abr 26 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Mais de 13 milhões de dólares em NFTs são roubados.
    A conta do Instagram e o servidor Discord da famosa coleção de NFTs Bored Ape Yacht Club (BAYC) foram hackeados na última segunda-feira (25), confirmaram os líderes do projeto via Twitter. Os invasores divulgaram um link falso para os seguidores com o objetivo de drenar as carteiras das vítimas. Alguns usuários parecem ter caído no golpe. O incidente expôs a vulnerabilidade contínua dos canais de mídia social operados por empreendimentos de criptomoedas, que podem colocar os usuários em risco, mesmo que a tecnologia blockchain subjacente seja segura. A coleção de NFT do Bored Ape Yacht Club é gerenciada pela Yuga Labs, que está lançando várias outras coleções de NFT valiosas e planejando outras iniciativas de blockchain e metaverso em torno delas. Embora os conselhos de segurança no espaço cripto sugiram que os detentores de NFT nunca conectem sua carteira a um terceiro desconhecido ou não confiável, o fato de o link de phishing ter sido enviado pela conta oficial de mídia social do BAYC provavelmente convenceu as vítimas de que era legítimo, levantando questões difíceis sobre onde exatamente está a falha.
  • Pesquisadores relatam vulnerabilidade crítica de RCE na plataforma VirusTotal.
    Pesquisadores de segurança divulgaram uma vulnerabilidade de segurança na plataforma VirusTotal que poderia ter sido potencialmente armada para alcançar a execução remota de código (RCE). A falha, agora corrigida, possibilitou “executar comandos remotamente dentro da plataforma VirusTotal e obter acesso a seus vários recursos de varredura”, disseram os pesquisadores da Cysource Shai Alfasi e Marlon Fabiano da Silva em um relatório compartilhado. O VirusTotal , parte da subsidiária de segurança Chronicle do Google, é um serviço de verificação de malware que analisa arquivos e URLs suspeitos e verifica vírus usando mais de 70 produtos antivírus de terceiros. O ataque envolveu o upload de um arquivo DjVu através da interface de usuário web da plataforma, usando-o para acionar um exploit para uma falha de execução remota de código de alta gravidade no ExifTool.
  • Bug crítico na carteira Everscale poderia permitir que invasores roubassem criptomoedas.
    Uma vulnerabilidade de segurança foi divulgada na versão web da carteira Ever Surf que, se armada com sucesso, pode permitir que um invasor obtenha controle total sobre a carteira da vítima. Ao explorar a vulnerabilidade, é possível descriptografar as chaves privadas e as frases iniciais que são armazenadas no armazenamento local do navegador. Em outras palavras, os invasores podem obter controle total sobre as carteiras das vítimas. Ever Surf é uma carteira de criptomoedas para o blockchain Everscalex’ que também funciona como um mensageiro multiplataforma e permite que os usuários acessem aplicativos descentralizados, bem como enviem e recebam tokens não fungíveis (NFTs). Diz-se que tem cerca de 669.700 contas em todo o mundo.
Rubens Zolotujin 0 Comentários
abr 25 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Gigante de telecomunicações T-Mobile é atacada pelo grupo Lapsus$.
    Após obter as credenciais de alguns funcionários da T-Mobile, o Lapsus$ utilizou ferramentas internas da empresa, como o sistema de gerenciamento de clientes Atlas da T-Mobile, para realizar um ataque de SIM SWAP. As credenciais de VPN usadas para o acesso inicial foram supostamente obtidas em um fórum da deep web. De acordo com os dados, os cibercriminosos conseguiram invadir os sistemas da operadora alemã T-Mobile e roubaram o seu código-fonte. A T-Mobile é uma das maiores empresas de telecomunicações do mundo, com mais de 100 milhões de assinantes, e também é uma operadora comumente usada por chineses no exterior. O grupo Lapsus$ tem ganho popularidade devido aos muitos ataques realizados a várias empresas de tecnologia nos últimos meses, como a Microsoft, Samsung e Nvidia.
  • Binance recupera US$ 5,8 milhões de ataque hacker na Axie Infinity.
    A exchange de criptomoedas Binance recuperou uma pequena fração dos US$ 622 milhões roubados da sidechain Ronin no mês passado, de acordo com um tweet do CEO Changpeng Zhao (CZ). CZ twittou que o grupo de hackers norte-coreano responsável pelo roubo começou a canalizar parte do saque na exchange em “mais de 86 contas” e que “US$ 5,8 milhões foram recuperados”. Na semana passada, seguindo uma recomendação do FBI, o Tesouro dos EUA adicionou a carteira Ethereum do grupo hacker à sua lista de sanções. A carteira, intitulada de Ronin Bridge Exploiter no Etherscan, estava conectada ao grupo de hackers norte-coreano Lazarus, uma organização que o FBI descreve como “patrocinada pelo Estado”. O Lazarus é responsável por vários hacks no mercado de criptomoedas, incluindo o ataque de ransomware WannaCry de 2017, o ataque da Sony Pictures de 2014 e uma série de ataques cibernéticos a empresas farmacêuticas em 2020, incluindo a AstraZeneca.
  • Falso suporte da Coinbase rouba R$ 400 mil em criptomoedas.
    Um novo site que surgiu na comunidade já conseguiu roubar R$ 400 mil em criptomoedas, se passando pelo atendimento aos clientes e suporte da Coinbase, maior corretora dos Estados Unidos. A plataforma em breve deverá chegar ao Brasil em seu processo de expansão global. No mercado de criptomoedas e financeiro, é comum que hackers e estelionatários criem falsos sites para se passar pelos serviços legítimos de atendimento a clientes. Essa prática é chamada phishing, sendo uma das maiores ameaças a investidores de todo mundo. O aplicativo Coinbase Wallet é o novo alvo de uma prática golpista no mercado de criptomoedas, segundo um alerta da PeckShield no último domingo (24). Dessa forma, uma nova divulgação informou que golpistas estão fingindo ser do suporte da Coinbase, levando as vítimas a copiar um site de phishing para a carteira da empresa. Após copiar o endereço e aprovar ele, todos os fundos da wallet das vítimas são levados.
Rubens Zolotujin 0 Comentários
abr 24 2022
Conscientização em Segurança da Informação é o caminho certo

