As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

A Rockwell Automation alerta seus clientes para desconectar sistemas de controle industrial da internet, visando proteger contra atividades maliciosas. Acompanhado por uma advertência da CISA, a urgência inclui mitigar vulnerabilidades específicas para reforçar a segurança. Pesquisadores indicam que malware via web em PLCs representa nova ameaça, sublinhando a importância de medidas preventivas.

Pesquisadores revelam a atuação de um novo grupo cibernético, ativo há quatro anos, focando instituições governamentais e militares na região do Mar da China. Empregando técnicas avançadas e malware como Gh0st RAT, busca informações sensíveis.

Pesquisadores da Kaspersky identificaram uma falha crítica no Windows, catalogada como CVE-2024-30051 , explorada via arquivo suspeito no VirusTotal. Após colaboração, a Microsoft liberou uma correção. A brecha estava sendo usada com o malware QakBot, elevando a urgência de atualizações.

Pesquisadores da Securonix identificaram uma nova onda de ataques aproveitando serviços de armazenamento na nuvem legítimos para disseminar payloads. Iniciando com emails phishing contendo arquivos ZIP enganosos, os atacantes configuram tarefas agendadas e scripts que interagem com contas controladas no Dropbox e Google Drive, baixando scripts adicionais direcionados para comprometimento e controle remoto das máquinas infectadas.

A vulnerabilidade CVE-2024-4985 , de gravidade máxima (CVSS 10.0), afetava servidores Enterprise com SAML SSO, permitindo usurpação de privilégios administrativos. Corrigida nas versões 3.12.4 a 3.9.15, a falha demanda atenção imediata dos administradores apesar de problemas menores reportados no update.

Invasores aproveitaram-se de segredos de autenticação da AWS, expostos em texto claro em objetos de artefatos Bitbucket, para acessar contas AWS. A falha, identificada pela Mandiant, mostrou a exposição de informações sensíveis em repositórios públicos, desafiando práticas de segurança recomendadas. Atlassian recomenda práticas seguras e integrações de segurança para prevenir vazamentos.

A empresa orienta clientes a desconectar sistemas de controle industrial da internet, visando proteger contra atividades maliciosas crescentes. CISA e outras agências reforçam o aviso em meio a tensões geopolíticas e ataques direcionados a infraestruturas críticas.

A gangue de ransomware reivindicou o ataque de abril à rede canadense London Drugs, ameaçando publicar dados roubados após suposto fracasso nas negociações de resgate. A empresa se recusa a pagar e oferece proteção de crédito aos funcionários.

O malware SolarMarker, com alvos em diversos setores desde setembro de 2020, cria redes sofisticadas para dificultar ações de desmantelamento. Suas operações se apoiavam em infraestruturas multicamadas, complicando a detecção e erradicação por parte das autoridades e especialistas em segurança cibernética.

Uma ameaça cibernética não identificada visa entidades na África e no Oriente Médio, explorando falhas ProxyShell em servidores Microsoft Exchange desde 2021. Governos, bancos e instituições educacionais estão entre os mais de 30 afetados, com dados roubados acessíveis online. Recomenda-se a atualização urgente dos servidores e a verificação de possíveis comprometimentos.

A empresa implementou a tecnologia de criptografia de ponta a ponta resistente a ataques de computação quântica nas reuniões Zoom, utilizando o algoritmo Kyber-768. A medida visa proteger dados contra ameaças futuras, com expansão planejada para Zoom Phone e Zoom Rooms.

Pesquisadores de cibersegurança identificaram uma campanha de cryptojacking, nomeada REF4578, que usa drivers vulneráveis para desativar soluções de segurança e executar mineração ilícita de criptomoedas. O golpe, que mira especificamente em sistemas com o minerador XMRig, destaca a evolução e complexidade das ameaças cibernéticas atuais.

O Cyble Research and Intelligence Labs detectou um novo trojan bancário, denominado Antidot, atacando dispositivos Android. Este malware sofisticado, disfarçado de atualização do Google Play, incorpora ataques de sobreposição e keylogging, visando usuários multilíngues e evade a detecção através de ofuscação. Recomendações de segurança estão disponíveis no blog da Cyble.

A gigante da tecnologia anunciou a substituição do NTLM pelo Kerberos no Windows 11 como parte de um pacote de medidas de segurança. A depreciação, prevista para o segundo semestre de 2024, visa reforçar a autenticação dos usuários, juntamente com melhorias como proteção LSA, segurança baseada em virtualização para Windows Hello e Smart App Control aprimorado por IA.

Duas vulnerabilidades graves foram descobertas, uma no pacote llama_cpp_python, com risco de execução de código arbitrário, e outra na biblioteca PDF.js da Mozilla. Correções já foram disponibilizadas, reforçando a importância da atualização constante de softwares.

A OmniVision reportou um incidente de segurança após ser alvo do ransomware Cactus, resultando na criptografia de seus sistemas e no vazamento de dados sensíveis, incluindo passaportes e contratos, entre setembro de 2023. A empresa, agora, reforça sua segurança e oferece serviços de monitoramento de crédito para os afetados.

Pesquisadores da Tenable descobriram uma falha grave, CVE-2024-4323 , em Fluent Bit, afetando grandes provedores de nuvem e diversas empresas de tecnologia. Esse defeito no servidor HTTP embutido pode facilitar ataques de negação de serviço e execução de código remoto. Correções foram implementadas na versão 3.0.4 para mitigar os riscos.

A WatchTowr Labs revelou quinze falhas de segurança no sistema operacional dos NAS QNAP, incluindo um grave buffer overflow que permite execução remota de código, com onze ainda sem correção. Apesar dos esforços, apenas quatro foram reparadas até o momento.

Atores de ameaças exploram falha no Foxit PDF Reader para disseminar malware, incluindo Agent Tesla e NanoCore RAT. A falha induz os usuários a executarem comandos prejudiciais, aproveitando-se da interação automática com pop-ups. Especialistas identificam campanhas de espionagem e roubo de dados, usando plataformas legítimas como Discord e Trello para evasão. Foxit promete correção.

A CISA adicionou ao seu catálogo KEV uma vulnerabilidade no Mirth Connect, plataforma aberta de integração de dados em saúde, identificada como CVE-2023-43208 , devido a execuções de código remoto não autenticadas. Agências federais devem atualizar o software até junho de 2024.