Boletim semanal de cibersegurança 9-15 outubro

Telefónica Tech    15 octubre, 2021

Boletim de Segurança da Microsoft

A Microsoft publicou seu boletim de segurança para o mês de outubro, no qual corrigiu um total de 81 falhas em seu software, incluindo 4 vulnerabilidades de 0 day. Das 81 falhas, 3 foram categorizadas com gravidade crítica. O primeiro 0 day, categorizado como CVE-2021-40449 e com CVSS de 7,8, teria sido explorada para realizar ataques em campanhas contra empresas de TI, entidades militares e diplomáticas. O segundo 0 day (CVE-2021-40469 e CVSS 7.2) é uma vulnerabilidade de execução remota de código no Windows DNS Server. O terceiro (CVE-2021-41335 e CVSS 7.8) é uma elevação da falha de privilégio no kernel do Windows; e, finalmente, categorizado como CVE-2021-41338 e com CVSS 5.5, uma vulnerabilidade de evasão de segurança é encontrada no Firewall Windows AppContainer. Por outro lado, os 3 bugs de gravidade crítica corrigida correspondem a vulnerabilidades de execução de código remoto, dois deles no Windows Hyper-V (CVE-2021-38672 e CVE-2021-40461) e o resto(CVE-2021-40486) no Microsoft Word. Recomendamos que você aplique atualizações de segurança o mais rápido possível.

Vulnerabilidade em plataformas NFTno OpenSea permitem roubar carteiras de criptomoedas

Pesquisadores da CheckPoint detectaram que atores mal-intencionados poderiam esvaziar carteiras de criptomoedas através de plataformas NFT maliciosas no OpenSea, um dos maiores mercados digitais para negociação de ativos criptográficos. Esta plataforma, ativa desde 2018, tem um total de 24 milhões de NFT (tokens não fungíveis), atingindo um volume de até 3.400 milhões de dólares apenas em agosto de 2021. O método de ataque usado é criar um NFT no qual o agente de ameaça inclui uma carga maliciosa e, em seguida, distribui-a para as vítimas. Vários usuários relataram que suas carteiras foram esvaziadas após receberem supostos presentes no mercado OpenSea, uma tática de marketing conhecida como «airdrop» usada para promover novos ativos virtuais. Do CheckPoint eles identificaram que a plataforma permite o upload de arquivos com múltiplas extensões (JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF), então eles fizeram um teste para reproduzir o cenário do ataque, carregando um SVG com uma carga de pagamento maliciosa usada para esvaziar as carteiras de possíveis vítimas. Os bugs relatados foram corrigidos.

Ataques cibernéticos contra sistemas de tratamento de água

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um novo alerta sobre ataques cibernéticos contra instalações de processamento de água potável e efluentes. A atividade observada inclui tentativas de comprometer a integridade dos sistemas através de acesso não autorizado realizado por atores de ameaças conhecidos e desconhecidos. A nota também aponta para deficiências conhecidas em entidades do setor, como sua suscetibilidade a ataques de spearphishing, a exploração de sistemas de software e controle obsoletos e sem suporte, bem como a exploração de sistemas de acesso remoto. Ao longo de 2021, houve vários incidentes relevantes que se encaixariam nesse esquema, como a identificação, em agosto, de amostras de ransomware pertencentes às famílias Ghost e ZuCaNo nos sistemas SCADA de plantas na Califórnia, Nevada e Maine. Da mesma forma, vale lembrar o incidente ocorrido em fevereiro em uma estação de tratamento de água na Flórida, onde um ator de ameaça conseguiu modificar os volumes de produtos químicos descarregados nas bacias de purificação.

Os alertas do Google sobre ataques apoiados pelo governo aumentam 33%

A equipe do Grupo de Análise de Ameaças (TAG) do Google, publicou informações sobre o número de avisos gerados por seu sistema de alerta «Security warnings for suspected state-sponsored attacks» iniciado em 2012.  Especificamente, no decorrer de 2021, esse sistema já enviou mais de 50 mil avisos aos usuários, o que representa um aumento de 33% em relação ao mesmo período de 2020. De acordo com o Google, este serviço monitora mais de 270 grupos de invasores em 50 países diferentes, gerando avisos no momento em que tentativas de phishing, distribuição de malware ou ataques de força bruta cuja origem está relacionada à infraestrutura de atores de ameaças apoiadas por governos conhecidos como Privateers. Durante 2021, o Google destaca dois atores de ameaças sobre o resto, levando em conta o impacto causado por suas campanhas focadas em ativistas, jornalistas, funcionários do governo ou trabalhadores de estruturas de segurança nacional, identificados como APT28 ou «Fancy Bear« com o apoio da Rússia e APT35 ou «Charming Kitten», um ator de ameaça iraniano ativo desde pelo menos 2014. Além disso, a publicação aponta que, no caso de receber um alerta desse tipo, significa que a conta é considerada como um «alvo» e não implica necessariamente que ela tenha sido comprometida, por isso incentivam os usuários a se cadastrarem por esse serviço ou possibilitarem na sua ausência o duplo fator de autenticação em suas contas.

TrickBot duplica e diversifica seus esforços de infecção

Pesquisadores da IBM rastrearam a atividade do grupo ITG23, também conhecido como TrickBot Gang e Wizard Spider, depois de observar um aumento na expansão dos canais de distribuição usados para infectar organizações e empresas com Trickbot e BazarLoader, amostras usadas para organizar ataques de ransomware e extorsão direcionados. Após as análises realizadas, a IBM estima que esse aumento poderia ter contribuído para o pico de atividade do ransomware Conti alertado pela CISA em setembro passado.   Pesquisadores também associaram o ITG23 a dois grupos afiliados à distribuição de malware, como hive0106 (também conhecido como TA551) e Hive0107. Estes são caracterizados por ataques perpetrados com o objetivo de infectar redes corporativas com malware, usando técnicas como sequestrar threads de e-mail, usar formulários falsos de resposta ao atendimento ao cliente, além do uso de call centers undeground empregados em campanhas bazarCall. Esses TTPs estariam desencadeando um aumento nas tentativas de infecção por esses grupos.  

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *