Principais ameaças e tendências da semana passada (16 a 22 de setembro)

Principais ameaças e tendências da semana passada (16 a 22 de setembro)

Segurem firme, pessoal, porque o cenário da segurança cibernética da semana passada foi uma montanha-russa! Testemunhamos de tudo, desde hackers norte-coreanos balançando “empregos dos sonhos” para expor um novo malware, até uma reviravolta surpreendente na saga Apple vs. NSO Group. Até mesmo o mundo aparentemente mundano de nomes de domínio e configurações de nuvem teve sua cota de drama. Vamos mergulhar nos detalhes e ver quais lições podemos extrair da semana passada.

⚡ Ameaça da Semana

Botnet do Raptor Prepare desmantelada: O governo dos EUA anunciou a derrubada da botnet Raptor Prepare controlada por um agente de ameaça vinculado à China conhecido como Flax Storm. A botnet consistia em mais de 260.000 dispositivos em junho de 2024, com vítimas espalhadas pela América do Norte, Europa, Ásia, África, Oceania e América do Sul. Também atribuiu o agente de ameaça Flax Storm a uma empresa de capital aberto sediada em Pequim conhecida como Integrity Know-how Group.

🔔 Principais notícias

  • Novo malware do Lazarus Group: O grupo de espionagem cibernética ligado à Coreia do Norte conhecido como UNC2970 (também conhecido como TEMP.Hermit) foi observado utilizando iscas de phishing com tema de trabalho para atingir possíveis vítimas em setores de energia e aeroespacial e infectá-las com um backdoor não documentado anteriormente chamado MISTPEN. A atividade também é rastreada como Operation Dream Job.
  • iServer e Ghost desmontados: Em mais uma grande vitória para as agências de aplicação da lei, a Europol anunciou a derrubada de uma rede criminosa internacional que alavancava uma plataforma de phishing para desbloquear celulares roubados ou perdidos. A agência, em parceria com a Polícia Federal Australiana (AFP), desmantelou uma rede de comunicações criptografadas chamada Ghost que permitia crimes sérios e organizados em todo o mundo.
  • APT iraniano atua como provedor de acesso inicial: Um ator de ameaça iraniano rastreado como UNC1860 está agindo como um facilitador de acesso inicial que fornece acesso remoto a redes alvo ao implantar vários backdoors passivos. Esse acesso é então alavancado por outros grupos de hackers iranianos afiliados ao Ministério de Inteligência e Segurança (MOIS).
  • Apple desiste de processo contra NSO Group: A Apple entrou com uma moção para rejeitar “voluntariamente” o processo que está movendo contra o fornecedor israelense de adware comercial NSO Group, citando um cenário de risco em mudança que pode levar à exposição de informações críticas de “inteligência de ameaças”. O processo foi aberto em novembro de 2021.
  • Ataques de phishing exploram cabeçalhos HTTP: Uma nova onda de ataques de phishing está abusando de entradas de atualização em cabeçalhos HTTP para entregar páginas de login de e-mail falsificadas que são projetadas para coletar credenciais de usuários. Os alvos das campanhas incluem entidades na Coreia do Sul e nos EUA

📰 Ao redor do mundo cibernético

  • Sandvine deixa 56 países “não democráticos”: A Sandvine, empresa por trás de middleboxes que facilitaram a entrega de adware comercial como parte de ataques altamente direcionados, disse que saiu de 32 países e está em processo de cessar operações em outros 24 países, citando ameaças elevadas aos direitos digitais. No início de fevereiro, a empresa foi adicionada à Lista de Entidades dos EUA. “O uso indevido da tecnologia de inspeção profunda de pacotes é um problema internacional que ameaça eleições livres e justas, direitos humanos básicos e outras liberdades digitais que acreditamos serem inalienáveis”, disse. Não divulgou a lista de países dos quais está saindo como parte da revisão.
  • Domínio .mobi adquirido por US$ 20: Pesquisadores do watchTowr Labs gastaram apenas US$ 20 para adquirir um domínio de servidor WHOIS legado associado ao domínio de nível superior (TLD) .mobi e configurar um servidor WHOIS naquele domínio. Isso levou à descoberta de que mais de 135.000 sistemas exclusivos ainda consultavam o antigo servidor WHOIS em um período de cinco dias que terminou em 4 de setembro de 2024, incluindo ferramentas de segurança cibernética e servidores de e-mail para entidades governamentais, militares e universitárias. A pesquisa também mostrou que o processo TLS/SSL para todo o TLD .mobi foi prejudicado, pois várias Autoridades de Certificação (CAs) ainda estavam usando o servidor WHOIS “desonesto” para “determinar os proprietários de um domínio e para onde os detalhes de verificação devem ser enviados”. Desde então, o Google pediu a interrupção do uso de dados WHOIS para verificações de domínio TLS.
  • Configurações incorretas do ServiceNow vazam dados confidenciais: Milhares de empresas estão inadvertidamente expondo segredos de seus artigos de base de conhecimento interno (KB) por meio de configurações incorretas do ServiceNow. A AppOmni atribuiu o problema a “configurações desatualizadas e controles de acesso mal configurados em KBs”, provavelmente indicando “um mal-entendido sistemático dos controles de acesso de KB ou possivelmente a replicação acidental de pelo menos os controles ruins de uma instância para outra por meio de clonagem”. O ServiceNow publicou orientações sobre como configurar suas instâncias para evitar acesso não autenticado a artigos de KB.
  • Falha de IA do Google Cloud Doc corrigida: Falando em configurações incorretas, pesquisadores descobriram que configurações excessivamente permissivas no serviço Doc AI do Google Cloud podem ser aproveitadas por agentes de ameaças para invadir buckets do Cloud Storage e roubar informações confidenciais. A Vectra AI descreveu a vulnerabilidade como uma instância de abuso de acesso transitivo.
  • Microsoft planeja fim do acesso ao kernel para software program EDR: Após a grande repercussão do acidente de atualização do CrowdStrike em julho de 2024, a Microsoft destacou a “postura de segurança aprimorada e os padrões de segurança” do Home windows 11 que permitem mais recursos de segurança para fabricantes de software program de segurança fora do acesso ao modo kernel. Ela também disse que colaborará com parceiros do ecossistema para atingir “confiabilidade aprimorada sem sacrificar a segurança”.

🔥 Recursos e insights sobre segurança cibernética

Próximos Webinars

    • Zero Belief: Armadura Anti-Ransomware: Participe do nosso próximo webinar com Emily Laufer da Zscaler para um mergulho profundo no Relatório de Ransomware de 2024, descobrindo as últimas tendências, ameaças emergentes e as estratégias de confiança zero que podem proteger sua organização. Não se torne outra estatística – Registre-se agora e lute!
    • Reinicialização do SIEM: da sobrecarga à supervisão: Afogando-se em dados? Seu SIEM deve ser um salva-vidas, não outra dor de cabeça. Junte-se a nós para descobrir como o SIEM legado deu errado e como uma abordagem moderna pode simplificar a segurança sem sacrificar o desempenho. Vamos mergulhar nas origens do SIEM, seus desafios atuais e nossas soluções orientadas pela comunidade para cortar o ruído e fortalecer sua segurança. Registre-se agora para uma nova visão do SIEM!

Pergunte ao especialista

    • P: Como o Zero Belief difere fundamentalmente da Defesa de Perímetro tradicional e quais são os principais desafios e vantagens ao fazer a transição de uma organização de um modelo de Defesa de Perímetro para uma arquitetura Zero Belief?
    • UM: Zero Belief e defesa de perímetro são duas maneiras de proteger sistemas de computador. Zero Belief é como ter várias fechaduras em suas portas E verificar identidades em cada cômodo, o que significa que ele não confia em ninguém e verifica constantemente todos e tudo que tenta acessar qualquer coisa. É ótimo para impedir hackers, mesmo que eles consigam entrar furtivamente, e funciona bem quando as pessoas trabalham em lugares diferentes ou usam serviços de nuvem. A defesa de perímetro é como ter um muro forte ao redor do seu castelo, com foco em manter os bandidos fora. Mas, se alguém invadir, eles têm acesso fácil a tudo dentro. Essa abordagem mais antiga luta contra as ameaças atuais e situações de trabalho remoto. Mudar para Zero Belief é como atualizar seu sistema de segurança, mas leva tempo e dinheiro. Vale a pena porque fornece proteção muito melhor. Lembre-se, não é apenas uma coisa, mas uma maneira totalmente nova de pensar sobre segurança, e você pode começar pequeno e aumentar ao longo do tempo. Além disso, não abandone o muro completamente, ele ainda é útil para proteção básica.

Jargon Buster de segurança cibernética

    • Malware polimórfico: Think about um vírus furtivo que fica mudando seu disfarce (assinatura) para enganar seu antivírus. É como um camaleão, tornando-o difícil de ser pego.
    • Malware metamórfico: Este é ainda mais complicado! É como um metamorfo, não apenas trocando de roupa, mas transformando completamente seu corpo. Ele reescreve seu próprio código cada vez que infecta, tornando-o quase impossível para o antivírus reconhecer.

Dica da Semana

Labirinto “Pense antes de clicar”: Navegue por uma série de pontos de decisão com base em cenários do mundo actual, escolhendo a opção mais segura para evitar armadilhas de phishing e outras ameaças on-line.

Conclusão

“Errar é humano; perdoar, divino.” – Alexander Pope. Mas no reino da segurança cibernética, o perdão pode ser custoso. Vamos aprender com esses erros, fortalecer nossas defesas e manter o mundo digital um lugar mais seguro para todos.

Exit mobile version