As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

As tensões geopolíticas entre a China e Taiwan aumentaram recentemente e isso tem gerado um aumento notável nos ciberataques ao país asiático. A Trellix Advanced Research Center detectou um aumento de quatro vezes no volume de e-mails maliciosos entre 7 e 10 de abril de 2023. Os ataques têm como alvo vários setores da região e são principalmente projetados para entregar malware e roubar informações sensíveis. A empresa de cibersegurança também identificou outras famílias de malware, como o trojan Kryptik e os ladrões de informações Zmutzy e FormBook, direcionados à nação.

O Departamento de Justiça dos EUA acusou Mikhail Pavlovich Matveev, um cidadão russo, de lançar ataques ransomware contra milhares de vítimas em todo o mundo, incluindo agências governamentais, hospitais e escolas. Matveev é acusado de ser uma figura central no desenvolvimento e implementação das variantes de ransomware LockBit, Babuk e Hive desde junho de 2020. As demandas de resgate totalizam US$ 400 milhões, enquanto os pagamentos de resgate das vítimas totalizam US$ 200 milhões. O Departamento de Estado dos EUA também anunciou uma recompensa de até US$ 10 milhões por informações que levem à prisão e/ou condenação de Matveev.

A Belkin está se recusando a corrigir uma vulnerabilidade de buffer overflow descoberta no segundo modelo do seu dispositivo Wemo Mini Smart Plug. Descoberto pela Sternum, o problema permite que um invasor remoto injete comandos arbitrários. Embora a Belkin não tenha planos de corrigir a falha, os usuários da Wemo Mini Smart Plug V2 são aconselhados a evitar expor os dispositivos diretamente à internet e garantir que medidas adequadas de segmentação sejam implementadas se eles estiverem em redes sensíveis.

Afiliados do esquema de ransomware-as-a-service (RaaS) Qilin recebem entre 80% e 85% de cada pagamento de resgate, de acordo com a empresa de cibersegurança Group-IB. A Qilin, também conhecida como Agenda, é responsável por ataques de phishing que contaminam dados sensíveis de empresas ligadas à infraestrutura crítica, educação e saúde. Os atacantes obtêm acesso inicial através de links maliciosos e realizam a criptografia dos dados, mas não antes de exfiltrá-los como parte de um modelo de duplo extorsão. A Qilin tem afiliados que identificam alvos de interesse e realizam os ataques.

A Cyolo criou uma plataforma de acesso de confiança zero para atender aos requisitos exclusivos de segurança, segurança e tempo de atividade dos ambientes de sistemas de controle industrial (ICS) e OT. A solução combina Zero Trust Network Access (ZTNA), Identity Provider (IdP) e Privileged Access Management (PAM). A plataforma não requer conexão com nuvem ou instalação de agente de endpoint. É possível implantar o Cyolo no local, em um modelo SaaS ou em uma versão híbrida dos dois.

O grupo de hackers patrocinado pelo estado chinês "Camaro Dragon" está infectando roteadores residenciais TP-Link com um malware chamado "Horse Shell", que é usado para atacar organizações de assuntos estrangeiros europeias. A Check Point Research descobriu o malware em janeiro de 2023 e acredita que a atividade dos hackers se sobrepõe com o grupo de hackers chineses "Mustang Panda". Os usuários são aconselhados a aplicar a atualização de firmware mais recente para corrigir quaisquer vulnerabilidades existentes e desativar o acesso remoto ao painel de administração do dispositivo.

O aplicativo de controle parental "Kids Place" para Android, com cerca de 5 milhões de downloads na Google Play, foi afetado por múltiplas vulnerabilidades que poderiam permitir que invasores carregassem arquivos arbitrários em dispositivos protegidos, roubassem credenciais de usuários e permitissem que crianças burlassem restrições sem que os pais percebessem. A vulnerabilidade foi corrigida na versão 3.8.50 ou posterior do aplicativo.

A Apple bloqueou quase 1,7 milhão de aplicativos perigosos em 2022, evitando transações fraudulentas no valor de mais de US$ 2 bilhões e a remoção de 282 milhões de contas de usuário e 105 milhões de perfis de desenvolvedores. A empresa detectou automaticamente violações de privacidade, aplicativos que não cumpriam as funcionalidades prometidas e soluções de gerenciamento financeiro e criptomoedas que poderiam se "transformar" em outros aplicativos. Mais de 100 mil aplicativos são revisados semanalmente, com 90% passando pelo crivo nas primeiras 24 horas.

A implementação em Golang do Cobalt Strike, chamada de Geacon, está atraindo a atenção de atores de ameaças que visam sistemas Apple macOS, de acordo com a SentinelOne. A empresa observou um aumento no número de payloads do Geacon aparecendo no VirusTotal nos últimos meses e alertou que, embora algumas sejam operações de "red teaming", outras têm características de ataques maliciosos genuínos. O Geacon é uma variante do Cobalt Strike que tem sido disponibilizada no GitHub desde fevereiro de 2020.

Um vazamento de dados expôs informações pessoais de 237 mil funcionários e ex-funcionários do governo dos EUA, após uma violação no sistema do Departamento de Transportes dos Estados Unidos (USDOT). A exposição ocorreu nos sistemas de processamento de benefícios de trânsito da TRANServe, que reembolsam funcionários do governo por custos de deslocamento. Até o momento, não se sabe quem é o responsável pela violação.

Milhões de smartphones Android de baixo custo vendidos na China estão infectados com vírus de fábrica, segundo a empresa de cibersegurança Trend Micro. Os malwares de roubo de dados são instalados diretamente no firmware e roubam credenciais e códigos de verificação em dois fatores que chegam por SMS. Pelo menos 10 fabricantes chinesas estão envolvidas, mas a lista completa não foi divulgada. A principal exploração envolve a instalação de plugins de proxy nos celulares.

O Google ampliou o suporte a linguagens de script no VirusTotal Code Insight, ferramenta de análise de código baseada em inteligência artificial. Além do PowerShell, o recurso agora reconhece scripts em Batch, Command Prompt, Shell, VBScript, AutoHotkey e Python. A capacidade de processamento dos arquivos também foi dobrada. O Code Insight analisa arquivos potencialmente maliciosos para descrever seu comportamento, facilitando a identificação de ameaças.

Grupos de hackers afiliados à Coreia do Norte roubaram US$ 721 milhões em criptomoedas do Japão desde 2017, de acordo com um estudo da Elliptic. Ao considerar empresas em todo o mundo, a Coreia do Norte roubou um total de US$ 2,3 bilhões em criptomoedas entre 2017 e 2022. A revelação vem após ministros das Finanças e governadores dos bancos centrais do G7 dizerem que apoiam medidas para combater ameaças crescentes de atividades ilícitas, como o roubo de criptoativos realizadas por "atores estatais".

Um novo grupo de ransomware chamado RA Group está atacando empresas farmacêuticas, de seguros, gestão de riqueza e manufatura nos Estados Unidos e Coreia do Sul. O grupo usa uma versão do ransomware Babuk e adota a tática de "double-extortion". Cada ataque apresenta uma nota de resgate escrita especificamente para a organização visada e o executável é nomeado após a vítima.

O mercado de malware de roubo de informações está em constante evolução, com várias operações de malware competindo por clientes, promovendo melhor evasão e aumento da capacidade de roubar dados de vítimas. A KELA compilou um relatório apresentando o aumento de variantes e operações de malware como serviço que cresceram substancialmente no primeiro trimestre de 2023, aumentando o risco associado para organizações e indivíduos.

O jornal Philadelphia Inquirer está trabalhando para restaurar seus sistemas após um ataque cibernético que afetou a rede no fim de semana e interrompeu a circulação da edição impressa. O Inquirer.com foi afetado de forma leve, com a publicação de histórias sendo impactada por atrasos intermitentes. A empresa contratou a Kroll para investigar e responder ao incidente cibernético. Ainda não está claro quem foram os atacantes e se eles tiveram acesso a informações sensíveis de clientes ou funcionários.

O Brasil lidera o ranking de credenciais vazadas por cibercriminosos em 2022, com mais de 74,9 milhões de entradas disponibilizadas, um crescimento de 290% em relação a 2021, segundo a empresa de cibersegurança Darktracer. O principal meio de disseminação dos stealers são os downloads fraudulentos, e medidas como verificação em duas etapas e senhas complexas ajudam na defesa.

Pesquisadores de cibersegurança descobriram uma campanha de phishing que usa um código PowerShell cheio de memes para distribuir o malware XWorm em sistemas de empresas de manufatura e clínicas de saúde na Alemanha. Os invasores usam documentos do Word para atacar a vulnerabilidade Follina, desativar o Microsoft Defender e estabelecer persistência nos sistemas. O XWorm é capaz de roubar informações sensíveis, realizar operações de DDoS e ransomware, além de espalhar-se via USB e baixar malware adicional. A origem exata do ator da ameaça ainda não foi identificada.

Hackers estão explorando ativamente uma vulnerabilidade recentemente corrigida no plugin Advanced Custom Fields do WordPress, apenas 24 horas após a divulgação de um exploit de prova de conceito (PoC). A vulnerabilidade de alta gravidade permite que atacantes não autenticados roubem informações e aumentem seus privilégios em sites WordPress afetados. Com mais de 1,4 milhão de sites usando o plugin afetado sem atualização, os administradores do WordPress são instados a aplicar o patch disponível imediatamente.

Servidores Microsoft SQL mal gerenciados estão sendo alvos de uma nova campanha de malware chamada CLR SqlShell, que facilita a implantação de mineradores de criptomoedas e ransomware. A técnica envolve a criação de procedimentos armazenados CLR para instalar o malware nos servidores MS SQL usando o comando xp_cmdshell. Os invasores estão aproveitando rotinas SqlShell para baixar cargas úteis de próxima geração, como Metasploit e mineradores de criptomoedas. Diferentes adversários também usaram o SqlShell para lançar ransomware, proxyware e outras atividades maliciosas.