Conscientização em Segurança da Informação é o caminho certo a ser implementado, isso é um dever de casa a ser cuidado constantemente. Por isso, devemos sempre ministrar esses treinamentos de 3 em 3 meses e não anualmente.

Porque isso?

O ser humano adora comodidades, quando se perde o medo perde-se o respeito sobre os processos da segurança da informação e, aí o risco aumenta.

Vamos a algumas dicas.

1 – Faça treinamentos periódicos de 3 em 3 meses, as pessoas esquecem rápido pois, como nunca aconteceu um problema de hacking e/ou vazamentos de dados, colocam na cabeça que nunca virão acontecer com eles.

2 – Crie uma provinha básica sobre o assunto e de um certificado de participação a esses treinamentos. Isso entrega mais responsabilidades aos colaboradores. Ter um prova “obriga” aos colaboradores a estudar mais e, ter a consciência das suas obrigações aos processos da empresa.

3 – Faça pequenas demonstrações práticas de vazamentos e invasões sobre ambientes controlados. Ver ao vivo é melhor do que ler notícias e acreditar nos powerpoints de treinamentos. O ser humano tem outro problema grave, acredita que nunca irá acontecer com eles então, ver ao vivo e a cores os ataques demonstram que até o garoto da esquina, com a receita de bolo certa na mão, pode fazer um estrago enorme na sua empresa.

4 – Crie um ambiente de Ensino On-line na sua empresa pois, sempre terá rotatividade entre colaboradores, parceiros de negócios e fornecedores. O RH deverá estar sempre alinhado as ações de segurança da informação ajudando nesse processo de compliance.

5 – Entreviste seus colaboradores e pergunte o quão estão preparados na segurança da empresa.

