As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

Grupos de hackers afiliados à Coreia do Norte roubaram US$ 721 milhões em criptomoedas do Japão desde 2017, de acordo com um estudo da Elliptic. Ao considerar empresas em todo o mundo, a Coreia do Norte roubou um total de US$ 2,3 bilhões em criptomoedas entre 2017 e 2022. A revelação vem após ministros das Finanças e governadores dos bancos centrais do G7 dizerem que apoiam medidas para combater ameaças crescentes de atividades ilícitas, como o roubo de criptoativos realizadas por "atores estatais".

Um novo grupo de ransomware chamado RA Group está atacando empresas farmacêuticas, de seguros, gestão de riqueza e manufatura nos Estados Unidos e Coreia do Sul. O grupo usa uma versão do ransomware Babuk e adota a tática de "double-extortion". Cada ataque apresenta uma nota de resgate escrita especificamente para a organização visada e o executável é nomeado após a vítima.

O mercado de malware de roubo de informações está em constante evolução, com várias operações de malware competindo por clientes, promovendo melhor evasão e aumento da capacidade de roubar dados de vítimas. A KELA compilou um relatório apresentando o aumento de variantes e operações de malware como serviço que cresceram substancialmente no primeiro trimestre de 2023, aumentando o risco associado para organizações e indivíduos.

O jornal Philadelphia Inquirer está trabalhando para restaurar seus sistemas após um ataque cibernético que afetou a rede no fim de semana e interrompeu a circulação da edição impressa. O Inquirer.com foi afetado de forma leve, com a publicação de histórias sendo impactada por atrasos intermitentes. A empresa contratou a Kroll para investigar e responder ao incidente cibernético. Ainda não está claro quem foram os atacantes e se eles tiveram acesso a informações sensíveis de clientes ou funcionários.

O Brasil lidera o ranking de credenciais vazadas por cibercriminosos em 2022, com mais de 74,9 milhões de entradas disponibilizadas, um crescimento de 290% em relação a 2021, segundo a empresa de cibersegurança Darktracer. O principal meio de disseminação dos stealers são os downloads fraudulentos, e medidas como verificação em duas etapas e senhas complexas ajudam na defesa.

Pesquisadores de cibersegurança descobriram uma campanha de phishing que usa um código PowerShell cheio de memes para distribuir o malware XWorm em sistemas de empresas de manufatura e clínicas de saúde na Alemanha. Os invasores usam documentos do Word para atacar a vulnerabilidade Follina, desativar o Microsoft Defender e estabelecer persistência nos sistemas. O XWorm é capaz de roubar informações sensíveis, realizar operações de DDoS e ransomware, além de espalhar-se via USB e baixar malware adicional. A origem exata do ator da ameaça ainda não foi identificada.

Hackers estão explorando ativamente uma vulnerabilidade recentemente corrigida no plugin Advanced Custom Fields do WordPress, apenas 24 horas após a divulgação de um exploit de prova de conceito (PoC). A vulnerabilidade de alta gravidade permite que atacantes não autenticados roubem informações e aumentem seus privilégios em sites WordPress afetados. Com mais de 1,4 milhão de sites usando o plugin afetado sem atualização, os administradores do WordPress são instados a aplicar o patch disponível imediatamente.

Servidores Microsoft SQL mal gerenciados estão sendo alvos de uma nova campanha de malware chamada CLR SqlShell, que facilita a implantação de mineradores de criptomoedas e ransomware. A técnica envolve a criação de procedimentos armazenados CLR para instalar o malware nos servidores MS SQL usando o comando xp_cmdshell. Os invasores estão aproveitando rotinas SqlShell para baixar cargas úteis de próxima geração, como Metasploit e mineradores de criptomoedas. Diferentes adversários também usaram o SqlShell para lançar ransomware, proxyware e outras atividades maliciosas.

A empresa de terceirização de processos de negócios Capita alertou aos clientes para assumirem que seus dados foram roubados em um ataque cibernético que afetou seus sistemas no início de abril. A empresa reconheceu que os hackers tiveram acesso a informações pessoais de cerca de 470.000 membros ativos, aposentados e diferidos, incluindo nomes, datas de nascimento, números do seguro nacional e números de membros da USS. A Capita espera incorrer em custos excepcionais relacionados ao incidente de abril de até £20 milhões (cerca de US$25 milhões).

Cinco vulnerabilidades de segurança foram descobertas nos roteadores Netgear RAX30 que, quando combinadas, permitem a execução remota de código. Os hackers podem redirecionar o tráfego para sites maliciosos, monitorar a atividade na internet do usuário ou até mesmo acessar dispositivos inteligentes conectados à rede. A Netgear lançou uma atualização de firmware para corrigir as falhas.

