A visão geral semanal dos mais recentes eventos de segurança da informação, explorações, conquistas, hacks e riscos emergentes mantém você informado sobre as últimas tendências. Mantenha-se atualizado sobre as novidades em ataques cibernéticos, mecanismos de defesa e dispositivos direcionados a malware. Com essa conscientização contínua, podemos implementar medidas de segurança eficazes para prevenir ocorrências futuras. Além disso, essa abordagem ajuda você a manter uma compreensão abrangente de um cenário de segurança cibernética em constante transformação, garantindo a proteção adequada do sistema contra ameaças continuamente variadas.
Ameaças
GoRed usando DNS e encapsulamento ICMP
O tunelamento DNS e ICMP é usado pelo GoRed, uma ferramenta que o ExCobalt, um grupo de espionagem cibernética, utiliza na comunicação de seu servidor para C2. Com esta técnica, torna-se possível manter os atores da ameaça persistentes e não detectados em redes danificadas. Algumas das características do GoRed são uma estrutura C2 para execução de comandos, protocolo RPC para comunicação C2 e tunelamento DNS ou ICMP. Também inclui coleta de credenciais, coleta de dados, bem como recursos de reconhecimento de rede de vítimas. Esta ferramenta é altamente personalizável e adaptável, o que a torna uma grande ameaça no cenário da segurança cibernética.
Servidor do agente de ameaças exposto
Um servidor web não blindado, que foi empregado para atacar o Taiwanese Freeway Bureau e um data center local, foi localizado pela Hunt Research Team. Pouco depois de se tornar público, o servidor no IP 103.98.73.189:8080 foi desativado. Foram ferramentas como Nmap e SQLMap que foram usadas pelos atores da ameaça para procurar vulnerabilidades potenciais e o programa de malware BlueShell como mecanismo com o qual eles obtiveram acesso aos sistemas de computador das vítimas. Para determinar a possibilidade de ocorrência de ameaças e minimizá-las, os diretórios abertos precisam ser monitorados 24 horas por dia. Este incidente é um exemplo da ameaça contínua que existe em Taiwan em relação a entidades governamentais e infraestruturas importantes.
Hackers usando documentos Word armados
Os ataques de phishing por código QR usam documentos do Word transformados em armas para roubar dados financeiros por hackers. Esses documentos possuem macros que podem executar códigos maliciosos ao serem abertos pelos usuários, permitindo que os atores da ameaça entreguem as cargas com êxito ou obtenham acesso ilícito aos sistemas. Estes ataques frequentemente disfarçam-se de unidades governamentais como o Ministério dos Recursos Humanos da China, que pedem às pessoas que assinem um subsídio falso. As vítimas são atraídas para esses sites falsos e inserem suas informações pessoais e números de cartão de crédito, o que resulta no roubo de dinheiro de suas contas. Para evitar tais ameaças, os indivíduos devem digitalizar códigos QR apenas de fontes confiáveis e também confirmar a credibilidade dos URLs antes de prosseguir.
Hackers usando o aplicativo Cisco Webex Meetings armado
Um aplicativo armado está sendo usado por hackers para entregar malware chamado Cisco Webex Meetings. Nele, os invasores manipulam os usuários para baixar arquivos protegidos por senha que são feitos para parecer software genuíno. Depois que o malware é instalado, ele começa a roubar informações, como credenciais, e então estabelece uma conexão constante com seu servidor de comando e controle. Este ataque usa várias técnicas, como carregamento lateral de DLL, engenharia social junto com injeção de processo. O malware usa ainda brechas de segurança para obter direitos administrativos em sistemas e então desabilita o Windows Defender. A campanha é mais ampla, com mais de 400 nomes de arquivos semelhantes enviados ao VirusTotal desde 2024.
O ShrinkLocker usa o utilitário Windows BitLocker
ShrinkLocker é outro tipo de ransomware que aproveita a ferramenta Windows BitLocker para criptografar unidades locais e excluir opções de recuperação. Ele reduz as partições e também as criptografa usando VBScript. Este programa malicioso recolhe as chaves de recuperação, produz uma senha e retransmite a chave de criptografia da vítima para o hacker. Em seguida, ele é enviado ao servidor do invasor junto com as informações coletadas pelo sistema antes de ser completamente removido do computador e não deixar nenhum meio de recuperação de arquivos codificados para usuários infectados. Esses ataques foram observados na Indonésia, Jordânia e México.
Botnet Zergeca
O mais recente integrante da família de botnets de negação de serviço distribuída (DDoS) é o Zergeca, que exibe recursos avançados que o diferenciam dos demais. A Zergeca foi detectada pelo sistema Cyber Threat Insight Analysis (CTIA) da XLab em 20 de maio de 2024 e já demonstrou suas capacidades de disrupção. É algo mais do que um botnet DDoS comum, esse botnet pode executar seis abordagens de ataque diversas e possui recursos extras como proxy, verificação, autoatualização, persistência, transferência de arquivos, shell reverso e muito mais. O nome Zergeca associado a este botnet surgiu devido ao comportamento de enxame exibido por Zerg no jogo StarCraft que reflete sua agressividade e caráter expansivo. Uma análise reversa do Zergeca revelou que ele foi projetado para a plataforma Linux e tinha como alvo a arquitetura de CPU x86-64, com possível disseminação para outras plataformas.
Grupo Chinês Winnti
O Grupo Winnti tem estado ligado ao governo chinês e algumas das campanhas de ciberespionagem conduzidas por este grupo tiveram motivações financeiras. Eles consistem na execução de malware, coleta de credenciais locais e envio de dados usando HTTP. As ferramentas representativas do grupo incluem PlugX RAT e ShadowPad, que às vezes são utilizadas em ataques à cadeia de suprimentos. As medidas a serem implementadas envolvem a observação de carregamento lateral de DLL, abuso de tarefas agendadas e manipulação de serviços do Windows, entre outras. Gráficos de ataque, como uma série de testes contínuos, ajudam a melhorar a postura de segurança contra esse agente de ameaça.
Stuxnet
Stuxnet é um worm de computador altamente complexo, direcionado ao software Siemens Step7 empregado em sistemas de controle industrial e, em particular, no controle de centrífugas de enriquecimento de urânio. Ele usou vulnerabilidades de dia zero para passar por falhas nas redes e manipular controladores lógicos programáveis (PLCs) para aumentar a velocidade das centrífugas, levando-as a apresentar mau funcionamento, afetando consequentemente a infraestrutura nuclear do Irã. Com este ataque, ficou claro que a segurança tradicional é limitada e demonstrou a necessidade de reavaliação das estratégias de segurança cibernética no que diz respeito a um estudo de caso para defesa de infraestruturas críticas na era digital.
Ataque cibernético
RansomHub atacando sistemas ESXi
A variante de ransomware recentemente identificada do RansomHub afeta os sistemas VMWare ESXi. Esses sistemas ESXi são amplamente utilizados em organizações corporativas para gerenciamento de infraestruturas virtualizadas, e isso os torna atraentes. As vulnerabilidades de segurança no ESXi podem ser exploradas por agentes de ameaças para espalhar ransomware e conduzir operações maliciosas. O RansomHub está operando em sua plataforma desde fevereiro de 2024 e infecta diferentes sistemas operacionais com malware codificado usando Go ou C++. Esta é apenas uma versão de muitas variantes da família New Ransomhub que tem tido uma forte presença em várias regiões.
Ataque de hack CDK
Metade das concessionárias de automóveis na América foram severamente afetadas por um ataque cibernético à CDK Global, que é conhecida por ser um dos maiores fornecedores de software para concessionárias de automóveis. Como medida de precaução, a maioria dos sistemas teve de ser encerrada após o incidente que começou na quarta-feira. Neste caso, causou perturbações significativas, levando os concessionários a necessitar de caneta e papel para gerir todas as suas vendas e transações relacionadas com serviços. Outras montadoras como Stellantis, Kia e Toyota estão auxiliando as concessionárias afetadas no atendimento aos clientes em meio ao tempo de inatividade. Afirmou que os serviços poderiam permanecer indisponíveis por dias ou mais, sem fornecer qualquer prazo estimado para a resolução da interrupção.
Dados confidenciais roubados de hospitais de Londres
Os dados confidenciais do fornecedor de patologia do NHS, Synnovis, foram publicados devido a um ataque cibernético a hospitais de Londres. O grupo de hackers conhecido como Qilin, formado por hackers de língua russa, é responsável pelo incidente e isso levou à publicação de mais de 380 GB de dados. Informações de pacientes e registros financeiros estavam entre aqueles que foram expostos por esses hackers. Os sistemas de TI da Synnovis foram hackeados pelos invasores, que então criptografaram os arquivos e exigiram US$ 50 milhões em resgate para sua liberação. As capacidades de transfusão de sangue e testes foram gravemente afetadas pelo ataque, provocando assim o adiamento de mais de 1.000 operações, juntamente com mais de 2.000 consultas em sete hospitais afetados. Juntamente com parceiros, o NHS está a tentar descobrir a extensão dos danos causados por esta violação.
Hackers podem reprimir 59%
Os pesquisadores da Kaspersky revelaram recentemente que 59% das senhas da vida real são quebráveis com placas gráficas modernas em menos de uma hora e com algum conhecimento técnico. Para descobrir essas senhas, eles empregaram uma combinação de algoritmos de adivinhação e força bruta. Isso apenas mostra o quão fracas são a maioria das senhas do mundo real, bem como o quão eficientes podem ser os ataques de força bruta usando GPUs. Por uma pequena taxa, mesmo aqueles que não possuem tais processadores podem quebrar enormes coleções de senhas vazadas de forma eficaz.
Hackers chineses atacam empresas de telecomunicações
Pelo menos nos últimos 20 meses, os hackers chineses têm estado em constante missão de espionagem contra operadores de telecomunicações de alguns países asiáticos. Eles também usaram backdoors especializados como Coolclient, Quickheal e Rainyday para registrar as teclas digitadas, formatar arquivos e comunicar-se com os servidores de comando e controle. Da mesma forma, houve também o uso de malware de keylogging, ferramentas de verificação de portas e dumping de credenciais. Esta poderia ser uma operação multi-atores, onde muitos atores estão envolvidos ou cooperando entre si. No entanto, não está claro se se destina a fins de recolha de informações ou a um mecanismo de interceção direcionado ao setor das telecomunicações.
Atores chineses UNC3886 explorando VMware e Fortinet 0 dias
UNC3886, a gangue chinesa de espionagem cibernética, tem explorado inúmeras falhas nos produtos VMware e Fortinet para acessar ambientes comprometidos e se estabelecer por um tempo considerável. Isso inclui vulnerabilidades como CVE-2023-34048 no VMware vCenter, CVE-2022-41328 no FortiGate e CVE-2023-20867 no VMware ESXi, que ajudaram os invasores a colocar backdoors, roubar dados e também manter entrada alternativa nos sistemas. Por esse motivo, o NCSC TIB os avalia como atores sofisticados devido ao uso de rootkits disponíveis publicamente, como REPTILE, MEDUSA e SEAELF, e malware personalizado, como MOPSLED e RIFLESPINE. Apesar do lançamento de patches por ambas as empresas, Fortinet e VMware, é difícil mitigar completamente o risco devido à cautela destes atores de ameaças.
Violação de dados
Violação de Jollibee
A Jollibee Foods Corporation, a maior rede de fast-food das Filipinas, foi violada por um agente ameaçador. Supostamente, esta violação expôs informações confidenciais, incluindo de clientes, como seus nomes e endereços e detalhes de pagamento. O autor da ameaça alegou ter obtido acesso aos sistemas internos da Jollibee e levado embora com volumes substanciais de informações. Como medida de precaução, os especialistas em segurança cibernética estão pedindo aos clientes que monitorem suas contas financeiras e redefinam as senhas. Nenhuma palavra oficial de Jollibee foi ouvida ainda sobre a violação. A previsão é que a empresa realize uma investigação abrangente para apurar até onde foi e propor medidas preventivas para ocorrências futuras.
Violação da Accenture
O ataque em questão levou à perda de informações críticas sobre a Accenture, uma empresa de consultoria líder no mundo. Alega-se que a violação envolve dados pessoais, incluindo nomes, endereços e números de cartão de crédito, bem como SSN (Número de Segurança Social), entre outros. Exemplos de dados teriam sido postados pelo agente de ameaças 888 em fóruns da dark web apoiando suas alegações. Neste momento, nenhuma declaração oficial foi feita pela Accenture, no entanto, os especialistas em segurança cibernética pedem-lhes que investiguem exaustivamente o assunto e notifiquem imediatamente os funcionários que possam ser afetados. As consequências de tal incidente podem ser enormes, desde roubo de identidade até fraude financeira e outros perigos que visam pessoas hackeadas.
Violação de dados da Amtrak
Os clientes da Amtrak foram informados de uma falha de segurança significativa em relação às contas do Amtrak Guest Rewards. A violação ocorreu entre 15 e 18 de maio de 2024, permitindo que indivíduos sem autoridade acessassem as contas dos usuários. Os hackers não obtiveram credenciais de login através dos sistemas da Amtrak, mas o fizeram usando fontes de terceiros. As informações comprometidas incluem nomes, contatos de usuários, números de contas, datas de nascimento, detalhes de pagamento, como informações de cartões usados para comprar presentes, e registros de transações. Algumas medidas foram tomadas pela Amtrak para garantir que suas contas estejam seguras, incluindo redefinição de senhas, reversão de endereços de e-mail e implementação de autenticação multifatorial para fortalecer a segurança.
Avisos
Manual para defender AD e Entra contra o notório grupo Octo Tempest
Para defender os ambientes Azure do Octo Tempest, um notório grupo de hackers, a Microsoft revelou um manual. Implementar autenticação multifator (MFA) para todos os usuários, especialmente MFA resistente a phishing para administradores, bloquear protocolos de autenticação legados e fazer com que usuários de alto risco alterem senhas estavam entre as sugestões do manual. Além disso, sugere a imposição de políticas de acesso condicional baseadas no risco do usuário para verificar entradas suspeitas e isolar contas de administração de nuvem, de modo a limitar redefinições de senha e manipulação de MFA.