6 – Seja básico, seja simples… ações como essas tem um peso enorme que, nenhuma ferramenta de mercado vai lhe dar.

seguranca #informacao #concientizacao #treinamento #empresa #seguranca #colaboradores #dados #dadospessoais #vazamento

Rubens Zolotujin 0 Comentários
abr 22 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Amazon Web Services (AWS) disponibiliza patches para falha Log4Shell.
    A AWS corrigiu quatro problemas de segurança em seu hot patch de dezembro que abordou a vulnerabilidade crítica do Log4Shell (CVE-2021-44228) que afetava ambientes em nuvem ou local executando aplicativos Java com uma versão vulnerável da biblioteca de log Log4j ou containers. Porém pesquisadores da Palo Alto identificaram problemas de segurança nas correções da AWS seis dias após o lançamento do hotfix e informaram a Amazon em 21 de dezembro de 2021. Nos meses seguintes, pesquisadores forneceram mais informações sobre como contornaram as novas correções e, em 4 de abril de 2022, os problemas restantes foram mínimos. No último dia 19 a AWS lançou as atualizações finais para suas soluções de patch Log4Shell, e a empresa recomenda que os administradores apliquem as devidas correções.
  • Ransomware BlackCat está atacando organizações ao redor do mundo.
    Somente em março deste ano o FBI identificou cerca de 60 ataques que foram atribuidos ao BlackCat. Em abril, mais nove vítimas caíram nas teias do ransomware escrito na linguagem de programação Rust. Com capacidades avançadas, ele ataca tanto sistemas Windows quanto o Linux. Os cibercriminosos que operam o BlackCat priorizam nos ataques organizações industriais e são conhecidos pelos nomes de Darkside ou Blackmatter. Os invasores que integram esses grupos exigem pagamentos de milhões de dólares para liberarem o acesso aos dados das empresas, principalmente informações confidenciais. Para isso, eles empregam credenciais de usuário comprometidas e implantam o ransomware, utilizando scripts do PowerShell, Cobalt Strike Beacon e ferramentas legítimas do Windows e utilitários Sysinternals.
  • Falha crítica em chipset deixa milhões de dispositivos android vulneráveis.
    Três vulnerabilidades de segurança foram divulgadas nos decodificadores de áudio dos chips Qualcomm e MediaTek que, se não forem resolvidas, podem permitir que um invasor obtenha acesso remoto a conversas de mídia e áudio de dispositivos móveis afetados. As falhas podem ser usadas como uma plataforma de lançamento para realizar ataques de execução remota de código (RCE) simplesmente enviando um arquivo de áudio especialmente criado. O impacto de uma vulnerabilidade como esta, pode variar desde a execução de remota de código e até mesmo que um invasor obtenha controle total sobre os dados multimídia de um usuário, incluindo streaming da câmera de um dispositivo comprometido.
Rubens Zolotujin 0 Comentários
abr 21 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Pesquisadores detalham bug que pode paralisar o sistema de detecção de intrusão Snort
    Surgiram detalhes sobre uma vulnerabilidade de segurança agora corrigida no sistema de detecção e prevenção de intrusão do Snort que pode desencadear uma condição de negação de serviço (DoS) e torná-lo impotente contra tráfego malicioso. Rastreada como CVE-2022-20685, a vulnerabilidade é classificada como 7,5 para gravidade e reside no pré-processador Modbus do mecanismo de detecção Snort. Ela afeta todos os lançamentos de projetos Snort de código aberto anteriores a 2.9.19, bem como a versão 3.1.11.0. Mantido pela Cisco, o Snort é um sistema de detecção de intrusão (IDS) de código aberto e sistema de prevenção de intrusão (IPS) que oferece análise de tráfego de rede em tempo real para detectar possíveis sinais de atividade maliciosa com base em regras predefinidas.
  • EUA e aliados alertam para ataque massivo russo.
    EUA, Grã-Bretanha, Canadá, Austrália e Nova-Zelândia, membros da rede de compartilhamento de inteligência “Five Eyes”, declarou nessa última quarta-feira (20) que a Rússia prepara ações cibernéticas contra governos e empresas globalmente. “A inteligência em evolução indica que o governo russo está explorando opções para possíveis ataques cibernéticos. Essa atividade pode ocorrer como resposta aos custos econômicos sem precedentes impostos à Rússia, bem como ao suporte de material fornecido pelos Estados Unidos e aliados e parceiros dos EUA”, afirmou o grupo de países em alerta oficial. Esse alerta é preocupante, uma vez que diversos grupos hackers tem declarado apoio público ao governo russo, colocando-se à disposição em ações ofensivas contra membros da OTAN. Esses grupos têm a capacidade de comprometer redes de TI, roubar dados, implantar malwares ou realizar grandes ataques de negação de serviço, completa o alerta.
  • Empresa suspende pedidos após ciberataque
