Toyota descobre servidores mal configurados vazando informações de clientes. A montadora Toyota descobriu recentemente que mais servidores estavam mal configurados, resultando no vazamento de informações de seus clientes. Essa falha de segurança expôs dados confidenciais, como nomes, endereços, números de telefone e outras informações pessoais de milhares de pessoas. Os servidores mal configurados foram encontrados durante uma investigação interna realizada pela equipe de segurança da Toyota. Essa investigação foi iniciada após um incidente anterior, no qual servidores desprotegidos também vazaram informações dos clientes. Os servidores mal configurados estavam acessíveis na internet sem autenticação adequada, permitindo o acesso não autorizado aos dados dos clientes. Essa descoberta levantou preocupações sobre a segurança das informações pessoais dos proprietários de veículos da Toyota. A montadora afirmou que está tomando medidas para corrigir as configurações inadequadas e fortalecer a segurança de seus servidores.
Terminator Antivirus Killer está comprometendo sistemas Windows. Foi descoberto recentemente um programa chamado Terminator Antivirus Killer que, na verdade, é um driver disfarçado para o sistema operacional Windows. No entanto, esse driver possui vulnerabilidades significativas que podem comprometer a segurança do sistema. O Terminator Antivirus Killer é apresentado como um software antivírus poderoso que promete proteger os usuários contra ameaças cibernéticas. No entanto, pesquisadores de segurança descobriram que, por trás dessa fachada, o programa é, na verdade, um driver malicioso. Esse driver vulnerável pode ser explorado por atacantes para executar código arbitrário no sistema, permitindo o controle remoto e a instalação de malware. Além disso, o Terminator Antivirus Killer não possui mecanismos adequados de segurança e proteção, o que torna ainda mais perigoso.
Gangues de ransomware adotam práticas comerciais para alavancar os lucros. Recentemente, foi revelado que grupos criminosos envolvidos em ataques de ransomware estão adotando práticas comerciais preocupantes. Esses grupos estão se tornando mais organizados e profissionais, transformando o ransomware em uma verdadeira operação comercial lucrativa. Os criminosos estão adotando uma abordagem de negócios, criando modelos de receita complexos e estabelecendo parcerias para maximizar seus ganhos financeiros. Eles estão desenvolvendo redes sofisticadas, com divisão de tarefas e especialização, para tornar seus ataques mais eficazes e difíceis de rastrear. Além disso, os grupos de ransomware estão aprimorando suas táticas de extorsão. Eles estão usando técnicas de engenharia social avançadas para convencer as vítimas a pagar os resgates exigidos, muitas vezes ameaçando vazar dados sensíveis ou prejudicar a reputação da empresa caso o pagamento não seja feito.
Cibercriminosos atacam instâncias Apache NiFi para mineração de criptomoeda. Um agente de ameaça com motivação financeira está vasculhando ativamente a Internet em busca de instâncias Apache NiFi desprotegidas para instalar um minerador de criptomoeda. Os ataques também envolvem a execução de shell script projetado para coletar chaves SSH do host infectado para se conectar a outros sistemas dentro da organização da vítima. Devido ao seu uso como plataforma de processamento de dados, os servidores NiFi geralmente têm acesso a dados críticos para os negócios. Os servidores NiFi provavelmente são alvos atraentes, pois são configurados com CPUs maiores para suportar tarefas de transformação de dados. O ataque é trivial se o servidor NiFi não estiver protegido.
Falha crítica de firmware em sistemas Gigabyte expõe aproximadamente 7 milhões de dispositivos. Pesquisadores de cibersegurança descobriram um comportamento semelhante a um “backdoor” nos sistemas Gigabyte, que permite que o firmware UEFI desses dispositivos instale um executável do Windows e recupere atualizações de maneira insegura. A anomalia foi inicialmente detectada em abril de 2023 e a Gigabyte já reconheceu e corrigiu o problema. A maioria dos firmwares da Gigabyte inclui um executável Windows Native Binary embutido no firmware UEFI. Esse executável é gravado no disco e executado como parte do processo de inicialização do Windows, semelhante ao ataque LoJack double agent. O executável, está incorporado no firmware UEFI e é gravado no disco pelo firmware como parte do processo de inicialização do sistema, sendo posteriormente lançado como um serviço de atualização.
Microsoft detalha vulnerabilidade crítica no macOS da Apple. A Microsoft compartilhou detalhes de uma falha agora corrigida no Apple macOS que pode ser abusada por agentes de ameaças com acesso root para contornar as imposições de segurança e executar ações arbitrárias nos dispositivos afetados. A falha apelidada de Migraine e rastreada como CVE-2023-32369, pode ser usada para contornar uma importante medida de segurança chamada System Integrity Protection ( SIP ), que limita as ações que o usuário root pode executar em computadores protegidos. Pior ainda, pode ser explorado para obter a execução arbitrária do código do kernel e até mesmo acessar dados confidenciais, substituindo os bancos de dados que gerenciam as políticas de Transparência, Consentimento e Controle (TCC). O desvio é possível graças ao uso de uma ferramenta integrada do macOS chamada Migration Assistant para ativar o processo de migração por meio de um AppleScript projetado para lançar uma carga arbitrária. Como resultado, um agente de ameaça que já possui recursos de execução de código como root pode acionar systemmigrationd para executar perl, que pode ser usado para executar um script de shell malicioso enquanto o processo de migração está em andamento.
Falha grave no serviço Cloud SQL do Google Cloud expôs dados confidenciais. Uma nova falha de segurança foi divulgada no serviço Cloud SQL da Google Cloud Platform (GCP) que pode ser potencialmente explorada para obter acesso a dados confidenciais. A vulnerabilidade pode ter permitido que um agente mal-intencionado passasse de um usuário básico do Cloud SQL para um administrador de sistema completo em um contêiner, obtendo acesso a dados internos do GCP, como arquivos confidenciais, senhas, além de dados do cliente. O Cloud SQL é uma solução totalmente gerenciada para criar bancos de dados MySQL, PostgreSQL e SQL Server para aplicativos baseados em nuvem. As permissões elevadas subsequentemente tornaram possível abusar de outra configuração incorreta crítica para obter direitos de administrador do sistema e assumir o controle total do servidor de banco de dados.
Malware QBot abusa de uma falha de DLL no Windows. A operação de malware QBot começou a abusar de uma falha de sequestro de DLL no programa WordPad do Windows 10 para infectar computadores, usando o programa legítimo para evitar a detecção por software de segurança. Uma DLL é um arquivo de biblioteca contendo funções que podem ser usadas por mais de um programa ao mesmo tempo. O sequestro de DLL ocorre quando um agente de ameaça cria uma DLL maliciosa com o mesmo nome de uma legítima e a coloca no caminho de pesquisa inicial do Windows, geralmente na mesma pasta do executável. Quando esse executável for iniciado, ele carregará a DLL do malware em vez da legítima e executará qualquer comando malicioso dentro dela. Gangues de ransomware, incluindo Black Basta, Egregor e Prolock, fizeram parceria com a operação para obter acesso inicial a redes corporativas para realizar ataques de extorsão.
CISA adverte agências governamentais falha de Zero Day recentemente corrigida. A CISA alertou sobre uma vulnerabilidade de Zero Day recentemente corrigida, explorada na semana passada para invadir dispositivos Barracuda Email Security Gateway (ESG). A Barracuda diz que suas soluções de segurança são usadas por mais de 200.000 organizações em todo o mundo, incluindo empresas de alto nível como Samsung, Mitsubishi, Kraft Heinz e Delta Airlines. A empresa disse que a investigação sobre os dispositivos comprometidos foi limitada ao seu produto ESG e aconselhou os clientes afetados a revisar seus ambientes para garantir que os invasores não obtivessem acesso a outros dispositivos em sua rede. Portanto, os órgãos federais também terão que considerar o alerta da CISA como um alerta para verificar suas redes em busca de sinais de invasões. Embora apenas as agências federais dos EUA sejam obrigadas a corrigir os bugs adicionados à lista de Vulnerabilidades Exploradas Conhecidas, as empresas privadas também são fortemente recomendadas a priorizar a correção delas.
MCTI anuncia programa “Hackers do Bem” para fortalecer a cibersegurança no Brasil. O Ministério da Ciência, Tecnologia e Inovação (MCTI) lançou o “Hackers do Bem”, um programa inovador destinado a treinar e capacitar profissionais de tecnologia. O anúncio foi feito na última semana, e já ganhou elogios e apoio de várias organizações de tecnologia no país. O governo se comprometeu a investir R$ 32,6 milhões no programa, com o objetivo de formar mais de 30 mil pessoas até 2025. O programa proporcionará oportunidades de aprendizado em diferentes níveis. Além disso, os participantes terão a oportunidade de realizar residências tecnológicas em laboratórios de cibersegurança em todo o país, permitindo-lhes adquirir experiência prática valiosa. A iniciativa do governo busca atrair estudantes do ensino técnico, médio e superior, além de profissionais de tecnologia que buscam especialização ou que estão explorando uma nova área de atuação.
Spyware Pegasus foi implantado na Armênia em meio à guerra de Nagorno-Karabakh. De acordo com pesquisadores de várias organizações de direitos digitais, esta é a primeira instância conhecida de Pegasus sendo usado em meio a uma guerra. O software de espionagem, desenvolvido pelo NSO Group de Israel, visou jornalistas, ativistas, funcionários do governo e civis armênios durante a guerra entre Armênia e Azerbaijão na região disputada de Nagorno-Karabakh no outono de 2020. A investigação sobre o uso do spyware começou em 2021, quando a Apple enviou notificações para os usuários alertando-os sobre possíveis alvos de spyware patrocinado pelo estado. Diversas pessoas da Armênia contataram as organizações de direitos digitais CyberHUB-AM e Access Now para verificar seus dispositivos em busca de evidências de tal spyware. A investigação identificou 12 indivíduos cujos dispositivos Apple foram alvo do spyware em vários momentos entre outubro de 2020 e dezembro de 2022.
Venda de “Contas-Piratas” da Netflix Aumenta após Fim do Compartilhamento. esde o recente anúncio de que o serviço de streaming iria limitar o compartilhamento de contas entre usuários de diferentes residências, houve um aumento nas vendas de perfis fraudados ou “contas-pirata”. Essas contas estão sendo comercializadas em fóruns dedicados ao cibercrime e grupos no Telegram, com preços a partir de R$ 10. Os principais alvos são os mercados mais significativos da Netflix, como os Estados Unidos e a Índia, onde o fim do compartilhamento de contas terá maior impacto. As chamadas “contas-pirata” são essencialmente contas de clientes pagantes que tiveram seus dados roubados. A explicação para os preços tão baixos é a utilização dessas contas furtadas, obtidas por meio de senhas vazadas ou ataques que envolvem malwares capazes de roubar credenciais dos dispositivos dos usuários. Com a nova política da Netflix de restringir perfis compartilhados, espera-se um aumento na procura por esse tipo de acesso ilegal.
Grupos de cibercriminosos brasileiros atacam bancos no exterior. A operação começou no início deste ano, mas a maior parte dos ataques ocorreu no mês passado. A campanha em andamento foi apelidada de Operação Magalenha e inicialmente contou com provedores de serviços em nuvem como DigitalOcean e Dropbox, mas como essas empresas reforçaram suas regras sobre como seus serviços são usados, a operação migrou para o provedor de hospedagem TimeWeb da Rússia. O ecossistema de malware brasileiro está chamando a atenção da indústria de cibersegurança há quase uma década, quando grupos de cibercriminosos cada vez mais sofisticados do Brasil realizaram operações em conjunto com desenvolvedores de malware baseados no exterior, inclusive na Europa Oriental e na Rússia. A Operação Magalenha ilustra a natureza persistente do crime cibernético brasileiro e a evolução da ameaça representada por seus atores. Esses grupos demonstram uma capacidade consistente de atualizar seu arsenal e táticas de malware, permitindo que permaneçam cada vez mais eficazes em suas campanhas.
