As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

Pesquisadores de cibersegurança detectaram ataques que exploraram vulnerabilidades corrigidas no Safari da Apple e no Chrome do Google, atingindo dispositivos móveis com malware de roubo de informações através de ataques em sites governamentais da Mongólia. Estes exploits, utilizados por atores apoiados pelo estado russo, permitiram a execução de código arbitrário e o roubo de dados sensíveis de usuários desatualizados.

APT29, também conhecida como Midnight Blizzard, usou exploits idênticos aos de vendedores como NSO Group e Intellexa em ataques contra governos, revelando a perigosa convergência entre técnicas estatais e comerciais de ciberespionagem. Essas ações destacam a urgência no combate a vulnerabilidades zero-day.

Pesquisadores da Trend Micro identificaram uma campanha maliciosa que imita a ferramenta de VPN GlobalProtect da Palo Alto para infiltrar redes corporativas. O ataque, sofisticado e visando entidades de alto valor, utiliza e-mails phishing e foi construído para roubar dados e comandar sistemas remotamente, evidenciando a complexidade e o foco estratégico dos cibercriminosos.

Ataques recentes exploram a falha CVE-2023-22527 em versões antigas do Atlassian Confluence, permitindo execução remota de código para mineração de criptomoedas como XMRig. Recomenda-se a atualização imediata para a versão mais recente a fim de evitar riscos de segurança.

A gigante do petróleo e gás, Halliburton, teve suas atividades e sistemas de TI interrompidos após um ataque cibernético promovido pelo grupo RansomHub. O incidente, que afetou a geração de faturas e pedidos de compra, levou à mobilização de um plano de resposta e a investigações com apoio da Mandiant. O FBI emitiu um aviso sobre o modus operandi do RansomHub, relacionando-o a mais de 210 vítimas desde fevereiro.

Empregando vulnerabilidade CVE-2024-37085 e a estratégia BYOVD, o grupo BlackByte intensifica suas ofensivas contra sistemas corporativos. Com adição da extensão “blackbytent_h” aos arquivos e exploração do Active Directory, destaca-se pela rápida adaptação e uso de credenciais para propagação silenciosa, desafiando a segurança empresarial e sublinhando a importância de medidas de defesa robustas.

O grupo "Play" assumiu a responsabilidade por invadir a Microchip este mês, ameaçando liberar dados confidenciais roubados, incluindo contratos e informações financeiras. A Microchip já acionou as autoridades. Play, ativo desde 2022, já afetou mais de 300 organizações globalmente.

O APT33, ligado ao Corpo da Guarda Revolucionária Islâmica do Irã, utilizou o malware Tickler de abril a julho de 2024, infiltrando-se em redes de setores chave como defesa e energia, através de ataques de password spray e utilizando infraestrutura Azure fraudulentamente. Microsoft reforça segurança impondo autenticação multifator obrigatória a partir de outubro.

Fortra lança correção urgente após descoberta de falha crítica por Tenable, que possibilitava a atacantes ganhar controle administrativo através de senha estática do HSQLDB. Correções incluem também falha de injeção SQL de alta severidade.

Pesquisadores da Akamai identificam uma vulnerabilidade ( CVE-2024-7029 ), de alta severidade, em câmeras AVTECH, que permite execução remota de código. Apesar de conhecida desde 2019, a brecha ainda não foi corrigida e tem sido explorada para adicionar dispositivos a uma botnet Mirai. A campanha maliciosa, ativa desde março de 2024, explora dispositivos desatualizados em setores críticos.

Inicialmente desenvolvido para desabilitar soluções de EDR, o driver PoorTry transformou-se em uma ferramenta de eliminação, apagando arquivos críticos de softwares de segurança. Esse avanço representa uma tática mais agressiva dos cibercriminosos, visando uma fase de criptografia mais eficaz. Confirmado por Sophos, o ataque marca uma nova era de ameaças ransomware.

Daniel Rhyne foi preso após bloquear administradores de 254 servidores, buscando €700.000 em Bitcoin. Usou ferramentas de TI para alterar senhas e programar desligamentos, arriscando até 35 anos de prisão e multa de $750.000.

A gigante das telecomunicações Verizon lançou um estudo sobre segurança móvel, destacando a importância dos dispositivos nas empresas e o crescente alvo que representam para cibercriminosos. Apesar da confiança nas medidas de proteção atuais, mais da metade já enfrentou incidentes de segurança.

Especialistas em cibersegurança ligam a APT-C-60 a um ataque direcionado que utiliza uma vulnerabilidade grave, CVE-2024-7262 , no Kingsoft WPS Office para instalar o backdoor SpyGlace. O exploit afeta usuários na China e leste asiático, marcando um avanço significativo em técnicas de espionagem digital.

Em julho de 2024, uma campanha de phishing intensificou o uso do Microsoft Sway para criar páginas de captura, visando milhares de usuários do Microsoft 365. Apostando em QR codes maliciosos, os ataques, que cresceram exponencialmente, focaram principalmente na Ásia e América do Norte, afetando setores como tecnologia, manufatura e finanças. Métodos sofisticados, como a validação dupla e técnicas para burlar scanners, marcam essa perigosa fase de ataques cibernéticos.

Pesquisadores da Kaspersky identificaram uma versão macOS do backdoor HZ RAT, visando apps como DingTalk e WeChat. O malware, distribuído via arquivos maliciosos ou instaladores falsos, foca na coleta de credenciais e reconhecimento de sistema. Análises apontam atividades desde junho de 2020, com indícios de infraestrutura majoritariamente chinesa.

Cibercriminosos desenvolveram um malware que, através de NFC em dispositivos Android, rouba informações de cartões utilizados em pagamentos por aproximação. Especialistas da ESET descobriram a prática na República Tcheca, com um suspeito já detido. A técnica avançada pode se espalhar globalmente.

A CISA adicionou à sua lista KEV uma vulnerabilidade grave no ERP Apache OFBiz, identificada como CVE-2024-38856 , com exploração ativa e pontuação CVSS de 9.8. Recomenda-se atualização urgente para a versão 18.12.15 para proteção. Agências federais têm até 17 de setembro de 2024.

O coletivo de ransomware BlackByte é apontado por explorar uma falha de segurança recém-corrigida em VMware ESXi, ampliando sua notoriedade ao utilizar drivers vulneráveis. A rápida incorporação de vulnerabilidades divulgadas ao público destaca a agilidade e periculosidade dessa ameaça cibernética.

Grupo de espionagem Volt Typhoon é associado a exploração de falha zero-day na plataforma Versa Director, afetando setores de ISPs, MSPs e TI nos EUA e mundialmente desde junho de 2024. A falha, identificada como CVE-2024-39717 , permitiu a injeção de web shell malicioso, visando o roubo de credenciais e ataques em cadeia de suprimentos. Recomenda-se a aplicação imediata de patches e medidas de segurança adicionais.