Grupo afiliado ao Anonymous, ataca plataforma russa de processamento de pagamentos. O grupo Network Battalion, afiliado ao Anonymous, também conhecido como NB65, supostamente mirou uma plataforma russa de processamento de pagamentos Qiwi e vazou 7 milhões de dados de cartões de pagamento como prova de ataque. Em 1º de maio de 2022, NB65, um dos grupos hacktivistas afiliados do Anonymous publicou um tweet no qual alegava ter obtido acesso aos bancos de dados do Qiwi para a operação OpRussia. Para sua informação, a QIWI plc é uma gigante russa que fornece pagamentos e serviços financeiros na Rússia e nos países da Comunidade de Estados Independentes ( CEI ). Vale a pena notar que o NB65 é o mesmo grupo que invadiu a emissora estatal russa de televisão e rádio VGTRK, também conhecida como All-Russia State Television and Radio Broadcasting Company em abril de 2022 e vazou 786 GB de dados online. Quanto ao ataque ao Qiwi, o NB65 também twittou que conseguiu extrair 10,5 TB de dados compreendendo 30 milhões de registros de pagamento e filtrou 12,5 milhões de cartões de crédito de clientes Qiwi.
Botnet Emotet está testando nova cadeia de ataque. Os operadores do botnet Emotet foram vistos testando novas técnicas de ataque depois que a Microsoft desativou as macros VBA por padrão. Atualmente, a nova técnica é usada em alvos limitados, indicando que isso pode ser um teste. Pesquisadores da Proofpoint revelaram que os operadores estão testando novas técnicas em ataques mais seletivos antes de adotá-las em seus habituais ataques de spam em grande escala. A campanha foi detectada entre 4 e 19 de abril. A campanha recente usa a conta de um remetente comprometido e os e-mails não foram enviados pelo módulo de spam usual do Emotet. Os assuntos do email incluem palavras simples como ‘Salário’ e as mensagens incluem URLs do OneDrive apontando para arquivos zip carregados com arquivos de Suplemento do Excel.
Costa Rica declara emergência nacional após ataques de ransomware Conti. O presidente da Costa Rica, Rodrigo Chaves, declarou uma emergência nacional após ataques cibernéticos do grupo de ransomware Conti em vários órgãos governamentais. A agência de saúde pública do país Costa Rican Social Security Fund (CCSS) havia declarado anteriormente que “uma revisão de segurança de perímetro está sendo realizada no Conti Ransomware, para verificar e prevenir possíveis ataques no nível CCSS”. O site de vazamento de dados do Conti havia sido atualizado para afirmar que o grupo havia vazado 97% dos dados de 672 GB supostamente contendo informações roubadas de agências governamentais. O primeiro órgão público que sofreu danos com o ataque cibernético de Conti é o Ministério da Fazenda, que ainda não avaliou totalmente o alcance do incidente de segurança ou em que medida as informações dos contribuintes, pagamentos e sistemas alfandegários foram afetados.
Cibercriminosos roubaram mais de R$ 1,8 bilhão em criptomoedas só em abril. Os ciberataques a empresas e instituições que usam criptomoedas estão cada vez mais bem sucedidos. Só no último fim de semana, duas plataformas de criptomoedas perderam US$ 90 milhões após ataque de cibercriminosos. O prejuízo da Saddle Finance e FEI Protocol, que tiveram US$ 10 milhões e US$ 80 milhões roubados, respectivamente, fez o setor de finanças por blockchain fechar abril com mais de US$ 370 milhões em criptomoedas roubadas. O balanço é da empresa CertiK, especialista em segurança cibernética em projetos da web 3, como tem sido chamada a “internet do futuro” baseada em blockchain, tecnologia conhecida por armazenar e proteger registros virtuais de forma descentralizada. Além do ataque no último fim de semana, o mês de abril contabilizou 31 ações cibercriminosas contra projetos de criptografia ou web3, incluindo as empresas Beanstalk, Deus Finance e Bored Ape Yacht Club, famosa pelos seus NFTs. De acordo com a CertiK, os ataques foram de diferentes tipos, desde a exploração de protocolos de dados até o phishing de usuários.
EUA oferecem US$ 15 milhões por informações que levem ao grupo de cibercriminosos Conti. O grupo de ransomware Conti foi responsável por atacar diversas organizações nos Estados Unidos. O Departamento de Justiça dos EUA e o FBI estão oferecendo recompensa de até US$ 15 milhões por informações sobre o grupo de ransomware Conti, que tem base na Rússia. Os hackers são apontados como responsáveis por ataques que resultaram em pagamentos de resgates no valor de US$ 150 milhões. O governo dos Estados Unidos oferece US$ 10 milhões para a identificação ou localização dos líderes do grupo e outros US$ 5 milhões para informações que resultem na prisão dos criminosos. No ano passado, o grupo foi responsável por atacar diversas redes médicas e de primeiros socorros nos Estados Unidos, segundo o FBI.
Rússia esta perdendo guerra contra hackers. Dezenas de empresas e agências governamentais russas foram invadidas em uma aparente retaliação pela invasão à Ucrânia. A Rússia é conhecida pelo seu exército de hackers, mas desde o início da invasão à Ucrânia, dezenas de organizações russas – incluindo agências governamentais, empresas de petróleo e gás, e instituições financeiras – foram hackeadas, com milhares de dados roubados e sendo vazados na internet. o DDoSecrets tem organizado os dados vazados e tem utilizado o BitTorrent para distribuir para o público, isso ajuda jornalistas de diversos veículos a acessar e noticiar sobre eles. O DDoSecrets publicou cerca de 30 conjuntos de dados hackeados da Rússia desde que a invasão da Ucrânia começou no final de fevereiro. A grande maioria das fontes que forneceram os dados russos hackeados parecem ser indivíduos anônimos, muitos dos quais identificam a si próprios como parte do movimento hacktivista Anonymous.
GitHub lança novas regras para desenvolvedores de código. O GitHub está introduzindo novas regras em torno de desenvolvedores e segurança de autenticação de dois fatores (2FA). O repositório de código de propriedade da Microsoft disse que serão feitas alterações nas regras de autenticação existentes como “parte de um esforço em toda a plataforma para proteger o ecossistema de software por meio da melhoria da segurança da conta”. De acordo com Mike Hanley, Chief Security Officer (CSO) do GitHub, o GitHub exigirá que qualquer desenvolvedor que contribua com código para a plataforma habilite pelo menos uma forma de 2FA até o final de 2023. Projetos de código aberto são recursos populares e amplamente utilizados, valiosos para indivíduos e empresas. No entanto, se um agente de ameaça comprometer a conta de um desenvolvedor, isso pode levar a repositórios invadidos, roubo de dados e interrupção do projeto. O GitHub diz que a cadeia de suprimentos de software “começa com o desenvolvedor” e vem reforçando seus controles com isso em mente – observando que as contas do desenvolvedor são “alvos frequentes para engenharia social e controle de contas”.
Brasileiros descobrem ataque hacker em plataforma de criptomoedas. Durante uma live realizada pelo Cripto Select, programa nacional voltado a segurança no universo de criptoativo, os brasileiros Carnak e Felipe Franzes, ambos Analista de Sistemas e Desenvolvedor do BitNada, revelaram que identificaram um ataque hacker na MM Finance, um protocolo de finanças descentralizadas (DeFi) construído na rede Cronos. Os desenvolvedores revelaram que estavam analisando o portal da MM Finance e suas funcionalidades e encontraram diversas informações duvidosas durante a navegação nos números exibidos no portal e nos valores que estavam sendo transacionados pelo protocolo. Ao saber do ataque a equipe da MM Finance, foi ao twitter pedir que todos os usuários suspendessem, imediatamente, qualquer interação com os contratos no front-end do site da MMF. Além disso, publicou uma postagem no Medium afirmando que irá reembolsar todos os afetados pelo ataque.
Cisco anuncia patches para resolver vulnerabilidades graves no Enterprise Network Function Virtualization Infrastructure Software (NFVIS). Rastreada como CVE-2022-20777 (pontuação CVSS de 9,9), a vulnerabilidade crítica afeta o recurso Next Generation Input/Output (NGIO) do Enterprise NFVIS. De acordo com a gigante da tecnologia, o problema está relacionado a restrições insuficientes de convidados. Um invasor autenticado pode enviar uma chamada de API de uma VM e executá-la no host NFVIS com privilégios de nível de raiz, levando ao comprometimento total do host. O comunicado da Cisco também descreve duas vulnerabilidades de alta gravidade no NFVIS, que um invasor pode explorar para injetar comandos ou vazar dados do sistema.
Anatel vai exigir requisitos de cibersegurança para certificar equipamentos. A Anatel indicou nesta quarta-feira (04), que vai dar um novo aperto nas medidas de proteção às redes de telecomunicações. Segundo especialista da agência que atua no Grupo Técnico criado sobre o tema, a discussão com fabricantes e fornecedores dentro desse GT evolui para tornar obrigatórios alguns requisitos de segurança que atualmente são voluntários. Na questão da segurança cibernética, a Anatel atua na regulamentação, na certificação de equipamentos e na conscientização dos usuários. A agência editou um regulamento em dezembro de 2020, que foi o segundo marco setorial com regulação própria para infraestruturas críticas [o primeiro foi do Banco Central]. E um ponto muito importante é olhar par aa cadeia de fornecedores”, destacou especialista da Anatel. O GT Ciber tem participação obrigatória das operadoras com poder de mercado – Oi, Vivo, Claro, TIM e Sky, além de representantes das prestadoras de pequeno porte.
EUA planeja contratar mais profissionais na unidade de aplicação de criptomoedas para combater fraudes. A SEC (Comissão de Valores Mobiliários) dos EUA, órgão responsável pela fiscalização e regularização do mercado de capitais do país, anunciou nesta semana que abrirá 20 novas vagas em sua Unidade de Criptoativos e Cibersegurança, para aumentar a proteção desses setores. Segundo o comunicado, a abertura das 20 novas vagas se dá pelo constante aumento de investidores que estão entrando no mercado de criptomoedas. Com um novo total de 50 especialistas, a agência poderá avaliar com mais atenção e eficácia os diversos golpes para proteger o setor. O anúncio da expansão da Unidade de Criptoativos e Cibersegurança da SEC ocorre pouco menos de dois meses após o atual presidente dos EUA, Joe Biden, assinar uma ordem executiva que pedia para empresas do país desenvolverem recomendações para proteção do mercado de criptomoedas.
Cisco emite patches para 3 novas falhas que afetam o software NFVIS corporativo. A Cisco Systems enviou nesta quarta-feira (04), patches de segurança para conter três falhas que afetam seu Enterprise NFV Infrastructure Software (NFVIS) que podem permitir que um invasor comprometa totalmente e assuma o controle sobre os hosts. Rastreadas como CVE-2022-20777, CVE-2022-20779 e CVE-2022-20780, as vulnerabilidades “podem permitir que um invasor escape da máquina virtual convidada (VM) para a máquina host, injete comandos que são executados na raiz ou vazar dados do sistema do host para a VM”, disse a empresa. Além disso, a Cisco emitiu na semana passada um “aviso de campo” pedindo aos usuários dos dispositivos Catalyst 2960X/2960XR que atualizem seu software para o IOS versão 15.2(7)E4 ou posterior para habilitar novos recursos de segurança projetados para “verificar a autenticidade e integridade de nossas soluções” e evitar compromissos.
Novo relatório revela como os ataques do grupo Lapsus$ são lançados. Um novo relatório do NCC Group revelou como os ataques do Lapsus$ são lançados. O relatório divulga detalhes sobre as técnicas e táticas dos ataques altamente imprevisíveis e como o grupo visa suas vítimas. Nos últimos cinco meses, o Lapsus$ ganhou notoriedade com violações bem-sucedidas de Microsoft, Nvidia, Okta e Samsung. Em um caso, o grupo Lapsus$ empregou nada mais do que a ferramenta genuína da Sysinternals ADExplorer, que foi usada para realizar o reconhecimento do ambiente da vítima. O grupo também usou cookies de autenticação roubados usados para aplicativos SSO para entrar inicialmente nos sistemas das vítimas e comprometer o Microsoft SharePoint para encontrar credenciais na documentação técnica. O grupo Lapsus$ obtém acesso a gerenciadores de senhas e bancos de dados locais para adquirir credenciais e escalar privilégios. Em vez de roubar informações pessoais, a Lapsus$ se concentra em obter código-fonte e propriedade intelectual. Além disso, o grupo clona repositórios git e extrai chaves de API sensíveis. Depois que os dados são roubados, o grupo interrompe e destrói ambientes de nuvem, visando especificamente a infraestrutura VMware ESXi local para ocultar seus rastros.
Grupo de cibercriminosos REvil ransomware está de volta. O REvil ransomware voltou com uma nova infraestrutura e uma amostra de malware atualizada com um criptografador modificado para ataques mais direcionados. As atividades do servidor Tor do REvil foram descobertas há algumas semanas. Recentemente, vários analistas e pesquisadores de malware afirmaram ter encontrado uma amostra REvil em uma operação recente. O exemplo discutido abaixo é compilado a partir do código-fonte original com novas alterações, indicando acesso direto ao código-fonte. Um pesquisador de segurança twittou que a amostra mudou seu número de versão para 1.0. No entanto, é uma continuação da última versão, 2.08, lançada pelo REvil antes de ser desativada. Embora o representante oficial do REvil ainda esteja ausente, os pesquisadores afirmam que um dos principais desenvolvedores originais relançou a operação. A amostra recente do REvil tem várias novas adições e aprimoramentos de código.
Grupo chinês de espionagem cibernética Moshen Dragon tem como alvo empresas de telecomunicações asiáticas. Pesquisadores identificaram um novo cluster de atividades cibernéticas maliciosas rastreadas como Moshen Dragon, visando provedores de serviços de telecomunicações na Ásia Central. Embora esse novo grupo de ameaças tenha algumas sobreposições com “RedFoxtrot” e “Nomad Panda”, incluindo o uso de variantes de malware ShadowPad e PlugX, há diferenças suficientes em suas atividades para segui-los separadamente. De acordo com um novo relatório do Sentinel Labs, o Moshen Dragon é um grupo de hackers habilidoso com a capacidade de ajustar sua abordagem dependendo das defesas que estão enfrentando.
Custos de um ataque de ransomware pode ultrapassar sete vezes o valor do resgate. Um levantamento apontou que os custos envolvidos em um ataque desse tipo podem ser até sete vezes mais do que o resgate pedido pelos criminosos, que na medida em que miram organizações cada vez maiores, transformam os valores em uma pequena parcela dos prejuízos que também envolvem tarefas de resposta e mitigação de incidentes, indisponibilidade de sistemas, custos de monitoramento e honorários jurídicos. A conclusão aparece em um levantamento da Check Point Research, que decidiu olhar para o outro lado dos incidentes cibernéticos que acontecem todos os dias. De acordo com a companhia, na medida em que os ataques se tornam mais frequentes e rápidos, aumenta o valor do resgate, mas também o impacto sobre as corporações atingidas e o chamado “custo colateral”. O estudo estabeleceu uma relação inversa entre o preços de resgate e os gastos gerais relacionados às ocorrências. A métrica de sempre continua valendo — quanto maior a companhia, mais caro o resgate —, mas o que os analistas notaram é que o valor pedido é um pequeno componente do custo total, ainda que varie de 0,7% a 5% da receita anual.
Google lança prévia do Sandbox de Privacidade para Android 13. O Google liberou a primeira prévia do seu Sandbox de Privacidade, baseada no Android 13, para seus desenvolvedores. A ferramenta, que funciona como um ambiente de desenvolvimento isolado do restante de um sistema operacional, deve facilitar a implementação de medidas que reforçam a segurança de dados dos usuários finais — especialmente frente à exibição de anúncios na plataforma. Comparável às últimas decisões da Apple, a medida da Google marca o início de um longo plano de aprimoramento da privacidade de dados no âmbito de anúncios no Android. Nesse contexto, a ferramenta recententemente lançada conta com APIs e serviços exclusivos, exigindo um lançamento independente da última versão beta do Android 13 disponibilizada. Uma das principais novidades é a estreia do Topics API, que revisa como os dados dos usuários são aproveitados nas propagandas com novos filtros e processamento de informações.
Carteira de criptomoedas tem backdoor de famoso grupo hacker. Uma recente investigação conduzida pela Kaspersky descobriu que uma carteira DeFi foi desenvolvida por um grupo de cibercriminosos e tinha embutida nela uma backdoor para facilitar futuros ataques aos usuários desse serviço. Segundo a empresa de segurança os responsáveis pela carteira são o grupo Lazarus, um dos mais famosos da internet. De acordo com a Kaspersky, um arquivo suspeito foi submetido ao VirusTotal, serviço de identificação de malware. Os pesquisadores descobriram que o arquivo em questão continha um instalador infectado de uma carteira de criptomoedas descentralizada legítima. Esse instalador cria dois executáveis, um programa legítimo de carteira de criptomoedas e um malware.
Custos de um ataque de ransomware pode ultrapassar sete vezes o valor do resgate. Um levantamento apontou que os custos envolvidos em um ataque desse tipo podem ser até sete vezes mais do que o resgate pedido pelos criminosos, que na medida em que miram organizações cada vez maiores, transformam os valores em uma pequena parcela dos prejuízos que também envolvem tarefas de resposta e mitigação de incidentes, indisponibilidade de sistemas, custos de monitoramento e honorários jurídicos. A conclusão aparece em um levantamento da Check Point Research, que decidiu olhar para o outro lado dos incidentes cibernéticos que acontecem todos os dias. De acordo com a companhia, na medida em que os ataques se tornam mais frequentes e rápidos, aumenta o valor do resgate, mas também o impacto sobre as corporações atingidas e o chamado “custo colateral”. O estudo estabeleceu uma relação inversa entre o preços de resgate e os gastos gerais relacionados às ocorrências. A métrica de sempre continua valendo — quanto maior a companhia, mais caro o resgate —, mas o que os analistas notaram é que o valor pedido é um pequeno componente do custo total, ainda que varie de 0,7% a 5% da receita anual.
Google lança prévia do Sandbox de Privacidade para Android 13. O Google liberou a primeira prévia do seu Sandbox de Privacidade, baseada no Android 13, para seus desenvolvedores. A ferramenta, que funciona como um ambiente de desenvolvimento isolado do restante de um sistema operacional, deve facilitar a implementação de medidas que reforçam a segurança de dados dos usuários finais — especialmente frente à exibição de anúncios na plataforma. Comparável às últimas decisões da Apple, a medida da Google marca o início de um longo plano de aprimoramento da privacidade de dados no âmbito de anúncios no Android. Nesse contexto, a ferramenta recententemente lançada conta com APIs e serviços exclusivos, exigindo um lançamento independente da última versão beta do Android 13 disponibilizada. Uma das principais novidades é a estreia do Topics API, que revisa como os dados dos usuários são aproveitados nas propagandas com novos filtros e processamento de informações.
Carteira de criptomoedas tem backdoor de famoso grupo hacker. Uma recente investigação conduzida pela Kaspersky descobriu que uma carteira DeFi foi desenvolvida por um grupo de cibercriminosos e tinha embutida nela uma backdoor para facilitar futuros ataques aos usuários desse serviço. Segundo a empresa de segurança os responsáveis pela carteira são o grupo Lazarus, um dos mais famosos da internet. De acordo com a Kaspersky, um arquivo suspeito foi submetido ao VirusTotal, serviço de identificação de malware. Os pesquisadores descobriram que o arquivo em questão continha um instalador infectado de uma carteira de criptomoedas descentralizada legítima. Esse instalador cria dois executáveis, um programa legítimo de carteira de criptomoedas e um malware.
Onyx ransomware destrói arquivos em vez de criptografá-los. Uma nova operação de ransomware Onyx está destruindo arquivos maiores que 2 MB em vez de criptografá-los, impedindo que esses arquivos sejam descriptografados mesmo que um resgate seja pago. Como a maioria das operações de ransomware atuais, os agentes de ameaças Onyx roubam dados de uma rede antes de criptografar os dispositivos. Esses dados são usados em esquemas de extorsão dupla, onde eles ameaçam liberar publicamente os dados se um resgate não for pago. A gangue do ransomware teve um sucesso razoável até agora, com seis vítimas listadas em sua página de vazamento de dados. A funcionalidade técnica do ransomware Onyx não era conhecida até 27/04, quando o MalwareHunterTeam encontrou uma amostra do criptografador. O que foi encontrado é preocupante, pois o ransomware substituirá muitos arquivos com dados indesejados aleatórios em vez de criptografá-los.
Cloudflare detecta um dos maiores ataques de DDoS distribuídos da história. A empresa de infraestrutura de Internet Cloudflare disse hoje que mitigou um dos maiores ataques volumétricos distribuídos de negação de serviço (DDoS) registrados até o momento. A Cloudflare disse que detectou e mitigou um ataque DDoS de 15,3 milhões de solicitações por segundo (rps) no início deste mês. Os ataques DDoS volumétricos diferem dos ataques DDoS de largura de banda tradicionais, nos quais os invasores tentam esgotar e obstruir a largura de banda da conexão à Internet da vítima. Em vez disso, os invasores se concentram em enviar o máximo de solicitações HTTP inúteis para o servidor da vítima, a fim de ocupar a preciosa CPU e RAM do servidor e impedir que usuários legítimos usem sites direcionados. O ataque, que durou menos de 15 segundos, foi lançado de um botnet de aproximadamente 6.000 bots únicos e originado de 112 países ao redor do mundo.
Polícia Federal faz operação contra ciberataques à universidades. Quase um ano após os sistemas da Universidade Federal da Grande Dourados serem alvo de hacker e invadidos, a Polícia Federal deflagrou – na manhã de ontem (28) – a operação Área Restrita. Conforme a PF, a finalidade da ação é apurar não somente o ataque à UFGD, como também os que aconteceram em várias Universidades Federais do país durante o mesmo período de maio de 2021. Segundo a Polícia Federal, o ataque cibernético de invasão dos sistemas de informática das universidades provocou o chamado “defacement”, que consiste em modificar o conteúdo mostrado no site, ou pichação e, além da UFGD, pelo menos outras cinco universidades federais foram atacadas. Estão entre os alvos as universidades federais do Rio de Janeiro; Minas Gerais; Tocantins; Alagoas e Bahia. Na época, a UFGD chegou a tirar o site do ar para verificação da segurança, mantendo apenas alguns serviços, como o de e-mail, login para os cursos EaD, que funcionaram com instabilidade.
Microsoft encontra vulnerabilidades de alta gravidade no Linux. Especialistas em segurança da Microsoft descobriram duas vulnerabilidades no Linux que dão ao invasor acesso root ao sistema. Chamadas pela companhia de Nimbuspwn, as falhas são consideradas graves. Ambas podem ser exploradas para ataques de ransomware ou roubo de dados, por exemplo. Oficialmente, as vulnerabilidades foram identificadas como CVE-2022-29799 e CVE-2022-29800. Elas se manifestam no networkd-dispatcher. Trata-se de um componente presente na maioria das distribuições Linux que reporta mudanças no status de rede e pode executar scripts em resposta a elas. Para garantir que a carga maliciosa seja executada, o invasor precisa injetar vários scripts no sistema. Mas esse é apenas um complicador, não um impeditivo. Com essa abordagem, os pesquisadores da Microsoft precisaram de apenas três tentativas para um script malicioso ser executado durante o experimento. A exploração de ambos os problemas dá acesso ao sistema com privilégios de administrador.
Cibercriminosos alegam ter roubado mais de 161 GB de dados da Coca-Cola. A Coca-Cola está conduzindo uma investigação interna para apurar um possível vazamento de dados de seus sistemas internos. o grupo de cibercriminosos Stormous alega ter roubado mais de 161 GB de dados da empresa. A empresa afirmou, em um comunicado, que já notificou as autoridades sobre a suposta invasão, além de estar em busca de “determinar a validade da alegação”. O grupo Stormous está disponibilizando os dados roubados da Coca-Cola por US$ 65 mil (em torno de R$ 320 mil) ou 1,6 bitcoin. Entre as informações comprometidas, estariam senhas, documentos financeiros, notas fiscais em ZIP e dados de fornecedores. O grupo Stormous surgiu no cenário de cibersegurança em fevereiro, logo após o início dos conflitos entre Ucrânia e Rússia. Seu foco inicial foi de ataques, justamente, contra o exército digital do país invadido; depois, os bandidos assumiram uma postura contrária ao Ocidente, com o suposto comprometimento de dados da Coca-Cola sendo a segunda vez que um golpe contra uma empresa é divulgado pelo bando.
EUA oferecem recompensa de US$ 10 milhões por hackers russos. Os EUA estão oferecendo até US$ 10 milhões para identificar ou localizar seis hackers russos do GRU que fazem parte do notório grupo de hackers Sandworm. Essa recompensa está sendo oferecida como parte do programa do Departamento de Estado, que recompensa informantes por informações que levem à identificação ou localização de agentes de ameaças de governos estrangeiros que realizam operações cibernéticas maliciosas contra a infraestrutura crítica dos EUA. O Departamento de Estado dos EUA anunciou que está buscando informações sobre seis oficiais russos da Diretoria Principal de Inteligência do Estado-Maior das Forças Armadas da Federação Russa (GRU) por seu suposto papel em ataques cibernéticos maliciosos contra infraestrutura crítica dos EUA.
Brasil é o segundo país mais atacado pelo ransomware BlackCat. O grupo de ransomware BlackCat é um agente de ameaças que opera desde, pelo menos, dezembro de 2021. Diferentemente de muitos agentes de sequestros virtuais, o agente malicioso do grupo é escrito na linguagem de programação Rust. Graças às avançadas funcionalidades de compilação cruzada do Rust, o BlackCat consegue atingir sistemas Windows e Linux — resultados que podem ser resumidos como a introdução de avanços progressivos e uma mudança nas tecnologias usadas para vencer os desafios do desenvolvimento desse tipo de ameaça. Segundo a Kaspersky o agente de ameaças atacou empresas de petróleo, gás, mineração e construção na América do Sul. Nos últimos 12 meses a Kaspersky identificou atividades do malware em alguns países da América Latina, principalmente no Brasil, Colômbia e México. Esse destaque também se dá ao BlackMatter, que registrou detecções no Brasil e na República Dominicana — o que explica o BlackCat estar se expandindo pela mesma região.
Botnet Emotet está utilizando novos mecanismos para contaminar sistemas microsoft. O agente de ameaças por trás do botnet Emotet está testando novos métodos de ataque em suas campanhas de spam, potencialmente em resposta à decisão da Microsoft de desabilitar as macros do Visual Basic (VBA) por padrão em seus produtos. A nova campanha de phishing envolveu o uso de iscas com temas salariais e URLs do OneDrive que hospedam arquivos ZIP que contêm arquivos do Microsoft Excel Add-in (XLL), que, quando executados, descartam e executam o Emotet com sua carga útil. É provável que o agente da ameaça esteja testando novos comportamentos em pequena escala antes de entregá-los às vítimas de forma mais ampla ou distribuí-los por meio de novos TTPs juntamente com suas campanhas de alto volume existentes.
Hackers norte-coreanos atacam jornalistas com malware GOLDBACKDOOR. Um agente de ameaças apoiado pelo Estado com vínculos com a República Popular Democrática da Coreia (DRPK) foi atribuído a uma campanha de phishing direcionada a jornalistas que cobrem o país com o objetivo final de implantar um backdoor em sistemas Windows infectados. “Os jornalistas são alvos de alto valor para governos hostis”, disse a empresa de segurança cibernética Stairwell em um relatório publicado na semana passada. “Comprometer um jornalista pode fornecer acesso a informações altamente confidenciais e permitir ataques adicionais contra suas fontes”. As mensagens de phishing foram enviadas de um endereço de e-mail pessoal pertencente a um ex-oficial de inteligência sul-coreano, levando à implantação do backdoor em um processo de infecção em vários estágios para evitar a detecção. As mensagens de e-mail continham um link para baixar um arquivo ZIP de um servidor remoto projetado para representar o portal de notícias focado na Coreia do Norte.
