github-actions[bot]
commented
1 year ago Boletim de Segurança
:arrow_right: Nova variante do Ransomware Yashma visa vários Países. Um agente de ameaça desconhecido está usando uma variante do ransomware Yashma para atingir várias entidades na Bulgária, China e Vietnã, pelo menos desde 4 de junho de 2023. Cisco Talos, em um novo texto, atribuiu a operação com confiança moderada a um adversário de provável origem vietnamita. Yashma, descrito pela primeira vez pela equipe de pesquisa e inteligência da BlackBerry em maio de 2022, é uma versão renomeada de outra cepa de ransomware chamada Chaos. Um mês antes de seu surgimento, o construtor de ransomware Chaos vazou na natureza. Um aspecto notável da nota de resgate é sua semelhança com o conhecido ransomware WannaCry, possivelmente feito em uma tentativa de obscurecer a identidade do ator da ameaça e confundir os esforços de atribuição. Embora a nota mencione um endereço de carteira para o qual o pagamento deve ser feito, ela não especifica o valor. A revelação ocorre no momento em que a empresa de segurança cibernética disse que vazamentos de código-fonte e construtores de ransomware estão levando à aceleração de novas variantes de ransomware, resultando em mais ataques. Os construtores de ransomware geralmente têm uma interface de usuário que permite aos usuários escolher os recursos subjacentes e personalizar as configurações para construir um novo executável binário de ransomware sem expor o código-fonte ou precisar de um compilador instalado.
:arrow_right: Hackers lançam ataques contra Agências estatais ucranianas. Hackers atacaram agências governamentais ucranianas com uma campanha de phishing usando um programa de código aberto chamado MerlinAgent. No início de agosto, um agente de ameaças não identificado rastreado como UAC-0154 enviou e-mails maliciosos para seus alvos, supostamente contendo dicas de segurança da equipe de resposta a emergências da Ucrânia (CERT-UA). Esses e-mails continham anexos maliciosos que infectavam os computadores das vítimas com a ferramenta MerlinAgent. O MerlinAgent já foi usado no início de julho para lançar ataques contra agências governamentais ucranianas, de acordo com a CERT-UA. A ferramenta tem um código aberto publicado no GitHub por um usuário com o apelido Russel Van Tuyl. Merlin é uma ferramenta de acesso remoto (RAT) que permite aos usuários controlar e acessar um computador alvo remotamente, geralmente pela internet.
:arrow_right: Operadores de malware QakBot expandem rede C2 com 15 novos servidores. As descobertas são uma continuação da análise de infraestrutura do malware da Team Cymru, e chegam pouco mais de dois meses depois após uma pesquisa que evelou que 25% de seus servidores C2 estão ativos apenas por um único dia. O QakBot tem um histórico de fazer uma pausa prolongada a cada verão antes de retornar em algum momento em setembro, com as atividades de spam deste ano cessando por volta de 22 de junho de 2023. A maioria dos servidores C2 do bot, que se comunicam com os hosts da vítima, está localizada na Índia e os endereços IP de destino dos EUA identificados a partir de conexões T2 de saída estão baseados principalmente nos EUA, Índia, México e Venezuela. Fora os 15 servidores C2, seis servidores C2 ativos desde antes de junho e dois servidores C2 que ganharam vida em junho continuaram a exibir atividade em julho após a conclusão do spam. Ao elevar as vítimas para serem usadas como infraestrutura C2 com comunicação T2, o QakBot efetivamente pune os usuários duas vezes, primeiro no comprometimento inicial e segundo no risco potencial à reputação de um host ser identificado publicamente como malicioso.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: