As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

Hackers estão explorando ativamente uma vulnerabilidade recentemente corrigida no plugin Advanced Custom Fields do WordPress, apenas 24 horas após a divulgação de um exploit de prova de conceito (PoC). A vulnerabilidade de alta gravidade permite que atacantes não autenticados roubem informações e aumentem seus privilégios em sites WordPress afetados. Com mais de 1,4 milhão de sites usando o plugin afetado sem atualização, os administradores do WordPress são instados a aplicar o patch disponível imediatamente.

Servidores Microsoft SQL mal gerenciados estão sendo alvos de uma nova campanha de malware chamada CLR SqlShell, que facilita a implantação de mineradores de criptomoedas e ransomware. A técnica envolve a criação de procedimentos armazenados CLR para instalar o malware nos servidores MS SQL usando o comando xp_cmdshell. Os invasores estão aproveitando rotinas SqlShell para baixar cargas úteis de próxima geração, como Metasploit e mineradores de criptomoedas. Diferentes adversários também usaram o SqlShell para lançar ransomware, proxyware e outras atividades maliciosas.

A empresa de terceirização de processos de negócios Capita alertou aos clientes para assumirem que seus dados foram roubados em um ataque cibernético que afetou seus sistemas no início de abril. A empresa reconheceu que os hackers tiveram acesso a informações pessoais de cerca de 470.000 membros ativos, aposentados e diferidos, incluindo nomes, datas de nascimento, números do seguro nacional e números de membros da USS. A Capita espera incorrer em custos excepcionais relacionados ao incidente de abril de até £20 milhões (cerca de US$25 milhões).

Cinco vulnerabilidades de segurança foram descobertas nos roteadores Netgear RAX30 que, quando combinadas, permitem a execução remota de código. Os hackers podem redirecionar o tráfego para sites maliciosos, monitorar a atividade na internet do usuário ou até mesmo acessar dispositivos inteligentes conectados à rede. A Netgear lançou uma atualização de firmware para corrigir as falhas.

Um novo ransomware-as-service chamado MichaelKors tornou-se a última ameaça de malware de criptografia de arquivos a mirar sistemas Linux e VMware ESXi em abril de 2023, apontando para atores cibercriminosos cada vez mais definindo seus olhos no ESXi. A abordagem de jackpotting de hipervisor é usada por vários grupos de ransomware, incluindo Royal, Conti e REvil, que utilizaram o código-fonte vazado do Babuk em setembro de 2021 para desenvolver armários para hipervisores VMware ESXi.

O influenciador Dario Centurione alertou em suas redes sociais que sua voz foi clonada usando Inteligência Artificial (IA) para aplicar um golpe. Os criminosos enviaram uma mensagem ao pai do criador de conteúdo pedindo dinheiro e ele enviou R$ 600, via transferência Pix.

Um novo grupo de hackers está mirando setores governamentais, de aviação, educação e telecomunicações do Sudeste Asiático e Ásia do Sul, usando um backdoor chamado Merdoor em uma campanha altamente direcionada que começou em meados de 2022 e continuou no primeiro trimestre de 2023, segundo a Symantec. O backdoor é usado seletivamente, aparecendo em apenas um punhado de redes e um pequeno número de máquinas ao longo dos anos, e sua utilização parece ser altamente direcionada. O objetivo final da campanha, com base nas ferramentas e no padrão de vítimas, é a coleta de inteligência.

O navegador Brave está introduzindo uma nova função de "navegação esquecida" que impede que os sites o identifiquem em visitas subsequentes. A função irá limpar não apenas os cookies, mas também os dados locais e o cache do site quando ele for fechado. Os usuários podem ativar a "navegação esquecida" nas configurações do navegador para todos os sites ou apenas para uma lista específica de sites. A novidade estará disponível na versão 1.53 do Brave para desktop e na 1.54 para Android.

A plataforma de comunicação Discord notificou seus usuários sobre um vazamento de dados que expôs endereços de e-mail, mensagens trocadas com o suporte da plataforma e anexos enviados como parte dos tickets de suporte. O incidente ocorreu após a conta de um agente de suporte de terceiros ser comprometida. Discord desativou a conta imediatamente e realizou verificações de malware no computador afetado.

A CISA alerta para vulnerabilidade crítica na administração do Ruckus Wireless, explorada por um botnet de DDoS, o qual está disponível para aluguel. A CVE-2023-25717 foi corrigida em fevereiro, mas donos de pontos de acesso Wi-Fi ainda não atualizaram seus dispositivos. A agência também ordenou às agências federais que corrijam o zero-day do Windows ( CVE-2023-29336 ) até 30 de maio.

A Toyota Motor Corporation divulgou um vazamento de dados em seu ambiente de nuvem que expôs informações de localização de 2,15 milhões de clientes por 10 anos. O incidente foi causado por uma má configuração do banco de dados que permitiu acesso ao conteúdo sem senha. A empresa afirmou que não há evidências de que os dados tenham sido usados indevidamente.

A empresa multinacional suíça ABB, especializada em tecnologia de automação e eletrificação, foi vítima de um ataque ransomware do grupo Black Basta, afetando suas operações de negócios e dispositivos Windows. ABB desenvolve sistemas de controle industrial e SCADA para empresas de energia e manufatura, incluindo Volvo, Hitachi, o Departamento de Defesa dos EUA e a Guarda Costeira dos EUA. A empresa desativou conexões VPN com seus clientes para impedir a propagação do ransomware para outras redes. O Black Basta é um grupo de ransomware que lançou sua operação RaaS em abril de 2022.

As agências de inteligência e cibersegurança dos Estados Unidos alertaram para ataques do grupo criminoso Bl00dy Ransomware Gang contra servidores do PaperCut vulneráveis em escolas e faculdades do país. Os ataques foram realizados em maio, com dados sendo roubados e sistemas criptografados. A vulnerabilidade explorada é a CVE-2023-27350 , que já foi corrigida, mas é usada por outros grupos criminosos e até por hackers patrocinados pelo Estado iraniano.

Uma nova variante do malware Linux "BPFDoor" foi descoberta com criptografia mais robusta e comunicação de shell reverso, permitindo que os atacantes mantenham a persistência em sistemas Linux invadidos por longos períodos de tempo. A nova versão apresenta criptografia de biblioteca estática, comunicação de shell reverso e todos os comandos são enviados pelo servidor C2. A nova variante não é detectada por nenhum motor AV disponível no VirusTotal.

Um novo grupo de advanced persistent threat (APT), chamado Red Stinger, foi detectado atuando em países do leste europeu desde 2020, mirando em militares, infraestrutura crítica e transporte. Os ataques foram associados a um cluster de ameaças denominado Bad Magic, que focou em organizações governamentais, agrícolas e de transporte na Ucrânia. O grupo usou arquivos de instalação maliciosos para implantar o malware DBoxShell nos sistemas comprometidos e também utilizou o GraphShell. O grupo ainda não foi atribuído a um país específico.

A Brightly Software, subsidiária da Siemens, notificou clientes que suas informações pessoais e credenciais foram roubadas por hackers que tiveram acesso ao banco de dados da plataforma online SchoolDude, usada por mais de 7 mil instituições de ensino. A empresa acredita que os hackers roubaram informações de conta, incluindo nomes, endereços de e-mail, senhas, números de telefone e nomes de distritos escolares. A Brightly resetou as senhas de todos os usuários da SchoolDude e recomendou que os usuários alterem suas senhas em outras contas online. O ataque afetou 2.964.292 clientes e usuários da SchoolDude.

Nickolas Sharp, ex-desenvolvedor da Ubiquiti, foi condenado a seis anos de prisão por roubo de dados da empresa, tentativa de extorsão e disseminação de notícias falsas que afetaram gravemente a capitalização de mercado da empresa. Sharp se passou por um hacker anônimo para exigir que a Ubiquiti pagasse US$ 1,9 milhão em bitcoin e, quando a empresa se recusou a pagar, ele contatou a mídia e se apresentou como um denunciante para espalhar informações falsas sobre o incidente de segurança.

Usuários pagantes do Twitter Blue agora podem enviar mensagens diretas criptografadas de ponta a ponta para outros usuários na plataforma. A criptografia de ponta a ponta (E2EE) usa pares de chaves privadas e públicas para criptografar as informações enviadas pela internet, garantindo que apenas o remetente e o destinatário possam lê-las. A opção estará disponível apenas para usuários "verificados" e afiliados a organizações verificadas. O Twitter prometeu abrir o código-fonte de sua implementação E2EE e publicar um whitepaper detalhado em 2023.

O plugin "Essential Addons for Elementor", usado por mais de um milhão de sites WordPress, foi encontrado com uma vulnerabilidade de escalonamento de privilégios que permite atacantes remotos obterem direitos de administrador do site. A falha foi corrigida na versão 5.7.2 do plugin e os usuários são recomendados a atualizar o mais rápido possível.

Organizações governamentais na Ásia Central são alvo de uma campanha de espionagem sofisticada que utiliza uma cepa de malware anteriormente não documentada, chamada DownEx. A Bitdefender detectou a atividade, com indícios apontando para a participação de atores ameaçadores sediados na Rússia. O malware foi detectado pela primeira vez em um ataque altamente direcionado a instituições governamentais estrangeiras no Cazaquistão no final de 2022.