    A varejista de cartões-presente, Funky Pegeon, sofreu um ciberataque que deixou todos os seus sistemas offline, levando a empresa a suspender suas atividades por tempo indeterminado. Em um comunicado oficial, a empresa disse que “Assim que descobrimos o incidente, lançamos uma investigação forense liderada por especialistas externos para entender o incidente e se houve algum impacto nos dados do cliente. Atualmente, estamos investigando até que ponto quaisquer dados pessoais foram acessados”. A empresa não informou como ocorreu o ataque ou seus responsáveis. As autoridades de proteção de dados europeias acompanham o caso. De acordo com a GDPR, lei de proteção de dados pessoais da Europa, a empresa pode sofrer sansões caso seja comprovado o comprometimento de dados dos clientes.
Rubens Zolotujin 0 Comentários
abr 20 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Ataques contra plataformas de criptomoedas continuam aumentando.
    À medida que o cenário das criptomoedas muda, os crimes relacionados a criptomoedas também evoluem. Ultimamente, as plataformas de Finanças Descentralizadas (DeFi) se tornaram um alvo bastante comum para os cibercriminosos. A DeFi tem sofrido tanto com fundos roubados quanto com golpes de criptomoedas. No ano passado, mais de US$ 3 bilhões em ativos digitais foram roubados. No primeiro trimestre de 2022, mais de US$ 1,3 bilhão já foram roubados, indicando que o caminho percorrido pelos cibercriminosos é ainda mais agressivo em relação ao ano passado. Essas plataformas são totalmente descentralizadas e não possuem intermediários, corretores ou exchanges. Elas precisam depender de modelos de desenvolvimento transparentes e de código aberto para provar sua confiabilidade. Independentemente disso, isso permite que os invasores analisem os contratos e serviços inteligentes e abusem de uma falha antes que ela seja corrigida. Outro problema é que o mercado pode ser manipulado durante uma ação de empréstimo, elevando o valor do token emprestado e comprando-o novamente a um preço reduzido.
  • Grupo de vigilância de direitos digitais alertou o governo do Reino Unido sobre infecções por spyware.
    O grupo de vigilância de direitos digitais Citizen Lab disse nesta semana que alertou autoridades britânicas que dispositivos eletrônicos conectados a redes governamentais, incluindo alguns dentro do gabinete do primeiro-ministro e do Ministério das Relações Exteriores, parecem estar infectados com software de espionagem israelense. O software espião é conhecido como Pegasus, um produto do revendedor israelense de armas cibernéticas NSO Group. Um porta-voz da NSO disse que as alegações são “falsas e não podem estar relacionadas a produtos da NSO por razões tecnológicas e contratuais”. O Citizen Lab disse acreditar que a segmentação ligada ao gabinete do primeiro-ministro foi feita por clientes da NSO nos Emirados Árabes Unidos, enquanto os hackers do Ministério das Relações Exteriores britânico vieram de outros países, incluindo Chipre, Jordânia e Índia. O Pegasus pode ser usado para invadir iPhones remotamente, dando aos clientes acesso profundo à memória de um telefone alvo ou transformando-os em dispositivos de gravação.
  • Novas vulnerabilidades de firmware UEFI da Lenovo afetam milhões de laptops.
    Três vulnerabilidades de segurança da Interface de Firmware Extensível Unificada (UEFI) de alto impacto foram descobertas afetando vários modelos de laptops da Lenovo, permitindo que agentes mal-intencionados implantem e executem implantes de firmware nos dispositivos afetados. Rastreados como CVE-2021-3970, CVE-2021-3971 e CVE-2021-3972, os dois últimos “afetam drivers de firmware originalmente destinados a serem usados apenas durante o processo de fabricação de notebooks de consumo Lenovo”.
Rubens Zolotujin 0 Comentários
abr 19 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Grupo Lazarus tem como alvo organizações que operam no setor químico na Coreia do Sul.
    Lazarus, o grupo APT ligado à Coreia do Norte, tem como alvo organizações que operam no setor químico na Coreia do Sul. Em janeiro, a Symantec detectou ataques a redes de várias organizações da Coreia do Sul. As organizações visadas eram principalmente do setor químico, enquanto algumas pertenciam também ao setor de TI. A gangue está mirando nas organizações de TI para obter acesso às organizações do setor químico, suspeitam os pesquisadores. Em 2020 e 2021, as campanhas Dream Job visaram organizações de defesa, governo e engenharia. No entanto, o foco recente em empresas químicas começou em janeiro de 2022. Os invasores usaram ofertas de trabalho falsas para enganar os candidatos a clicar em links ou abrir anexos maliciosos, o que permitiu que os cibercriminosos instalassem spyware nos computadores das vítimas. Em alguns casos, os invasores estavam despejando credenciais do registro, instalando um arquivo BAT para obter persistência e usando uma tarefa agendada configurada para ser executada como um determinado usuário.
