github-actions[bot]
commented
11 months ago Boletim de Segurança
:arrow_right: Falhas críticas no UEFI permitem bypass de segurança. Pesquisadores de segurança identificaram falhas críticas no código da Unified Extensible Firmware Interface (UEFI) de vários fornecedores independentes de firmware/BIOS (IBVs). Essas falhas, coletivamente chamadas de “LogoFAIL”, podem ser exploradas por atores de ameaças para entregar payloads maliciosos e burlar tecnologias de segurança como Secure Boot e Intel Boot Guard. Os ataques são realizados injetando uma imagem de logotipo maliciosa na partição do sistema EFI, o que permite aos atacantes contornar soluções de segurança e entregar malware persistente durante a fase de inicialização. As falhas incluem um estouro de buffer baseado em heap e uma leitura fora dos limites. Detalhes adicionais sobre essas vulnerabilidades serão divulgados na conferência Black Hat Europe. As falhas são acionadas quando as imagens injetadas são analisadas, levando à execução de payloads que podem sequestrar o fluxo e burlar mecanismos de segurança.
:arrow_right: Microsoft alerta sobre novos ataques de Ransomware CACTUS. A Microsoft emitiu um alerta sobre uma nova onda de ataques do ransomware CACTUS, que utiliza iscas de malvertising para implantar o DanaBot como vetor de acesso inicial. Essas infecções pelo DanaBot levaram a atividades diretas de operadores de ransomware, culminando na implantação do ransomware CACTUS. “A campanha atual do DanaBot, observada pela primeira vez em novembro, parece estar usando uma versão privada do malware de roubo de informações, em vez da oferta de malware como serviço”, observou a Microsoft. As credenciais coletadas pelo malware são transmitidas para um servidor controlado pelo ator, seguido de movimento lateral via tentativas de login RDP e, finalmente, passando o acesso para o Storm-0216. A divulgação ocorre dias após a descoberta do conjunto de ataques de ransomware CACTUS que estão explorando ativamente vulnerabilidades críticas em uma plataforma de análise de dados chamada Qlik Sense para ganhar acesso a redes corporativas. Estes ataques recentes destacam a natureza em constante evolução das ameaças de ransomware e a necessidade de vigilância contínua e medidas de segurança robustas para proteger contra tais ataques.
:arrow_right: Ransomware Qilin foca em servidores VMware ESXi. O ransomware Qilin, uma operação de cibercrime que começou como “Agenda” em agosto de 2022 e foi renomeada para Qilin em setembro do mesmo ano, está agora focando em servidores VMware ESXi. Este ransomware é conhecido por invadir redes de empresas, roubar dados e espalhar-se lateralmente para outros sistemas antes de implantar o ransomware para criptografar todos os dispositivos na rede. O Qilin utiliza técnicas avançadas de criptografia e é capaz de determinar se está operando em um servidor Linux, FreeBSD ou VMware ESXi. Se detectar um servidor VMware ESXi, executa comandos específicos para aumentar o desempenho ao executar comandos ESXi no servidor. Os comandos utilizados pelo Qilin incluem a criação e exclusão de discos virtuais e a configuração de parâmetros de desempenho do servidor. Antes de criptografar as máquinas virtuais detectadas, o ransomware primeiro encerra todas as VMs e exclui seus snapshots. As demandas de resgate do Qilin variam em torno de $25.000 milhões de dólares. Em cada pasta criptografada, uma nota de resgate é criada, contendo links para o site de negociação do ransomware na rede Tor e as credenciais de login necessárias para acessar a página de chat da vítima. Desde o seu lançamento, a operação de ransomware Qilin teve um fluxo constante de vítimas, mas viu um aumento na atividade em direção ao final de 2023.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: