As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

A CISA alerta para vulnerabilidade crítica na administração do Ruckus Wireless, explorada por um botnet de DDoS, o qual está disponível para aluguel. A CVE-2023-25717 foi corrigida em fevereiro, mas donos de pontos de acesso Wi-Fi ainda não atualizaram seus dispositivos. A agência também ordenou às agências federais que corrijam o zero-day do Windows ( CVE-2023-29336 ) até 30 de maio.

A Toyota Motor Corporation divulgou um vazamento de dados em seu ambiente de nuvem que expôs informações de localização de 2,15 milhões de clientes por 10 anos. O incidente foi causado por uma má configuração do banco de dados que permitiu acesso ao conteúdo sem senha. A empresa afirmou que não há evidências de que os dados tenham sido usados indevidamente.

A empresa multinacional suíça ABB, especializada em tecnologia de automação e eletrificação, foi vítima de um ataque ransomware do grupo Black Basta, afetando suas operações de negócios e dispositivos Windows. ABB desenvolve sistemas de controle industrial e SCADA para empresas de energia e manufatura, incluindo Volvo, Hitachi, o Departamento de Defesa dos EUA e a Guarda Costeira dos EUA. A empresa desativou conexões VPN com seus clientes para impedir a propagação do ransomware para outras redes. O Black Basta é um grupo de ransomware que lançou sua operação RaaS em abril de 2022.

As agências de inteligência e cibersegurança dos Estados Unidos alertaram para ataques do grupo criminoso Bl00dy Ransomware Gang contra servidores do PaperCut vulneráveis em escolas e faculdades do país. Os ataques foram realizados em maio, com dados sendo roubados e sistemas criptografados. A vulnerabilidade explorada é a CVE-2023-27350 , que já foi corrigida, mas é usada por outros grupos criminosos e até por hackers patrocinados pelo Estado iraniano.

Uma nova variante do malware Linux "BPFDoor" foi descoberta com criptografia mais robusta e comunicação de shell reverso, permitindo que os atacantes mantenham a persistência em sistemas Linux invadidos por longos períodos de tempo. A nova versão apresenta criptografia de biblioteca estática, comunicação de shell reverso e todos os comandos são enviados pelo servidor C2. A nova variante não é detectada por nenhum motor AV disponível no VirusTotal.

Um novo grupo de advanced persistent threat (APT), chamado Red Stinger, foi detectado atuando em países do leste europeu desde 2020, mirando em militares, infraestrutura crítica e transporte. Os ataques foram associados a um cluster de ameaças denominado Bad Magic, que focou em organizações governamentais, agrícolas e de transporte na Ucrânia. O grupo usou arquivos de instalação maliciosos para implantar o malware DBoxShell nos sistemas comprometidos e também utilizou o GraphShell. O grupo ainda não foi atribuído a um país específico.

A Brightly Software, subsidiária da Siemens, notificou clientes que suas informações pessoais e credenciais foram roubadas por hackers que tiveram acesso ao banco de dados da plataforma online SchoolDude, usada por mais de 7 mil instituições de ensino. A empresa acredita que os hackers roubaram informações de conta, incluindo nomes, endereços de e-mail, senhas, números de telefone e nomes de distritos escolares. A Brightly resetou as senhas de todos os usuários da SchoolDude e recomendou que os usuários alterem suas senhas em outras contas online. O ataque afetou 2.964.292 clientes e usuários da SchoolDude.

Nickolas Sharp, ex-desenvolvedor da Ubiquiti, foi condenado a seis anos de prisão por roubo de dados da empresa, tentativa de extorsão e disseminação de notícias falsas que afetaram gravemente a capitalização de mercado da empresa. Sharp se passou por um hacker anônimo para exigir que a Ubiquiti pagasse US$ 1,9 milhão em bitcoin e, quando a empresa se recusou a pagar, ele contatou a mídia e se apresentou como um denunciante para espalhar informações falsas sobre o incidente de segurança.

Usuários pagantes do Twitter Blue agora podem enviar mensagens diretas criptografadas de ponta a ponta para outros usuários na plataforma. A criptografia de ponta a ponta (E2EE) usa pares de chaves privadas e públicas para criptografar as informações enviadas pela internet, garantindo que apenas o remetente e o destinatário possam lê-las. A opção estará disponível apenas para usuários "verificados" e afiliados a organizações verificadas. O Twitter prometeu abrir o código-fonte de sua implementação E2EE e publicar um whitepaper detalhado em 2023.

O plugin "Essential Addons for Elementor", usado por mais de um milhão de sites WordPress, foi encontrado com uma vulnerabilidade de escalonamento de privilégios que permite atacantes remotos obterem direitos de administrador do site. A falha foi corrigida na versão 5.7.2 do plugin e os usuários são recomendados a atualizar o mais rápido possível.

Organizações governamentais na Ásia Central são alvo de uma campanha de espionagem sofisticada que utiliza uma cepa de malware anteriormente não documentada, chamada DownEx. A Bitdefender detectou a atividade, com indícios apontando para a participação de atores ameaçadores sediados na Rússia. O malware foi detectado pela primeira vez em um ataque altamente direcionado a instituições governamentais estrangeiras no Cazaquistão no final de 2022.

Pelo menos nove famílias diferentes de ransomware foram desenvolvidas a partir do código vazado do Babuk, com capacidade de atacar sistemas VMware ESXi. Vários grupos de cibercrime têm como alvo os hypervisors ESXi e, desde o início do ano, pelo menos três variantes de ransomware - Cylance, Rorschach (também conhecido como BabLock) e RTM Locker - surgiram com base no código vazado do Babuk. A pesquisa da SentinelOne identificou sobreposições de código-fonte entre Babuk e ESXi lockers atribuídos a Conti e REvil, entre outros.

Pesquisadores de segurança cibernética descobriram uma falha de segurança no Windows MSHTML que permitia a um invasor driblar proteções de integridade em máquinas-alvo. A vulnerabilidade, que foi corrigida pela Microsoft em maio de 2023. A ameaça permitiria que um invasor não autenticado coagisse um cliente do Outlook a se conectar a um servidor controlado pelo invasor, resultando no roubo de credenciais NTLM.

O Google anunciou que todos os usuários do Gmail nos Estados Unidos poderão em breve usar a ferramenta de segurança Dark Web Report para descobrir se seu endereço de e-mail foi encontrado na dark web. A empresa também informou que a função será expandida para mercados internacionais selecionados. A ferramenta permitirá que os usuários escaneiem a dark web em busca de seus endereços de e-mail e tomem medidas para proteger seus dados com base nas orientações fornecidas pelo Google.

Hackers norte-coreanos invadiram a rede do Hospital da Universidade Nacional de Seul, na Coreia do Sul, para roubar informações médicas e pessoais de cerca de 831 mil pacientes e funcionários. A polícia sul-coreana atribuiu o ataque a hackers norte-coreanos e alertou para a possibilidade de novas invasões. Hackers norte-coreanos já haviam sido vinculados a outras invasões de redes hospitalares na tentativa de roubar dados sensíveis e exigir pagamento de resgate.

Um novo descriptografador de ransomware, chamado "White Phoenix", permite que as vítimas recuperem parcialmente os arquivos criptografados por ransomwares que usam criptografia intermitente. A ferramenta foi desenvolvida pela CyberArk e é capaz de recuperar arquivos em formatos como PDF, ZIP, Word, Excel e PowerPoint. No entanto, é importante notar que o descriptografador pode não funcionar em todos os casos, dependendo do nível de criptografia aplicado pelos cibercriminosos. A ferramenta está disponível gratuitamente no GitHub da CyberArk.

A empresa de cibersegurança Dragos sofreu uma tentativa de invasão por um grupo de cibercriminosos, que acessaram sua nuvem SharePoint e sistema de gerenciamento de contratos, mas não conseguiram entrar em outros sistemas da empresa. Os invasores tentaram extorquir a Dragos, mas foram bloqueados antes de atingir o objetivo. A empresa acredita que o grupo buscava instalar ransomware.

A plataforma de phishing como serviço (PhaaS) chamada "Greatness" viu um aumento de atividade ao atingir organizações que usam o Microsoft 365 nos EUA, Canadá, Reino Unido, Austrália e África do Sul, segundo um relatório da Cisco Talos. A maioria das vítimas trabalha em setores como manufatura, saúde, tecnologia, educação, imóveis, finanças e serviços empresariais. Os cibercriminosos usam a plataforma para roubar dados ou credenciais e, em muitos casos, para acessar e-mails, arquivos e dados em serviços do Microsoft 365.

O malware RapperBot, que antes atacava servidores SSH Linux para recrutar dispositivos para ataques DDoS, agora possui capacidades de criptojacking para minerar Monero em arquiteturas Intel x64. O código do minerador está integrado ao RapperBot e é ofuscado com codificação XOR de duas camadas para esconder as piscinas de mineração e endereços de mineração de Monero dos analistas. O RapperBot agora recebe sua configuração de mineração do servidor de comando e controle e usa várias piscinas e carteiras para redundância.

Uma campanha de malvertising usou uma simulação de atualização do Windows no navegador para distribuir o malware de roubo de informações Aurora. A campanha baseada em popunder ads em sites adultos redirecionou quase 30.000 usuários, com quase 600 baixando e instalando o malware. O malware loader FUD chamado "Invalid Printer" foi usado exclusivamente pelo ator ameaçador.