  • Microsoft derrubou dezenas de domínios usados como servidores C2 pelo botnet ZLoader.
    A Unidade de Crimes Digitais (DCU) da Microsoft derrubou dezenas de domínios usados como servidores C2 pelo botnet ZLoader. Ao longo do esforço investigativo, várias empresas de segurança cibernética e provedores de telecomunicações, incluindo ESET, Black Lotus Labs, Unidade 42 da Palo Alto Networks e Avast, fizeram parceria com a Microsoft. Tudo aconteceu depois que a ordem judicial permitiu que a DCU assumisse 65 domínios codificados usados pelo ZLoader como seus servidores C2 e 319 domínios adicionais registrados usando o algoritmo de geração de domínio. Esses domínios foram usados para criar canais de comunicação de fallback e backup. Além disso, os pesquisadores identificaram um dos indivíduos, Denis Malikov, que mora em Simferopol, e acredita-se que esteja por trás da criação de um componente usado na botnet ZLoader para espalhar ransomware.
  • Hacker rouba R$900 milhões da rede de criptomoedas Beanstalk Farms.
    Uma ação rápida e precisa. Assim foi o ataque de um hacker contra a rede de blockchain de finanças descentralizadas (DeFi), Beanstalk Farms, ocorrido no último domingo (17). Ao realizar um empréstimo instantâneo no protocolo descentralizado Aave, o cibercriminoso conseguiu desviar US$ 182 milhões, o equivalente a R$ 900 milhões, driblando a segurança do sistema para conseguir obter o token de governança conhecido como Stalk. O montante foi enviado para uma carteira privada da Ethereum e a lavagem do dinheiro foi possível por meio do Tornado Cash, uma ferramenta que ofusca as transações em criptomoedas. A ação foi detectada pela empresa de análise de blockchain PeckShield e aconteceu em apenas 13 segundos.
Rubens Zolotujin 0 Comentários
abr 18 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Banco Pan sofre ataque hacker e dados de clientes foram vazados.
    O Banco Pan (BPAN4) controlado pelo BTG Pactual, confirmou que uma de suas bases de dados foi alvo de uma invasão na última sexta-feira (15), e que dados pessoais de clientes foram vazados. Os invasores conseguiram copiar dados cadastrais, informações de limite disponível e de saldo devedor de clientes. Segundo o Pan, não foram vazados dados completos de cartões, senhas “ou qualquer dado que incorra em risco financeiro direto para o cliente e para o banco”. De acordo com o Pan, foi detectada uma fragilidade na plataforma de um fornecedor de tecnologia, utilizada na central de atendimento a clientes do segmento de cartões. “Ativamos nossos protocolos de segurança, notificamos a empresa de software para imediata correção da vulnerabilidade e contratamos consultoria especializada independente para uma análise completa”, afirmou o banco. Em um documento de amostra divulgado pelo possível invasor, estão expostas as informações de conta de cerca de 64 mil clientes.
  • Rússia diz ter detido criador do Hydra, maior mercado ilegal da deep web.
    Autoridades da Rússia prenderam na sexta-feira (15) o suspeito de fundar a Hydra, o maior mercado de produtos ilícitos já feito na Internet. A informação foi publicada por diversos veículos da imprensa russa e pelo portal de notícias do Coinmarketcap, citando informações do governo local. O nome do suspeito é Dmitry Pavlov e fontes locais afirmam que ele é suspeito de tráfico de altas quantidades de drogas. A prisão vem pouco tempo após o mercado ilegal ter saído do ar. No dia 5 de abril a polícia da Alemanha conseguiu localizar os servidores que mantinham o site e apreenderam o equivalente a 23 milhões de euros em bitcoins. O Departamento de Justiça dos EUA também anunciou acusações criminais contra Pavlov por tráfico de drogas, lavagem de dinheiro e hospedagem de serviços ilegais na Hydra. “Nossas ações enviam uma mensagem aos cibercriminosos de que eles não podem se esconder na deepweb, em fóruns, na Rússia, ou em qualquer outro lugar do mundo.
  • Microsoft aumenta valores pagos em programa de bug bounty.
    A Microsoft anunciou nesta semana um aumento nas recompensas pagas a especialistas de cibersegurança que participam de seu programa de bug bounty. O incremento está relacionado a cenários específicos, que são de maior interesse da companhia, em plataformas 365, Dynamics 365 e Power Platform, com aumentos de até 30% de acordo com o tipo de vulnerabilidade encontrada. Receberam os maiores aumentos, por exemplo, as brechas relacionadas à injeção e execução de códigos maliciosos a partir de fontes não confiáveis. Brechas envolvendo vazamentos de dados receberam incremento um pouco menor, de 20%, enquanto vulnerabilidades que permitam acesso de usuários sem privilégios a recursos de administração pagarão 15% a mais aos pesquisadores.
Rubens Zolotujin 0 Comentários
abr 15 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

* Cibercriminosos roubam 620 milhões em criptomoedas.
O Departamento do Tesouro dos Estados Unidos alegou que o grupo de hackers norte-coreanos Lazarus está vinculado a um roubo de mais de US$ 600 milhões em criptomoedas da ponte Ronin, ligada ao game Axie Infinity (AXS). O órgão adicionou um endereço Ethereum (ETH) do grupo à sua lista de sanções nesta quinta-feira (14). Este é um dos maiores ataques hackers contra criptomoedas até o momento e traz questionamentos sobre a segurança nesta indústria incipiente. O roubo, no mês passado, aos criadores do Axie Infinity, videogame no qual pode-se ganhar criptomoedas jogando ou trocando avatares, ocorreu poucas semanas depois de cibercriminosos roubarem cerca de 320 milhões de dólares em um ataque similar. A Ronin Network disse em um post em seu blog que o FBI vinculou o Lazarus à violação do validador e que o Departamento do Tesouro sancionou os fundos.

* Atualização de emergência no Google Chrome corrige falha crítica.
O Google lançou o Chrome 100.0.4896.127 para Windows, Mac e Linux, para corrigir uma vulnerabilidade de dia zero de alta gravidade usada ativamente por agentes de ameaças em ataques. “O Google está ciente de que existe um exploit para o CVE-2022-1364”, disse o Google em um comunicado de segurança divulgado ontem (14). Embora o Google afirme que esta atualização do Chrome será lançada nas próximas semanas, os usuários podem recebê-la imediatamente acessando o menu do Chrome >Ajuda>Sobre o Google Chrome. O navegador também verificará automaticamente se há novas atualizações e as instalará na próxima vez que você fechar e reiniciar o Google Chrome. O bug de dia zero corrigido é rastreado como CVE-2022-1364 e é uma falha de alta gravidade no mecanismo JavaScript do Chrome V8. Embora o Google tenha dito que detectou ataques explorando essa falha, não forneceu mais detalhes sobre como esses ataques são conduzidos. Esta é a única vulnerabilidade divulgada nesta atualização, indicando que o Chrome 100.0.4896.127 foi lançado como uma atualização de emergência para resolver esse problema.