Vulnerabilidade
Falha UEFIcanhazbufferoverflow
Houve uma nova vulnerabilidade UEFI, que recebeu o nome de “UEFIcanhazbufferoverflow” e é encontrada em várias famílias de processadores Intel. A falha, atribuída CVE-2024-0762, permite que agentes de ameaças locais elevem privilégios e executem código remoto dentro do firmware UEFI durante o tempo de execução. Muitos produtos de PC e servidores da Lenovo, Intel, entre outros, baseados em diferentes fabricantes de equipamentos originais (OEMs) e fabricantes de dispositivos originais (ODMs) foram afetados por esta vulnerabilidade. Isso pode ser abusado para implantar um backdoor em dispositivos expostos para evitar medidas de segurança e aumentar a complexidade de detecção. Para mitigar os riscos, os usuários em questão são aconselhados a atualizar os patches fornecidos pelo fornecedor.
Falha no servidor NVIDIA Triton
Descobriu-se que o Triton Inference Server da NVIDIA possui duas vulnerabilidades críticas, “CVE-2024-0087” e “CVE-2024-0088”. Essas falhas permitem a execução remota de código e a gravação arbitrária de endereços, representando riscos significativos à segurança do modelo de IA e aos dados confidenciais. A primeira vulnerabilidade envolve a interface de configuração de log do servidor, permitindo que invasores gravem arquivos arbitrários, incluindo arquivos críticos do sistema. A segunda vulnerabilidade decorre da validação inadequada de parâmetros no tratamento de memória compartilhada, o que permite que os agentes de ameaças causem falhas de segmentação e potencialmente vazem dados de memória. Portanto, é recomendado que as empresas que usam o Triton Server apliquem patches e aprimorem os protocolos de segurança para mitigar essas ameaças.
Nova vulnerabilidade de segurança permite que invasores se façam passar por contas de e-mail corporativo da Microsoft
Uma vulnerabilidade de segurança recém-descoberta permite que invasores se façam passar por contas de email corporativas da Microsoft, aumentando significativamente o risco de ataques de phishing. O bug, encontrado pelo pesquisador Vsevolod Kokorin, afeta e-mails enviados para contas do Outlook. A Microsoft ainda não corrigiu o problema, mas divulgou publicamente a falha. A vulnerabilidade permite que os agentes da ameaça enviem e-mails de phishing convincentes que parecem vir de contas corporativas legítimas da Microsoft, representando um risco significativo para os usuários do Outlook em todo o mundo.
Vulnerabilidade de senha codificada no Filecatalyst
Fortra emitiu um comunicado de segurança crítico sobre uma vulnerabilidade de senha codificada (CVE-2024-5275) em seu software FileCatalyst, afetando especificamente o componente TransferAgent. Esta vulnerabilidade representa um risco significativo, permitindo potencialmente ataques machine-in-the-middle (MiTM). A vulnerabilidade afeta todas as versões do FileCatalyst Direct até 3.8.10 Build 138 e todas as versões do FileCatalyst Workflow até 5.1.6 Build 130. Fortra forneceu etapas de correção, incluindo atualização para as versões mais recentes e atualização de chamadas REST para “http” se estiver usando o FileCatalyst TransferAgent remotamente.
Vulnerabilidades do Google Chrome
O Google lançou uma atualização crítica de segurança para seu navegador Chrome, na qual corrigiu seis vulnerabilidades de alta gravidade. As vulnerabilidades incluem confusão de tipos no V8, implementação inadequada no WebAssembly, acesso à memória fora dos limites no Dawn e problemas de uso após liberação no Dawn e WebCodecs. Essas vulnerabilidades podem levar a travamentos do navegador e outros problemas graves de segurança. Os usuários são aconselhados a atualizar seus navegadores Chrome imediatamente para a versão mais recente, a fim de mitigar essas ameaças.
Pesquisar
Navegadores com tecnologia de IA que detectam ataques de phishing de dia zero
Para combater ataques de phishing, pesquisadores criaram uma extensão de navegador em tempo real com recursos de aprendizado de máquina, capaz de identificar esses sites com uma taxa de precisão extremamente alta de 98,32%. Esta abordagem inovadora promete melhorar a segurança online, identificando os sofisticados ataques de phishing de dia zero que muitas vezes escapam às medidas de segurança tradicionais. O modelo foi treinado a partir de dados obtidos gratuitamente na internet e o melhor algoritmo acabou sendo o Random Forest com uma taxa de precisão geral de 99,11%. Além disso, a integração do aprendizado de máquina em extensões de navegador representa um avanço promissor no cenário da segurança cibernética.