críticas em Business Client, BusinessObjects, NetWeaver e Commerce. Com uma pontuação CVSS de 10, a mais severa das notas de segurança da SAP atualiza uma nota lançada no Patch Day de abril de 2018, que trata de atualizações de software para o navegador baseado em Chrome no SAP Business Client. No mês passado, o Google anunciou várias atualizações do Chrome, incluindo dois patches de emergência que abordam vulnerabilidades de dia zero nas versões 107 e 108 do navegador, e a SAP está tentando acompanhar: a nota de segurança aborda 34 vulnerabilidades, incluindo 24 de alto nível.
Três novas famílias de ransomware atacam sistemas Windows. Pesquisadores encontraram recentemente três novas famílias de ransomware – Vohuk, ScareCrow e AESRT. O Vohuk tem como alvo principal a Alemanha e a Índia. Ele criptografa vários tipos de arquivo e os torna completamente inutilizáveis. Ele adiciona a extensão .Vohuk aos arquivos criptografados e substitui os ícones de arquivo por um ícone de cadeado vermelho. Uma nota de resgate é exibida no sistema da vítima para contatar o invasor por e-mail com um ID exclusivo atribuído a cada vítima. O ransomware ScareCrow criptografa arquivos nas máquinas das vítimas e adiciona a extensão de arquivo .CROW aos arquivos afetados. Os ataques são relativamente difundidos na Alemanha, Índia, Itália, Filipinas, Rússia e Estados Unidos. A nota de resgate instrui as vítimas a entrar em contato com o invasor usando um dos três canais do Telegram fornecidos. As semelhanças sugerem que os desenvolvedores do ScareCrow podem ter usado o código-fonte Conti vazado no início deste ano. Já o AERST, criptografa arquivos em máquinas comprometidas e acrescenta uma extensão de arquivo .AERST aos arquivos afetados. Em vez de soltar uma nota de resgate típica, ele exibe uma janela pop-up que inclui o endereço de e-mail do invasor.
Fortinet alerta sobre exploração ativa da nova vulnerabilidade SSL-VPN. A Fortinet emitiu na segunda-feira (12), patches de emergência para uma falha grave de segurança que afeta seu produto FortiOS SSL-VPN, que disse estar sendo ativamente explorado. Rastreado como CVE-2022-42475 (pontuação CVSS: 9,3), o bug crítico está relacionado a uma vulnerabilidade de estouro de buffer baseada em heap que pode permitir que um invasor não autenticado execute código arbitrário por meio de solicitações especialmente criadas. A empresa disse que está “ciente de um caso em que essa vulnerabilidade foi explorada”, pedindo aos clientes que se movam rapidamente para aplicar as atualizações.
Novo malware em Python para servidores VMware ESXi. Um backdoor Python não documentado foi detectado visando servidores VMware ESXi, permitindo que hackers executem comandos remotamente em um sistema comprometido. O VMware ESXi é uma plataforma de virtualização usada para hospedar vários servidores em um dispositivo enquanto usa recursos de CPU e memória com mais eficiência. O novo backdoor python adiciona sete linhas dentro de “/etc/rc.local.d/local.sh”, um dos poucos arquivos ESXi que sobrevivem entre as reinicializações e é executado na inicialização. Uma dessas linhas inicia um script Python salvo como “/store/packages/vmtools.py,” em um diretório que armazena imagens de disco VM, logs e muito mais. Esse script inicia um servidor Web que aceita solicitações POST protegidas por senha dos agentes de ameaças remotas. Essas solicitações podem transportar uma carga de comando codificada em base 64 ou iniciar um shell reverso no host.
