jan 19 2022
EVENTO vs. INCIDENTE – DESMISTIFICANDO OS CONCEITOS, AFINAL, SÃO COISAS DIFERENTES.

As empresas precisam empregar esforços significativos para proteger e impedir que ataques cibernéticos causem danos ou interrupções em seus processos. Sabemos que não há nada “100% seguro”, o risco sempre vai existir. Por isso, é fundamental que as organizações estejam bem preparadas e sejam capazes de detectar, reagir e gerenciar possíveis problemas de segurança cibernética.

Uma das confusões que ainda vemos no mercado é o uso incorreto dos termos “evento” e “incidente”, ora usados como sinônimos, ora usados erroneamente mesmo, apesar de possuírem significados distintos.

Um “evento” é qualquer alteração, erro ou interrupção em uma infraestrutura de TI, como por exemplo, uma falha no sistema, um erro em disco ou um usuário que esqueceu a senha de acesso. Para corroborar, o NIST define um evento como “qualquer ocorrência observável em um sistema ou rede”.

Se você seguir pesquisando outras definições sobre o que é um evento, notará uma sinergia nos conceitos. Porém, quando olhamos para o termo “incidente”, a coisa muda de figura um pouco com as definições.

Ao falar de um “incidente”, o NIST o define como “uma violação ou ameaça iminente de violação de políticas de segurança de computadores, políticas de uso aceitável ou práticas de segurança padrão”. Outra definição comum utilizada é essa: “A tentativa ou sucesso de acesso não autorizado, uso, divulgação, modificação ou perda de informações ou interferência nas operações do sistema ou da rede”. Não distante, é possível observar também que um “incidente” pode ser definido como a atividade de um agente de ameaça humano. Detalhe, essas definições não são exaustivas e, portanto, existem outras inúmeras igualmente válidas.

Sob o prisma do COBIT 5 for Risk, um “evento” é apresentado como “algo que acontece em um lugar e/ou tempo específicos”. No caso do “incidente”, é definido como “um evento relacionado à TI que causa um impacto operacional de desenvolvimento e/ou estratégico no negócio”.

Viu como ficou mais claro?

Anyway, de toda forma, seja qual for a definição exata que a organização está utilizando, é importante distinguir com facilidade (e naturalidade) os eventos que são tratados no percurso normal e padrão dos negócios, assim como os incidentes que exigem segurança e atuação investigativa e cuidadosa para serem gerenciados.

Não se pretende com essas poucas palavras esgotar o assunto, mas apenas dar uma pincelada para reforçar a importância de discernir essas expressões que fazem parte do cotidiano de todos os colaboradores e organizações. Fique à vontade para colaborações e comentários.

incidente #evento #nist #cobit #cobitForRisk #cobitRisk #risks #risk #seguranca #nist #negocios #it #itrisks #itrisk #ti

