Víctor Mayoral-Vilches Cibercrime em Robótica, pesquisa da Alias Robotics que viaja para Black Hat Robôs industriais são seguros? É a dúvida com que essa análise começa, a partir da Alias Robotics, trabalhamos em conjunto com a TrendMicro em uma pesquisa sobre segurança robótica...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Boletim semanal de cibersegurança 30 outubro-5 novembroTelefónica Tech 5 noviembre, 2021 Trojan Source: vulnerabilidade em compiladores de código fonte Pesquisadores da Universidade de Cambridge publicaram um artigo detalhando um novo método de ataque chamado «Trojan Source» que permite explorar uma falha presente na maioria dos compiladores de código-fonte e ambientes de desenvolvimento de software existentes. O método aproveita as características dos padrões de codificação de texto, como o Unicode, fazendo modificações que geram vulnerabilidades no código-fonte que passariam despercebidas por um humano e poderiam ser implementadas nas principais linguagens de programação como C, C++, C#, Java Script, Java, Rust, Go e Python. Como resultado, tal ataque geraria um comprometimento da cadeia de fornecimento de software. Além disso, a pesquisa adverte que as vulnerabilidades introduzidas no código-fonte persistem nas funções de cópia e cola da maioria dos navegadores, editores e sistemas operacionais modernos, o que significa que qualquer desenvolvedor que copie código de uma fonte não confiável em uma base de código protegida poderia inadvertidamente introduzir vulnerabilidades «invisíveis» em um sistema. Os pesquisadores já compartilharam essas descobertas com 19 organizações envolvidas, muitas das quais já estão desenvolvendo atualizações para abordar o problema em compiladores de código, intérpretes, editores de código e repositórios (por exemplo, Rust catalogou com o identificador CVE-2021-42574). Há também diferentes provas de conceito que simulam ataques nas linguagens de programação descritas. Mais informações: https://trojansource.codes/trojan-source.pdf BlackMatter anuncia o encerramento das operações sob pressão das autoridades Atores de ameaças relacionados ao ransomware BlackMatter anunciaram o encerramento das operações devido à pressão das autoridades locais. Pesquisadores da plataforma VX-Underground divulgaram uma captura de tela da declaração, publicada no site privado RaaS (Ransomware-as-a-service), onde os operadores se comunicam e oferecem seus serviços às afiliadas. A tradução da mensagem, originalmente escrita em russo, afirma que a infraestrutura da BlackMatter será fechada nas próximas 48 horas, embora eles abram a possibilidade de continuar a fornecer aos afiliados os decodificadores necessários para continuar com suas operações de extorsão. Alguns meios de comunicação apontam que a motivação do grupo responde à recente publicação de relatórios da Microsoft e da Gemini Advisory que ligaram o grupo FIN7 (considerados os criadores da BlackMatter) a uma empresa pública Bastion Secure, bem como o aumento das prisões de indivíduos pertencentes a outros grupos de ransomware. Saiba mais: https://twitter.com/vxunderground/status/1455750066560544769 Trojan bancário Mekotio reaparece com campanha melhorada Pesquisadores do Checkpoint detectaram uma nova campanha do Trojan bancário Mekotio com mais de cem ataques nas últimas semanas usando e-mails de phishing contendo links maliciosos ou anexos zip. Segundo os pesquisadores, essa nova onda de ataques começou após a operação realizada pela Guarda Civil Espanhola em julho passado que resultou na prisão de 16 pessoas envolvidas na distribuição desse malware. No entanto, as indicações atuais apontam o Brasil como o centro de comando dos operadores de Mekotio, embora mantenha alguma colaboração da Espanha. O principal objetivo da Mekotio é o roubo de credenciais bancárias de usuários de língua espanhola e sua versão atual traz consigo novidades marcantes em seu fluxo de ataque, uma vez que seus desenvolvedores alcançaram maior ocultação e discrição ao implementar suas técnicas. Além de ter mais camadas de ofuscação, o zip anexado em e-mails de phishing contém um script com recursos de localização e análise que permitem que as vítimas sejam discriminadas com base em sua nacionalidade ou até mesmo detectem se o malware está sendo executado a partir de uma máquina virtual, permitindo que o ator ameace escapar da detecção e, portanto, implantar com sucesso o malware. Mais informações: https://research.checkpoint.com/2021/mekotio-banker-returns-with-improved-stealth-and-ancient-encryption/ Campanha do ator ameaça Tortilla distribuindo o Ransomware Babuk Os pesquisadores de segurança da Cisco Talos identificaram uma campanha ativa que visa implantar o ransomware babuk através da exploração de servidores microsoft Exchange vulneráveis ao ProxyShell e PetitPotam. Esta campanha seria liderada pelo ator de ameaças conhecido como Tortilla, um grupo que está ativo desde julho de 2021 e cujo principal objetivo são as organizações localizadas nos Estados Unidos, bem como o Reino Unido, Alemanha, Ucrânia, Finlândia, Brasil, Honduras e Tailândia, em menor grau. O processo de infecção geralmente começa com um download no formato DLL ou EXE, que executará um comando PowerShell ofuscado e baixará a carga final do ransomware Babuk inserindo-o em um novo processo criado ad-hoc (AddInProcess32). Além disso, os pesquisadores também observaram a presença da webshell do Helicóptero da China em múltiplos sistemas infectados; bem como a tentativa de exploração de outras vulnerabilidades em Atlassian, Apache Struts, Oracle WebLogic ou WordPress. Saiba mais: https://blog.talosintelligence.com/2021/11/babuk-exploits-exchange.html Boletim semanal de cibersegurança 23-29 outubroOs 4 passos necessários para adequação da sua empresa às boas práticas de segurança da informação
Telefónica Tech Boletim semanal de cibersegurança, 13—20 maio VMware corrige vulnerabilidades críticas em vários de seus produtos A VMware lançou um aviso de segurança para abordar uma vulnerabilidade de desvio de autenticação crítica que afeta vários de seus...
Telefónica Tech Boletim semanal de cibersegurança, 7—13 maio Vulnerabilidade no BIG-IP explorada para exclusão de informações Em 4 de maio, o F5 corrigiu, entre outros, uma vulnerabilidade que afetou dispositivos BIG-IP (CVE-2022-1388 CVSSv3 9.8), o que poderia permitir...
Telefónica Tech Boletim semanal de cibersegurança, 30 abril — 6 maio TLStorm 2 – Vulnerabilidades em Switches Aruba e Avaya Pesquisadores da Armis descobriram cinco vulnerabilidades na implementação de comunicações TLS em vários modelos de switch Aruba e Avaya. Especificamente, as...
Telefónica Tech Boletim semanal de cibersegurança 22–29 Abril Nova campanha de distribuição RedLine maliciosa Pesquisadores do BitDefender publicaram um relatório sobre uma nova campanha de distribuição de malware na RedLine. De acordo com analistas, atores mal-intencionados estariam fazendo...
Telefónica Tech Boletim semanal de cibersegurança 16–22 Abril Fodcha: nova botnet DdoS Pesquisadores da 360netlab e da CNCERT descobriram uma nova botnet focada na realização de ataques de negação de serviço, que estariam se expandindo rapidamente na Internet. Esta...
Telefónica Tech Boletim semanal de cibersegurança 1–8 Abril Resumo dos principais ataques e vulnerabilidades encontrados por nossos especialistas durante a última semana