As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

Um alerta da Cisco advertiu sobre quatro vulnerabilidades críticas de execução remota de código que afetam vários switches da série Small Business, com classificações de gravidade quase máxima. Essas vulnerabilidades podem permitir que invasores não autenticados executem código arbitrário com privilégios de root em dispositivos comprometidos, e há códigos de exploração de prova de conceito (PoC) disponíveis. A Equipe de Resposta a Incidentes de Segurança de Produtos da Cisco (PSIRT) ainda não encontrou evidências de ataques, e os switches afetados incluem os switches da série 200, 300 e 500 Small Business, cujo firmware não será corrigido, pois eles já estão em processo de fim de vida.

A Microsoft retirou uma atualização recente do Microsoft Defender que deveria corrigir um problema conhecido que desencadeava alertas persistentes de reinicialização e avisos de segurança do Windows sobre a desativação da Proteção da Autoridade de Segurança Local (LSA). A LSA ajuda a proteger os usuários do Windows contra tentativas de roubo de credenciais, evitando o memory dumping do processo LSASS e a injeção de código não confiável no processo LSASS.exe.

O Brasil lidera o ranking latino-americano de ataques de negação de serviço, com aumento de 19% no segundo semestre de 2022, segundo a Netscout. Os setores de telecomunicação, processamento de dados e corretoras de seguro foram os mais atingidos. Apesar de a América Latina seguir a média global, o Brasil é o destino de 39,2% dos ataques do tipo registrados na região. O relatório aponta preocupação com a proteção em países da América Latina, onde ainda há falta de profissionais e de maturidade corporativa no entendimento de questões relacionadas à segurança.

A fornecedora de tecnologia ScanSource sofreu um ataque de ransomware em 14 de maio, afetando alguns de seus sistemas e operações comerciais, bem como portais de clientes. A empresa está trabalhando para trazer os sistemas afetados de volta online, mas alerta para possíveis atrasos na prestação de serviços aos clientes na América do Norte e no Brasil. O impacto do ataque cibernético foi significativo e a empresa está trabalhando com especialistas em segurança cibernética e forense para minimizar as interrupções operacionais.

O grupo de ransomware BianLian tem como alvo a infraestrutura crítica dos EUA e Austrália desde junho de 2022, usando credenciais de Protocolo de Desktop Remoto (RDP) válidas para invadir sistemas e roubar dados de vítimas. O grupo mudou para um modelo de extorsão baseado em roubo de dados sem criptografia desde janeiro de 2023, depois que a Avast lançou um decodificador para o ransomware. As agências de segurança dos EUA e da Austrália emitiram um aviso conjunto para alertar as organizações sobre as táticas, técnicas e procedimentos usados pelo grupo.

As tensões geopolíticas entre a China e Taiwan aumentaram recentemente e isso tem gerado um aumento notável nos ciberataques ao país asiático. A Trellix Advanced Research Center detectou um aumento de quatro vezes no volume de e-mails maliciosos entre 7 e 10 de abril de 2023. Os ataques têm como alvo vários setores da região e são principalmente projetados para entregar malware e roubar informações sensíveis. A empresa de cibersegurança também identificou outras famílias de malware, como o trojan Kryptik e os ladrões de informações Zmutzy e FormBook, direcionados à nação.

O Departamento de Justiça dos EUA acusou Mikhail Pavlovich Matveev, um cidadão russo, de lançar ataques ransomware contra milhares de vítimas em todo o mundo, incluindo agências governamentais, hospitais e escolas. Matveev é acusado de ser uma figura central no desenvolvimento e implementação das variantes de ransomware LockBit, Babuk e Hive desde junho de 2020. As demandas de resgate totalizam US$ 400 milhões, enquanto os pagamentos de resgate das vítimas totalizam US$ 200 milhões. O Departamento de Estado dos EUA também anunciou uma recompensa de até US$ 10 milhões por informações que levem à prisão e/ou condenação de Matveev.

A Belkin está se recusando a corrigir uma vulnerabilidade de buffer overflow descoberta no segundo modelo do seu dispositivo Wemo Mini Smart Plug. Descoberto pela Sternum, o problema permite que um invasor remoto injete comandos arbitrários. Embora a Belkin não tenha planos de corrigir a falha, os usuários da Wemo Mini Smart Plug V2 são aconselhados a evitar expor os dispositivos diretamente à internet e garantir que medidas adequadas de segmentação sejam implementadas se eles estiverem em redes sensíveis.

Afiliados do esquema de ransomware-as-a-service (RaaS) Qilin recebem entre 80% e 85% de cada pagamento de resgate, de acordo com a empresa de cibersegurança Group-IB. A Qilin, também conhecida como Agenda, é responsável por ataques de phishing que contaminam dados sensíveis de empresas ligadas à infraestrutura crítica, educação e saúde. Os atacantes obtêm acesso inicial através de links maliciosos e realizam a criptografia dos dados, mas não antes de exfiltrá-los como parte de um modelo de duplo extorsão. A Qilin tem afiliados que identificam alvos de interesse e realizam os ataques.