Rubens Zolotujin 0 Comentários
jan 19 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Europol encerra VPNLab, serviço de VPN favorito dos cibercriminosos.
    O VPNLab, um provedor de VPN usado por agentes mal-intencionados para implantar ransomware e facilitar outros crimes cibernéticos, foi colocado offline após uma operação coordenada de aplicação da lei. A Europol disse que tomou medidas contra o uso indevido do serviço VPN, encerrando 15 de seus servidores e tornando-os inoperantes como parte de uma ação disruptiva que ocorreu na Alemanha, Holanda, Canadá, República Tcheca, França, Hungria, Letônia, Ucrânia, EUA e Reino Unido. Um segundo resultado da apreensão é que pelo menos 100 empresas identificadas em risco de ataques cibernéticos estão sendo notificadas. A Europol não divulgou os nomes das empresas. O VPNLab chamou a atenção das autoridades policiais quando sua infraestrutura começou a ser amplamente usada para disseminar malware, com os investigadores descobrindo evidências do serviço ilícito sendo anunciado na dark web.
  • Vulnerabilidade do Log4j pressiona o mundo da segurança.
    A Log4j é uma biblioteca de registro que é amplamente utilizada por milhões de computadores. A diretora da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) diz que esta é a vulnerabilidade mais séria que ela já viu em sua carreira de décadas, e muitos especialistas em segurança concordam. Os ciberataques já estão explorando a vulnerabilidade centenas de vezes a cada minuto. O fato é que o Log4Shell é relativamente fácil de explorar, então mesmo pouco qualificados podem tirar vantagem. Pesquisadores do Google descobriram que mais de 8% de todos os pacotes no Maven Central, um grande repositório de pacotes Java, têm pelo menos uma versão afetada por essa vulnerabilidade – uma quantidade enorme para todos os padrões de impacto no ecossistema. A CISA divulgou uma lista de “ações imediatas” que as organizações devem realizar para remediar os riscos apresentados pelo Log4Shell.
  • Falha crítica no servidor ManageEngine deixa organizações vulneráveis.
    A plataforma abrangente de gerenciamento de endpoints da Zoho sofre com um bug de desvio de autenticação (CVE-2021-44757) que pode levar à execução remota de código. O bug pode permitir que um usuário remoto execute ações não autorizadas no servidor, de acordo com o comunicado de segurança da empresa esta semana. Se explorada, esta vulnerabilidade pode permitir que um invasor leia dados não autorizados ou grave um arquivo .ZIP arbitrário no servidor. O ManageEngine Desktop Central da Zoho é uma solução de gerenciamento unificado de endpoint (UEM) que permite que os administradores de TI gerenciem servidores, laptops, desktops, smartphones e tablets a partir de um local central. Os usuários podem automatizar rotinas como instalação de patches, implantação de software, geração de imagens e implantação de SO, de acordo com a documentação da empresa. Ele também pode ser usado para gerenciar ativos e licenças de software.
Rubens Zolotujin 0 Comentários
jan 18 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

* Um dos maiores mercados de cartões roubados encerra suas atividades na Deep Web.
UniCC, o maior mercado da dark web para cartões de crédito roubados, anunciou que está fechando suas operações depois de ganhar US$ 358 milhões em compras desde 2013 usando criptomoedas como Bitcoin, Litecoin, Ether e Dash. Plataformas como a UniCC funcionam como um mercado clandestino em que os dados dos cartões de crédito roubados de varejistas, bancos e empresas de pagamentos on-line são traficados em troca de criptomoedas. Os cartões são então usados por criminosos para comprar itens de alto valor ou cartões-presente. O mercado ilícito de dados de cartão de crédito roubados tornou-se tão lucrativo que as vendas ultrapassaram 1,4 bilhão apenas em Bitcoin, abrindo caminho para novos participantes no espaço e preenchendo rapidamente o vácuo deixado por entidades criminosas extintas de uma maneira que espelha o cenário de ransomware em constante evolução.

