Gangue de ransomware Money Message alega violação em fabricante MSI. A fabricante taiwanesa de peças de PC MSI (Micro-Star International) foi listada no portal de extorsão de uma nova gangue de ransomware conhecida como “Money Message”, que afirma ter roubado o código-fonte da rede da empresa. A MSI é uma gigante global de hardware que fabrica placas-mãe, placas gráficas, desktops, laptops, servidores, sistemas industriais, periféricos de PC e produtos de infoentretenimento, com uma receita anual que ultrapassa US$ 6,5 bilhões. O agente de ameaça listou o MSI em seu site de vazamento de dados e postou capturas de tela do que eles afirmam ser os bancos de dados CTMS e ERP do fornecedor de hardware e arquivos contendo código-fonte de software, chaves privadas e firmware do BIOS. A Money Message agora ameaça publicar todos esses documentos supostamente roubados em cerca de cinco dias, a menos que a MSI cumpra suas exigências de pagamento de resgate.
Google TAG alerta sobre ataques cibernéticos vinculados à Coreia do Norte. Um agente de ameaças apoiado pelo governo norte-coreano foi vinculado a ataques direcionados ao governo e militares, formuladores de políticas, acadêmicos e pesquisadores na Coreia do Sul e nos EUA. O Threat Analysis Group (TAG) do Google está rastreando o cluster sob o nome ARCHIPELAGO, que é um subconjunto de outro grupo de ameaças rastreado pela Mandiant sob o nome APT43. As cadeias de ataque montadas pelo ARCHIPELAGO envolvem o uso de e-mails de phishing contendo links maliciosos que, quando clicados pelos destinatários, redirecionam para páginas de login falsas projetadas para coletar credenciais.
61% dos golpes no mundo envolvem comprometimento de credenciais. Os especialistas em segurança estão com a garganta ardendo de tanto falar sobre a necessidade de boas práticas de segurança e proteção de credenciais. Números apresentados pela Microsoft na última semana, porém, dão a métrica dessa necessidade e adicionam um senso de urgência, principalmente diante da métrica de que 61% de todos os golpes e brechas de segurança registrados em 2022 estiveram relacionados a problemas de login e verificação. Durante o evento Microsoft Secure, a companhia falou de uma economia cibercriminosa que gerou prejuízos de nada menos do que US$ 6 trilhões, ou cerca de R$ 30 trilhões, em todo o mundo. Desse total, US$ 4,35 milhões (cerca de R$ 22,1 milhões) foram registrados apenas nos Estados Unidos, um valor, inclusive, equivalente ao gasto estimado na aplicação de um bom programa de segurança, que evitaria perdas por alguns anos. “A autenticação multifator é o passo mais importante para evitar ataques comuns, mas é preciso ir além disso”, explica Inbar Cizer Kobrinsky, diretora sênior de produtos de proteção de identidade e segurança da Microsoft.
HP corrigirá bug crítico em impressoras LaserJet em 90 dias. A HP anunciou em um boletim de segurança esta semana que levaria até 90 dias para corrigir uma vulnerabilidade de gravidade crítica que afeta o firmware de impressoras de nível empresarial. O problema de segurança é rastreado como CVE-2023-1707 e afeta cerca de 50 modelos de impressoras gerenciadas HP Enterprise LaserJet e HP LaserJet. A falha de divulgação de informações pode permitir que um invasor acesse dados confidenciais transmitidos entre as impressoras HP vulneráveis e outros dispositivos na rede. A HP diz que uma atualização de firmware que aborda a vulnerabilidade será lançada em 90 dias, portanto, não há correção disponível no momento.
Falha no Bing permite manipular resultados e roubar dados de usuários. Uma falha grave foi divulgada neste final de semana no Bing, o motor de buscas da Microsoft. A partir de sistemas mal configurados baseados na nuvem Azure, da empresa, cibercriminosos poderiam manipular resultados de pesquisa e, ao mesmo tempo, embutir códigos maliciosos em tais elementos, possibilitando o roubo de dados de usuários. A brecha não apenas serviria para disseminar desinformação e sites fraudulentos, a partir de resultados aparentemente legítimos, como também representava um alto risco para os usuários corporativos de plataformas como Office, Azure e outras gerenciadas pela Microsoft. Felizmente, não existem indícios de utilização maliciosa da vulnerabilidade, que já foi fechada pelos times da Microsoft. Em agradecimento, o time de especialistas em segurança recebeu uma recompensa de US$ 40 mil, como parte do programa de bug bounty da companhia.
Arquivos WinRAR SFX podem executar o PowerShell sem serem detectados. Os cibercriminosos estão adicionando funcionalidade maliciosa aos arquivos de extração automática do WinRAR que contêm arquivos aparentemente inofensivos, permitindo a implantação de backdoors sem acionar o agente de segurança no sistema de destino. O objetivo dos arquivos SFX é simplificar a distribuição de dados arquivados para usuários que não possuem um utilitário para extrair o pacote. Pesquisadores da CrowdStrike detectaram o abuso do SFX durante uma recente investigação de resposta a incidentes. A análise da Crowdstrike descobriu um adversário que usou credenciais roubadas para abusar do ‘utilman.exe’ e o configurou para iniciar um arquivo SFX protegido por senha que havia sido implantado no sistema anteriormente. Utilman é um aplicativo de acessibilidade que pode ser executado antes do login do usuário, frequentemente usado de forma abusiva por hackers para burlar a autenticação do sistema. Os pesquisadores aconselham os usuários a prestar atenção especial aos arquivos SFX e usar o software apropriado para verificar o conteúdo do arquivo e procurar possíveis scripts ou comandos programados para serem executados na extração.
EUA se unem com outros países para combater o uso de Spyware comercial. Uma coalizão de 11 países se comprometeu na quinta-feira (30) a combater o uso indevido de spyware comercial, um passo para a construção de um acordo internacional para restringir a tecnologia empregada por países autoritários para espionar dissidentes e jornalistas. Em um comunicado divulgado como parte da Cúpula para a Democracia, os governos da Austrália, Canadá, Costa Rica, Dinamarca, França, Nova Zelândia, Noruega, Suécia, Suíça, Reino Unido e Estados Unidos concordaram em estabelecer proteções e diretrizes mais robustas para ferramentas comerciais de spyware. O acordo de quinta-feira sobre spyware ocorreu quando as autoridades se reuniram em Washington para o segundo dia da Cúpula para a Democracia, que se concentrou no papel da tecnologia no avanço da democracia.
Documentos vazados detalham as ferramentas de guerra cibernética da Rússia. Documentos vazados da empreiteira russa de TI NTC Vulkan mostram o possível envolvimento da empresa no desenvolvimento de ferramentas ofensivas de hackers, inclusive para o ator de ameaça persistente avançada (APT) conhecido como Sandworm. Com sede em Moscou, a NTC Vulkan anuncia sua colaboração com organizações e agências governamentais russas, sem mencionar qualquer envolvimento nas operações de grupos patrocinados pelo Estado ou serviços de inteligência. Documentos datados entre 2016 e 2020, no entanto, mostram que a empresa foi contratada pela inteligência russa, incluindo a Diretoria Principal de Inteligência do Estado-Maior General das Forças Armadas da Federação Russa, Sandworm, Telebots, Iron Viking e Voodoo Bear, para o desenvolvimento de ferramentas, programas de treinamento e uma plataforma de intrusão.
Sites de phishing que utilizam HTTPS crescem 56% ao ano. Especialistas em segurança alertaram que sites que exibem um cadeado no navegador devem ser tratados com cautela, após revelarem um aumento acentuado de sites de phishing usando HTTPS. As descobertas vêm do Relatório de Ameaças Globais de 2023, que é compilado a partir de dados coletados de 95 milhões de endpoints e sensores, bem como bancos de dados de terceiros e outros recursos. Ele revelou que a parcela de sites de phishing detectados usando HTTPS aumentou de 32% em 2021 para mais de 49% no ano passado, um aumento de quase 56%. “Muitos usuários acreditam que os sites HTTPS são ‘seguros’ e que o cadeado exibido no navegador é evidência de que o site é legítimo”, alertou o relatório. Os invasores estão bem cientes dessa percepção popular, então eles registram domínios, adquirem certificados para eles e estabelecem sites maliciosos usando esses certificados. Parece que os registradores de domínio e as autoridades de emissão de certificados estão se tornando menos eficazes em impedir que os fraudadores obtenham e usem certificados legítimos para aumentar suas taxas de sucesso de phishing.
Fornecedores de spyware foram pegos explorando falhas de Zero Day em Smartphones. Uma série de vulnerabilidades de dia zero que foram abordadas no ano passado foram exploradas por fornecedores de spyware comercial para atingir dispositivos Android e iOS, revelou o Threat Analysis Group (TAG) do Google. As duas campanhas distintas foram limitadas e altamente direcionadas, aproveitando a lacuna entre o lançamento de uma correção e quando ela foi realmente implantada nos dispositivos visados. Esses fornecedores estão permitindo a proliferação de ferramentas hacking perigosas, armando governos que não seriam capazes de desenvolver esses recursos internamente. A primeira das duas operações ocorreu em novembro de 2022 e envolveu o envio de links encurtados por mensagens SMS para usuários localizados na Itália, Malásia e Cazaquistão. A segunda campanha, observada em dezembro de 2022, consistia em vários Zero Days direcionados à versão mais recente do Samsung Internet Browser, com as explorações entregues como links únicos via SMS para dispositivos localizados nos Emirados Árabes Unidos.
Novo relatório mostra aumento de 400% nos ataques em APIs. O Relatório de segurança de API do Salt Labs, do primeiro trimestre de 2023, descobriu que houve um aumento de 400% em invasores únicos (mais de 4800) nos últimos seis meses. O relatório deixa claro que os invasores estão aprendendo a explorar APIs e eles estão cada vez mais persistentes. O relatório também descobriu que 80% dos ataques ocorreram em APIs autenticadas, tornando-se um problema generalizado para todos. Dado que é um dos tipos de ataque mais fáceis de executar, não é surpresa que os invasores estejam cada vez mais direcionando essa rota para uma organização. As Vulnerabilidades descobertas na natureza representam uma preocupação crítica para pequenas e grandes empresas. Os dados do relatório mostram que a confiança nas APIs continuam a crescer à medida que elas se tornam cada vez mais imperativas para o sucesso das organizações.
Gangues de ransomware estão atacando sistemas OT. A ENISA tem motivos para acreditar que as gangues de ransomware começarão a atacar os sistemas de tecnologia operacional de transporte (OT) em um futuro previsível. O setor de transporte, que compreende as indústrias aeronáutica, marítima, ferroviária e rodoviária, é um subgrupo do setor industrial, de acordo com o Global Industry Classification Standard (GICS). Não se trata apenas da circulação de pessoas, mas também de produtos. No entanto, relatos de OT sendo direcionados têm sido raros. A agência acredita que isso mudará em breve devido a muitos fatores, incluindo esforços contínuos de digitalização no setor que aumentam a conectividade de TI e OT, a alta probabilidade de empresas pagarem demandas de resgate para evitar impactos sociais e comerciais críticos e o número crescente de vulnerabilidades identificadas em ambientes OT.
Microsoft emite alerta sobre exploração da vulnerabilidade do Outlook. A Microsoft compartilhou na sexta-feira (24), orientações para ajudar os clientes a descobrir indicadores de comprometimento (IoCs) associados a uma falha do Outlook corrigida recentemente. Rastreada como CVE-2023-23397 (pontuação CVSS: 9,8), a falha crítica está relacionada a um caso de escalonamento de privilégios que pode ser explorado para roubar hashes do NT Lan Manager (NTLM) e realizar um ataque de retransmissão sem exigir nenhuma interação do usuário. A equipe de resposta a incidentes da Microsoft disse que encontrou evidências de exploração potencial da falha já em abril de 2022. “As organizações devem revisar o registro de eventos SMBClient, eventos de criação de processos e outras telemetrias de rede disponíveis para identificar exploração potencial via CVE-2023-23397”, disse a Microsoft. No início deste ano, a Microsoft também pediu aos clientes que mantivessem seus servidores Exchange locais atualizados, bem como tomassem medidas para reforçar suas redes para mitigar possíveis ameaças.
OpenAI revela bug por trás do incidente de exposição de dados do ChatGPT. A OpenAI divulgou que um bug na biblioteca de código aberto Redis foi responsável pela exposição de informações pessoais de outros usuários e títulos de bate-papo no serviço ChatGPT no início da semana passada. A falha, que veio à tona em 20 de março de 2023, permitia que alguns usuários visualizassem breves descrições das conversas de outros usuários na barra lateral do histórico de bate-papo, levando a empresa a desligar temporariamente o chatbot. “Também é possível que a primeira mensagem de uma conversa recém-criada esteja visível no histórico de bate-papo de outra pessoa se ambos os usuários estiverem ativos ao mesmo tempo”, disse a empresa. Para piorar a situação, a empresa de pesquisa de IA com sede em San Francisco disse que introduziu uma alteração no servidor por engano que levou a um aumento nos cancelamentos de solicitações, aumentando assim a taxa de erro.
Extensão falsa do ChatGPT é flagrada sequestrando contas do Facebook. O Google interveio para remover uma falsa extensão do navegador Chrome que se disfarçava como o serviço ChatGPT da OpenAI para coletar cookies de sessão do Facebook e sequestrar as contas. A extensão “ChatGPT For Google”, uma versão trojanizada de um complemento legítimo de navegador de código aberto, atraiu mais de 9.000 instalações desde 14 de março de 2023, antes de sua remoção. Ele foi originalmente carregada na Chrome Web Store em 14 de fevereiro de 2023. Uma vez de posse dos cookies da vítima, o agente da ameaça passa a assumir o controle da conta do Facebook, alterar a senha, alterar o nome e a foto do perfil e até mesmo usá-lo para disseminar propaganda extremista. As descobertas são mais uma prova de que os cibercriminosos são capazes de adaptar rapidamente suas campanhas para lucrar com a popularidade do ChatGPT para distribuir malware e realizar ataques oportunistas.
Novo Trojan bancário é direcionado para 450 aplicativos financeiros. Um trojan bancário Android chamado Nexus já foi adotado por vários agentes de ameaças para atingir 450 aplicativos financeiros e conduzir fraudes. Segundo os pesquisadores, o Nexus parece estar em seus estágios iniciais de desenvolvimento. O Nexus fornece todos os principais recursos para realizar ataques ATO (Account Takeover) contra portais bancários e serviços de criptomoeda, como roubo de credenciais e interceptação de SMS. O trojan, que apareceu em vários fóruns de cibercriminosos no início do ano, é anunciado como um serviço de assinatura para sua clientela por uma taxa mensal de US$ 3.000. O malware, como outros trojans bancários, contém recursos para controlar contas relacionadas a serviços bancários e de criptomoedas, realizando ataques de sobreposição e keylogging para roubar as credenciais dos usuários.
Cisco corrige vulnerabilidades de alta gravidade no software IOS. A Cisco publicou esta semana seu pacote semestral atualização do software IOS e IOS XE, que aborda dez vulnerabilidades, incluindo seis classificadas como ‘alta gravidade’. Os mais importantes são três bugs de segurança que podem ser explorados por invasores remotos e não autenticados para causar uma condição de negação de serviço (DoS). Outra falha DoS de alta gravidade foi resolvida no recurso de criação de perfil de cliente baseado em HTTP do software IOS XE para controladores de LAN sem fio (WLCs). Rastreado como CVE-2023-20067, o problema pode ser explorado por um invasor adjacente, sem autenticação. A Cisco também tratou de uma validação de entrada insuficiente na CLI do software IOS XE SD-WAN, que poderia permitir que um invasor autenticado executasse comandos no sistema operacional com privilégios de nível raiz. A Cisco diz que não tem conhecimento de nenhuma dessas falhas exploradas em ataques maliciosos. Informações adicionais sobre as falhas resolvidas podem ser encontradas na página de segurança da Cisco.
Evento de Cibersegurança 2023 imperdível em São Paulo. A HackerSec, principal empresa de cibersegurança do Brasil, anunciou a data da 4ª edição do seu evento oficial, o HackerSec Conference 2023. O evento acontecerá no dia 17 de junho de 2023 e promete ser ainda maior que a edição anterior. Reunindo centenas de especialistas em cibersegurança do mundo todo. O evento é conhecido por trazer as principais tendências, inovações e desafios do mundo cibernético. Com uma programação repleta de palestras, o evento tem como objetivo levar conhecimento sobre hacking e cibersegurança para estudantes e profissionais da área. Além disso, o HackerSec Conference é uma oportunidade única para estabelecer contatos com outros profissionais e empresas do setor de cibersegurança.
CISA alerta sobre falhas críticas de segurança em sistemas de controle industrial. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou oito avisos de Sistemas de Controle Industrial (ICS) na terça-feira (21), alertando sobre falhas críticas que afetam equipamentos da Delta Electronics e Rockwell Automation. Isso inclui 13 vulnerabilidades de segurança no InfraSuite Device Master da Delta Electronics, um software de monitoramento de dispositivos em tempo real. Todas as versões anteriores a 1.0.5 são afetadas pelos problemas. “A exploração bem-sucedida dessas vulnerabilidades pode permitir que um invasor não autenticado obtenha acesso a arquivos e credenciais, aumente privilégios e execute remotamente código arbitrário”, disse a CISA. No topo da lista está o CVE-2023-1133 (pontuação CVSS: 9,8), uma falha crítica que surge do fato de que o InfraSuite Device Master aceita pacotes UDP não verificados e desserializa o conteúdo, permitindo assim que um invasor remoto não autenticado execute código arbitrário.
Fórum de vazamento de dados sai do ar após líder ser preso nos EUA. De acordo com informações publicadas na imprensa americana, Conor Brian Fitzpatrick seria o operador do site, onde atendia pelo pseudônimo Pompompurin. Ele foi preso na cidade de Peekskill, nas proximidades de Nova York, e teria admitido ser o responsável pelo Breached após sua prisão, que aconteceu no último dia 15. Ainda segundo a imprensa local, as autoridades teriam passado horas na residência do acusado, removendo sacos com evidências antes de prender Fitzpatrick. Por outro lado, não existem informações sobre a apreensão de dispositivos usados pelo jovem ou infraestruturas ligadas ao fórum, além de valores monetários que seriam ligados à operação. Antes mesmo da divulgação da prisão, um administrador autointitulado Baphomet afirmou estar assumindo as operações da plataforma. Dias após afirmar que o Breached Forums passaria por uma reformulação, o novo responsável pelas operações confirmou o fim do espaço usado para vazamentos de dados.
Novas variantes do malware ShellBot ataca servidores Linux. Servidores Linux SSH mal gerenciados estão sendo visados como parte de uma nova campanha que implanta diferentes variantes de um malware chamado ShellBot. ShellBot, é um malware DDoS desenvolvido em Perl e caracteristicamente usa o IRC para se comunicar com o servidor de comando e controle. O ShellBot é instalado em servidores com credenciais fracas, mas somente depois que os agentes de ameaças identificam sistemas com a porta SSH 22 aberta. Uma lista de credenciais SSH conhecidas é usada para iniciar um ataque de dicionário para violar o servidor e implantar a carga útil, logo após ele aproveita o protocolo Internet Relay Chat ( IRC ) para se comunicar com um servidor remoto.
