github-actions[bot]
commented
7 months ago Boletim de Segurança
:arrow_right: Ataque de Ransomware causa caos e paralisa 100 Hospitais. Um ataque de ransomware afetou gravemente o sistema de saúde da Romênia, forçando 100 hospitais a desligarem seus sistemas após o sistema de gestão de saúde Hipocrate (HIS) ser alvo durante o fim de semana. O ataque resultou na criptografia do banco de dados do HIS, levando à interrupção de serviços essenciais de gestão médica e dados de pacientes. Enquanto 25 hospitais tiveram seus dados confirmadamente criptografados pelos atacantes, outros 75 estabelecimentos de saúde também desligaram seus sistemas como medida preventiva. O Ministério da Saúde da Romênia e a Diretoria Nacional de Segurança Cibernética (DNSC) estão investigando o incidente, com especialistas em cibersegurança avaliando as possibilidades de recuperação. O ataque, que utilizou o ransomware Backmydata, variante da família Phobos, afetou uma ampla gama de hospitais, incluindo centros de tratamento regional e de câncer. Os atacantes exigiram um resgate de 3,5 BTC, mas não mencionaram o nome do grupo responsável pelo ataque na nota de resgate, fornecendo apenas um endereço de e-mail. Desde o ataque, médicos e funcionários dos hospitais afetados foram forçados a retornar a métodos antigos, registrando prescrições e mantendo registros em papel. A situação levou a uma interrupção significativa nas operações diárias, com a gestão de admissões contínuas, registros de admissão diária e recomendações de exames médicos sendo feitas manualmente.
:arrow_right: Nova versão do PikaBot reduz complexidade para melhorar desempenho. O malware PikaBot, conhecido por suas capacidades e execução de comandos a partir de um servidor de comando e controle (C2), está passando por um processo significativo de simplificação. Em uma recente análise da nova versão do PikaBot (versão 1.18.32), observou-se que os desenvolvedores simplificaram o código do malware, removendo técnicas avançadas de ofuscação e alterando as comunicações de rede. Essas mudanças indicam uma tentativa de tornar o malware menos complexo e mais eficiente. PikaBot, documentado pela primeira vez em maio de 2023, é um carregador de malware que também permite ao atacante controlar o host infectado. Nos últimos meses, PikaBot e outro carregador chamado DarkGate surgiram como substitutos atraentes para atores de ameaças para obter acesso inicial às redes alvo por meio de campanhas de phishing e implantar Cobalt Strike. A análise revelou que, apesar da inatividade recente, o PikaBot continua sendo uma ameaça cibernética significativa e em constante desenvolvimento. A nova versão mantém o foco na ofuscação, embora com algoritmos de criptografia mais simples e inserção de código inútil entre instruções válidas para resistir à análise.
:arrow_right: Botnet Glupteba adiciona Bootkit UEFI para evasão avançada. A botnet Glupteba incorporou uma característica de bootkit Unified Extensible Firmware Interface (UEFI) até então não documentada, adicionando uma nova camada de sofisticação e furtividade ao malware. Este bootkit pode intervir e controlar o processo de inicialização do sistema operacional, permitindo que o Glupteba se esconda e crie uma persistência furtiva que pode ser extremamente difícil de detectar e remover. Glupteba é um ladrão de informações e backdoor totalmente equipado, capaz de facilitar a mineração ilícita de criptomoedas e implantar componentes de proxy em hosts infectados. Também é conhecido por utilizar o blockchain do Bitcoin como um sistema de comando e controle (C2) de backup, tornando-o resistente a esforços de desativação. Algumas das outras funções permitem que ele entregue cargas úteis adicionais, sifone credenciais e dados de cartão de crédito, realize fraudes de anúncios e até explore roteadores para obter credenciais e acesso administrativo remoto. Como sinal de que o malware está sendo ativamente mantido, o Glupteba vem equipado com um bootkit UEFI incorporando uma versão modificada de um projeto de código aberto chamado EfiGuard, capaz de desativar o PatchGuard e a Execução de Assinatura de Driver (DSE) no momento da inicialização.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: