Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Boletim semanal de cibersegurança 4-10 dezembroTelefónica Tech 10 diciembre, 2021 Governo do catalão sofre ataque do DDoS De acordo com o comunicado emitido pela Generalitat, o Centro de Telecomunicações e Tecnologias da Informação (CTTI) detectou na última sexta-feira um ataque cibernético que comprometeu mais de 2.000 aplicativos de computador da agência por aproximadamente 3 horas. Especificamente, o ataque sofrido foi a negação de serviço (DDoS), que consiste no colapso dos serviços, aumentando o volume de tráfego para servidores aumentarem seu tempo de processamento. Em relação à sua origem, a Generalitat indicou que as primeiras investigações indicam que poderia ser um ataque contraído através da dark web, embora no momento não haja confirmação sobre isso. Vários sites e serviços dependentes da Generalitat, como la Meva Salut, foram afetados e outros serviços como televisão catalã, TV3 ou Catalunya Ràdio também tiveram problemas técnicos. Finalmente, em um período de no máximo três horas, a situação foi controlada e a normalidade foi retomada como a própria agência já garantiu. Emotet: novas campanhas que usam Trickbot e Cobalt Strike em suas infecções Pesquisadores da CheckPoint publicaram uma análise do ressurgimento do Emotet. De acordo com os pesquisadores, as novas campanhas observaram o uso do Trickbot como vetor de entrada, um dos malwares mais usados, que nos últimos meses teria infectado até 140.000 vítimas em todo o mundo, com mais de 200 campanhas e milhares de endereços IP em dispositivos comprometidos. Trickbot, como Emotet, é comumente usado para eventualmente distribuir ransomware, como Ryuk ou Conti. Do CheckPoint, eles analisam essas novas campanhas onde foi observado que a Trickbot estaria distribuindo a Emotet, da qual eles apontam que teria melhorado suas capacidades com novas ferramentas como: o uso de criptografia de curva elíptica em vez de RSA, melhorias em seus métodos de achatamento do fluxo de controle ou adicionando à infecção inicial o uso de pacotes maliciosos de instalação de aplicativos Windows que imitam software legítimo. Por outro lado, deve-se notar também que os pesquisadores do Cryptolaemus detectaram nos últimos dias que a Emotet estaria instalando diretamente o Cobalt Strike nos dispositivos comprometidos, o que aceleraria o processo de infecção dando acesso imediato a movimentos laterais, roubo de dados ou distribuição de ransomware. Vulnerabilidade rce no Windows 10 e 11 Pesquisadores de segurança da Positive Security descobriram uma vulnerabilidade remota de execução de código no Windows 10 e 11. Essa falha ocorre através do Internet Explorer 11/Edge Legacy, o navegador padrão na maioria dos dispositivos Windows, e é desencadeada através de uma injeção de argumentos no URI do manipulador padrão do Windows ms officecmd. Um invasor pode explorar essa vulnerabilidade através de um site malicioso que permite um redirecionamento para uma URL criada pelo ms-officecmd. Deve-se notar que para a exploração funcionar, as Equipes Microsoft devem ser instaladas no sistema. A Positive Security relatou a falha à Microsoft em março passado, que a descartou no início. No entanto, após o recurso dos investigadores, já era considerado uma decisão crítica. Em agosto, a Microsoft corrigiu parcialmente, permitindo-se ainda injetar argumentos. Vulnerabilidade 0 day em Apache Log4j Um PoC foi lançado para uma vulnerabilidade de 0 day recentemente atribuído CVE-2021-44228, de execução de código no Apache Log4j, uma biblioteca de código aberto desenvolvida em Java que permite aos desenvolvedores de software salvar e escrever mensagens de registro que são usadas em vários aplicativos de empresas em todo o mundo. Essa falha permitiria que códigos maliciosos fossem executados em servidores ou clientes de aplicativos, sendo um dos mais proeminentes aquele que executa versões Java do videogame Minecraft, manipulando as mensagens de registro e até mesmo as mensagens inseridas no chat do próprio jogo. De acordo com os pesquisadores da LunaSec, as versões Java superiores a 6u211, 7u201, 8u191 e 11.0.1 não são afetadas por este vetor de ataque. Além disso, da LunaSec indicam que os serviços em nuvem do Steam e do Apple iCloud também foram afetados. Por fim, observe que as versões apache log4j afetadas são 2.0 a 2.14.1, corrigindo essa falha de segurança na versão 2.15.0. Análise do ator estatal russo Nobelium Pesquisadores da mandiantes publicaram um artigo detalhando operações realizadas por Nobelium, um ator associado ao Serviço russo de Inteligência Estrangeira (SVR). A Mandiant apontou que entre as táticas usadas por esse grupo para obter acesso inicial à infraestrutura da vítima destacam-se: o uso de credenciais comprometidas em campanhas anteriores de malware onde o ladrão CRYPTBOT foi usado, o compromisso dos provedores de serviços em nuvem (CSP) e o abuso de notificações push (MFA). Uma vez obtido o primeiro acesso, o ator tenta alcançar persistência e aumentar privilégios usando o protocolo RDP, usando WMI e PowerShell para distribuir o backdoor BEACON na rede da vítima. Este backdoor foi usado mais tarde para instalar uma nova ferramenta que eles chamaram de CEELOADER, um download que se comunicaria via HTTP com o C2 do Nobelium, e que distribui Cobalt Strike. Além disso, a Mandiant destacou o uso de serviços residenciais de proxies IP para autenticar nos sistemas da vítima e o uso do WordPress comprometido, onde hospedam as cargas que levarão ao segundo estágio da cadeia de infecção. Da mesma forma, da Agência Nacional francesa de Cibersegurança (ANSSI) eles emitiram uma declaração onde especificam que desde fevereiro passado várias campanhas contra organizações francesas do ator russo foram detectadas. Transformação digital nas pequenas e médias empresas e cibersegurançaCiberataque é o principal risco para a próxima crise financeira mundial
Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Telefónica Tech Boletim semanal de Cibersegurança 8 – 14 Abril Apple corrige duas novas vulnerabilidades de 0-day exploradas ativamente A Apple lançou novos avisos de segurança sobre duas novas vulnerabilidades de 0-day exploradas ativamente que afetam iPhones, Macs e iPads....
Telefónica Tech Boletim semanal de Cibersegurança 25 – 31 Março GitHub expôs sua chave de host RSA SSH por engano O GitHub anunciou na sexta-feira passada que substituiu sua chave de host RSA SSH usada para proteger as operações do...
Telefónica Tech Boletim semanal de Cibersegurança 17 – 24 Março HinataBot: nova botnet dedicada a ataques DDoS A equipe de pesquisadores da Akamai publicou um relatório no qual eles identificaram uma nova botnet chamada HinataBot que teria a capacidade de realizar ataques...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Março Nova versão do Trojan bancário Xenomorph Pesquisadores do ThreatFabric detectaram uma nova variante do Trojan bancário para Android Xenomorph. Essa família de malware foi detectada pela primeira vez em fevereiro...
