Daily Cyber
Bem-vindo ao Daily de Cibersegurança! Aqui, destacamos as últimas notícias do mercado de segurança cibernética.
O RIG Exploit Kit é um conjunto de scripts JavaScript maliciosos que exploram vulnerabilidades no navegador para instalar malware no dispositivo. Em média, o RIG EK tenta 2.000 invasões por dia em mais de 200 países e tem uma taxa de sucesso de cerca de 30%. Entre os malwares distribuídos pelo RIG EK estão Dridex, SmokeLoader e RaccoonStealer. Embora o proprietário tenha anunciado o encerramento do serviço em 2021, o RIG 2.0 retornou em 2022 com duas novas explorações, atingindo a maior taxa de violação bem-sucedida já registrada. A Prodaft alerta que o RIG EK continua sendo uma ameaça significativa para indivíduos e organizações.
A editora de jogos americana Activision sofreu uma violação de dados em dezembro de 2022, quando hackers induziram um funcionário de RH a doar suas credenciais através de um ataque de phishing baseado em SMS. Os hackers postaram dados supostamente roubados da Activision em um fórum de hackers, incluindo nomes completos, números de telefone, cargos, locais e endereços de e-mail de 19.444 supostos funcionários da empresa. Embora a Activision tenha afirmado que nenhum dado sensível dos funcionários foi acessado, a mídia afirmou que os dados roubados continham detalhes confidenciais dos funcionários. A postagem dos dados dos funcionários no fórum tornou essas informações disponíveis para um público maior, aumentando o risco de os funcionários da Activision serem alvo de ataques de phishing e engenharia social.
O tema Houzez e o plugin Houzez Login Register para WordPress, ambos usados em sites imobiliários, têm duas vulnerabilidades críticas sendo ativamente exploradas por hackers. Descobertas pelo pesquisador de ameaças do Patchstack, Dave Jong, essas vulnerabilidades permitem que atacantes não autenticados executem escaladas de privilégios, permitindo que invasores assumam o controle completo do site WordPress. As vulnerabilidades afetam versões mais antigas dos complementos e foram corrigidas nas versões 2.6.4 (agosto de 2022) e 2.7.2 (novembro de 2022), mas alguns sites ainda não aplicaram as atualizações de segurança. Os ataques observados pelos pesquisadores envolvem a criação de um backdoor capaz de executar comandos, injetar anúncios no site ou redirecionar o tráfego para outros sites maliciosos. É altamente recomendável que os proprietários e administradores de sites que usam esses complementos atualizem suas versões o mais rápido possível para evitar essas ameaças.
Analistas de ameaças da CYFIRMA descobriram que atores de ameaças estão promovendo uma nova estrutura pós-exploração chamada "Exfiltrator-22", projetada para espalhar ransomware em redes corporativas enquanto evita a detecção. A nova estrutura foi criada por ex-afiliados do Lockbit 3.0, especialistas em anti-análise e evasão de defesa, oferecendo uma solução robusta em troca de uma taxa de assinatura. Os compradores recebem um painel de administração hospedado em um servidor privado virtual VPS à prova de balas, de onde podem controlar o malware da estrutura e emitir comandos para sistemas comprometidos. O Exfiltrator-22 inclui recursos comumente encontrados em outros kits de ferramentas pós-exploração, mas também recursos adicionais voltados para a implantação de ransomware e roubo de dados. Os analistas da CYFIRMA encontraram evidências de que afiliados do LockBit 3.0 ou membros da equipe de desenvolvimento da operação de ransomware estão por trás do Exfiltrator-22. Infelizmente, o Exfiltrator-22 parece ter sido criado por autores de malware com conhecimento que possuem as habilidades necessárias para desenvolver uma estrutura evasiva.
Recomendados pelo LinkedIn
O Serviço de Marshals dos EUA está investigando o roubo de informações confidenciais da polícia após um ataque de ransomware que afetou um sistema independente da agência. Dados roubados incluem informações de identificação pessoal de funcionários, retornos de processos legais, informações administrativas e informações de identificação pessoal relacionadas a investigações. O sistema afetado já foi desconectado da rede USMS e o ataque está sob investigação ativa. Em maio de 2020, mais de 387.000 ex-detentos e atuais tiveram suas informações divulgadas após um incidente em dezembro de 2019. O FBI também revelou um incidente de segurança cibernética em sua rede que agora está contido.
LastPass, um serviço de gerenciamento de senhas, divulgou informações adicionais sobre um segundo ataque coordenado que ocorreu após uma violação em dezembro, na qual os atacantes roubaram dados de cofre de senha parcialmente criptografados e informações do cliente. O novo ataque usou informações roubadas em uma violação anterior, além de uma vulnerabilidade de execução remota de código para instalar um keylogger no computador de um engenheiro sênior de DevOps. Como resultado, o invasor obteve acesso aos buckets criptografados da Amazon S3 da empresa. O uso de credenciais válidas dificultou a detecção da atividade do atacante, permitindo que ele acessasse e roubasse dados dos servidores de armazenamento em nuvem do LastPass por mais de dois meses, entre 12 de agosto de 2022 e 26 de outubro de 2022. A empresa divulgou informações detalhadas sobre os dados do cliente que foram roubados durante o ataque.
A Cisco anunciou a aquisição da startup Valtix, que ajuda as empresas a protegerem seus ambientes em várias nuvens. Como investidora estratégica da Valtix desde 2020, a Cisco apoia o compromisso da empresa em simplificar a segurança da rede, protegendo as cargas de trabalho, independentemente da nuvem em que são criadas ou consumidas. A Valtix deve se encaixar em outras aquisições de empresas de segurança da Cisco nos últimos anos, como a Duo Security em 2018 e a Kenna Security em 2021. As empresas esperam que o acordo seja fechado até o final do terceiro trimestre do ano fiscal de 2023.
De acordo com a Momentum Cyber, o financiamento de capital de risco no setor de segurança cibernética diminuiu em relação ao ano anterior, mas ainda totalizou US$ 18,5 bilhões em 2022. O aumento dos ataques cibernéticos tem motivado a busca por soluções de segurança, impulsionando muitas startups no setor, incluindo a Wiz, uma empresa de segurança em nuvem. A Wiz levantou US$ 300 milhões em uma rodada da Série D, co-liderada pela Lightspeed Venture Partners e pela Greenoaks Capital Partners, avaliando a empresa em cerca de US$ 10 bilhões. O novo dinheiro será destinado ao desenvolvimento de produtos e à contratação. A Wiz é considerada a maior unicórnio de segurança cibernética do mundo e foi fundada em março de 2020 por uma equipe com mais de 20 anos de experiência no setor.
Um relatório sobre a evolução do ransomware destaca que, à medida que a criptomoeda se torna mais comum, ela se torna um alvo mais atraente para cibercriminosos. Além de lucrar com o ransomware, muitos estão optando por roubar criptomoedas diretamente através de malware ou campanhas de phishing, esperando pagamentos maiores. O relatório também alerta que, com os atores de ransomware cada vez mais visando grandes empresas, os governos podem recrutar hackers ameaçadores em vez de processá-los. A fusão com grupos não-ransomware de primeira linha, a manipulação do mercado de ações e o comprometimento da cadeia de suprimentos também são possibilidades. O ransomware continua a ser um grande problema em todo o mundo, e os especialistas acreditam que é provável que continue a evoluir à medida que os cibercriminosos buscam maneiras mais lucrativas de realizar seus ataques.
Referências: BleepingComputer; CYFIRMA; TechCrunch; Trend Micro;
Patchstack; Prodaft