As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

Pesquisadores da Fortinet FortiGuard Labs revelam uma campanha que distribui o ValleyRAT, um malware multifacetado que ataca usuários chineses. Utilizando técnicas como execução de shellcode em memória, esse software malicioso busca controlar remotamente dispositivos comprometidos, empregando métodos sofisticados para esquivar-se de antivírus e obter privilégios administrativos. Atribuído ao grupo Silver Fox, o ValleyRAT demonstra complexidade ao desdobrar várias etapas de infecção.

Hackers invadiram a National Public Data, vazando uma base de dados com milhões de números de segurança social e informações pessoais. A empresa reconhece o incidente, ocorrido entre abril e verão de 2024, e colabora com autoridades. Classes afetadas são aconselhadas a ficar alertas a atividades fraudulentas.

A Microsoft desativou a correção para a vulnerabilidade CVE-2024-38058 devido a problemas de incompatibilidade de firmware, o que forçou dispositivos Windows ao modo de recuperação BitLocker. Recomenda-se a aplicação de medidas de mitigação, mas alerta-se sobre a irreversibilidade do processo em dispositivos com Secure Boot.

Banco Central alerta sobre incidente, sem vazamento de dados sensíveis. O problema, ocorrido entre julho e agosto, expôs informações cadastrais de aproximadamente 8 mil chaves, sem comprometer senhas ou movimentações financeiras. O BTG afirma não ter havido invasão a seus sistemas.

Uma vulnerabilidade, identificada em aplicativos pré-instalados nos dispositivos Pixel desde setembro de 2017, tem preocupado especialistas em segurança cibernética. O problema, associado ao "Showcase.apk", permite ataques remotos e instalação de softwares maliciosos, devido à obtenção de privilégios elevados do sistema. A Google assegura a correção iminente, visando a proteção de seus usuários.

A empresa lançou hotfixes para uma vulnerabilidade crítica ( CVE-2024-28986 , CVSS 9.8) no Web Help Desk, que permitia execução remota de código. A falha, que exigia autenticação para ser explorada, afetava versões até a 12.8.3. Agências federais têm até 05/09/2024 para aplicar a correção, seguindo orientação da CISA.

O grupo criminoso RansomHub emprega EDRKillShifter, capaz de neutralizar EDRs em sistemas comprometidos. Desenvolvido pela Sophos, o método utiliza drivers vulneráveis, exigindo práticas robustas de segurança e separação de privilégios para mitigação.

Investigadores da Unit 42 da Palo Alto Networks descobriram uma nova vulnerabilidade em artifacts do GitHub Actions, chamada ArtiPACKED, que pode expor tokens, permitindo a invasão de repositórios e ambientes de nuvem. Esse vetor de ataque explora misconfigurações para obter acesso indevido, destacando a importância da segurança em mecanismos de artefatos.

Na conferência Black Hat, foi revelado como o Copilot da Microsoft, integrado aos aplicativos do Microsoft 365, pode ser explorado por hackers para efetuar phishing spear e exfiltrar dados, após ganharem acesso ao email corporativo de um usuário, para enviar emails maliciosos em larga escala.

Pesquisadores da Aqua Security identificaram um avançado botnet Gafgyt explorando SSH fracos em máquinas, visando a mineração de criptomoedas com o poder computacional de GPUs. Essa ameaça evoluída busca principalmente ambientes cloud-native com alta capacidade de CPU e GPU.

Após a detecção pelos especialistas da Tenable, uma falha que poderia permitir o roubo de dados sensíveis de pacientes foi prontamente solucionada pela Microsoft. Este incidente sublinha a crítica importância da segurança em aplicações de web e nuvem, enfatizando a necessidade de priorizar a proteção do consumidor nas estratégias empresariais.

Campanha sofisticada de engenharia social, associada ao grupo Black Basta, utiliza e-mails, ligações via Microsoft Teams e o software AnyDesk para infiltrar sistemas e roubar dados. A introdução de malwares como o SystemBC, através de técnicas avançadas, exige vigilância redobrada contra métodos não convencionais de ataque, reforçando a importância de medidas robustas de cibersegurança.

Instituições financeiras iranianas, incluindo o CBI, foram alvo de um dos maiores ataques cibernéticos da história do país, culminando na paralisação de serviços e possível roubo de dados. A ação ocorre em meio a crescentes tensões geopolíticas, sem reivindicações por parte dos responsáveis.

O grupo cibernético Earth Baku, apoiado pela China, expande suas operações, mirando novos países fora do Indo-Pacífico, incluindo Itália, Alemanha, U.A.E. e Qatar. Utilizando táticas e ferramentas sofisticadas, visam setores governamentais e tecnológicos, revela análise da Trend Micro.

O pacote aborda 17 vulnerabilidades, incluindo uma grave brecha de autenticação, avaliada com 9.8 no sistema CVSS v3.1, que permite a invasores comprometer totalmente o sistema SAP BusinessObjects Business Intelligence Platform. Além disso, corrige uma falha no SAP Build Apps, reafirmando a importância de atualizações de segurança regulares.

Pesquisadores da CISPA na Alemanha descobriram uma vulnerabilidade, apelidada de GhostWrite, nos CPUs RISC-V da T-Head, que possibilita a invasores manipular memoria do dispositivo sem restrições. A falha, não corrigível sem prejudicar severamente o desempenho do CPU, ressalta a necessidade de reavaliação da segurança em hardware.

A empresa divulgou atualizações de segurança para corrigir uma falha crítica no Virtual Traffic Manager que permitia a criação de usuários administrativos falsos através de um bypass de autenticação. A vulnerabilidade, identificada como CVE-2024-7593 , tem pontuação CVSS de 9.8. Usuários são aconselhados a aplicar as correções o quanto antes, especialmente devido à disponibilidade pública de um PoC. Outras falhas também foram corrigidas, incluindo no Neurons for ITSM e no Ivanti Avalanche.

O instituto estabeleceu os primeiros padrões de criptografia pós-quântica para proteger dados contra futuros ataques com computação quântica. Identificados como FIPS 203, 204 e 205, baseiam-se em criptografia de reticulados e funções de hash, visando substituir métodos vulneráveis.

Maksim Silnikau, encabeçando operações de ransomware e malvertising, foi extraditado para enfrentar múltiplas acusações nos EUA. Com criação do Ransom Cartel e envolvimento em esquemas fraudulentos desde 2013, suas ações comprometeram milhões de usuários à escala mundial.

Em março de 2024, a operação ransomware 3AM invadiu a rede da Kootenai Health, roubando informações pessoais e médicas de mais de 464.000 pacientes. Dados incluem SSNs, CNHs, números de registros médicos, diagnósticos e informações de seguro saúde. A empresa oferece proteção de identidade aos afetados e investiga o incidente sem relatos de uso indevido dos dados até o momento.