As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

Agências de inteligência dos países membros do Five Eyes derrubaram a infraestrutura usada pelo malware de espionagem cibernética Snake, operado pelo Serviço Federal de Segurança (FSB) da Rússia. A Snake é considerada o malware de ciberespionagem de longo prazo mais sofisticado do FSB e foi usada para roubar dados confidenciais de governos, organizações de pesquisa e jornalistas em mais de 50 países. A operação envolveu a desativação do malware, notificação dos proprietários de computadores infectados e a remoção de outras ferramentas maliciosas implantadas pelos atacantes.

Foi descoberta uma nova falha no kernel do Linux NetFilter que permite que usuários locais sem privilégios de root possam obter controle total sobre o sistema. A vulnerabilidade, identificada como CVE-2023-32233 , ainda não teve sua gravidade determinada. A falha decorre da aceitação de atualizações inválidas pela nf_tables do Netfilter, permitindo que o código do kernel seja lido e escrito arbitrariamente na memória. Um patch foi desenvolvido e deve ser lançado em breve. A exploração do problema requer acesso local ao dispositivo Linux.

O GitHub está bloqueando automaticamente o vazamento de informações sensíveis em repositórios públicos, graças ao recurso de proteção de push, que agora está disponível gratuitamente para todos os repositórios públicos. O recurso ajuda a prevenir vazamentos, escaneando segredos antes de aceitar operações de "git push", e funciona com 69 tipos de token detectáveis com uma baixa taxa de "falso positivo". Desde sua versão beta, a proteção de push evitou cerca de 17.000 exposições acidentais de informações sensíveis, economizando mais de 95.000 horas.

O grupo de ameaças persistentes avançadas (APT) SideWinder é acusado de implantar um backdoor em ataques contra organizações governamentais do Paquistão como parte de uma campanha que começou em novembro de 2022. A campanha também teve como alvo a Turquia em março de 2023. O SideWinder é suspeito de ser um grupo patrocinado pelo estado indiano e é conhecido por atacar entidades do sudeste asiático. O grupo usa iscas cuidadosamente criadas por e-mail e técnicas de carregamento lateral de DLL para implantar malware que concede acesso remoto aos sistemas visados.

Grupos ligados ao estado iraniano estão explorando uma falha crítica no software de gerenciamento de impressão PaperCut em ataques financeiramente motivados, juntando-se a atores mal-intencionados que já estavam explorando a vulnerabilidade, de acordo com a Microsoft. A empresa de tecnologia observou que os grupos Mango Sandstorm e Mint Sandstorm estão usando a CVE-2023-27350 em suas operações para obter acesso inicial. A exploração da falha foi associada ao grupo Mango Sandstorm, ligado ao Ministério de Inteligência e Segurança do Irã, e ao Mint Sandstorm, associado ao Corpo de Guardiões da Revolução Islâmica.

Pesquisadores de cibersegurança descobriram um novo tipo de ransomware chamado CACTUS, que se aproveita de vulnerabilidades conhecidas em dispositivos VPN para obter acesso a redes específicas. O ransomware foi observado atacando grandes empresas desde março de 2023 e utiliza táticas de dupla extorsão para roubar dados sensíveis antes da criptografia. O CACTUS é capaz de se auto-criptografar, o que o torna mais difícil de detectar e evadir ferramentas de monitoramento de rede e antivírus.

O grupo Fleury foi vítima de um ataque cibernético que afetou seus serviços, incluindo atendimentos, coleta e entrega de exames. A empresa afirmou ter aplicado seus protocolos de segurança e controle e que as operações estão sendo normalizadas. Não há informações sobre comprometimento ou vazamento de dados de pacientes ou trabalhadores dos laboratórios. Este é o segundo episódio de ataque cibernético de grande escala a atingir o Grupo Fleury.

Quase metade dos funcionários de empresas brasileiras têm acesso direto a dados sigilosos de clientes, de acordo com um levantamento da Kaspersky. Embora 90% dos entrevistados afirmem que isso só é possível em sistemas restritos com senha, há preocupações com a fragilidade de credenciais compartilhadas entre muitas pessoas. A falta de proteção caminha lado a lado com a falta de treinamento e sistemas de segurança que protejam as informações, com 50% dos trabalhadores afirmando que não receberam treinamento sobre LGPD.

A colaboração entre agentes maliciosos está tornando o cibercrime mais acessível, colocando mais dispositivos e usuários em risco. As organizações devem se preparar para a ascensão da gig economy criminosa, a necessidade de segurança de firmware e hardware, o aumento do sequestro de sessão e a demanda por mais inteligência acionável para monitorar ameaças e proteger ativos proativamente. A alocação estratégica de recursos e uma abordagem em camadas a partir do endpoint serão cruciais para reduzir a superfície de ataque e manter dados importantes protegidos.