  • Vulnerabilidade de alta gravidade em 3 plugins do WordPress afeta 84.000 sites.
    Pesquisadores divulgaram uma falha de segurança que afeta três plugins diferentes do WordPress, mais de 84.000 sites podem ser abusados por um invasor. Rastreada como CVE-2022-0215, a falha de falsificação de solicitação entre sites ( CSRF ) é classificada como 8,8 na escala CVSS, os três plugins são mantidos pelo Xootix. A vulnerabilidade tem sua origem na falta de validação ao processar solicitações AJAX, permitindo efetivamente que um invasor assuma o controle como administrador. As descobertas ocorrem pouco mais de um mês depois que os invasores exploraram pontos fracos em quatro plugins e 15 temas do Epsilon Framework para atingir 1,6 milhão de sites WordPress como parte de uma campanha de ataque em larga escala originada de 16.000 endereços IP.
  • Vulnerabilidade crítica do SAP permite ataques à cadeia de suprimentos.
    Uma vulnerabilidade crítica abordada recentemente no SAP NetWeaver AS ABAP e na plataforma ABAP pode ser usada para configurar ataques à cadeia de suprimentos, alerta o provedor de soluções de segurança SAP SecurityBridge. Descrito como um problema de autorização imprópria, o erro de segurança permite que um invasor adultere solicitações de transporte, e transfira artefatos de código para sistemas de produção. As solicitações de transporte são usadas para implantar modificações em toda a linha do sistema SAP, e essas solicitações são consideradas não modificáveis uma vez exportadas. Assim, para qualquer nova alteração, seria necessária uma solicitação diferente. No entanto, o SecurityBridge descobriu que as implantações padrão do SAP incluem um programa que permite que funcionários com níveis de autorização específicos alterem os atributos de cabeçalho das solicitações de transporte do SAP. Por causa disso, um invasor ou um insider malicioso com permissões suficientes tem uma janela para comprometer o sistema.
Rubens Zolotujin 0 Comentários
jan 17 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos do grupo REvil são presos na Rússia.
    Em uma ação sem precedentes, o Serviço Federal de Segurança da Rússia (FSB), a principal agência de segurança do país, divulgou na sexta-feira que prendeu vários membros pertencentes à notória gangue de ransomware REvil e neutralizou suas operações. O grupo foi responsável por diversos ataques de ransomware ao redor do mundo, gerando prejuízos de milhões de dólares em diversas Organizações e Empresas. Como resultado de um complexo de medidas investigativas e operacionais coordenadas em 25 endereços nos locais de 14 membros de uma comunidade criminosa organizada, os fundos foram apreendidos: mais de 426 milhões de rublos, inclusive em criptomoeda, 600 mil dólares americanos, 500 mil euros , além de equipamentos de informática, carteiras criptográficas usadas para cometer crimes, 20 carros comprados com dinheiro obtido do crime. Representantes das autoridades competentes dos EUA foram informados sobre os resultados da operação.
  • Falha no navegador Apple Safari permite rastreamento de usuários entre sites.
    Um bug de software introduzido na implementação da API IndexedDB do Apple Safari 15 pode ser abusado por um site malicioso para rastrear a atividade online dos usuários no navegador e, pior, até revelar sua identidade. A vulnerabilidade, apelidada de IndexedDB Leaks, é uma interface de programação de aplicativos (API) JavaScript de baixo nível fornecida por navegadores Web para gerenciar um banco de dados NoSQL de objetos de dados estruturados, como arquivos e blobs. A falha permite que os sites saibam quais outros sites um usuário está visitando em diferentes guias ou janelas, sem mencionar identificar com precisão os usuários nos serviços de serviços do Google, como YouTube e Google Agenda, pois esses sites criam bancos de dados IndexedDB que incluem o IDs de usuário do Google autenticados, que é um identificador interno que identifica exclusivamente uma única conta do Google.
  • Novo malware está visando o governo e entidades empresariais ucranianas.
    As equipes de segurança cibernética da Microsoft divulgaram no sábado que identificaram evidências de uma nova operação de malware destrutiva visando entidades governamentais, sem fins lucrativos e de tecnologia da informação na Ucrânia em meio a crescentes tensões geopolíticas entre o país e a Rússia. O malware está disfarçado de ransomware, mas, se ativado pelo invasor, tornaria o sistema de computador infectado inoperante”, disse Tom Burt, vice-presidente corporativo de segurança da Microsoft, acrescentando que as invasões foram direcionadas a agências governamentais que fornecem poder executivo crítico ou funções de resposta a emergências. O Serviço de Segurança da Ucrânia (SSU) disse ter encontrado “sinais” de envolvimento de grupos de hackers associados aos serviços de inteligência russos.
Rubens Zolotujin 0 Comentários
jan 14 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos estão criando contas no Adobe Cloud para enganar usuários do Office 365 e do Gmail.
    Os invasores estão aproveitando o Adobe Creative Cloud para redirecionar os usuários do Office 365 com links maliciosos com o objetivo de roubar credenciais. O vetor de ataque funciona assim: um invasor cria uma conta gratuita na Adobe Cloud e, em seguida, cria uma imagem ou um arquivo .PDF com um link incorporado, que é compartilhado por e-mail com um usuário do Office 365 ou Gmail. O Adobe Creative Cloud é um conjunto popular de aplicativos para compartilhamento e criação de arquivos e inclui aplicativos amplamente usados, como Photoshop e Acrobat. Embora os invasores tenham como alvo principal os usuários do Office 365, muitos usuários do Gmail também foram atingidos e também tiveram suas credenciais comprometidas. Embora os links dentro dos documentos enviados aos usuários sejam maliciosos, eles próprios não estão hospedados na Adobe Cloud, mas sim em outro domínio controlado por invasores.
  • Exército dos EUA vincula grupo de ciberespionagem MuddyWater ao Irã.
    O Comando Cibernético dos EUA vinculou o grupo à inteligência iraniana e detalhou seu conjunto multifacetado e cada vez mais sofisticado de ferramentas de malware. A ligação foi suspeita, e agora é carimbada pelo governo. O USCYBERCOM não apenas confirmou, mas também divulgou uma infinidade de ferramentas e estratégias de código aberto que o MuddyWater usa para invadir sistemas de destino e liberar amostras de malware. O grupo está visando servidores Exchange de organizações de alto perfil e estão usando duas ferramentas para tentar explorar os servidores Exchange: um script disponível publicamente para explorar CVE-2020-0688 – uma vulnerabilidade que permite a execução remota de código (RCE) para um usuário autenticado – e Ruler, uma estrutura de exploração de código aberto do Exchange recentemente usado para atingir uma série de operadoras de telecomunicações e empresas de TI do Oriente Médio.
  • Cisco corrige vulnerabilidade crítica em produtos contact center.
    A Cisco anunciou na última quarta-feira (12), patches para uma vulnerabilidade crítica no Unified Contact Center Management Portal e no Unified Contact Center Domain Manager que pode ser explorada remotamente para elevar privilégios ao administrador. Rastreado como CVE-2022-20658 (pontuação CVSS de 9,6), o problema existe porque não houve validação do lado do servidor das permissões do usuário, o que permitiu que um invasor enviasse uma solicitação HTTP criada para explorar o bug em um sistema vulnerável. Segundo a Cisco, uma exploração bem-sucedida pode permitir que um invasor crie contas de administrador. Com essas contas, o invasor pode acessar e modificar a telefonia e os recursos do usuário em todas as plataformas Unified associadas ao Cisco Unified CCMP vulnerável.
Rubens Zolotujin 0 Comentários
jan 13 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Ransomware TellYouThePass está explorando falha no apache Log4j.
    A família de ransomware TellYouThePass foi recentemente relatada com uma carga maliciosa pós-exploração usada em conjunto com a vulnerabilidade de execução remota de código na biblioteca Apache Log4j, apelidada de Log4Shell. Amostras de ransomware TellYouThePass anteriormente conhecidas foram escritas em linguagens de programação tradicionais como Java ou .Net, mas duas novas amostras recentes relatadas em repositórios públicos foram reescritas e compiladas em Golang. Visando os sistemas Windows e Linux, o ransomware TellYouThePass ressurgiu em meados de dezembro de 2021, juntamente com outros ransomwares como o Khonsari. Essa família de ransomware menos conhecida voltou aos holofotes como uma carga útil pós-exploração associada ao Log4Shell.
  • CISA adiciona 15 vulnerabilidades do Google, IBM, Microsoft, Oracle em seu catálogo.