Zyxel lança patches de segurança críticos para produtos de firewall e VPN. A Zyxel lançou atualizações de software para corrigir duas falhas críticas de segurança que afetam alguns produtos de firewall e VPN que podem ser usados de forma abusiva por invasores remotos para obter a execução do código. Ambas as falhas CVE-2023-33009 e CVE-2023-33010, são vulnerabilidades de estouro de buffer e são classificadas como 9,8 de 10 no sistema de pontuação CVSS. O comunicado vem menos de um mês depois que a Zyxel enviou correções para outra falha crítica de segurança em seus dispositivos de firewall que poderia ser explorada para obter a execução remota de código nos sistemas afetados.
Serviço gratuito SuperVPN expõe 360 milhões de registros de usuários. O banco de dados exposto continha impressionantes 360.308.817 registros, totalizando 133 GB de tamanho. Esses registros incluíam uma ampla gama de informações confidenciais, incluindo endereços de e-mail de usuários, endereços IP originais, dados de geolocalização e registros de uso do servidor. Além disso, a violação revelou chaves secretas, números exclusivos de ID do usuário do aplicativo e números UUID, que podem ser utilizados para identificar mais informações úteis. Outras informações encontradas no banco de dados abrangem modelos de telefone ou dispositivo, sistemas operacionais, tipos de conexão com a Internet e versões de aplicativos VPN. Além disso, solicitações de reembolso e detalhes de contas pagas também estavam presentes na violação. Embora o SuperVPN afirme que não armazena logs de usuários, os dados vazados mostram o contrário e contradizem a política da empresa. Com as crescentes preocupações com a privacidade e segurança online, a demanda por serviços VPN disparou nos últimos anos.
Campanha de espionagem visa Ucrânia, Israel e outros países. Uma campanha de espionagem cibernética foi identificada na Ucrânia, visando uma agência governamental não revelada, segundo o CERT-UA, a equipe de resposta a emergências de computadores do país. O ator de ameaça, identificado como UAC-0063, demonstrou interesse em atingir outros países, incluindo Mongólia, Cazaquistão, Quirguistão, Israel e Índia. Embora as origens do grupo ainda sejam desconhecidas, sua motivação é a coleta de informações. Em abril, os hackers utilizaram uma conta de e-mail comprometida da Embaixada do Tadjiquistão na Ucrânia para enviar um e-mail malicioso à agência governamental ucraniana, infectando o destinatário com programas maliciosos, como o keylogger LOGPIE, o backdoor CHERRYSPY e o malware STILLARCH. Para dificultar a investigação, os hackers utilizaram ferramentas de proteção contra engenharia reversa e acesso não autorizado. Outras campanhas de espionagem cibernética direcionadas à Ucrânia também estão sendo monitoradas por pesquisadores de segurança cibernética, como o grupo Nodaria ou UAC-0056, que utiliza o malware Graphiron contra alvos no país.
Vulnerabilidade nos firewalls Zyxel pode ser explorada por cibercriminosos. Uma vulnerabilidade de injeção de comando recentemente corrigida (CVE-2023-28771) que afeta uma variedade de firewalls Zyxel pode ser explorada por agentes de ameaças. A vulnerabilidade surge devido ao tratamento inadequado de mensagens de erro e pode ser acionada através do envio de um pacote UDP especialmente criado para a porta 500 na interface WAN dos dispositivos vulneráveis. Isso permite que invasores executem comandos do sistema operacional como usuário root. A vulnerabilidade afeta firewalls Zyxel APT, USG FLEX e VPN, assim como gateways/firewalls ZyWALL/USG executando certas versões de firmware. Os pesquisadores destacam que a exploração bem-sucedida não requer autenticação prévia.
Google lança programa de Bug Bounty para seus aplicativos Android. O Google lançou o Mobile Vulnerability Rewards Program (Mobile VRP), um programa de recompensas por bugs que visa encontrar e corrigir vulnerabilidades nos aplicativos Android da empresa. O programa abrange uma ampla gama de aplicativos, incluindo Google Play Services, Google Chrome, Gmail e outros. O objetivo é incentivar pesquisadores de segurança a identificar falhas e ajudar a melhorar a segurança dos aplicativos. O programa também visa proteger os usuários e seus dados, mitigando vulnerabilidades e garantindo a confiabilidade dos aplicativos móveis do Google. O Google oferece recompensas de até US$ 30.000 por falhas de execução remota de código sem interação do usuário e até US$ 7.500 por bugs que permitam o roubo remoto de dados confidenciais. Essas recompensas incentivam os pesquisadores de segurança a dedicar tempo e esforço para identificar e relatar problemas de segurança.
Nova falha de segurança em dispositivos Samsung. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre a exploração ativa de uma falha que afeta dispositivos Samsung. O problema, rastreado como CVE-2023-21492, afeta alguns dispositivos Samsung que executam as versões 11, 12 e 13 do Android. A gigante eletrônica sul-coreana descreveu o problema como uma falha de divulgação de informações que poderia ser explorada por um invasor privilegiado para contornar as proteções de randomização de layout de espaço de endereço (ASLR). ASLR é uma técnica de segurança projetada para evitar corrupção de memória e falhas de execução de código, obscurecendo a localização de um executável na memória de um dispositivo. Outros detalhes sobre como a falha está sendo explorada atualmente não são conhecidos, mas vulnerabilidades em telefones Samsung foram armadas por fornecedores de spyware comercial no passado para implantar software malicioso.
Cibercriminosos estão distribuindo extensões maliciosas do VSCode. O VSCode é um editor de código-fonte amplamente utilizado e disponível gratuitamente. Ele oferece aos desenvolvedores um ambiente de codificação eficiente e personalizável, com suporte para várias linguagens de programação, estruturas e ferramentas. O VSCode Marketplace, onde os usuários podem encontrar e baixar extensões para aprimorar sua experiência de codificação, tornou-se recentemente um alvo para cibercriminosos. Os pesquisadores revelaram que as extensões comprometidas foram baixadas por desenvolvedores do Windows em um total de 46.600 vezes. O malware fornecia aos invasores acesso não autorizado às máquinas das vítimas, permitindo-lhes furtar credenciais, coletar informações do sistema e estabelecer um shell remoto na máquina da vítima.
Microsoft alerta para aumento de ataques direcionados para e-mails corporativos. A Microsoft lançou um novo relatório alertando as empresas sobre o aumento alarmante de ataques de comprometimento de e-mail comercial e as táticas em evolução empregadas pelos cibercriminosos. O relatório fornece uma análise abrangente do cenário de ameaças de abril de 2022 a abril de 2023, sugerindo que os sistemas da empresa atualmente detectam e investigam uma média de 156.000 ataques diariamente. Esses ataques aumentaram significativamente em 38% nos últimos quatro anos. De acordo com as descobertas da Microsoft, os invasores têm cada vez mais utilizado plataformas como BulletProftLink para orquestrar campanhas de e-mail maliciosas em grande escala. O BulletProftLink oferece aos cibercriminosos um serviço de ponta a ponta, incluindo modelos, hospedagem e serviços automatizados, permitindo que eles executem ataques BEC facilmente. Além disso, a Microsoft alertou que a especialização e consolidação da economia do cibercrime neste setor pode levar a um aumento no uso de endereços IP residenciais para evitar a detecção.
Cibercriminosos utilizam ChatGPT e Midjourney para enganar usuários. Anúncios maliciosos do Google para serviços de IA generativos, como ChatGPT e Midjourney, estão sendo usados para direcionar usuários a sites maliciosos como parte de uma campanha projetada para fornecer o malware RedLine Stealer. Ambos os serviços de IA são extremamente populares, mas carecem de aplicativos autônomos ou seja, os usuários interagem com o ChatGPT por meio de sua interface web, enquanto o Midjourney usa o Discord. Esse vácuo foi explorado por agentes de ameaças que procuram levar os buscadores de aplicativos de IA e páginas Web que promovem aplicativos falsos aos usuários. O malware de carregamento é propagado por meio de downloads drive-by, onde os usuários que pesquisam determinadas palavras-chave nos mecanismos de pesquisa exibem anúncios falsos que, quando clicados, os redirecionam para páginas de destino desonestas que hospedam malware.
Apple emite patches de emergência para 3 novas vulnerabilidades de Zero Day. A Apple lançou na quinta-feira atualizações de segurança para iOS, iPadOS, macOS, tvOS, watchOS e o navegador Safari para corrigir três novas falhas de Zero Day que, segundo ela, estão sendo exploradas ativamente. Atualmente, não há especificações técnicas adicionais sobre as falhas, a natureza dos ataques ou a identidade dos agentes de ameaças que podem explorá-las. Dito isso, essas falhas têm sido historicamente aproveitadas como parte de invasões altamente direcionadas para implantar spyware mercenário nos dispositivos de dissidentes, jornalistas e ativistas de direitos humanos, entre outros. Até agora, a Apple corrigiu um total de seis dias zero explorados ativamente desde o início de 2023. No início de fevereiro, a empresa corrigiu uma falha do WebKit ( CVE-2023-23529 ) que poderia levar à execução remota de código.
Sindicato do cibercrime infectou mais de 8,9 milhões de dispositivos Android em todo o mundo. O agente de ameaça conhecido como Lemon Group, está aproveitando milhões de smartphones Android pré-infectados em todo o mundo para realizar suas operações maliciosas, apresentando riscos significativos à cadeia de suprimentos. A infecção transforma esses dispositivos em proxies móveis, ferramentas para roubar e vender mensagens SMS, mídias sociais e contas de mensagens online e monetização por meio de anúncios e cliques fraudulentos. As infecções estão espalhadas globalmente em mais de 180 países, com mais de 50 marcas de dispositivos móveis comprometidos por uma cepa de malware chamada Guerilla. O malware foi documentado pela Sophos em 2018, quando descobriu 15 aplicativos carregados na Play Store que continham funcionalidades para se envolver em fraudes de cliques e atuar como backdoor. Os pesquisadores não revelaram o modus operandi exato de como os dispositivos são infectados com o firmware trojanizado contendo Guerilla, como são vendidos no mercado e quais marcas são afetadas.
EUA oferecem recompensa de US$ 10 milhões pela captura de cibercriminoso. Um cidadão russo foi acusado e indiciado pelo Departamento de Justiça dos EUA (DoJ) por lançar ataques de ransomware contra “milhares de vítimas” no país e em todo o mundo. Mikhail Pavlovich Matveev, indivíduo de 30 anos, é considerado uma “figura central” no desenvolvimento e implantação das variantes de ransomware LockBit, Babuk e Hive desde junho de 2020. As demandas totais de resgate supostamente feitas pelos membros dessas três campanhas globais de ransomware para suas vítimas chegam a US$ 400 milhões, enquanto os pagamentos totais de resgate das vítimas chegam a US$ 200 milhões. O hacker foi acusado de conspirar para transmitir pedidos de resgate, e danificar computadores protegidos. Se condenado, o que é improvável, ele pode pegar mais de 20 anos de prisão. O Departamento de Estado dos EUA também anunciou um prêmio de até US$ 10 milhões por informações que levem à prisão e/ou condenação de Matveev.
Cibercriminosos estão abusando do console serial do Azure. Um ator cibernético com motivação financeira foi observado abusando do Microsoft Azure Serial Console em máquinas virtuais (VMs) para instalar ferramentas de gerenciamento remoto de terceiros em ambientes comprometidos. Esse método de ataque foi único porque evitou muitos dos métodos de detecção tradicionais empregados no Azure e forneceu ao invasor acesso administrativo total à VM. O grupo de ameaças UNC3944, veio à tona pela primeira vez no final do ano passado, e é conhecido por alavancar ataques de troca de SIM para violar empresas de telecomunicações e terceirização de processos de negócios (BPO) desde pelo menos maio de 2022. Armado com o acesso elevado, o agente da ameaça se move para pesquisar a rede de destino, explorando as extensões de VM do Azure, como Azure Network Watcher, Azure Windows Guest Agent, VMSnapshot e configuração de convidado do Azure Policy.
Google anuncia esta semana o lançamento de uma atualização de segurança para o Chrome. O Google lançou uma atualização do Chrome 113 para corrigir 12 vulnerabilidades, incluindo uma falha crítica de uso após a liberação. Rastreado como CVE-2023-2721 e relatado pelo pesquisador do Qihoo 360, Guang Gong, o problema é descrito como uma falha de uso após a liberação na navegação. Um invasor remoto pode criar uma página HTML para acionar uma corrupção de heap quando um usuário acessa a página. O invasor teria que convencer o usuário a visitar a página. Vulnerabilidades de uso após liberação são bugs de corrupção de memória que ocorrem quando o ponteiro não é limpo após a liberação da alocação de memória, o que pode levar à execução arbitrária de código, negação de serviço ou corrupção de dados.
Nova operação de Ransomware ataca servidores VMware ESXi. Uma nova operação de ransomware como serviço (RaaS), chamada MichaelKors, tornou-se a mais recente visando afetar sistemas Linux e VMware ESXi a partir de abril de 2023. A segmentação de hypervisors VMware ESXi com ransomware para escalar essas campanhas é uma técnica conhecida como hipervisor jackpotting. Ao longo dos anos, a abordagem foi adotada por vários grupos de ransomware, incluindo o Royal. Além do mais, uma análise do SentinelOne na semana passada revelou que 10 famílias diferentes de ransomware, incluindo Conti e REvil, utilizaram o código-fonte vazado do Babuk em setembro de 2021 para desenvolver ataques direcionados ao VMware ESXi. Parte do motivo pelo qual os hypervisors VMware estão se tornando um alvo atraente é que o software é executado diretamente em um servidor físico, concedendo a um invasor em potencial a capacidade de executar binários maliciosos e obter acesso irrestrito aos recursos subjacentes da máquina.
Várias vulnerabilidades foram divulgadas em plataformas de gerenciamento OT. Foram divulgadas várias vulnerabilidades de segurança em plataformas de gerenciamento em nuvem vinculadas a três fornecedores de roteadores celulares industriais. Essas vulnerabilidades têm o potencial de expor redes de tecnologia operacional (OT) a ataques externos. As falhas residem nas soluções de gerenciamento baseadas em nuvem oferecidas pela Sierra Wireless, Teltonika Networks e InHand Networks para gerenciar e operar dispositivos remotamente. A exploração bem-sucedida das vulnerabilidades pode representar sérios riscos para os ambientes industriais, permitindo que os adversários contornem as camadas de segurança, exfiltrem informações confidenciais e executem códigos remotamente nas redes internas. Cada fornecedor de roteadores celulares industriais possui suas próprias vulnerabilidades específicas que podem ser exploradas pelos invasores.
RA Group ransomware atinge organizações dos EUA e Coréia do Sul. Um novo grupo de ransomware conhecido como RA Group tornou-se o mais recente agente de ameaças a aproveitar o código-fonte vazado do ransomware Babuk para gerar sua própria variante. A gangue que supostamente opera desde pelo menos 22 de abril de 2023, até o momento comprometeu três organizações nos EUA e uma na Coreia do Sul em vários setores de negócios, incluindo manufatura, gestão de patrimônio, seguradoras e produtos farmacêuticos. O RA Group não é diferente de outras gangues de ransomware porque lança ataques duplos de extorsão e administra um site de vazamento de dados para aplicar pressão adicional sobre as vítimas para que paguem resgates. O binário baseado no Windows emprega criptografia intermitente para acelerar o processo e evitar a detecção, sem mencionar a exclusão de cópias de sombra de volume e conteúdo da Lixeira da máquina.
