As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O Computer Emergency Response Team da Ucrânia alertou sobre ataques cibernéticos perpetrados por hackers do estado russo, visando vários órgãos governamentais do país. A agência atribuiu a campanha de phishing ao APT28, também conhecido por Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit e Sofacy. As mensagens de e-mail vêm com a linha de assunto "Atualização do Windows" e contêm supostas instruções em ucraniano para executar um comando PowerShell sob o pretexto de atualizações de segurança.

Ameaças cibernéticas visando servidores Veeam Backup estão sendo executadas por um grupo de criminosos que atua com várias gangues de ransomware. Desde o final de março, atividades maliciosas semelhantes às do FIN7 foram observadas em intrusões, menos de uma semana depois que uma vulnerabilidade de alta gravidade foi descoberta no software Veeam Backup e Replication. A vulnerabilidade foi corrigida em 7 de março, mas a ameaça ainda persiste para aqueles que ainda não aplicaram a correção.

O grupo de ransomware ALPHV publicou capturas de tela de e-mails e videoconferências internas roubados da Western Digital, indicando que provavelmente eles mantiveram o acesso aos sistemas da empresa mesmo enquanto ela respondia ao ataque. A ameaça de vazamento ocorreu depois que a Western Digital sofreu um ataque cibernético em 26 de março, mas nenhum ransomware foi implantado e os arquivos não foram criptografados.

A agência de segurança cibernética dos EUA (CISA) adicionou três vulnerabilidades à sua lista de Vulnerabilidades Conhecidas Exploradas (KEV) devido a evidências de exploração ativa, incluindo uma vulnerabilidade de injeção de comandos no roteador TP-Link Archer AX-21, uma vulnerabilidade de deserialização de dados não confiáveis no Apache Log4j2 e uma vulnerabilidade não especificada no Oracle WebLogic Server. A CISA exige que as agências federais americanas apliquem as correções de segurança fornecidas pelos fornecedores antes de 22 de maio de 2023.

O grupo de ameaças TA505 está usando anúncios maliciosos do Google para distribuir o trojan financeiro e info stealer LOBSHOT. A ameaça, que inclui um módulo hVNC para acesso remoto, está sendo distribuída por meio de anúncios falsos para ferramentas legítimas, como o AnyDesk. O LOBSHOT é atribuído ao TA505, um grupo de cibercriminosos financeiros conhecido por ataques com o trojan bancário Dridex.

O grupo de ameaças cibernéticas ScarCruft, que é vinculado à Coreia do Norte, está usando arquivos LNK para distribuir o malware RokRAT, de acordo com um relatório da Check Point. O RokRAT é usado para roubar credenciais, exfiltrar dados e executar comandos no sistema infectado. O ScarCruft, que também é conhecido como APT37, InkySquid e Nickel Foxcroft, é supervisionado pelo Ministério de Segurança do Estado da Coreia do Norte e se concentra em alvos sul-coreanos.

A Zyxel lançou correções para uma falha de segurança crítica em seus dispositivos de firewall que pode ser explorada para alcançar a execução remota de código em sistemas afetados. A falha, rastreada como CVE-2023-28771 , é avaliada em 9,8 no sistema de pontuação CVSS. A empresa também corrigiu outras seis vulnerabilidades de alta e média gravidade em seus dispositivos de firewall e ponto de acesso.

A empresa OpenAI conseguiu atender às demandas da autoridade de proteção de dados da Itália e o serviço de chatbot ChatGPT foi liberado novamente no país. A autoridade havia bloqueado o acesso ao serviço em março por preocupações com a violação de leis de proteção de dados. A OpenAI garante que remove conteúdo impróprio e não busca informações pessoais para treinar seus modelos. Os usuários europeus podem solicitar a exclusão ou transferência de suas informações pessoais contidas no conjunto de dados de treinamento.

O ministro interino do GSI, Ricardo Cappelli, criticou o uso do WhatsApp para compartilhar informações sensíveis de segurança nacional, afirmando que não é adequado que informes confidenciais sejam repassados através de um aplicativo de mensagem de uma empresa privada estrangeira. Ele argumentou que outros países criaram uma estrutura de segurança cibernética para realizar comunicações estratégicas e que o Brasil precisa de uma Central de Inteligência responsável pela coordenação de todas as inteligências existentes nos diferentes órgãos.

O prefeito de Nova York, Eric Adams, defendeu o uso do cão-robô da Boston Dynamics, chamado de Digidog, para melhorar a segurança na cidade, após seu uso bem-sucedido na resposta ao desabamento recente de um edifício. No entanto, críticos pedem transparência sobre o uso da tecnologia, que pode coletar dados pessoais privados. Adams também enfrenta críticas por aumentar os poderes da polícia, incluindo o aumento do uso da tecnologia de reconhecimento facial.

Um estudo da Palo Alto Networks revela que o Brasil lidera o ranking de ataques cibernéticos de ransomware na América Latina. Dos 500 CEOs das empresas com mais de 500 funcionários entrevistados, 21% não têm certeza de possuir os recursos necessários para se adaptar às ameaças e vulnerabilidades em constante mudança. Além disso, 34% afirmam que pagariam o resgate para liberar sistemas e devolver dados.

Após sofrer um ataque cibernético, 56% das empresas ampliam investimentos em segurança, segundo pesquisa da Skyhigh Security. Outras ações incluem treinamento para funcionários (52%), criação de protocolos de gestão de crise e recuperação (47%), seguros contra incidentes cibernéticos (47%), migração para arquitetura de confiança zero (41%) e adoção de microsserviços (39%). Responsabilidade pela proteção é compartilhada por CTO (48%) e CIO (37%).

O bloqueio do Telegram no Brasil levou a um aumento na busca por VPNs e outros meios de burlar a suspensão, o que pode colocar em risco os dados pessoais e financeiros dos cidadãos. VPNs gratuitas costumam ser menos seguras que as pagas, e é importante escolher um fornecedor certificado e de boa reputação.

A Agência de Segurança Cibernética e Infraestrutura dos EUA e a FDA emitiram um alerta sobre duas vulnerabilidades que afetam o serviço de cópia universal da Illumina, usado em laboratórios médicos em todo o mundo para sequenciamento de DNA. As vulnerabilidades permitem a invasão não autenticada e a execução de código remoto no nível do sistema operacional. A Illumina notificou clientes afetados em 5 de abril de 2023.

A empresa Americold, líder em armazenamento e logística de frio, enfrenta problemas de TI após um ataque cibernético. A empresa pediu aos clientes que cancelassem as entregas programadas para depois da próxima semana e reprogramassem as mais críticas. Acredita-se que o ataque seja um ransomware. A Americold enfrentou um ataque semelhante em novembro de 2020.

O malware ViperSoftX, que rouba informações, está afetando vítimas na Austrália, Japão, EUA e Índia, segundo a Trend Micro. O software, que foi documentado em 2020, usa técnicas de criptografia sofisticadas e bloqueio de comunicação do navegador para evitar análises. Os criminosos utilizam softwares não maliciosos, como editores de multimídia e aplicativos limpadores, para distribuir o malware. A recomendação é baixar programas somente de fontes oficiais e evitar o download de software ilegal.

Uma campanha contínua do Magecart chamou a atenção dos pesquisadores de segurança cibernética por aproveitar telas de pagamento falsas com aparência realista para capturar dados sensíveis inseridos por usuários desavisados. O skimmer chamado Kritec foi usado para interceptar o processo de checkout e exibir um diálogo de pagamento falso para as vítimas. Depois que os detalhes do cartão de pagamento são coletados, uma mensagem de erro falsa sobre o cancelamento do pagamento é exibida brevemente antes de redirecionar para a página de pagamento real, momento em que o pagamento será concluído.

A Google obteve uma ordem judicial temporária nos Estados Unidos para interromper a distribuição e diminuir o crescimento do malware CryptBot, que infectou mais de 670 mil computadores em 2022, roubando dados sensíveis, como credenciais de autenticação, logins de mídias sociais e carteiras de criptomoedas. O CryptBot é tradicionalmente entregue por meio de versões maliciosamente modificadas de software legítimo e popular, como o Google Earth Pro e o Google Chrome, que são hospedados em sites falsos.

Um novo grupo de ciberespionagem de língua russa, denominado Paperbug, foi ligado a uma nova campanha de vigilância politicamente motivada que visa autoridades de alto escalão do governo, serviços de telecomunicações e infraestruturas de serviços públicos no Tajiquistão. A ameaça foi atribuída ao ator de ameaças conhecido como Octopus Nômade (também conhecido como DustSquad) e acredita-se que esteja envolvido em operações de vigilância cibernética. A motivação final por trás dos ataques ainda não está clara.

Um grupo de ameaças cibernéticas alinhado com a China, chamado Tonto Team, tem como alvo instituições sul-coreanas de educação, construção, diplomacia e política. O grupo está utilizando um arquivo relacionado a produtos anti-malware para executar seus ataques maliciosos. O Tonto Team tem uma longa lista de alvos na Ásia e Europa Oriental e utiliza o ReVBShell para baixar a segunda versão do Trojan de acesso remoto Bisonal.