    Esta semana, a Agência de Segurança Cibernética e Infraestrutura (CISA) adicionou 15 vulnerabilidades ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas. Três das vulnerabilidades precisam ser corrigidas por agências civis federais antes de 24 de janeiro, enquanto o restante tem datas de correção de 10 de julho. O Catálogo de Vulnerabilidades Exploradas conhecidas foi criado no ano passado por meio de uma diretiva que permitiu à CISA forçar as agências civis federais a lidar com certas vulnerabilidades que estão sendo usadas por invasores cibernéticos. A CISA disse que a lista é baseada nas falhas que os agentes de ameaças estão explorando ativamente, essas vulnerabilidades se tornaram um vetor de ataque frequente para agentes cibernéticos maliciosos de todos os tipos e representam um risco significativo para a Agência Federal.
  • Malware Purple Fox continua sendo espalhado usando um aplicativo malicioso do Telegram.
    De acordo com os pesquisadores, os invasores compilaram o instalador com o script AutoIt Telegram Desktop[.]exe. O script descarta dois arquivos, incluindo um instalador real do Telegram e um downloader malicioso. O instalador genuíno do Telegram descartado junto com o downloader não é executado. Um instalador malicioso passa por uma série de mecanismos antivírus (AV) para entregar o malware Purple Fox, evitando a detecção, dividindo o ataque em pequenos fragmentos para despistar ferramentas de proteção. Grande parte dos instaladores estão sendo baixados em sites de phishing.
Rubens Zolotujin 0 Comentários
jan 12 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Microsoft chama atenção para falha Wormable do Windows.
    O primeiro lote de patches da Microsoft para 2022 corrigi 97 falhas de segurança documentadas no ecossistema do Windows, algumas sérias o suficiente para causar ataques de execução remota de código. As atualizações de segurança de janeiro cobrem defeitos de segurança em uma ampla variedade de componentes padrão do sistema operacional Windows, incluindo uma falha crítica no HTTP Protocol Stack (http.sys) que a Microsoft descreve como “wormable” e outro bug de execução de código do Exchange Server relatado por a ANS. De acordo com a documentação da Microsoft, nove dos 97 bugs são classificados como “críticos”, a classificação de gravidade mais alta da empresa.
  • Adobe corrige falhas que renderam aos hackers US$ 150.000 em concurso chinês.
    A Adobe anunciou na última terça-feira (12) atualizações de segurança para vários produtos, incluindo Acrobat e Reader, nos quais a gigante do software corrigiu um total de 26 vulnerabilidades. Das 26 falhas de segurança corrigidas nas versões Windows e macOS do Acrobat e Reader, 16 receberam uma classificação de gravidade crítica e a maioria são problemas relacionados à memória que podem ser explorados para execução de código arbitrário. A equipe que representa uma empresa chinesa de segurança cibernética Cyber Kunlun ganhou US$ 60.000 pela exploração, enquanto as outras equipes ganharam US$ 30.000 cada, pois suas explorações não incluíam uma fuga de sandbox. A exploração no valor de US$ 60.000 incluiu um bug do kernel do Windows que a Microsoft ainda não corrigiu. As falhas restantes corrigidas no Acrobat e no Reader podem ser exploradas para escalonamento de privilégios, ignorando recursos de segurança, causando uma condição DoS e obtendo dados da memória.
  • Ataques de cibercriminosos subiram 50% em 2021.
    A tendência de aumento dos ataques cibernéticos atingiu um ponto mais alto no final de 2021 após as descobertas das vulnerabilidades do Apache Log4J, chegando a 925 ciberataques semanais por organização, globalmente. Em 2021, Educação/Pesquisa foi o setor que registrou o maior volume de ataques, com uma média de 1.605 ataques por organização a cada semana. Isso foi um aumento de 75% em relação a 2020. Em segundo lugar está o setor Governo/Militar que teve 1.136 ataques por semana (aumento de 47%) e a indústria das comunicações, a qual teve 1.079 ataques semanais por organização (aumento de 51%). Os cibercriminosos continuam inovando. No ano passado, vimos 50% mais ciberataques por semana em redes corporativas em todo o mundo em comparação com 2020, o que é um aumento significativo. Também observamos que o número de ataques cibernéticos atingiu o pico no final do ano, em grande parte devido às tentativas de exploração da vulnerabilidade do Apache Log4J. Novas técnicas de penetração e novos métodos de evasão tornaram muito mais fácil para os cibercriminosos executar intenções maliciosas.
Rubens Zolotujin 0 Comentários
jan 11 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

