As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

Joseph James O'Connor, um cidadão britânico, confessou ter participado do ataque ao Twitter em julho de 2020, que afetou várias contas de alto perfil e defraudou outros usuários da plataforma. O'Connor e seus cúmplices assumiram o controle de 130 contas do Twitter, incluindo as do ex-presidente Barack Obama, Bill Gates e Elon Musk, para perpetrar um esquema de criptomoedas que lhes rendeu US$ 120 mil em poucas horas. Ele também foi acusado de invadir contas de TikTok e Snapchat e de realizar ataques de troca de SIM. O'Connor se declarou culpado em 9 de junho e está programado para ser sentenciado em 23 de junho.

A empresa de jogos de azar nas Filipinas foi alvo de um ator de ameaças alinhado à China como parte de uma campanha em andamento desde outubro de 2021. A ESET, empresa de segurança cibernética da Eslováquia, está rastreando a série de ataques contra empresas de jogos de azar do Sudeste Asiático sob o nome de Operação ChattyGoblin. Os ataques usam um instalador trojanizado Comm100 para entregar malware. A ESET também destacou as atividades de grupos de ameaças persistentes avançadas (APT) ligados à Índia, Irã, Coreia do Norte e Rússia.

Golpistas estão usando transmissões irregulares de programas de TV brasileiros, como Fantástico e Domingo Espetacular, para realizar falsas promoções de retorno de valores em dinheiro através de transferências pelo Pix. Mais de 50 mil brasileiros já foram expostos a esses golpes nos últimos dias, com marcas como Magazine Luiza e Nubank sendo usadas para atribuir credibilidade às falsas promoções. A mecânica da fraude mistura elementos brasileiros e internacionais, com o uso de transmissões ao vivo falsas e presença de celebridades e programas conhecidos para dar credibilidade aos golpes.

Bandidos estão se passando pela Meta, dona do Facebook, Instagram e WhatsApp, para promover ferramentas fraudulentas na rede social. Eles usam contas verificadas roubadas para promover ferramentas mal-intencionadas usando o sistema de anúncios, com as publicações simulando alertas de segurança. A fraude foi descoberta pelo consultor em redes sociais Matt Navarra e as páginas foram suspensas após denúncia. A Meta disse estar investindo recursos significativos na prevenção de golpes e prevenção de seus usuários.

A polícia espanhola prendeu 40 pessoas por supostamente fazerem parte de uma organização criminosa que realizava golpes bancários por meio de phishing por SMS e e-mail. Mais de 300.000 pessoas foram supostamente enganadas, resultando em perdas confirmadas de pelo menos €700.000 ($770.000). Os hackers usaram cartões de crédito roubados para comprar criptomoedas, que foram trocadas por dinheiro fiat e colocadas em uma "caixa comum". O dinheiro roubado foi usado para financiar as despesas do grupo, comprar drogas e armas, financiar reuniões, pagar advogados ou enviar dinheiro diretamente para membros da gangue presos.

O botnet AndoryuBot está explorando uma falha crítica em painéis de administração da Ruckus Wireless para infectar pontos de acesso Wi-Fi não corrigidos e usá-los em ataques DDoS. A falha, rastreada como  CVE-2023-25717 , afeta todas as versões do painel de administração da Ruckus Wireless anteriores à 10.4. A AndoryuBot suporta 12 modos de ataque DDoS e aceita pagamentos em criptomoedas para seus serviços.

A empresa de distribuição de alimentos Sysco confirmou que sua rede foi invadida por hackers, que roubaram informações confidenciais, incluindo dados de negócios, clientes e funcionários. A empresa acredita que dados pessoais de funcionários nos EUA foram comprometidos, mas garante que a violação de segurança não afetou suas operações de negócios. A Sysco contratou uma empresa de segurança cibernética para investigar o incidente.

A Microsoft lançou atualizações de segurança para corrigir uma vulnerabilidade zero-day na Secure Boot, explorada pelo malware BlackLotus UEFI para infectar sistemas Windows totalmente atualizados. A vulnerabilidade foi usada para contornar um bug na Secure Boot abusado em ataques de BlackLotus no ano passado. Todos os sistemas Windows com proteções Secure Boot estão afetados pela falha, mas as correções de segurança só estão disponíveis para versões suportadas do Windows 10, Windows 11 e Windows Server.

A Microsoft lançou a atualização de segurança do Patch Tuesday de maio de 2023, corrigindo três vulnerabilidades zero-day e um total de 38 falhas, incluindo seis classificadas como "Críticas". A atualização é uma das menores em termos de vulnerabilidades corrigidas.

Agências de inteligência dos países membros do Five Eyes derrubaram a infraestrutura usada pelo malware de espionagem cibernética Snake, operado pelo Serviço Federal de Segurança (FSB) da Rússia. A Snake é considerada o malware de ciberespionagem de longo prazo mais sofisticado do FSB e foi usada para roubar dados confidenciais de governos, organizações de pesquisa e jornalistas em mais de 50 países. A operação envolveu a desativação do malware, notificação dos proprietários de computadores infectados e a remoção de outras ferramentas maliciosas implantadas pelos atacantes.

Foi descoberta uma nova falha no kernel do Linux NetFilter que permite que usuários locais sem privilégios de root possam obter controle total sobre o sistema. A vulnerabilidade, identificada como CVE-2023-32233 , ainda não teve sua gravidade determinada. A falha decorre da aceitação de atualizações inválidas pela nf_tables do Netfilter, permitindo que o código do kernel seja lido e escrito arbitrariamente na memória. Um patch foi desenvolvido e deve ser lançado em breve. A exploração do problema requer acesso local ao dispositivo Linux.

O GitHub está bloqueando automaticamente o vazamento de informações sensíveis em repositórios públicos, graças ao recurso de proteção de push, que agora está disponível gratuitamente para todos os repositórios públicos. O recurso ajuda a prevenir vazamentos, escaneando segredos antes de aceitar operações de "git push", e funciona com 69 tipos de token detectáveis com uma baixa taxa de "falso positivo". Desde sua versão beta, a proteção de push evitou cerca de 17.000 exposições acidentais de informações sensíveis, economizando mais de 95.000 horas.

O grupo de ameaças persistentes avançadas (APT) SideWinder é acusado de implantar um backdoor em ataques contra organizações governamentais do Paquistão como parte de uma campanha que começou em novembro de 2022. A campanha também teve como alvo a Turquia em março de 2023. O SideWinder é suspeito de ser um grupo patrocinado pelo estado indiano e é conhecido por atacar entidades do sudeste asiático. O grupo usa iscas cuidadosamente criadas por e-mail e técnicas de carregamento lateral de DLL para implantar malware que concede acesso remoto aos sistemas visados.

Grupos ligados ao estado iraniano estão explorando uma falha crítica no software de gerenciamento de impressão PaperCut em ataques financeiramente motivados, juntando-se a atores mal-intencionados que já estavam explorando a vulnerabilidade, de acordo com a Microsoft. A empresa de tecnologia observou que os grupos Mango Sandstorm e Mint Sandstorm estão usando a CVE-2023-27350 em suas operações para obter acesso inicial. A exploração da falha foi associada ao grupo Mango Sandstorm, ligado ao Ministério de Inteligência e Segurança do Irã, e ao Mint Sandstorm, associado ao Corpo de Guardiões da Revolução Islâmica.

Pesquisadores de cibersegurança descobriram um novo tipo de ransomware chamado CACTUS, que se aproveita de vulnerabilidades conhecidas em dispositivos VPN para obter acesso a redes específicas. O ransomware foi observado atacando grandes empresas desde março de 2023 e utiliza táticas de dupla extorsão para roubar dados sensíveis antes da criptografia. O CACTUS é capaz de se auto-criptografar, o que o torna mais difícil de detectar e evadir ferramentas de monitoramento de rede e antivírus.

O grupo Fleury foi vítima de um ataque cibernético que afetou seus serviços, incluindo atendimentos, coleta e entrega de exames. A empresa afirmou ter aplicado seus protocolos de segurança e controle e que as operações estão sendo normalizadas. Não há informações sobre comprometimento ou vazamento de dados de pacientes ou trabalhadores dos laboratórios. Este é o segundo episódio de ataque cibernético de grande escala a atingir o Grupo Fleury.

Quase metade dos funcionários de empresas brasileiras têm acesso direto a dados sigilosos de clientes, de acordo com um levantamento da Kaspersky. Embora 90% dos entrevistados afirmem que isso só é possível em sistemas restritos com senha, há preocupações com a fragilidade de credenciais compartilhadas entre muitas pessoas. A falta de proteção caminha lado a lado com a falta de treinamento e sistemas de segurança que protejam as informações, com 50% dos trabalhadores afirmando que não receberam treinamento sobre LGPD.

A colaboração entre agentes maliciosos está tornando o cibercrime mais acessível, colocando mais dispositivos e usuários em risco. As organizações devem se preparar para a ascensão da gig economy criminosa, a necessidade de segurança de firmware e hardware, o aumento do sequestro de sessão e a demanda por mais inteligência acionável para monitorar ameaças e proteger ativos proativamente. A alocação estratégica de recursos e uma abordagem em camadas a partir do endpoint serão cruciais para reduzir a superfície de ataque e manter dados importantes protegidos.

A Intel está investigando o vazamento de chaves privadas supostamente usadas pela função de segurança Intel Boot Guard, que pode afetar sua capacidade de bloquear a instalação de firmware UEFI malicioso em dispositivos MSI. As chaves privadas vazadas podem permitir que um invasor crie atualizações de firmware maliciosas e as entregue por meio de um processo normal de atualização da BIOS com as ferramentas de atualização da MSI. A Intel Boot Guard é uma função de segurança crítica usada para atender aos requisitos do Windows UEFI Secure Boot.

A Microsoft começou a implementar a correspondência de números nas notificações push do Microsoft Authenticator para impedir ataques de fadiga de multi-factor authentication (MFA). Os cibercriminosos inundam os alvos com notificações push móveis pedindo para aprovar tentativas de login em suas contas corporativas usando credenciais roubadas. A correspondência de números será obrigatória para todas as notificações push do Microsoft Authenticator a partir de 8 de maio de 2023.