A Cyolo criou uma plataforma de acesso de confiança zero para atender aos requisitos exclusivos de segurança, segurança e tempo de atividade dos ambientes de sistemas de controle industrial (ICS) e OT. A solução combina Zero Trust Network Access (ZTNA), Identity Provider (IdP) e Privileged Access Management (PAM). A plataforma não requer conexão com nuvem ou instalação de agente de endpoint. É possível implantar o Cyolo no local, em um modelo SaaS ou em uma versão híbrida dos dois.

O grupo de hackers patrocinado pelo estado chinês "Camaro Dragon" está infectando roteadores residenciais TP-Link com um malware chamado "Horse Shell", que é usado para atacar organizações de assuntos estrangeiros europeias. A Check Point Research descobriu o malware em janeiro de 2023 e acredita que a atividade dos hackers se sobrepõe com o grupo de hackers chineses "Mustang Panda". Os usuários são aconselhados a aplicar a atualização de firmware mais recente para corrigir quaisquer vulnerabilidades existentes e desativar o acesso remoto ao painel de administração do dispositivo.

O aplicativo de controle parental "Kids Place" para Android, com cerca de 5 milhões de downloads na Google Play, foi afetado por múltiplas vulnerabilidades que poderiam permitir que invasores carregassem arquivos arbitrários em dispositivos protegidos, roubassem credenciais de usuários e permitissem que crianças burlassem restrições sem que os pais percebessem. A vulnerabilidade foi corrigida na versão 3.8.50 ou posterior do aplicativo.

A Apple bloqueou quase 1,7 milhão de aplicativos perigosos em 2022, evitando transações fraudulentas no valor de mais de US$ 2 bilhões e a remoção de 282 milhões de contas de usuário e 105 milhões de perfis de desenvolvedores. A empresa detectou automaticamente violações de privacidade, aplicativos que não cumpriam as funcionalidades prometidas e soluções de gerenciamento financeiro e criptomoedas que poderiam se "transformar" em outros aplicativos. Mais de 100 mil aplicativos são revisados semanalmente, com 90% passando pelo crivo nas primeiras 24 horas.

A implementação em Golang do Cobalt Strike, chamada de Geacon, está atraindo a atenção de atores de ameaças que visam sistemas Apple macOS, de acordo com a SentinelOne. A empresa observou um aumento no número de payloads do Geacon aparecendo no VirusTotal nos últimos meses e alertou que, embora algumas sejam operações de "red teaming", outras têm características de ataques maliciosos genuínos. O Geacon é uma variante do Cobalt Strike que tem sido disponibilizada no GitHub desde fevereiro de 2020.

Um vazamento de dados expôs informações pessoais de 237 mil funcionários e ex-funcionários do governo dos EUA, após uma violação no sistema do Departamento de Transportes dos Estados Unidos (USDOT). A exposição ocorreu nos sistemas de processamento de benefícios de trânsito da TRANServe, que reembolsam funcionários do governo por custos de deslocamento. Até o momento, não se sabe quem é o responsável pela violação.

Milhões de smartphones Android de baixo custo vendidos na China estão infectados com vírus de fábrica, segundo a empresa de cibersegurança Trend Micro. Os malwares de roubo de dados são instalados diretamente no firmware e roubam credenciais e códigos de verificação em dois fatores que chegam por SMS. Pelo menos 10 fabricantes chinesas estão envolvidas, mas a lista completa não foi divulgada. A principal exploração envolve a instalação de plugins de proxy nos celulares.

O Google ampliou o suporte a linguagens de script no VirusTotal Code Insight, ferramenta de análise de código baseada em inteligência artificial. Além do PowerShell, o recurso agora reconhece scripts em Batch, Command Prompt, Shell, VBScript, AutoHotkey e Python. A capacidade de processamento dos arquivos também foi dobrada. O Code Insight analisa arquivos potencialmente maliciosos para descrever seu comportamento, facilitando a identificação de ameaças.

Grupos de hackers afiliados à Coreia do Norte roubaram US$ 721 milhões em criptomoedas do Japão desde 2017, de acordo com um estudo da Elliptic. Ao considerar empresas em todo o mundo, a Coreia do Norte roubou um total de US$ 2,3 bilhões em criptomoedas entre 2017 e 2022. A revelação vem após ministros das Finanças e governadores dos bancos centrais do G7 dizerem que apoiam medidas para combater ameaças crescentes de atividades ilícitas, como o roubo de criptoativos realizadas por "atores estatais".

Um novo grupo de ransomware chamado RA Group está atacando empresas farmacêuticas, de seguros, gestão de riqueza e manufatura nos Estados Unidos e Coreia do Sul. O grupo usa uma versão do ransomware Babuk e adota a tática de "double-extortion". Cada ataque apresenta uma nota de resgate escrita especificamente para a organização visada e o executável é nomeado após a vítima.

O mercado de malware de roubo de informações está em constante evolução, com várias operações de malware competindo por clientes, promovendo melhor evasão e aumento da capacidade de roubar dados de vítimas. A KELA compilou um relatório apresentando o aumento de variantes e operações de malware como serviço que cresceram substancialmente no primeiro trimestre de 2023, aumentando o risco associado para organizações e indivíduos.