HackerSec lança atualização do Hstrike. O Hstrike é uma plataforma de análises e testes de cibersegurança desenvolvida do zero pela HackerSec, para melhorar o dia a dia do profissional de cibersegurança, podendo fazer análises rápidas e práticas.
Falha em sistema da BlackBerry expõe carros e hospitais a cibercriminosos. Após relutar em admitir que uma falha de segurança cibernética possa ter impactado seus produtos, a fabricante canadense BlackBerry anunciou na terça-feira (17) que versões antigas do seu sistema operacional QNX contêm uma vulnerabilidade. Batizado de BadAlloc, o bug expões diversos equipamentos a ataques hacker. O BadAlloc, que recebeu o nome de uma conhecida falha que trava equipamentos por falta de memória, já havia sido publicamente divulgado em maio por outras empresas afetadas.
T-Mobile diz que dados de 40 milhões de pessoas foram roubados por hackers. A T-Mobile disse nesta quarta-feira que uma investigação revelou que dados pessoais de mais de 40 milhões de possíveis clientes e ex-clientes foram roubados. Os dados roubados também incluem dados de 7,8 milhões de clientes do serviço móvel da T-Mobile. Datas de nascimento, nomes e sobrenomes também foram roubados, afirmou a operadora de serviços de telecomunicações, acrescentando que não houve indicativo de que detalhes financeiros tenham sido comprometidos.
Pesquisadores descobrem novas variantes do malware ChromeLoader. Pesquisadores de segurança cibernética descobriram novas variantes do malware de roubo de informações ChromeLoader, destacando seu conjunto de recursos em evolução em um curto espaço de tempo. Usado principalmente para sequestrar as pesquisas do navegador das vítimas e apresentar anúncios, o ChromeLoader veio à tona em janeiro de 2022 e foi distribuído na forma de downloads de arquivos ISO ou DMG anunciados por meio de códigos QR no Twitter e sites de jogos gratuitos. As infecções geralmente funcionam atraindo usuários desavisados para baixar torrents de filmes ou videogames crackeados por meio de campanhas de publicidade maliciosa em sites de pagamento por instalação e mídias sociais. Além de solicitar permissões invasivas para acessar dados do navegador e manipular solicitações Web, ele também foi projetado para capturar as consultas de mecanismos de pesquisa dos usuários no Google, Yahoo e Bing, permitindo efetivamente que os agentes de ameaças coletem seu comportamento online.
Novas vulnerabilidades de firmware afetam vários modelos de notebooks Lenovo. A fabricante de eletrônicos de consumo Lenovo lançou na terça-feira (13) correções para conter três falhas de segurança em seu firmware UEFI que afetam mais de 70 modelos de produtos. “As vulnerabilidades podem ser exploradas para alcançar a execução arbitrária de código nas fases iniciais da inicialização da plataforma, possivelmente permitindo que os invasores sequestrem o fluxo de execução do sistema operacional e desativem alguns recursos de segurança importantes”, disse a empresa de segurança cibernética ESET em uma série de tweets. Rastreados como CVE-2022-1890, CVE-2022-1891 e CVE-2022-1892, todos os três bugs estão relacionados a vulnerabilidades de estouro de buffer que foram descritas pela Lenovo levando ao escalonamento de privilégios nos sistemas afetados. Esta é a segunda vez que a Lenovo se move para resolver vulnerabilidades de segurança UEFI desde o início do ano.
Microsoft alerta para ataques de phishing em grande escala contra mais de 10.000 organizações. A Microsoft divulgou na terça-feira que uma campanha de phishing em larga escala teve como alvo mais de 10.000 organizações desde setembro de 2021, sequestrando o processo de autenticação do Office 365, mesmo em contas protegidas com autenticação multifator (MFA). “Os invasores usaram as credenciais roubadas e os cookies de sessão para acessar as caixas de correio dos usuários afetados e realizar campanhas de comprometimento de e-mail comercial (BEC) contra outros alvos”, relataram as equipes de segurança cibernética da empresa. A campanha de phishing detectada pela Microsoft foi orquestrada para destacar os usuários do Office 365 falsificando a página de autenticação online do Office, com os invasores usando o kit de phishing Evilginx2 para realizar os ataques AitM.
Novo Ransomware 0mega se junta ao cenário de ameaças de dupla extorsão. 0mega, uma nova operação de ransomware, foi observada visando organizações em todo o mundo. Os operadores de ransomware estão lançando ataques de dupla extorsão e exigindo milhões de dólares como resgate. A operação de ransomware 0mega foi lançada em maio e já fez várias vítimas. A 0mega mantém um site dedicado de vazamento de dados que os invasores usam para postar dados roubados se o resgate exigido não for pago. O site de vazamento atualmente hospeda 152 GB de dados roubados de uma empresa de conserto de eletrônicos em um ataque que aconteceu em maio. Como nenhuma amostra de ransomware da operação 0mega foi encontrada, os pesquisadores não têm certeza de como ele criptografa os arquivos. No entanto, os pesquisadores conseguiram fornecer detalhes adicionais sobre seus ataques com base em seu site de vazamento de dados. 0mega é um novo ransomware no cenário de ameaças e espera-se que mais ataques sejam vistos no futuro.
TikTok adia atualização da política de privacidade na Europa. A popular plataforma de compartilhamento de vídeos TikTok concordou na última terça-feira (12), em pausar uma controversa atualização da política de privacidade que poderia permitir a veiculação de anúncios direcionados com base na atividade dos usuários na plataforma sem permissão para isso. A reversão, relatada pelo TechCrunch , ocorre um dia depois que a autoridade italiana de proteção de dados – a Garante per la Protezione dei Dati Personali – alertou a empresa contra a mudança, citando violações das leis de proteção de dados. “Os dados pessoais armazenados nos dispositivos dos usuários não podem ser usados para perfilar esses usuários e enviar anúncios personalizados sem seu consentimento explícito”, disse a Garante. O aviso formal foi em resposta a uma revisão da política de privacidade que observou que historicamente havia solicitado o “consentimento” dos usuários para suas atividades no TikTok e fora do TikTok para veicular anúncios personalizados e que, portanto, pretende parar de pedir aos usuários suas permissão para perfilar seu comportamento e processar dados pessoais.
Windows Autopatch agora está disponível para sistemas corporativos. A Microsoft anunciou na segunda-feira (11) a disponibilidade de um recurso chamado Autopatch que mantém automaticamente os softwares Windows e Office atualizados nos terminais registrados. O lançamento, ocorre um dia antes da Microsoft lançar sua rodada mensal de patches de segurança, está disponível para clientes com licenças do Windows Enterprise E3 e E5. No entanto, ele não oferece suporte a licenças do Windows Education (A3) ou Windows Front Line Worker (F3). “A Microsoft continuará lançando atualizações e agora o Autopatch ajuda a simplificar as operações de atualização e criar novas oportunidades para os profissionais de TI”, disse Lior Bela.
Novo malware visa servidores IIS da Microsoft. Pesquisadores da Kaspersky identificaram um novo backdoor que tem sido usado para direcionar servidores Microsoft IIS desde pelo menos março de 2021. Isso ocorre após a descoberta do Owowa em dezembro de 2021. O SessionManager tem sido usado para atingir uma variedade de organizações governamentais, ONGs, industriais e militares na Ásia, Oriente Médio, África, América do Sul e Europa. O backdoor permite que seus operadores mantenham acesso persistente e furtivo à infraestrutura de TI da organização alvo. Além disso, SessionManager tem uma baixa taxa de detecção. De acordo com uma verificação da Kaspersky, mais de 90% das empresas-alvo ainda têm o backdoor implantado. Desenvolvido em C++, o backdoor é um módulo IIS de código nativo malicioso carregado por determinados aplicativos IIS para processar solicitações HTTP legítimas. Embora esses módulos pareçam legítimos, eles acionam ações com base nas instruções dos operadores. Ele pode ler, gravar e excluir arquivos arbitrários no servidor infectado, executar RCE e estabelecer conexões com terminais de rede arbitrários.