Uber sofre nova violação de dados após ataque. A Uber sofreu uma nova violação de dados depois que um agente de ameaças vazou endereços de e-mail de funcionários, relatórios corporativos e informações de ativos de TI roubados de um fornecedor terceirizado em um incidente de segurança cibernética. No início da manhã de sábado, um agente de ameaças chamado ‘UberLeaks’ começou a vazar dados que alegou terem sido roubados do Uber e do Uber Eats em um fórum de cibercriminosos conhecido por publicar violações de dados. Os dados vazados incluem vários arquivos que afirmam ser o código-fonte associado a plataformas de gerenciamento de dispositivos móveis (MDM) usadas pelo Uber e Uber Eats. Pesquisadores de segurança que analisaram o vazamento disseram que os dados vazados estão relacionados a informações corporativas internas do Uber e não incluem nenhum de seus clientes. No entanto, os dados vazados contêm informações detalhadas suficientes para conduzir ataques de phishing direcionados aos funcionários da Uber para adquirir informações mais confidenciais, como credenciais de login.
Pesquisadores detalham novo método de ataque para contornar WAF. Um novo método de ataque pode ser usado para contornar Firewalls de Aplicação Web de vários fornecedores e infiltrar-se em sistemas, permitindo potencialmente que invasores obtenham acesso a informações confidenciais dos clientes. Os WAFs são uma linha de defesa fundamental para ajudar a filtrar, monitorar e bloquear o tráfego HTTP(S), e proteger contra ataques de cross-site-scripting (XSS), file inclusion, SQL injection (SQLi) e entre outros. O bypass genérico “envolve anexar a sintaxe JSON a cargas úteis de injeção SQL que um WAF não consegue analisar”, disse o pesquisador Noam Moshe. “A maioria dos WAFs detectará facilmente ataques SQLi, mas anexar JSON à sintaxe SQL fez com que o WAF deixasse para esses ataques.” Segundo a pesquisa, essa técnica funcionou com sucesso contra WAFs de fornecedores como Amazon Web Services (AWS), Cloudflare, F5, Imperva e Palo Alto Networks, que desde então lançaram atualizações para oferecer suporte à sintaxe JSON durante a inspeção de injeção SQL.
Empresa australiana de telecomunicações vaza dados de 130.000 clientes. A operadora de telecomunicações australiana Telstra se desculpou por publicar acidentalmente nomes, números e endereços de mais de 130.000 clientes. A empresa pediu desculpas pelo erro e culpou um “desalinhamento dos bancos de dados”. “Estamos em processo de comunicação com alguns clientes não listados cujos detalhes foram disponibilizados incorretamente por meio da Assistência à Lista”, disse a empresa em um comunicado na sexta-feira (09). O diretor financeiro da Telstra, Michael Ackland, disse que a empresa está removendo os clientes afetados identificados do “serviço de assistência de diretório e da versão online das páginas”.
Sansung Galaxy S22 foi hackeado em apenas 55 segundos. No terceiro dia do evento Pwn2Own, os competidores hackearam o Samsung Galaxy S22 em apenas 55 segundos. Os pesquisadores de segurança que representam o provedor Pentest Limited conseguiram isso depois de demonstrar uma falha de Zero Day, parte de um ataque bem-sucedido de validação de entrada imprópria contra o principal dispositivo da Samsung na última quinta-feira (08). Isso rendeu a eles $25.000, 50% do prêmio total em dinheiro, O Galaxy S22 foi hackeado quatro vezes durante o evento Pwn2Own Toronto 2022. No primeiro dia do Pwn2Own Toronto, a equipe do STAR Labs e um pesquisador de segurança conhecido apenas como Chim demonstraram duas outras explorações de dia zero em ataques bem-sucedidos direcionados ao Galaxy S22. Em todos os quatro casos, os smartphones estavam executando a versão mais recente do sistema operacional Android com todas as atualizações disponíveis instaladas, de acordo com as regras do concurso. O terceiro dia do Pwn2Own Toronto terminou com a Zero Day Initiative da Trend Micro concedendo US$ 253.500 para 14 bugs únicos em várias categorias. A
Cisco adverte sobre falha de alta gravidade que afeta o firmware dos telefones IP. A Cisco lançou um novo aviso de segurança sobre uma falha de alta gravidade que afeta o firmware do Telefone IP 7800 e 8800 Series que pode ser potencialmente explorada por um invasor remoto para causar a execução remota de código ou uma condição de negação de serviço (DoS). A empresa disse que está trabalhando em um patch para resolver a vulnerabilidade, que é rastreada como CVE-2022-20968 (pontuação CVSS: 8.1) e decorre de um caso de validação de entrada insuficiente de pacotes recebidos do Cisco Discovery Protocol (CDP). O CDP é um protocolo independente de rede proprietário que é usado para coletar informações relacionadas a dispositivos próximos e diretamente conectados, como hardware, software e nome do dispositivo, entre outros. Os telefones IP Cisco que executam a versão de firmware 14.2 e anterior são afetados.
Departamento de Saúde dos EUA adverte sobre Royal Ransomware direcionado à saúde. O Departamento de Saúde e Serviços Humanos dos EUA (HHS) emitiu um novo alerta hoje para as organizações de saúde do país sobre os ataques em andamento de uma operação relativamente nova, a gangue Royal ransomware. O Centro de Coordenação de Cibersegurança do Setor de Saúde, revelou em uma nova nota publicada na quarta-feira que o grupo de ransomware está por trás de vários ataques contra organizações de saúde dos EUA. O Royal também alegou que após cada comprometimento que eles vazaram todos os dados supostamente roubados das redes das vítimas. A gangue Royal Ransomware é uma operação privada sem afiliados e composta por agentes de ameaças experientes que trabalharam para outros grupos.
Cibercriminosos criam 400 mil novos malwares por dia. Em 2022, os sistemas de detecção da Kaspersky descobriram em média 400.000 novos arquivos maliciosos distribuídos a cada dia, o que corresponde a um aumento de 5% em comparação com 2021. O número de determinados tipos de ameaças também cresceu: o ransomware aumentou 181% na detecção diária. No total, foram detectados aproximadamente 122 milhões de arquivos maliciosos em 2022, seis milhões a mais do que no ano anterior. Os pesquisadores descobriram ainda que os ransomware encontrados diariamente aumentaram 181% em relação a 2021, chegando a 9.500 bloqueios por dia. O Windows continuou sendo o principal alvo dos ataques entre todas as plataformas que registraram tentativas de ataques. Em 2022, os especialistas registraram uma média de quase 320.000 arquivos maliciosos para o sistema Windows – o que representa 85% do total. Outra curiosidade é que nos últimos dez meses, a parcela de arquivos maliciosos diários direcionados para o Microsoft Office dobrou (236% de crescimento).
Novo Ransomware Bakuk é encontrado em grande ataque. Uma nova variante do ransomware Babuk foi descoberto pela primeira vez no início de 2021, quando começou a segmentar empresas para roubar e criptografar dados em ataques de dupla extorsão. No final do ano, um agente de ameaças vazou o código-fonte completo do Babuk em um fórum de hackers russos. Agora, os agentes de ameaças combinaram o código-fonte vazado de Babuk com software evasivo de código aberto e técnicas de carregamento lateral para criar uma variante inédita. Segundo pesquisadores da Trend Micro, os invasores estão usando a nova cepa do Babuk para atingir uma empresa multibilionária com mais de 10.000 estações de trabalho e dispositivos de servidor. Os invasores tiveram acesso à rede por duas semanas de reconhecimento completo antes de lançar o ataque. Eles comprometeram o controlador de domínio da empresa e o usaram para distribuir ransomware para todos os dispositivos da organização por meio do GPO.
Fortinet corrige vulnerabilidade de desvio de autenticação de alta gravidade no FortiOS. O provedor de soluções de segurança cibernética Fortinet anunciou esta semana correções para várias vulnerabilidades em seus produtos, incluindo um desvio de autenticação de alta gravidade que afeta o FortiOS e o FortiProxy. Rastreado como CVE-2022-35843 (pontuação CVSS de 7,7), o desvio de autenticação foi identificado no componente de login SSH do FortiOS. O bug só pode ser acionado quando a autenticação Radius é usada. “Um desvio de autenticação por vulnerabilidade de dados presumidos imutáveis no componente de login FortiOS SSH pode permitir que um invasor remoto e não autenticado faça login no dispositivo enviando uma resposta Access-Challenge especialmente criada do servidor Radius”, explica a Fortinet em um comunicado.