* Hackers atacam governo ucraniano com malware IcedID.
Os hackers estão mirando nas agências do governo ucraniano com novos ataques que exploram as explorações do Zimbra e ataques de phishing que enviam o malware IcedID. A Computer Emergency Response Team of Ukraine (CERT-UA) detectou as novas campanhas e atribuiu o ataque de phishing IcedID ao cluster de ameaças UAC-0041. O objetivo do agente de ameaças é obter acesso a redes internas para realizar espionagem cibernética nas agências governamentais mais críticas da Ucrânia. O primeiro relatório descreve uma campanha de distribuição de documentos XLS chamada “Mobilization Register.xls”, atingindo muitos destinatários. A abertura do documento solicita que o usuário “habilite o conteúdo” para visualização, resultando na execução de uma macro maliciosa para baixar e executar um arquivo mal-intencionado.

Rubens Zolotujin 0 Comentários
abr 14 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Anonymous Vaza dados de 3 entidades russas em sua operação #OpRussia.
    O grupo Anonymous levou a Operação OpRussia um passo adiante mirando Aerogas, Forest e Petrovsky Fort, que por acaso são gigantes em suas respectivas indústrias. O grupo atingiu mais três alvos em sua operação em andamento #OpRussia contra a invasão da russa na Ucrânia. Um dos representantes do Anonymous no Twitter (@YourAnonTV) também twittou sobre o hack e revelou que “o Anonymous vazou mais de 400.000 novos e-mails da Rússia, incluindo mais de 100.000 e-mails das indústrias de petróleo, gás e exploração madeireira”. Cerca de 437.500 e-mails pertencentes a Aerogas, Forest e Petrovsky Fort.
  • Defesa cibernética Ucraniana frustra ataque russo.
    Autoridades da Equipe de Resposta a Emergências Cibernéticas da Ucrânia comunicou que conseguiram frustrar um ataque promovido pelo grupo Sandworm, afiliado à inteligência militar da Rússia. O alvo do grupo eram os controles das subestações de energia elétrica do país. Segundo a empresa eslovaca ESET que auxiliou na análise da tentativa de ataque, a invasão tentou implantar o malware Industroyer2, além de outros como CaddyWiper e OrcShered. Acredita-se que a rede de energia ucraniana tenha sido vítima de tentativa de ciberataque em duas oportunidades, sendo a primeira em fevereiro de 2022, na invasão do país por forças russas, e outra agora em abril, onde tentou implantar o Industroyer2, considerada a maior e mais sofisticada ameaça contra protocolos de comunicação industrial.
  • Estatal indiana, Oil Indian Limited, sofre ataque cibernético.
    O porta-voz da estatal indiana OIL, Tridiv Hazarika, informou que a empresa está enfrentando o seu maior ciberataque dos últimos anos. “É um vírus, é um vírus bastante grave e forte e afetou alguns de nossos servidores” disse em seu pronunciamento. O ataque envolveu o uso de ransomwares e afetou as operações principais da empresa como transações comerciais, perfuração, produção entre outras. Segundo informações publicadas, o resgate exigido é de 196 Bitcoins, ou pouco mais de 8 milhões de dólares. Ainda não há informações sobre que grupo teria sido responsável pela ação.
Rubens Zolotujin 0 Comentários