Um novo ransomware-as-service chamado MichaelKors tornou-se a última ameaça de malware de criptografia de arquivos a mirar sistemas Linux e VMware ESXi em abril de 2023, apontando para atores cibercriminosos cada vez mais definindo seus olhos no ESXi. A abordagem de jackpotting de hipervisor é usada por vários grupos de ransomware, incluindo Royal, Conti e REvil, que utilizaram o código-fonte vazado do Babuk em setembro de 2021 para desenvolver armários para hipervisores VMware ESXi.

O influenciador Dario Centurione alertou em suas redes sociais que sua voz foi clonada usando Inteligência Artificial (IA) para aplicar um golpe. Os criminosos enviaram uma mensagem ao pai do criador de conteúdo pedindo dinheiro e ele enviou R$ 600, via transferência Pix.

Um novo grupo de hackers está mirando setores governamentais, de aviação, educação e telecomunicações do Sudeste Asiático e Ásia do Sul, usando um backdoor chamado Merdoor em uma campanha altamente direcionada que começou em meados de 2022 e continuou no primeiro trimestre de 2023, segundo a Symantec. O backdoor é usado seletivamente, aparecendo em apenas um punhado de redes e um pequeno número de máquinas ao longo dos anos, e sua utilização parece ser altamente direcionada. O objetivo final da campanha, com base nas ferramentas e no padrão de vítimas, é a coleta de inteligência.

O navegador Brave está introduzindo uma nova função de "navegação esquecida" que impede que os sites o identifiquem em visitas subsequentes. A função irá limpar não apenas os cookies, mas também os dados locais e o cache do site quando ele for fechado. Os usuários podem ativar a "navegação esquecida" nas configurações do navegador para todos os sites ou apenas para uma lista específica de sites. A novidade estará disponível na versão 1.53 do Brave para desktop e na 1.54 para Android.

A plataforma de comunicação Discord notificou seus usuários sobre um vazamento de dados que expôs endereços de e-mail, mensagens trocadas com o suporte da plataforma e anexos enviados como parte dos tickets de suporte. O incidente ocorreu após a conta de um agente de suporte de terceiros ser comprometida. Discord desativou a conta imediatamente e realizou verificações de malware no computador afetado.

A CISA alerta para vulnerabilidade crítica na administração do Ruckus Wireless, explorada por um botnet de DDoS, o qual está disponível para aluguel. A CVE-2023-25717 foi corrigida em fevereiro, mas donos de pontos de acesso Wi-Fi ainda não atualizaram seus dispositivos. A agência também ordenou às agências federais que corrijam o zero-day do Windows ( CVE-2023-29336 ) até 30 de maio.

A Toyota Motor Corporation divulgou um vazamento de dados em seu ambiente de nuvem que expôs informações de localização de 2,15 milhões de clientes por 10 anos. O incidente foi causado por uma má configuração do banco de dados que permitiu acesso ao conteúdo sem senha. A empresa afirmou que não há evidências de que os dados tenham sido usados indevidamente.

A empresa multinacional suíça ABB, especializada em tecnologia de automação e eletrificação, foi vítima de um ataque ransomware do grupo Black Basta, afetando suas operações de negócios e dispositivos Windows. ABB desenvolve sistemas de controle industrial e SCADA para empresas de energia e manufatura, incluindo Volvo, Hitachi, o Departamento de Defesa dos EUA e a Guarda Costeira dos EUA. A empresa desativou conexões VPN com seus clientes para impedir a propagação do ransomware para outras redes. O Black Basta é um grupo de ransomware que lançou sua operação RaaS em abril de 2022.

As agências de inteligência e cibersegurança dos Estados Unidos alertaram para ataques do grupo criminoso Bl00dy Ransomware Gang contra servidores do PaperCut vulneráveis em escolas e faculdades do país. Os ataques foram realizados em maio, com dados sendo roubados e sistemas criptografados. A vulnerabilidade explorada é a CVE-2023-27350 , que já foi corrigida, mas é usada por outros grupos criminosos e até por hackers patrocinados pelo Estado iraniano.

Uma nova variante do malware Linux "BPFDoor" foi descoberta com criptografia mais robusta e comunicação de shell reverso, permitindo que os atacantes mantenham a persistência em sistemas Linux invadidos por longos períodos de tempo. A nova versão apresenta criptografia de biblioteca estática, comunicação de shell reverso e todos os comandos são enviados pelo servidor C2. A nova variante não é detectada por nenhum motor AV disponível no VirusTotal.