A Intel está investigando o vazamento de chaves privadas supostamente usadas pela função de segurança Intel Boot Guard, que pode afetar sua capacidade de bloquear a instalação de firmware UEFI malicioso em dispositivos MSI. As chaves privadas vazadas podem permitir que um invasor crie atualizações de firmware maliciosas e as entregue por meio de um processo normal de atualização da BIOS com as ferramentas de atualização da MSI. A Intel Boot Guard é uma função de segurança crítica usada para atender aos requisitos do Windows UEFI Secure Boot.

A Microsoft começou a implementar a correspondência de números nas notificações push do Microsoft Authenticator para impedir ataques de fadiga de multi-factor authentication (MFA). Os cibercriminosos inundam os alvos com notificações push móveis pedindo para aprovar tentativas de login em suas contas corporativas usando credenciais roubadas. A correspondência de números será obrigatória para todas as notificações push do Microsoft Authenticator a partir de 8 de maio de 2023.

O Departamento de Justiça dos EUA anunciou a apreensão de 13 domínios ligados a plataformas de DDoS-for-hire, também conhecidas como serviços de "booter" ou "stressor". As apreensões fazem parte de um esforço internacional coordenado para interromper plataformas online que permitem que qualquer pessoa lance ataques distribuídos de negação de serviço maciços contra qualquer alvo por uma quantia em dinheiro.

Um golpe envolvendo QR codes levou uma mulher em Singapura a perder US$ 20.000 após escanear um código para preencher uma pesquisa em uma loja de chá. Os golpistas usaram um aplicativo de pesquisa falso para roubar credenciais bancárias da vítima. Casos de multas de estacionamento falsas com QR codes também foram relatados nos EUA e no Reino Unido.

Um grupo de ameaças cibernéticas conhecido como UAC-0006 está usando e-mails de phishing com iscas temáticas de faturas para distribuir o malware SmokeLoader na forma de um arquivo poliglota. O objetivo da campanha é roubar credenciais e realizar transferências não autorizadas de fundos. Enquanto isso, outro grupo conhecido como UAC-0165, que acredita-se ser o Sandworm Group, atacou organizações públicas ucranianas usando um novo malware de limpeza chamado RoarBAT e um script bash para comprometer sistemas Linux.

Shodan é uma ferramenta de pesquisa que concentra informações públicas de todos os dispositivos conectados à internet e pode ser usada para descobrir vulnerabilidades em dispositivos inteligentes, como câmeras de segurança e sistemas empresariais. No entanto, a ferramenta também é comum entre hackers e invasores, que podem planejar ataques com malwares e ransomwares. É importante ter conhecimentos básicos sobre TI para interpretar os dados do Shodan e proteger os dispositivos.

A operação de ransomware Akira está atacando empresas em todo o mundo, criptografando arquivos e exigindo milhões de dólares em resgate. Eles já atacaram 16 empresas em vários setores, incluindo educação, finanças e imóveis. O grupo também ameaça vender dados corporativos roubados se o resgate não for pago.

A Western Digital confirmou que hackers roubaram informações pessoais sensíveis dos clientes em um ataque cibernético em março. A empresa emitiu notificações de violação de dados e desativou sua loja online enquanto investiga o incidente. As informações roubadas incluíam nomes de clientes, endereços de cobrança e envio, endereços de e-mail e números de telefone. A Western Digital alertou os clientes afetados a serem vigilantes contra ataques de phishing.

Uma campanha de fraude financeira está visando clientes de bancos corporativos italianos, utilizando um novo kit de ferramentas chamado drIBAN desde 2019. O objetivo principal da operação é infectar estações de trabalho Windows dentro de ambientes corporativos para alterar transferências bancárias legítimas realizadas pelas vítimas, transferindo dinheiro para uma conta bancária ilegítima controlada pelos criminosos.

O grupo de ameaças persistentes avançadas (APT) Dragon Breath, que faz parte do Miuuti Group, adotou um novo mecanismo de DLL side-loading para tornar seus ataques mais complexos. A técnica consiste em um aplicativo limpo que carrega um segundo aplicativo limpo e, em seguida, carrega o DLL malicioso que executa o payload final. A campanha, que usa instaladores falsos do Telegram, LetsVPN e WhatsApp, tem como alvo principalmente a indústria de jogos online e jogos de azar. A Sophos observou tentativas de intrusão nas Filipinas, Japão, Taiwan, Singapura, Hong Kong e China, que foram todas mal sucedidas.

Malware FluHorse foi descoberto atacando usuários do leste asiático com aplicativos maliciosos que imitam versões legítimas, incluindo aplicativos de pedágio e bancários. O objetivo é roubar credenciais de contas, informações de cartão de crédito e códigos de autenticação de dois fatores. A campanha continua ativa, com novas infraestruturas e aplicativos maliciosos aparecendo a cada mês, alerta a Check Point Research.