Ferrari diz que ataque de ransomware expôs dados de clientes. A fabricante italiana de carros esportivos Ferrari disse na segunda-feira (20), que um agente de ameaça exigiu um resgate relacionado a informações de clientes que podem ter sido expostas em um ataque de ransomware. “Após o recebimento do pedido de resgate, imediatamente iniciamos uma investigação em colaboração com uma empresa líder global de segurança cibernética terceirizada”, disse a montadora. “Além disso, informamos as autoridades relevantes e estamos confiantes de que investigarão em toda a extensão da lei”. A empresa não disse quando o incidente ocorreu, mas pode estar relacionado a relatos de um ataque de ransomware em outubro de 2022, quando o grupo “RansomEXX” alegou ter roubado e vazado 7 GB de dados da Ferrari, que foi negado pela montadora na época. Em notificações enviadas por e-mail aos clientes, a Ferrari disse que as informações expostas incluem nome, endereço, endereço de e-mail e número de telefone.
A falha no Google Pixel permiti a recuperação de imagens. Uma falha ‘Acropalypse’ na ferramenta de marcação do Google Pixel possibilitou a recuperação parcial de capturas de tela e imagens editadas ou redigidas, incluindo aquelas que foram cortadas ou tiveram seu conteúdo mascarado, nos últimos cinco anos. A ferramenta de marcação é um editor de imagem integrado que permite redigir, cortar e alterar imagens em um dispositivo Google Pixel. A vulnerabilidade foi descoberta pelos pesquisadores de segurança Simon Aarons e David Buchanan, que relataram no Twitter que foi possível recuperar informações confidenciais de imagens editadas nos últimos cinco anos usando um ataque que eles apelidaram de “Acropalypse”. Aarons compartilhou um exemplo de como eles usaram a falha do Acropalypse para restaurar uma foto carregada no Discord de um cartão de crédito cujo número foi editado usando o recurso de marcador preto da ferramenta Markup. Depois de executar a foto por meio do exploit Acropalypse, eles recuperaram a imagem original.
SAP lança atualizações de segurança corrigindo cinco vulnerabilidades críticas. O fornecedor de software SAP lançou atualizações de segurança para 19 vulnerabilidades, cinco classificadas como críticas, o que significa que os administradores devem aplicá-las o mais rápido possível para mitigar os riscos associados. As falhas corrigidas este mês afetam muitos produtos, mas os bugs de gravidade crítica afetam o SAP Business Objects Business Intelligence Platform (CMC) e o SAP NetWeaver. Falhas de segurança em produtos SAP são alvos excelentes para agentes de ameaças porque são comumente usadas por grandes organizações em todo o mundo e podem servir como pontos de entrada para sistemas extremamente valiosos. A SAP é o maior fornecedor de ERP do mundo, com 24% de participação no mercado global com 425.000 clientes em 180 países. Mais de 90% da Forbes Global 2000 usa seus produtos ERP, SCM, PLM e CRM. Em fevereiro de 2022, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) instou os administradores a corrigir um conjunto de vulnerabilidades graves que afetam os aplicativos de negócios SAP para evitar roubo de dados, ataques de ransomware e interrupção de processos e operações de missão crítica.
Nova operação de criptojacking está visando clusters Kubernetes. Pesquisadores de segurança cibernética descobriram a primeira campanha ilícita de mineração de criptomoeda usada desde o início de fevereiro de 2023. “A nova operação de criptojacking da Dero concentra-se na localização de clusters Kubernetes com acesso anônimo habilitado em uma API Kubernetes e escuta em portas não padrão acessíveis pela Internet”, disse CrowdStrike em um novo relatório. Os ataques, atribuídos a um ator desconhecido com motivação financeira, começam com a verificação de clusters Kubernetes com autenticação definida como –anonymous-auth=true, que permite solicitações anônimas ao servidor para descartar cargas iniciais de três endereços IP diferentes baseados nos EUA. Isso inclui a implantação de um Kubernetes DaemonSet chamado “proxy-api”, que, por sua vez, é usado para soltar um pod malicioso em cada nó do cluster Kubernetes para iniciar a atividade de mineração.
Cibercriminosos estão atacando sistemas Windows para implantar o ransomware Magniber. De acordo com o Threat Analysis Group (TAG) do Google, os criminosos estão explorando um bug do Microsoft SmartScreen para distribuir o ransomware Magniber, potencialmente infectando centenas de milhares de dispositivos. A TAG descobriu o exploit in-the-wild e o relatou à Microsoft no mês passado. Rastreada como CVE-2023-24880, a vulnerabilidade do Windows-Office foi corrigida com o Patch Tuesday. Ela está relacionada a uma vulnerabilidade semelhante de desvio do recurso de segurança do Windows SmartScreen, CVE-2022-44698, que a Microsoft corrigiu em dezembro, mas não antes dos invasores a encontrarem e usarem para lançar o mesmo malware.
Microsoft lança patches para 80 novas falhas de segurança. A atualização Patch Tuesday da Microsoft para março de 2023 está sendo lançada com correções para um conjunto de 80 falhas de segurança, duas das quais foram exploradas ativamente. Oito dos 80 bugs são classificados como Críticos, 71 são classificados como Importantes e um é classificado como Moderado em gravidade. As atualizações se somam a 29 falhas que a gigante da tecnologia corrigiu em seu navegador Edge baseado em Chromium nas últimas semanas. A divulgação também ocorre quando a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou as duas das falhas ao catálogo de Vulnerabilidades Exploradas Conhecidas e anunciou um novo programa piloto que visa alertar entidades críticas de infraestrutura sobre vulnerabilidades associadas à exploração conhecida de ransomware. Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores desde o início do mês para corrigir várias vulnerabilidades.
Ransomware LockBit é a operação do cibercrime mais bem-sucedida do mundo. O ransomware LockBit foi descoberto pela primeira vez em setembro de 2019 e era anteriormente conhecido como ABCD ransomware por causa da extensão “.abcd virus” observada pela primeira vez. O grupo opera como um modelo Ransomware-as-a-service (RaaS). Resumindo, isso significa que os afiliados fazem um depósito para usar a ferramenta e depois dividem o pagamento do resgate com o grupo LockBit. Foi relatado que algumas afiliadas estão recebendo uma participação de até 75%. Os operadores do LockBit publicaram anúncios de seu programa de afiliados em fóruns de cibercriminosos russos, afirmando que não operarão na Rússia ou em nenhum país da CEI. Em 2022, o grupo publicou mais ataques bem sucedidos do que qualquer outro grupo de ransomware. Um dos recursos exclusivos do LockBit é seu programa de recompensas de bugs para seus criadores e compiladores de ransomware.
Falha do Fortinet FortiOS é explorada em ataque cibernéticos. Entidades governamentais e grandes organizações foram alvo de uma ameaça desconhecida ao explorar uma falha de segurança no software Fortinet FortiOS que pode resultar em perda de dados e corrupção de sistema operacional e arquivos. “A complexidade da exploração sugere um ator avançado e altamente direcionado a alvos governamentais ou relacionados ao governo”, disseram os pesquisadores da Fortinet em um comunicado na semana passada. A falha de zero day em questão é CVE-2022-41328, um bug de segurança média no FortiOS que pode levar à execução arbitrária de código. A falha de segurança veio à tona, depois que vários dispositivos FortiGate pertencentes a um cliente sofreram uma parada repentina do sistema e subsequente falha de inicialização, indicando uma violação de integridade. A Fortinet disse que o ataque foi altamente direcionado, com evidências apontando para organizações governamentais ou afiliadas ao governo.