Cibercriminosos usaram oferta de emprego falsa para invadir e roubar US$ 540 milhões. O ataque de US$ 540 milhões da Ronin Bridge – Axie Infinity no final de março de 2022 foi a consequência de um de seus ex-funcionários ter sido enganado por uma oferta de emprego fraudulenta no LinkedIn. De acordo com um relatório do The Block publicado na semana passada citando duas pessoas familiarizadas com o assunto, um engenheiro sênior da empresa foi enganado para se candidatar a um emprego em uma empresa inexistente, fazendo com que o indivíduo baixasse um documento de oferta falso disfarçado de PDF. O documento de oferta posteriormente atuou como um canal para implantar um malware projetado para violar a rede da Ronin, facilitando um dos maiores ataques do setor de criptomoedas até hoje.
Fraude de pagamento on-line atingirá US$ 343 bilhões nos próximos cinco anos. Um novo estudo da Juniper Research sugere que as perdas totais com fraudes de pagamentos online ultrapassarão US$ 343 bilhões globalmente nos próximos cinco anos, impulsionadas em grande parte pela inovação dos fraudadores em áreas como fraude de aquisição de contas e roubo de identidade. Isso ocorre apesar do uso generalizado de medidas de verificação de identidade. A fraude de pagamento online inclui perdas nas vendas de bens digitais, bens físicos, transações de transferência de dinheiro e serviços bancários, bem como compras como passagens aéreas. Os ataques de fraudadores podem incluir phishing, comprometimento de e-mail comercial e fraudes de engenharia social. É importante que os comerciantes adotem fortes medidas antifraude, incluindo várias fontes de verificação de endereço e autenticação multifator, para reduzir incidentes fraudulentos.
Pesquisadores detalham as técnicas que o Ransomware LockBit usa para infectar seus alvos. Os ataques de ransomware LockBit estão em constante evolução, fazendo uso de uma ampla variedade de técnicas para infectar alvos, além de tomar medidas para desabilitar soluções de segurança para endpoint. “Os afiliados que usam os serviços da LockBit conduzem seus ataques de acordo com sua preferência e usam diferentes ferramentas e técnicas para atingir seu objetivo”, disseram os analistas de segurança da Cybereason Loic Castel e Gal Romano. O LockBit, que opera em um modelo de ransomware como serviço (RaaS), como a maioria dos grupos, foi observado pela primeira vez em setembro de 2019 e desde então emergiu como a linhagem de ransomware mais dominante este ano, superando outros grupos conhecidos como Conti , Hive e BlackCat. A LockBit também utiliza a técnica popular de dupla extorsão para exfiltrar grandes quantidades de dados antes de criptografar os ativos do alvo, capturando o sindicato cibercriminoso nada menos que 850 vítimas em seu site de vazamento de dados em maio de 2022.
Campanhas de malware imitam empresas de Cibersegurança. Em 8 de julho de 2022, a CrowdStrike Intelligence identificou uma campanha de phishing de retorno de chamada representando empresas proeminentes de segurança cibernética, incluindo a CrowdStrike. O e-mail de phishing indica que a empresa do destinatário foi violada e insiste que a vítima ligue para o número de telefone incluído. Esta campanha aproveita táticas de engenharia social semelhantes às empregadas em campanhas de retorno de chamada recentes, incluindo a campanha BazarCall de 2021 da WIZARD SPIDER. Essa campanha provavelmente incluirá ferramentas de administração remota legítimas (RATs) comuns para acesso inicial, ferramentas de pentest prontas para o movimento lateral e a implantação de ransomware ou extorsão de dados.
Microsoft reverte temporariamente o plano para bloquear macros VBA do Office. Cinco meses depois de anunciar planos para desabilitar as macros do Visual Basic for Applications (VBA) por padrão no pacote de produtividade do Office, a Microsoft parece ter revertido seus planos. “Com base no feedback recebido, uma reversão começou”, disse Angela Robertson, funcionária da Microsoft , em um comentário de 6 de julho. “Uma atualização sobre a reversão está em andamento. Peço desculpas por qualquer inconveniente da reversão começar antes da atualização sobre a mudança ser disponibilizada.” “Após o feedback do usuário, revertemos essa mudança temporariamente enquanto fazemos algumas alterações adicionais para melhorar a usabilidade”, disse um porta-voz da Microsoft. “Esta é uma alteração temporária e estamos totalmente comprometidos em fazer a alteração padrão para todos os usuários. Independentemente da configuração padrão, os clientes podem bloquear macros da Internet por meio das configurações de Diretiva de Grupo descritas neste artigo .”
Apple apresenta novo recurso de segurança extrema. O Lockdown Mode foi desenvolvido para usuários, como jornalistas ou ativistas, que enfrentam sérias ameaças digitais do NSO Group e outras empresas privadas que estão desenvolvendo spyware patrocinado pelo Estado. A Apple compartilhou detalhes de uma nova opção de segurança chamada Lockdown Mode para usuários de dispositivos da Apple que possam enfrentar ameaças digitais sérias e sofisticadas. Ativar o modo de bloqueio fortalece as defesas em seu dispositivo e limita estritamente certas funcionalidades, reduzindo as maneiras pelas quais seu dispositivo pode ser explorado por ataques cibernéticos. Para melhorar o recurso ao longo do tempo, a Apple estabeleceu uma nova categoria dentro do programa Apple Security Bounty para recompensar os pesquisadores que encontrarem desvios do modo de bloqueio. As recompensas são dobradas para descobertas qualificadas no Modo Lockdown, até um máximo de US$ 2 milhões.
QNAP alerta para novo ransomware Checkmate visando dispositivos NAS. O fornecedor de armazenamento conectado à rede (NAS) QNAP alertou os clientes para proteger seus dispositivos contra ataques usando o ransomware Checkmate para criptografar dados. Os ataques estão focados em dispositivos QNAP expostos à Internet com o serviço SMB ativado e contas com senhas fracas que podem ser facilmente quebradas em ataques de força bruta. Checkmate é uma variedade de ransomware recentemente descoberta, implantada pela primeira vez em ataques por volta de 28 de maio, que anexa uma extensão .checkmate a arquivos criptografados e solta uma nota de resgate chamada !CHECKMATE_DECRYPTION_README. Embora não haja nenhum relatório nos fóruns oficiais da QNAP ou redes sociais online, as vítimas têm compartilhado arquivos bloqueados usando o ransomware Checkmate em um tópico dedicado do fórum BleepingComputer.
Cibercriminosos estão atacando os usuários do Amazon Prime. Com o Amazon Prime Day 2022 marcado para 12 e 13 de julho, a Check Point Research já está vendo e-mails de phishing e domínios suspeitos projetados para enganar compradores em potencial. Os criminosos cibernéticos gostam de explorar atividades e eventos sazonais, especialmente aqueles que atraem muita atenção do público. O Amazon Prime Day é um desses eventos sazonais em que a gigante do varejo inicia uma série de vendas tentadoras para consumidores que desejam economizar dinheiro. Antes do Amazon Prime Day deste ano, marcado para 12 e 13 de julho, a Check Point disse que viu um salto de 37% nos ataques de phishing relacionados à Amazon no início de julho em comparação com a média diária de junho. Além disso, quase 1.900 novos domínios usando o termo “Amazon” surgiram em junho, com quase 10% deles considerados maliciosos ou suspeitos. Os e-mails de phishing usam certas táticas psicológicas importantes para tentar convencer os usuários desavisados a morder a isca.