* Cibercriminosos invadem a cidade de Grass Valley.
Um ataque cibernético a uma cidade da Califórnia resultou na exfiltração de dados pessoais e financeiros pertencentes a fornecedores, funcionários da cidade e seus cônjuges. Um aviso de incidente de segurança de dados publicado pela cidade de Grass Valley afirma que os invasores conseguiram acessar alguns dos sistemas de TI da cidade por um período de quatro meses. As vítimas afetadas pela violação de dados incluem funcionários da Grass Valley, ex-funcionários, cônjuges, dependentes e fornecedores individuais contratados pela cidade. A cidade começou a notificar as vítimas da violação de dados em 7 de janeiro de 2022.

* Mais da metade das PMEs já experimentaram uma violação de dados.
Mais da metade (51%) das pequenas e médias empresas no Reino Unido sofreram uma violação de dados, de acordo com um novo estudo da seguradora Markel Direct. As descobertas foram retiradas de uma pesquisa com 1000 PMEs e indivíduos autônomos no Reino Unido, enfatizando os temores de que essas organizações correm um risco particularmente alto de ataques cibernéticos devido à falta de recursos e experiência em segurança cibernética. Este problema foi agravado pela mudança digital durante a pandemia do COVID-19. Os métodos de ataque mais comuns enfrentados por essas organizações foram relacionados a malware (24%), violações de dados (16%) e ataques de phishing (15%).

* Diversos governos estão utilizando spyware comercial.
Os especialistas em segurança do governo dos EUA emitiram novas orientações para possíveis alvos de spyware comercial, protegendo-se de vigilância injustificada. Alguns governos estão usando software de vigilância comercial para atingir dissidentes, jornalistas e outros ao redor do mundo que consideram críticos, alertou o Centro Nacional de Contra-inteligência e Segurança dos EUA (NCSC) em um post no Twitter. As ferramentas de vigilância comercial também estão sendo usadas de maneiras que representam um sério risco de contrainteligência e segurança para os sistemas dos EUA. O aviso explicou que o spyware está sendo implantado para atingir dispositivos móveis e outros dispositivos conectados à Internet usando conexões de dados Wi-Fi e celulares. Em alguns casos, agentes de ameaça podem infectar um dispositivo alvo sem nenhuma ação do proprietário do dispositivo. Em outros, eles podem usar um link infectado para obter acesso a um dispositivo.

Rubens Zolotujin 0 Comentários
jan 10 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Malware FluBot agora tem como alvo a Europa se passando por aplicativo Flash Player.
    O malware FluBot amplamente distribuído continua a evoluir, com novas campanhas distribuindo o malware como Flash Player e os cibercriminosos estão adicionando novos recursos. FluBot é um cavalo de Troia bancário Android que rouba credenciais exibindo formulários de login de sobreposição em muitos bancos em todo o mundo. As iscas que sao enviadas de SMS para sua distribuição incluem: Atualizações de segurança falsas, Adobe Flash Players falsos, memorandos de correio de voz e avisos de entrega de encomendas falsificados. Uma vez no dispositivo, o FluBot pode roubar credenciais de banco on-line, enviar ou interceptar mensagens SMS e capturar imagens. Como o malware usa o dispositivo da vítima para enviar novas mensagens de smishing para todos os seus contatos, ele geralmente se espalha como um incêndio.
  • Cibercriminosos continuam abusando da falha Log4j.
    Organizações públicas e privadas, incluindo a Microsoft e a US Federal Trade Commission (FTC), estão alertando as organizações contra ataques contínuos que exploram o Log4Shell . Desde dezembro de 2021, invasores patrocinados pelo estado e outros atacantes têm como alvo a falha do Log4j. De acordo com a Microsoft , as organizações podem não estar totalmente cientes das falhas do Log4j em seu ambiente. No mês passado, a Microsoft lançou várias atualizações e alertas para ajudar seus clientes. Junto com a Microsoft, a FTC alertou que está planejando tomar medidas contra qualquer empresa dos EUA que falhe em proteger as informações de seus clientes contra os ataques Log4j em andamento.
  • Grupo de cibercriminosos visam empresas dos EUA com dispositivos USB para instalar Ransomware.
    O FBI diz que o FIN7, um grupo infame do crime cibernético que está por trás das operações de ransomware Darkside e BlackMatter, enviou dispositivos USB maliciosos para empresas dos EUA nos últimos meses na esperança de infectar seus sistemas com malware e realizar ataques. O FBI tem recebido relatórios de vários pacotes contendo esses dispositivos USB, enviados a empresas americanas nas indústrias de transporte, seguro e defesa. Os pacotes foram enviados pelo United States Postal Service e United Parcel Service, acrescentou a agência. Segundo o FBI, se os destinatários conectassem os drives USB em seus computadores, os dispositivos executariam um ataque BadUSB, onde o drive USB se registraria como um teclado e enviaria uma série de pressionamentos de tecla automatizados pré-configurados para o PC do usuário. Esses pressionamentos executariam comandos do PowerShell para baixar e instalar vários tipos de malware que funcionariam como backdoors para os invasores nas redes das vítimas.
Rubens Zolotujin 0 Comentários
jan 7 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Google lança nova atualização do Chrome para corrigir diversas vulnerabilidades do navegador.
    O Google lançou a primeira rodada de atualizações em seu navegador Chrome para 2022 para corrigir 37 problemas de segurança, um dos quais é classificado como crítico em gravidade e pode ser explorado para passar código arbitrário e obter controle sobre o sistema da vítima. Rastreada como CVE-2022-0096, a falha está relacionada a um bug de uso após liberação no componente de armazenamento, que pode ter efeitos devastadores que vão desde a corrupção de dados válidos até a execução de código malicioso em uma máquina comprometida. A recomendação para mitigar qualquer risco, é que os usuários do Chrome atualizem para a versão mais recente (97.0.4692.71).
  • VMWare libera atualizações de segurança para produtos Workstation, Fusion e ESXi.
    A VMWare enviou atualizações para produtos Workstation, Fusion e ESXi para lidar com uma vulnerabilidade de segurança importante que poderia ser transformada em arma por um agente de ameaça para assumir o controle dos sistemas afetados. O problema está relacionado a uma vulnerabilidade de estouro de pilha rastreada como CVE-2021-22045 (pontuação CVSS: 7,7) que, se explorada com sucesso, resulta na execução de código arbitrário. A empresa creditou a Jaanus Kääp, um pesquisador de segurança da Clarified Security, por relatar a falha. Caso a atualização não seja instalada, um agente malicioso com acesso a uma máquina virtual com emulação de dispositivo pode ser capaz de explorar esta vulnerabilidade em conjunto com outros problemas para executar código no hipervisor de uma máquina virtual. Com as soluções de virtualização da VMware amplamente implantadas em empresas, não é surpresa que seus produtos tenham surgido como uma escolha popular para os agentes de ameaças realizarem uma série de ataques contra redes vulneráveis.
  • Hackers norte-coreanos começam ano novo com ataques ao Ministério das Relações Exteriores da Rússia.
    Um grupo de ciberespionagem norte-coreano chamado Konni foi ligado a uma série de ataques direcionados ao Ministério das Relações Exteriores (MID) da Federação Russa, o principal objetivo é comprometer os sistemas Windows com malware. Este grupo de atividades demonstra a natureza paciente e persistente de atores avançados em campanhas de várias fases contra redes de alto valor percebidas. As táticas, técnicas e procedimentos (TTPs) do grupo Konni são conhecidos por se sobreporem a atores de ameaças, como o Kimsuky, que também é rastreado pelos profissionais de segurança cibernética sob os nomes de Velvet Chollima, ITG16, Black Banshee e Thallium. Os ataques mais recentes envolveram o acesso do ator aos alvos por meio de credenciais roubadas, explorando o ponto de apoio para carregar o malware para fins de coleta de inteligência.
Rubens Zolotujin 0 Comentários