As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O Hospital Universitário da USP sofreu um ataque de ransomware na semana passada, interrompendo temporariamente seus trabalhos. Cerca de 600 computadores estão sendo formatados para retomada das operações, com a prioridade sendo as áreas assistenciais. A marcação de consultas e coleta de exames foram suspensas, enquanto os atendimentos já marcados foram adiados de forma indefinida. Ainda não existem indícios de vazamentos de dados.

Botnets estão ativamente visando vulnerabilidades em Cacti e Realtek, espalhando malwares ShellBot e Moobot. As vulnerabilidades são CVE-2021-35394 e CVE-2022-46169 , e o volume de atividade maliciosa é significativo em 2023, visando dispositivos de rede expostos para se juntar a DDoS. A ação recomendada é usar senhas de administrador fortes e aplicar as atualizações de segurança que corrigem as vulnerabilidades mencionadas.

A polícia cibernética da Ucrânia prendeu membros de uma quadrilha que roubou cerca de US$ 4,3 milhões de mais de mil vítimas em toda a UE por meio de mais de 100 sites falsos de "phishing". Os fraudadores usaram os dados roubados para fazer compras on-line com cartões de crédito de outras pessoas. Outros dez membros da quadrilha foram detidos em outros países europeus.

O Microsoft OneNote irá bloquear 120 extensões de arquivos perigosos em uma atualização de segurança para ajudar a proteger usuários contra ataques de phishing que distribuem malware. A mudança começará a ser implementada em abril e maio de 2023 e também estará disponível em versões de varejo do Office 2021, Office 2019 e Office 2016. A atualização não estará disponível no OneNote versão web, OneNote no Windows 10, Mac, Android ou iOS.

A agência de segurança cibernética dos EUA ordenou que agências federais corrijam vulnerabilidades de segurança exploradas como zero-days em ataques recentes para instalar spyware comercial em dispositivos móveis. As falhas foram abusadas como parte de várias cadeias de exploração em duas campanhas altamente direcionadas que visavam usuários Android e iOS. A ameaça é agravada pelo fato de que os atacantes "aproveitaram a grande lacuna de tempo entre a liberação da correção e quando ela foi totalmente implantada nos dispositivos dos usuários finais", disse o Google TAG.

O grupo de hackers russo TA473, conhecido como 'Winter Vivern', está explorando vulnerabilidades em servidores de e-mails Zimbra sem atualização desde fevereiro de 2023 para roubar e-mails de oficiais da OTAN, governos, militares e diplomatas. Os ataques começam com uma varredura em busca de plataformas de webmail sem atualização, seguida de um e-mail de phishing que contém um link que explora a vulnerabilidade CVE-2022-27926 para injetar payloads JavaScript e roubar nomes de usuário, senhas e tokens de cookies.

Um grupo de hackers patrocinado pelo estado chinês foi ligado a um novo malware destinado a servidores Linux, chamado de Mélofée. O código malicioso é capaz de instalar um rootkit kernel-mode baseado em um projeto de código aberto, Reptile, e é implantado usando comandos de shell que baixam um instalador e um pacote binário personalizado de um servidor remoto. Acredita-se que o grupo, que tem ligações com APT41 e Earth Berberoka, esteja limitando o uso do malware a alvos de alto valor.

Pesquisa realizada pela Western Digital aponta que 69% dos brasileiros temem perder seus arquivos digitais mais do que objetos físicos, enquanto 86% realizam backups de forma periódica, muitas vezes diária, com preferência por serviços de armazenamento online. O Brasil apresentou o maior percentual de usuários que fazem backup na América Latina, com 26%.

O aumento do uso de APIs na indústria automotiva levou a um aumento nos ataques cibernéticos baseados em API, que representam 90% da superfície de ataque de aplicativos da web, de acordo com a Gartner. Um relatório recente da Upstream Security mostra que houve um aumento de 380% nos incidentes baseados em API na indústria automotiva e de Smart Mobility em 2022 em comparação com 2021, com 12% de todos os incidentes cibernéticos sendo relacionados a APIs. A segurança de APIs é fundamental para garantir a segurança de aplicativos e serviços de Smart Mobility.

A OpenAI confirmou o vazamento de dados sensíveis de usuários, incluindo o histórico de conversas, após uma vulnerabilidade de segurança em sua inteligência artificial generativa ChatGPT. A empresa de segurança cibernética GreyNoise alertou que um componente recentemente introduzido é afetado por uma vulnerabilidade explorada ativamente. A OpenAI já entrou em contato com os usuários afetados e tomou medidas para evitar novos problemas.

A empresa de desenvolvimento de software 3CX Voice Over Internet Protocol (VOIP) está enfrentando um ataque de supply chain, onde uma versão trojanizada e digitalmente assinada do seu cliente desktop está sendo utilizada para atingir os clientes da empresa. Acredita-se que o grupo de hackers Labyrinth Collima, possivelmente apoiado pelo estado norte-coreano, esteja por trás do ataque. A 3CX tem mais de 600.000 empresas como clientes, incluindo marcas como Coca-Cola, McDonald's e BMW.

A QNAP, fornecedora taiwanesa de hardware, alertou os clientes para protegerem seus dispositivos de armazenamento conectados em rede (NAS) com Linux contra uma vulnerabilidade de escalonamento de privilégios de alta gravidade. A falha, descoberta por pesquisadores da Synacktiv, afeta os sistemas operacionais QTS, QuTS hero, QuTScloud e QVP da QNAP. A empresa já corrigiu o problema em alguns sistemas, mas ainda trabalha em atualizações de segurança para outros.

Um hacker explorou a nova função de "burn" de tokens do SafeMoon, inflacionando artificialmente o preço do token SafeMoon e causando uma perda de US$ 8,9 milhões na pool de liquidez. A SafeMoon confirmou o incidente de segurança e está trabalhando para resolver o problema. Especialistas em segurança da PeckShield detalharam a vulnerabilidade, que foi causada pela configuração incorreta da função pública de burn de tokens. O hacker utilizou a função para queimar grandes quantidades de tokens SafeMoon, aumentando o preço e vendendo a um preço manipulado, chegando a drenar US$ 8,9 milhões pool de liquidez SafeMoon:WBNB. O ator que converteu o SafeMoon para BNB ofereceu devolver os fundos roubados.

O Microsoft Defender está marcando erroneamente links legítimos como maliciosos, causando um grande número de alertas por e-mail para os clientes. A empresa confirmou que está investigando o incidente como um falso positivo e que os usuários ainda podem acessar os URLs legítimos, apesar dos alertas falsos.

Atacantes estão usando vulnerabilidades zero-day e n-day em Android, iOS e Chrome para instalar spyware comercial em dispositivos das vítimas, segundo a equipe de análise de ameaças (TAG) do Google. A equipe descobriu várias cadeias de exploração, incluindo uma usada para atingir usuários de iOS e Android com links encurtados no bit ly que redirecionam as vítimas para sites de envio legítimos antes de enviar páginas de exploração.

A ferramenta AlienFox permite que hackers roubem credenciais de serviços de e-mail em nuvem, como o Google Workspace, ao examinar servidores mal configurados. O kit de ferramentas é vendido em um canal privado do Telegram e tem três versões, indicando que o autor está ativamente desenvolvendo e melhorando a ferramenta. Para se proteger, é recomendado que os administradores garantam que a configuração do servidor tenha os controles de acesso adequados e implementem autenticação multifator.

A Microsoft lançou em preview limitado o Security Copilot, uma ferramenta de análise de segurança que utiliza inteligência artificial para ajudar equipes de segurança a responder rapidamente a ameaças, processar sinais e avaliar a exposição a riscos. A ferramenta é alimentada pelo modelo de IA gerativa GPT-4 da OpenAI e pelo modelo de segurança proprietário da Microsoft. Ele coleta insights e dados de vários produtos da Microsoft, como Sentinel, Defender e Intune, para ajudar as equipes de segurança a entender melhor seu ambiente e identificar possíveis vulnerabilidades e ataques em andamento.

O grupo de ameaças persistentes avançadas SideCopy, de origem paquistanesa, está sendo vinculado a uma nova campanha de phishing que entrega o Action RAT em ataques contra a Organização de Pesquisa e Desenvolvimento de Defesa da Índia (DRDO). O grupo é conhecido por emular as cadeias de infecção associadas ao SideWinder para entregar seu próprio malware e tem como alvo os setores militar e governamental da Índia e do Afeganistão.

Um relatório da empresa de cibersegurança Kaspersky aponta que a exposição de informações é o principal risco corporativo da atualidade, com 50% das empresas indicando que mitigar tais riscos e impedir vazamentos são os aspectos mais desafiadores da proteção digital no momento atual. A possível negligência de funcionários aparece como o segundo fator de maior temor para as companhias do Brasil.

A empresa chinesa de comércio eletrônico Pinduoduo está sendo acusada de instalar vírus em smartphones de clientes por meio de seus aplicativos de Android, explorando vulnerabilidades no sistema operacional para inflar seus próprios números de uso diário e obter dados de usuários. A empresa negou as acusações.