Nova certificação no mercado de Cibersegurança Na última quarta-feira, a HackerSec, maior EdTech de cibersegurança do Brasil, lançou a mais nova certificação para profissionais de cibersegurança. Desenvolvida para atender os padrões internacionais do mercado, a HCP (HackerSec Certified Pentester) é voltada para os profissionais que desejam validar suas habilidades como pentester. Agora, além dos certificados que já são entregues aos alunos, os profissionais formados pela HackerSec terão acesso a realização da prova, dando um peso ainda maior para o currículo. O exame de certificação estará disponível de forma exclusiva somente para alunos.
Bug de alta gravidade no OpenSSL pode levar à execução remota de código. Uma vulnerabilidade de alta gravidade no OpenSSL pode permitir que um agente mal-intencionado obtenha a execução remota de código (RCE) em dispositivos vinculados ao servidor. OpenSSL é uma biblioteca de criptografia amplamente utilizada que fornece uma implementação de código aberto dos protocolos Secure Sockets Layer (SSL) e Transport Layer Security (TLS). Inclui ferramentas para gerar chaves privadas RSA e realizar criptografia e descriptografia, entre outras tarefas. Essa falha (CVE-2022-2274), torna a implementação do RSA com chaves privadas de 2048 bits incorreta, o que significa que a corrupção de memória ocorrerá durante o cálculo. Como consequência da corrupção da memória, um invasor pode acionar o RCE na máquina que executa o serviço. Esse problema foi relatado ao OpenSSL em 22 de junho de 2022, por Xi Ruoyao, que também desenvolveu a correção.
Ransomware tem como alvo servidores Windows e Linux Uma nova operação de ransomware chamada RedAlert, ou N13V, criptografa servidores Windows e Linux em ataques a redes corporativas. A operação foi descoberta hoje pelo MalwareHunterTeam, que twittou várias imagens do site de vazamento de dados da gangue. O ransomware foi chamado de ‘RedAlert’ com base em uma string usada na nota de resgate. No entanto, a partir de um criptografador Linux obtido pela BleepingComputer, os agentes de ameaças chamam sua operação de ‘N13V’ internamente. O criptografador Linux foi criado para direcionar servidores VMware ESXi, com opções de linha de comando que permitem que os agentes de ameaças desliguem qualquer máquina virtual em execução antes de criptografar os arquivos. Embora apenas um criptografador do Linux tenha sido encontrado, o site de pagamento escondeu elementos que mostram que os descriptografadores do Windows também existem. Como quase todas as novas operações de ransomware voltadas para empresas, o RedAlert realiza ataques de dupla extorsão, que é quando os dados são roubados e, em seguida, o ransomware é implantado para criptografar os dispositivos. Essa tática fornece dois métodos de extorsão, permitindo que os agentes de ameaças não apenas exijam resgate para receber um decodificador, mas também exijam um para evitar o vazamento de dados roubados.
Pesquisadores compartilham técnicas para descobrir sites de ransomware na Deep Web. Pesquisadores de segurança cibernética detalharam as várias medidas que os agentes de ransomware tomaram para ocultar sua verdadeira identidade online, bem como o local de hospedagem de sua infraestrutura de servidor web. “A maioria dos operadores de ransomware usa provedores de hospedagem fora de seu país de origem para hospedar seus sites de operações de ransomware”, disse o pesquisador da Cisco Talos, Paul Eubanks. “Eles usam hop-points VPS como um proxy para ocultar sua verdadeira localização quando se conectam à infraestrutura Web de ransomware para tarefas de administração remota.” Também são proeminentes o uso da rede TOR e serviços de registro de proxy DNS para fornecer uma camada adicional de anonimato para suas operações ilegais. Mas, aproveitando os erros de segurança operacional dos agentes de ameaças e outras técnicas, a empresa de segurança cibernética divulgou na semana passada que conseguiu identificar serviços ocultos TOR hospedados em endereços IP públicos, alguns dos quais são infraestruturas anteriormente desconhecidas associadas a DarkAngels , Snatch , grupos de ransomware Quantum e Nokoyawa.
Google atualiza o Chrome para eliminar o WebRTC Zero Day. O Google lançou uma atualização inesperada em seu navegador Chrome para corrigir uma falha de WebRTC de Zero Day que está sendo explorada ativamente. O Google diz que a falha está sob ataque ativo, mas não oferece informações sobre como alguém pode detectá-la ou se defender contra ela, exceto atualizando o Chrome. Dada a natureza e o propósito do WebRTC, provavelmente é melhor não usar ferramentas de comunicação baseadas em navegador até que você possa atualizar. É a quarta vez que o chrome precisou emitir novas atualizações de emergência em 2022. Felizmente, o Chrome se atualiza com pouca intervenção no aspecto do usuário, portanto, os muitos milhões de usuários do software devem ser protegidos contra esses problemas mais recentes em pouco tempo. Se eles estão seguros a longo prazo é outra questão.
Contas de YouTubers se tornaram alvo de cibercriminosos. Os criadores do YouTube devem se preocupar, pois o novo spyware YTStealer está roubando contas através dos cookies de autenticação. O malware que contém instaladores maliciosos do YTStealer atrai os usuários ao se passar por software que edita vídeos ou atua como conteúdo para novos vídeos. Depois de adicionar o cookie roubado à sua loja, ele inicia o navegador da Web no modo headless para validá-los. Se for válido, o YTStealer também coleta informações adicionais, como nome do canal do YouTube, número de inscritos, data de criação, status de monetização e status oficial do canal do artista. As contas são vendidas na Deep Web e os compradores normalmente usam esses cookies de autenticação roubados para sequestrar canais do YouTube para vários golpes ou exigir um resgate dos proprietários reais.
Django corrige vulnerabilidade de SQL Injection em novas versões. O projeto Django, um framework web de código aberto baseado em Python, corrigiu uma vulnerabilidade de alta gravidade em seus últimos lançamentos. Rastreada como CVE-2022-34265, a potencial vulnerabilidade de SQL Injection existe na ramificação principal do Django e nas versões 4.1 (atualmente em beta), 4.0 e 3.2. Novos lançamentos e patches lançados hoje eliminam a vulnerabilidade. Milhares de sites, incluindo algumas marcas populares somente nos EUA, escolhem o Django como seu framework Model-Template-View, de acordo com algumas estimativas. É por isso que a necessidade de atualizar ou corrigir suas instâncias do Django contra bugs como esses é crucial. A equipe do Django lançou as versões Django 4.0.6 e Django 3.2.14 que tratam de uma vulnerabilidade de injeção de SQL de alta gravidade e está pedindo aos desenvolvedores que atualizem ou corrijam suas instâncias do Django o mais rápido possível.
Protocolo DeFi é atacado e cibercriminosos roubam R$ 48 milhões. O Crema, protocolo de liquidez baseado em Solana (SOL) perdeu US$ 9 milhões em um ataque hacker, como resultado da exploração de uma falha no protocolo. A equipe por trás do protocolo confirmou o ataque no dia 3 de julho e informou aos usuários no Twitter. De acordo com a explicação, o invasor explorou uma vulnerabilidade e realizou uma série de empréstimos que possibilitaram o roubo. Logo que o ataque ocorreu, a equipe do Crema interrompeu temporariamente suas operações e abriu uma investigação completa. O contrato inteligente foi suspenso e a equipe se disponibilizou a oferecer uma recompensa se os fundos forem devolvidos. No total, o invasor roubou cerca de R$ 48 milhões em valores atuais. Depois que obteve os fundos, ele converteu o valor em 69.423 tokens SOL e 6.497.738 em USDCet, um token embrulhado de USDC na Wormhole. Os ataques a protocolos DeFi aumentaram conforme o mercado cresceu exponencialmente a partir de 2020.
Mais de 1 bilhão de dados de cidadãos chineses foram vazados. Um cibercriminoso alega ter roubado as informações pessoais de 1 bilhão de cidadãos chineses de um banco de dados da polícia de Xangai, no que seria uma das maiores violações de dados da história. O invasor, identificado apenas como “ChinaDan”, postou em um fórum de cibercriminosos oferecendo a venda mais de 23 terabytes (TB) de dados por 10 bitcoins, o equivalente a cerca de US$ 200.000 (£ 165.000). “Em 2022, o banco de dados da Polícia Nacional de Xangai (SHGA) vazou. Este banco de dados contém muitos TB de dados e informações sobre bilhões de cidadãos chineses”, dizia o post. “Os bancos de dados contêm informações sobre 1 bilhão de residentes nacionais chineses e vários bilhões de registros de casos, incluindo: nome, endereço, local de nascimento, número de identidade nacional e número de celular.” As autoridades na China ainda não responderam ao suposto ataque até o momento.
Gitlab corrige bug crítico de RCE na versão de segurança mais recente. O Gitlab corrigiu uma vulnerabilidade crítica que pode permitir que um invasor execute código remotamente. O problema de segurança, que foi classificado como crítico, foi descoberto em todas as versões do GitLab, a partir de 14.0 anterior a 14.10.5, 15.0 anterior a 15.0.4 e 15.1 anterior a 15.1.1. Um usuário autenticado pode importar um projeto criado com códigos maliciosos que leva à execução remota de código, diz um comunicado do GitLab. O bug (CVE-2022-2185) foi corrigido na versão mais recente. Correções para várias outras vulnerabilidades também foram lançadas na versão mais recente, incluindo dois bugs de XSS separados. Mais detalhes sobre as vulnerabilidades corrigidas podem ser encontrados no comunicado de segurança do Gitlab. Os bugs de segurança afetam o GitLab Community Edition e o Enterprise Edition. O Gitlab recomendou que os usuários atualizem para a versão mais recente.
CISA ordena que as agências corrijam o bug do Windows LSA. A CISA adicionou novamente um bug de segurança que afeta dispositivos Windows à sua lista de bugs explorados após removê-lo em maio devido a problemas de autenticação de certificado do Active Directory (AD) causados pelas atualizações de maio de 2022 da Microsoft. A falha é uma vulnerabilidade de falsificação do Windows LSA (Local Security Authority) explorada ativamente, rastreada como CVE-2022-26925 e confirmada como um novo vetor de ataque PetitPotam Windows NTLM Relay. Os invasores não autenticados podem explorar esse bug para forçar os controladores de domínio a autenticá-los remotamente por meio do protocolo de segurança do Windows NT LAN Manager (NTLM) e, provavelmente, assumir o domínio total do Windows. A agência de segurança cibernética divulgou novas orientações com as etapas de mitigação CVE-2022-26925 que devem ser seguidas para evitar interrupções no serviço. Também ordenou que as agências do Federal Civilian Executive Branch (FCEB) aplicassem as atualizações do Windows lançadas em 14 de junho até 22 de julho de 2022.
Hackers russos atacam maior empresa privada de energia da Ucrânia. Os hackers realizaram um ataque cibernético ao maior conglomerado privado de energia da Ucrânia em retaliação à oposição de seu proprietário à guerra da Rússia na Ucrânia, informou a empresa na última sexta-feira. O DTEK Group, que possui usinas termelétricas e a carvão em várias partes da Ucrânia, disse que o objetivo do ataque era “desestabilizar os processos tecnológicos” de suas empresas de distribuição e geração, espalhar propaganda sobre as operações da empresa e “deixar os consumidores ucranianos sem eletricidade”. O impacto real do ataque e quais sistemas foram violados não estão claros. O grupo conhecido como XakNet também postou capturas de tela no aplicativo Telegram de supostos dados do DTEK como prova.
