Uma nova arma está na mão dos cibercriminosos: trata-se da ferramenta open-source de mapeamento chamada SSH-Snake. Desenvolvida com o propósito de realizar mapeamento automático de redes e suas dependências com chaves privadas SSH descobertas em sistemas, em um movimento de segurança ofensiva, esta ferramenta acabou sendo ressignificada nas mãos de agentes maliciosos, transformando-a num worm auto-modificável que, ao identificar credenciais SSH em um ambiente comprometido, começa-se a espalhar dentro da rede de forma automatizada, identificando localizações de credenciais e histórico de arquivos shell e, assim, determinando seu próximo movimento. Outra funcionalidade deste script é a possibilidade de resolução de domínios que possuam múltiplos endereços IPv4. Atacantes têm utilizado o SSH-Snake em ambientes reais, tanto para descobrir credenciais e endereços de IP de alvos, quanto para recuperar o histórico de comandos bash de uma vítima - combinando o uso deste script com vulnerabilidades anteriormente descobertas, como as presentes no Apache ActiveMQ e instâncias do Atlassian Confluence, como forma de ganhar acesso inicial.
Para o desenvolvedor da ferramenta, Joshua Rogers, o incidente deve ser olhado de um ponto de vista de segurança ofensiva, uma vez que o script SSH-Snake possibilita a identificação legítima de falhas na infraestrutura antes que atacantes o façam e, consequentemente, possibilitando o seu conserto antes de um potencial ataque. Rogers também comenta que todas as funcionalidades de sua ferramenta poderiam ser exploradas de forma manual, o que demonstra a fragilidade que alguns sistemas foram arquitetados.
Criptografador de última geração em construção pelo LockBit
Os desenvolvedores do ransomware LockBit, cuja operação recentemente foi desmantelada pelas autoridades policiais, estavam no processo de criação de uma nova versão, LockBit-NG-Dev, potencialmente LockBit 4.0, quando a aplicação da lei interveio. A Agência Nacional do Crime do Reino Unido em colaboração com a empresa de segurança cibernética Trend Micro analisou uma amostra do mais recente desenvolvimento do LockBit que, segundo eles, pode funcionar em vários sistemas operacionais. O malware anterior foi construído em C/C++, porém, o programa mais novo é um trabalho escrito em .NET que parece ter sido compilado com CoreRT e empacotado com MPRESS. A Trend Micro ressaltou que o malware inclui um arquivo de configuração no formato JSON, o qual descreve os parâmetros de execução, como intervalo de datas, detalhes da nota de resgate, IDs exclusivos, chave pública RSA e outros sinalizadores operacionais. De acordo com a análise, o malware suportaria três modos de criptografia (usando AES + RSA), “rápido”, “intermitente” e “completo”, e poderia randomizar a nomenclatura do arquivo para complicar os esforços de restauração. Para mais detalhes sobre o estudo realizado, a empresa de segurança publicou uma análise técnica, que revela os parâmetros completos de configuração do LockBit-NG-Dev. Apesar de os servidores de backup permanecerem sob controle do grupo LockBit, a descoberta do código-fonte do suposto novo malware representa agora mais um desafio para o retorno da operação no futuro.
Microsoft: A big tech, em colaboração com Agência de Segurança Cibernética e de Infraestrutura (CISA), Escritório de Gestão e Orçamento (OMB) e Gabinete do Diretor Nacional Cibernético (ONCD) norte-americanos, está aprimorando os recursos de log para Purview Audit (Standard) visando atender aos requisitos de log OMB 21-31 para clientes do governo dos EUA. Este esforço busca fornecer telemetria adicional para a caça de ameaças, concentrando-se no comprometimento de e-mail comercial, ameaças de estado-nação e riscos internos.
Apple: Foi lançado o PQ3, um protocolo criptográfico pós-quântico para iMessage, que atinge segurança de nível 3 com criptografia resiliente a comprometimentos e defesas contra ataques quânticos. É a mais recente proteção de segurança erguida pela Apple no iMessage depois que ela mudou de RSA para criptografia de curva elíptica (ECC) e implementou a proteção de chaves de criptografia em dispositivos com o Secure Enclave em 2019.
PyRIT: A Microsoft lançou seu novo framework automatizado de identificação de riscos: o PyRIT (Python Risk Identification Tool). Sua principal funcionalidade é identificar riscos em sistemas generativos de inteligência artificial, em um esforço para possibilitar que organizações possam inovar de forma responsável com o uso destas tecnologias. Ainda de acordo com a big tech, o PyRIT pode ser usado para avaliar a robustez do grande modelo de linguagem (LLM) contra diferentes tipos de ameaça, uso inadequado e conteúdo proibido, bem como pode identificar violações de segurança, desde geração de malware e jailbreaking até roubo de identidade e outras preocupações com a privacidade.
AT&T: Uma interrupção da rede da AT&T, iniciada ontem (22 de fevereiro), afetou gravemente as redes celulares nos Estados Unidos. A interrupção continua em andamento, e a empresa ainda não forneceu informações sobre a causa. Especulações surgiram diante do ocorrido e suas causas, dentre elas explosões solares, problemas em satélites, ataques cibernéticos…A Agência de Segurança Cibernética e de Infraestrutura dos EUA está “trabalhando em estreita colaboração com a AT&T para compreender a causa da interrupção e seus impactos, e está pronta para oferecer qualquer assistência necessária”, disse Eric Goldstein, diretor executivo assistente de segurança cibernética da agência, em uma declaração à CNN.
Avast: A Federal Trade Commission (FTC) ordenou que a Avast pagasse US$16,5 milhões e parasse de vender ou licenciar dados de navegação na web de clientes para fins publicitários. A Avast, apesar de alegar proteger a privacidade dos usuários, supostamente vendeu dados detalhados de navegação dos consumidores a terceiros, levando a práticas enganosas e comprometendo a privacidade dos usuários.
Vulnerabilidades Wi-Fi: Pesquisadores de segurança da informação conseguiram identificar duas vulnerabilidades, CVE-2023-52160 e CVE-2023-52161, capazes de bypassar os softwares de Wi-Fi open-source encontrados em dispositivos Android, Linux e ChromeOS. Estas vulnerabilidades permitem a um atacante criar um clone malicioso de uma rede maliciosa ou até mesmo possibilitar que este atacante se conecte a uma rede confiável e privada sem o uso de senha. As formas de exploração de ambas as vulnerabilidades se dão de forma diferente: a CVE-2023-52160 afeta clientes que não configuraram corretamente a verificação de certificados no servidor de autenticação, ao passo que a CVE-2023-52161 afeta todas as redes que utilizam um dispositivo Linux como um ponto de acesso wireless (WAP). Recomenda-se a usuários de android que configurem manualmente o certificado CA de todas as redes corporativas salvas em seus dispositivos para evitar este tipo de ataque.
ScreenConnect: Uma nova falha no software ScreenConnect, uma aplicação de desktop remoto auto-hospedado, está sendo explorada para permitir a execução remota de código (RCE) em ataques de ransomware. A falha, identificada como CVE-2024-1709, possui máxima criticidade e começou a ser explorada na terça-feira, dia 20 de fevereiro de 2023, em um ataque construído em cima de uma das versões vazadas do LockBit. Todas as versões do aplicativo estão vulneráveis.