Anatel vai exigir requisitos de cibersegurança para certificar equipamentos. A Anatel indicou nesta quarta-feira (04), que vai dar um novo aperto nas medidas de proteção às redes de telecomunicações. Segundo especialista da agência que atua no Grupo Técnico criado sobre o tema, a discussão com fabricantes e fornecedores dentro desse GT evolui para tornar obrigatórios alguns requisitos de segurança que atualmente são voluntários. Na questão da segurança cibernética, a Anatel atua na regulamentação, na certificação de equipamentos e na conscientização dos usuários. A agência editou um regulamento em dezembro de 2020, que foi o segundo marco setorial com regulação própria para infraestruturas críticas [o primeiro foi do Banco Central]. E um ponto muito importante é olhar par aa cadeia de fornecedores”, destacou especialista da Anatel. O GT Ciber tem participação obrigatória das operadoras com poder de mercado – Oi, Vivo, Claro, TIM e Sky, além de representantes das prestadoras de pequeno porte.
EUA planeja contratar mais profissionais na unidade de aplicação de criptomoedas para combater fraudes. A SEC (Comissão de Valores Mobiliários) dos EUA, órgão responsável pela fiscalização e regularização do mercado de capitais do país, anunciou nesta semana que abrirá 20 novas vagas em sua Unidade de Criptoativos e Cibersegurança, para aumentar a proteção desses setores. Segundo o comunicado, a abertura das 20 novas vagas se dá pelo constante aumento de investidores que estão entrando no mercado de criptomoedas. Com um novo total de 50 especialistas, a agência poderá avaliar com mais atenção e eficácia os diversos golpes para proteger o setor. O anúncio da expansão da Unidade de Criptoativos e Cibersegurança da SEC ocorre pouco menos de dois meses após o atual presidente dos EUA, Joe Biden, assinar uma ordem executiva que pedia para empresas do país desenvolverem recomendações para proteção do mercado de criptomoedas.
Cisco emite patches para 3 novas falhas que afetam o software NFVIS corporativo. A Cisco Systems enviou nesta quarta-feira (04), patches de segurança para conter três falhas que afetam seu Enterprise NFV Infrastructure Software (NFVIS) que podem permitir que um invasor comprometa totalmente e assuma o controle sobre os hosts. Rastreadas como CVE-2022-20777, CVE-2022-20779 e CVE-2022-20780, as vulnerabilidades “podem permitir que um invasor escape da máquina virtual convidada (VM) para a máquina host, injete comandos que são executados na raiz ou vazar dados do sistema do host para a VM”, disse a empresa. Além disso, a Cisco emitiu na semana passada um “aviso de campo” pedindo aos usuários dos dispositivos Catalyst 2960X/2960XR que atualizem seu software para o IOS versão 15.2(7)E4 ou posterior para habilitar novos recursos de segurança projetados para “verificar a autenticidade e integridade de nossas soluções” e evitar compromissos.
Novo malware para Linux está sendo usado em ataques para ocultar processos maliciosos. Um novo rootkit para Linux chamado ‘Syslogk’, está sendo usado em ataques para ocultar processos maliciosos, usando “pacotes mágicos” especialmente criados para despertar um backdoor inativo no dispositivo. O malware está atualmente em desenvolvimento pesado, e seus criadores parecem basear seu projeto no Adore-Ng, um antigo rootkit de código aberto. O Syslogk pode forçar o carregamento de seus módulos no kernel do Linux, ocultar diretórios, tráfego de rede e, eventualmente, carregar um backdoor chamado ‘Rekoobe’. Os rootkits do Linux são malwares instalados como módulos do kernel no sistema operacional. Uma vez instalados, eles interceptam comandos legítimos do Linux para filtrar informações que não desejam que sejam exibidas, como a presença de arquivos, pastas ou processos.
Hackers chineses estão usando o novo malware em ataques de ciberespionagem. Uma ameaça persistente avançada chinesa (APT) conhecida como Gallium foi observada usando um trojan de acesso remoto anteriormente não documentado em seus ataques de espionagem direcionados a empresas que operam no Sudeste Asiático, Europa e África. Chamado de PingPull, o backdoor “difícil de detectar” é notável pelo uso do Internet Control Message Protocol ( ICMP ), para comunicações de comando e controle (C2), de acordo com uma nova pesquisa publicada no último dia (13). Baseado em C++, o malware fornece a um agente de ameaças a capacidade de acessar um shell reverso e executar comandos arbitrários em um host comprometido. Isso abrange a realização de operações de arquivo, enumeração de volumes de armazenamento e arquivos de marcação de tempo.
FBI e DOJ dizem que menos de 25% das vítimas de ransomware relataram incidentes. Apenas um quarto de todas as vítimas do ransomware NetWalker relataram incidentes à aplicação da lei, de acordo com funcionários do FBI e do Departamento de Justiça que lideraram a remoção do grupo. Ryan Frampton, um membro da equipe de ação cibernética da Divisão do FBI – e Carlton Gammons – o principal promotor da Procuradoria dos EUA para o Distrito Médio da Flórida – falaram longamente sobre seu trabalho de desligar a infraestrutura do ransomware NetWalker no Conferência RSA na última quinta-feira (09). O FBI e o DOJ conseguiram obter muitas informações sobre o grupo depois de apreender os servidores de back-end do NetWalker na Bulgária durante uma investigação ao longo de 2020. Frampton disse que apenas 115 vítimas do NetWalker apresentaram relatórios ao centro IC3 do FBI ou ao escritório local do FBI. Mas esse número é ofuscado pelo que eles encontraram nos servidores NetWalker usados para hospedar seu site TOR. Os servidores continham mais de 1.000 “builds” – diferentes versões do ransomware NetWalker personalizadas para cada vítima com base em uma análise de sistemas já violados.
Cibercriminosos sequestram milhões de contas do Facebook Messenger. De acordo com informações da PIXM, os criminosos estão disparando milhares de mensagens via e-mail com o intuito de convencer os destinatários a inserir os dados pessoais em uma página falsa que copia toda a interface do Messenger, método que apesar de não ser novo ainda consegue fazer inúmeras vítimas em todo o mundo. Estima-se que cerca de 8,5 milhões de pessoas acessaram os links fraudulentos e podem ter inserido dados pessoais no primeiro semestre deste ano. Apenas para comparação, no mesmo período de 2021 o número registrado de acessos foi de 2,7 milhões, revelando um aumento expressivo na ação dos golpistas. Diante desse cenário alarmante, é preciso adotar medidas de segurança para evitar cair em páginas falsas e informar suas informações de login.
Cientistas do MIT descobriram vulnerabilidade no chip M1 da Apple. A falha permite que invasores descubram o código de autenticação de ponteiro (conhecida pela sigla PAC, em inglês), recurso que impede ataques relacionados à injeção de códigos maliciosos na memória dos dispositivos. Como o PAC é um recurso de segurança presente no próprio chip, ou seja, um tipo proteção do próprio hardware, não é possível corrigir essa vulnerabilidade por atualizações de sistema. Geralmente, quando um programa malicioso tenta injetar códigos na memória do dispositivo, ele precisa saber esse código de autenticação de ponteiro para ter sucesso. Caso o código esteja incorreto, o programa trava e o PAC é alterado. Os pesquisadores conseguiram criar um ataque que burla esse mecanismo de travamento do programa e consegue descobrir o código de autenticação de ponteiro. Esse ataque foi batizado de PACMAN pelos pesquisadores.
Hackers iranianos atacam setor de energia com novo backdoor de DNS. O grupo de hackers iraniano Lycaeum APT usa um novo backdoor DNS baseado em .NET para realizar ataques a empresas nos setores de energia e telecomunicações. Lyceum é um APT apoiado pelo estado, que anteriormente tinha como alvo provedores de serviços de comunicação no Oriente Médio usando backdoors de encapsulamento de DNS. Uma análise recente da Zscaler apresenta um novo backdoor de DNS baseado na ferramenta de código aberto DIGnet para realizar ataques de “sequestro de DNS”, executar comandos, descartar mais cargas úteis e exfiltrar dados. O sequestro de DNS é um ataque de redirecionamento que se baseia na manipulação de consultas de DNS para levar um usuário que tenta visitar um site legítimo a um clone malicioso hospedado em um servidor sob o controle do agente da ameaça. Qualquer informação inserida no site malicioso, como credenciais de conta, será compartilhada diretamente com o agente da ameaça. Além de realizar ataques de sequestro de DNS, o backdoor também pode receber comandos do servidor de comando e controle para executar na máquina comprometida.
Pesquisadores descobriram uma operação de phishing em larga escala no Facebook. Pesquisadores descobriram uma operação de phishing em larga escala que abusou do Facebook e do Messenger para atrair milhões de usuários para páginas de phishing, induzindo-os a inserir suas credenciais de conta e ver anúncios. Os operadores da campanha usaram essas contas roubadas para enviar mais mensagens de phishing a seus amigos, gerando uma receita significativa por meio de comissões de publicidade online. Embora não se saiba como a campanha começou inicialmente, as vítimas chegaram às páginas de destino de phishing a partir de uma série de redirecionamentos originados do Facebook Messenger. À medida que mais contas do Facebook eram roubadas, os agentes de ameaças usavam ferramentas automatizadas para enviar mais links de phishing para os amigos da conta comprometida, criando um crescimento maciço nas contas roubadas. Embora o Facebook tenha medidas de proteção para impedir a disseminação de URLs de phishing, os agentes de ameaças usaram um truque para contornar essas proteções. Depois de descobrir que eles poderiam obter acesso não autenticado às páginas de estatísticas da campanha de phishing, os pesquisadores descobriram que em 2021, 2,7 milhões de usuários visitaram um dos portais de phishing.
Nova variante de malware Emotet está roubando informações de cartão de crédito. O notório malware Emotet está implantando um novo módulo projetado para extrair informações de cartão de crédito armazenadas no navegador Chrome. O ladrão de cartão de crédito, que destaca exclusivamente o Chrome, tem a capacidade de exfiltrar as informações coletadas para diferentes servidores remotos de comando e controle (C2), de acordo com a empresa de segurança corporativa Proofpoint , que observou o componente em 6 de junho. O desenvolvimento ocorre em meio a um aumento na atividade do Emotet desde que foi ressuscitado no final do ano passado. O Emotet, atribuído a um agente de ameaças conhecido como TA542, é um trojan avançado, autopropagável e modular que é entregue por meio de campanhas de e-mail e é usado como distribuidor para outras cargas úteis, como ransomware.
Twitter deve concordar com a solicitação de Elon Musk por dados sobre contas falsas. As ambições de Elon Musk de combater bots no Twitter são bem conhecidas , com o bilionário ameaçando recentemente encerrar um acordo de US$ 44 bilhões caso a gigante da mídia social não forneça informações suficientes sobre suas contas falsas. De acordo com várias reportagens, o Twitter agora teria cedido ao pedido de Musk, concordando em fornecer ao magnata milhões de dados brutos, incluindo centenas de milhões de tweets diários. Musk não divulgou publicamente nenhuma nova informação sobre o suposto acordo, mas o procurador-geral do Texas, Ken Paxton, assumiu a plataforma de mídia social na segunda-feira, lançando uma investigação que parecia apoiar as alegações do executivo-chefe da Tesla.
Agências dos EUA alertam sobre hackers chineses visando telecomunicações e provedores de serviços. As agências de segurança cibernética e inteligência dos EUA alertaram sobre os atores cibernéticos patrocinados pelo Estado da China que aproveitam as vulnerabilidades da rede para explorar organizações do setor público e privado desde pelo menos 2020. As amplas campanhas de intrusão visam explorar falhas de segurança identificadas publicamente em dispositivos de rede, como roteadores e dispositivos de armazenamento conectado à rede (NAS) com o objetivo de obter acesso mais profundo às redes das vítimas. Segundo o FBI e a NSA, os atores usaram esses dispositivos comprometidos como tráfego de comando e controle (C2) de rota para invadir outros alvos em escala. Os ataques em si são facilitados pelo acesso a servidores comprometidos, que as agências chamam de pontos de salto, de endereços IP baseados na China, usando-os para hospedar domínios C2, contas de e-mail e se comunicar com as redes de destino.
Cibercriminosos roubaram US$ 1,7 milhões ao sequestrar pagamentos de criptomoedas. Pesquisadores descobriram uma operação em larga escala do Clipminer, um novo vírus de mineração de criptomoedas que trouxe a seus operadores pelo menos US$ 1,7 milhões em sequestro de transações. A Symantec descobriu 4.375 endereços de carteira de bitcoin que se acredita terem recebido fundos roubados enquanto investigava esta nova operação. Especialistas em segurança chamaram o novo trojan Clipminer depois de mapear sua atividade, que cresceu em tamanho desde que foi descoberto. O Clipminer chega como um arquivo WinRAR no sistema host. Seu objetivo é criar o perfil do host e usar a rede Tor para baixar e instalar a carga útil do Clipminer. Após a execução, o malware produz atividades agendadas para persistência e também cria uma chave de registro vazia, provavelmente como um marcador de infecção para evitar a reinfecção do mesmo host. Simultaneamente, o vírus observa a área de transferência em busca de endereços de bitcoin copiados e os substitui por aqueles pertencentes ao invasor, redirecionando os fundos.
Pesquisadores alertam sobre vulnerabilidade não corrigida no Microsoft Windows. Um patch de segurança não oficial foi disponibilizado para uma nova vulnerabilidade de “zero day” no Windows. A problema referenciado como DogWalk – está relacionado a uma falha que pode ser explorada para armazenar um arquivo executável malicioso na pasta de inicialização do Windows quando um alvo em potencial abre um arquivo “.diagcab” especialmente criado que contém um arquivo de configuração de diagnóstico. A ideia é que a carga útil seja executada na próxima vez que a vítima fizer login no sistema após uma reinicialização. A vulnerabilidade afeta todas as versões do Windows, desde o Windows 7 e Server Server 2008 até as versões mais recentes.
Plataformas do SUS estão fora do ar após tentativa de invasão. O Ministério da Saúde informou ter identificado uma tentativa de “acesso indevido” em algumas de suas plataformas e que, “para resguardar as informações” suspendeu alguns acessos e deu início a uma “manutenção corretiva” nas plataformas ConecteSUS, e-SUS Notifica e SI-PNI. Inicialmente, a previsão de retorno era até às 16h de ontem (17), mas uma nova mensagem adiou a estimativa de restabelecimento para hoje quarta-feira dia 18. O ConecteSUS é conhecido por gerar o certificado de vacina contra COVID-19, o e-SUS Notifica permite reportar casos leves da doença, e o SI-PNI armazena dados sobre doses e estoques de vacinas. A “tentativa de acesso indevido” foi identificada pelo Departamento de Informática do SUS (Datasus). De acordo com o comunicado do Ministério da Saúde, os dados dos sistemas não foram comprometidos, e a suspensão temporária é para “manutenção corretiva” — com o objetivo de resguardar tais informações.
Hackers podem invadir veículos da Tesla utilizando o sistema Bluetooth. Milhares de fechaduras digitais em todo o mundo, inclusive em carros da Tesla, podem ser desbloqueadas remotamente por hackers que exploram fragilidadade na tecnologia Bluetooth. Em um vídeo compartilhado com a Reuters, o pesquisador do NCC Group Sultan Qasim Khan conseguiu abrir e dirigir um Tesla usando um pequeno dispositivo de retransmissão conectado a um laptop que preencheu uma grande lacuna entre o Tesla e o telefone do dono da Tesla. “Isso prova que qualquer produto que dependa de uma conexão BLE confiável é vulnerável a ataques mesmo do outro lado do mundo”, disse a empresa em comunicado, referindo-se ao protocolo do Bluetooth de Baixa Energia (BLE) – tecnologia usada em milhões de carros e fechaduras inteligentes que abrem automaticamente quando próximo a um dispositivo autorizado.
NVIDIA corrige dez vulnerabilidades nos drivers de exibição de GPU. A NVIDIA lançou uma atualização de segurança para uma ampla variedade de modelos de placas gráficas, abordando quatro vulnerabilidades de gravidade alta e seis de gravidade média em seus drivers de GPU. A atualização de segurança corrige vulnerabilidades que podem levar a negação de serviço, divulgação de informações, elevação de privilégios, execução de código, etc. As atualizações foram disponibilizadas para os produtos de software Tesla, RTX/Quadro, NVS, Studio e GeForce, abrangendo os ramos de driver R450, R470 e R510. Curiosamente, além das linhas de produtos atuais e recentes que são ativamente suportadas, a versão mais recente da NVIDIA também abrange as placas da série GTX 600 e GTX 700 Kepler, cujo suporte terminou em outubro de 2021. A fabricante da GPU prometeu continuar fornecendo atualizações críticas de segurança para esses produtos até setembro de 2024, e esta atualização de driver honra essa promessa.
Bug de RCE no SharePoint ressurge três meses após ser corrigido pela Microsoft. Um pesquisador de segurança encontrou uma nova maneira de explorar um bug de desserialização recentemente corrigido no Microsoft SharePoint e encenar ataques de execução remota de código (RCE). A falha, uma variante de um problema que foi corrigido em fevereiro, usa os recursos de criação de sites do SharePoint, plataforma de intranet da Microsoft, para carregar e executar arquivos maliciosos no servidor. Muitas linguagens usam serialização e desserialização para passar objetos complexos para servidores e entre processos. Se o processo de desserialização for inseguro, um adversário poderá explorá-lo para enviar objetos maliciosos e executá-los no servidor.
97% dos ataques hacker de 2022 atingiram protocolos DeFi. A empresa de análise de dados Chainalysis publicou um novo relatório focado nas atividades ilícitas que ocorrem nas blockchains. De acordo com o documento, os protocolos de finanças descentralizadas (DeFi) são os alvos preferenciais de hackers. Nesse sentido, 97% de todos os ataques do mercado de criptomoedas tiveram como alvo esses protocolos. Menos de 3% tiveram como alvo as exchanges descentralizadas. Ao mesmo tempo, os casos de lavagem de dinheiro também cresceram. Foram 650 mil Ether (ETH) movimentados através de transações ilícitas. O valor corresponde a cerca de R$ 6,7 bilhões na cotação em reais. No total, US$ 1,7 bilhão em ativos digitais foram roubados por hackers em 2022. Deste total, 97% foram provenientes de ataques a protocolos DeFi. O valor estabeleceu um novo recorde, superando o quarto trimestre de 2021, quando o percentual alcançou 74%. De acordo com a Chainalysis, o alto percentual registrado em 2022 ocorreu por causa de dois ataques. O primeiro foi o roubo de US$ 625 milhões na Ronin, o maior ataque da história das criptomoedas. Antes dele veio o ataque ao protocolo Wormhole, que causou, US$ 320 milhões em fevereiro.
CISA remove falha do Windows de seu catálogo de vulnerabilidades conhecidas. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) removeu temporariamente uma falha do Windows de seu Catálogo de Vulnerabilidades Exploradas Conhecidas depois que foi informada pela Microsoft que uma atualização recente pode causar problemas em alguns tipos de sistemas. A vulnerabilidade em questão é CVE-2022-26925, que a Microsoft descreve como uma vulnerabilidade de falsificação de LSA do Windows. O problema foi resolvido com as atualizações do Patch Tuesday de maio de 2022 e a Microsoft alertou na época que a vulnerabilidade foi divulgada publicamente e explorada em ataques. “Um invasor não autenticado pode chamar um método na interface LSARPC e coagir o controlador de domínio a se autenticar no invasor usando NTLM”, disse a Microsoft em seu comunicado, observando que a gravidade da falha aumenta se estiver encadeada com outra vulnerabilidade.
TSE conclui testes com hackers e não encontra falhas na urna eletrônica. O Tribunal Superior Eleitoral (TSE) informou na última sexta-feira, 13, que os testes no sistema de votação não encontraram falhas que possam prejudicar as eleições deste ano. Investigadores, incluindo peritos da Polícia Federal, repetiram as simulações de ataques hackers realizadas em novembro de 2021, no último Teste Público de Segurança (TPS) promovido pelo tribunal. Na ocasião, os especialistas encontraram vulnerabilidades e sugeriram medidas para aumentar a segurança do processo. O então presidente do TSE, Luís Roberto Barroso, afirmou que as falhas não permitiam acesso às urnas eletrônicas ou apuração de votos. Os investigadores voltaram ao tribunal na sexta-feira para repetir os testes e verificar as melhorias. Segundo o TSE, nenhuma das investidas conseguiu ultrapassar os reforços na segurança do sistema. “Nenhum dos planos de teste conseguiu alterar um voto ou mexer na totalização de votos”, disse o juiz auxiliar da presidência do TSE, Sandro Vieira. “O balanço que eu faço é positivo.
Americanas perdeu quase R$1 bilhão em vendas após ataque de cibercriminosos. O ciberataque sofrido pela Americanas em fevereiro deste ano resultou em uma perda de R$ 923 milhões em vendas, segundo o relatório de resultados divulgado na última sexta-feira (13) pela varejista. As perdas são citadas no item “incidente de segurança” ocorrido nos dias 19 e 20 de fevereiro, de acordo com a companhia, quando todos os ambientes de comércio eletrônico da Americanas ficaram inoperantes. A instabilidade nas operações se arrastou por ao menos cinco dias, tirando do ar os sites de Americanas, Submarino e, na sequência, também de Sou Barato e Shoptime. A rede física permaneceu operando, embora as entregas em curso naquele momento tenham ficado restritas aos pedidos feitos antes do incidente. Após a normalização das operações, no dia 24, a Americanas ampliou horários de atendimento ao cliente para normalizar processos e vendas.
SonicWall alerta para que seus clientes corrijam bugs no Secure Mobile Access (SMA) 1000 Series. A SonicWall emiteu um alerta de correção para falhas de segurança de alto risco que afetam sua linha de produtos Secure Mobile Access (SMA) 1000 Series, que podem permitir que invasores ignorem a autorização e, potencialmente, comprometam dispositivos não corrigidos. As soluções SonicWall SMA 1000 SSLVPN são usadas por empresas para simplificar o acesso remoto seguro de ponta a ponta a recursos corporativos em ambientes locais, na nuvem e de data center híbrido. Enquanto a primeira falha (um desvio de controle de acesso não autenticado classificado como de alta gravidade) agora é rastreado como CVE-2022-22282, as outras duas (uma chave criptográfica codificada e um redirecionamento aberto, ambos classificados como gravidade média) ainda estão aguardando um ID CVE a ser emitido.
Atualização do Chrome 101 corrige vulnerabilidades de alta gravidade. O Google anunciou esta semana o lançamento de uma atualização do navegador Chrome que resolve um total de 13 vulnerabilidades, incluindo nove que foram relatadas por pesquisadores externos. Das falhas de segurança relatadas externamente, sete são bugs de uso após a liberação – esses tipos de vulnerabilidades podem levar à execução arbitrária de código. Com base nas classificações de gravidade e nas recompensas de bugs listadas atualmente, a mais importante dessas falhas é a CVE-2022-1633, um bug de alta gravidade no Sharesheet que foi relatado por Khalil Zhani, que recebeu uma recompensa de US $ 5.000 pela descoberta. O Google observa em seu comunicado que ainda precisa determinar as recompensas de bugs a serem distribuídas para outras quatro vulnerabilidades de alta gravidade resolvidas com esta atualização do Chrome. A atualização mais recente do Chrome está sendo lançada para usuários de Windows, Mac e Linux como versão 101.0.4951.64.
HP corrige vulnerabilidades UEFI que afetam mais de 200 computadores. A HP anunciou esta semana o lançamento de patches para duas vulnerabilidades de alta gravidade que afetam o firmware UEFI de mais de 200 laptops, estações de trabalho e outros produtos. As duas vulnerabilidades são rastreadas como CVE-2021-3808 e CVE-2021-3809 e têm uma pontuação CVSS de 8,8. A HP creditou Nicholas Starke, do Aruba Threat Labs, e um pesquisador que usa o apelido online “yngweijw” para relatar esses bugs, mas não forneceu informações técnicas sobre nenhuma das falhas. No entanto, a empresa compartilhou uma lista de produtos afetados, que inclui vários notebooks empresariais e PCs desktop, bem como estações de trabalho desktop, dispositivos de ponto de venda de varejo e PCs thin client. Embora as atualizações de firmware já estejam disponíveis para a maioria dos dispositivos afetados, alguns deles ainda não receberam patches.
Rússia aprova lei para forçar aplicativos de táxi a compartilhar dados com agência de espionagem. O governo da Rússia apresentou uma lei para forçar aplicativos de táxi a dar à agência de inteligência FSB acesso em tempo real aos seus dados. As autoridades russas vêm aumentando as restrições às liberdades públicas desde o início da ofensiva de Moscou na Ucrânia em 24 de fevereiro. “O documento prescreve a obrigação do serviço de pedidos de táxi fornecer ao FSB acesso remoto automatizado aos sistemas de informação e bancos de dados usados para receber, armazenar, processar e transmitir pedidos de táxi”, disse um comunicado publicado esta semana pela Câmara dos Deputados da Duma. Após o início da ofensiva de Moscou na Ucrânia, o país reforçou seu arsenal legislativo, que permite multas pesadas ou penas de prisão para qualquer pessoa considerada culpada de “desacreditar” dos militares ou publicar “informações falsas” sobre sua operação.
Certificações em baixa: profissionais de cibersegurança e empresas desconsideram certificações. Comuns na área de TI e especialmente na cibersegurança, as certificações têm o propósito de validar conhecimentos em determinadas áreas. Entretanto, algumas das certificações famosas como OSCP, CompTIA e CEH estão perdendo o status de diferenciais no mercado. Entre os motivos observados destaca-se a falta de habilidade muitas vezes observada em profissionais com vastas certificações. Isso se dá pela falta de similaridade entre a prática exigida nas certificações e a vivência diária dos profissionais. Outro fator importante é o déficit de profissionais qualificados no mercado, o que tem feito empresas reavaliarem o seu modelo de contratação, preferindo pessoas que tenham notórias habilidades práticas em detrimento de certificações. Essa escolha também permite uma contratação mais facilitada e acessível para as empresas. Plataformas de CTF como o CAPTURE THE FLAG da HackerSec tem se tornado um meio para contratação, uma vez que são ambientes que avaliam as habilidades de cada participante, fornecendo métricas para que empresas encontrem profissionais adequados à suas necessidades.
Nova variante JSSLoader usa arquivos XLL para evitar detecção. Pesquisadores observaram uma nova versão do JSSLoader RAT se espalhando por meio de arquivos maliciosos do Microsoft Excel. Os invasores usaram e-mails de phishing carregados de anexos XLL/XLM como mecanismo de entrega. Se ativado, os arquivos XLL usam código malicioso dentro de uma função xlAutoOpen para inserir na memória. Posteriormente, ele baixa uma carga útil de um servidor remoto e a executa como um novo processo por meio de uma chamada de API. A variante mais recente vem com algumas novas camadas de ofuscação para se manter escondida dos analistas de segurança. Os invasores estão atualizando regularmente o User-Agent nos arquivos XLL para evitar o Endpoint Detection and Response (EDR), que combina as informações de detecção de toda a rede da organização.
Vulnerabilidade crítica de RCE no firewall da Sophos. A empresa de segurança cibernética Sophos alertou no início dessa semana que uma vulnerabilidade crítica de segurança recentemente corrigida em seu produto de firewall está sendo ativamente explorada por cibercriminosos. A falha, rastreada como CVE-2022-1040, é avaliada em 9,8 de 10 no sistema de pontuação CVSS e afeta as versões 18.5 MR3 (18.5.3) e anteriores do Sophos Firewall. Ele está relacionado a uma vulnerabilidade de desvio de autenticação no Portal do usuário e na interface Webadmin que, se armada com sucesso, permite que um invasor remoto execute código arbitrário. A falha foi corrigida em um hotfix que é instalado automaticamente para clientes que têm a configuração ” Permitir instalação automática de hotfixes ” habilitada. Como solução alternativa, a Sophos está recomendando que os usuários desativem o acesso WAN ao Portal do Usuário.
