github-actions[bot]
commented
6 months ago Boletim de Segurança
:arrow_right: Dropbox divulga violação do serviço de assinatura digital afetando todos os usuários. A provedora de serviços de armazenamento na nuvem Dropbox divulgou na última quarta-feira que o Dropbox Sign (anteriormente conhecido como HelloSign) foi violado por atores de ameaças não identificados, que acessaram e-mails, nomes de usuário e configurações gerais de conta associadas a todos os usuários do produto de assinatura digital. A empresa, em um arquivamento junto à Comissão de Valores Mobiliários dos EUA (SEC), afirmou que tomou conhecimento do “acesso não autorizado” em 24 de abril de 2024. O Dropbox anunciou seus planos de adquirir o HelloSign em janeiro de 2019. O ator de ameaça acessou dados relacionados a todos os usuários do Dropbox Sign, como e-mails e nomes de usuário, além de configurações gerais de conta. Para subconjuntos de usuários, o ator de ameaça também acessou números de telefone, senhas criptografadas e determinadas informações de autenticação, como chaves de API, tokens OAuth e autenticação de vários fatores. A intrusão também afeta terceiros que receberam ou assinaram um documento por meio do Dropbox Sign, mas nunca criaram uma conta eles próprios, expondo especificamente seus nomes e endereços de e-mail. A investigação conduzida até o momento não encontrou evidências de que os invasores acessaram o conteúdo das contas dos usuários, como acordos ou modelos, ou suas informações de pagamento. O incidente também é dito estar restrito à infraestrutura do Dropbox Sign.
:arrow_right: Ucraniano é condenado a mais de 13 Anos de prisão nos EUA por Ataques de Ransomware. Um nacional ucraniano, Yaroslav Vasinskyi, foi condenado a mais de 13 anos de prisão e ordenado a pagar $16 milhões em restituição por realizar milhares de ataques de ransomware e extorquir vítimas. Vasinskyi, de 24 anos, junto com seus cúmplices do grupo de ransomware REvil, orquestrou mais de 2.500 ataques de ransomware e exigiu pagamentos de resgate em criptomoedas totalizando mais de $700 milhões. De acordo com o Departamento de Justiça dos EUA (DoJ), os co-conspiradores exigiam pagamentos de resgate em criptomoedas e usavam serviços de câmbio e mistura de criptomoedas para ocultar seus ganhos ilícitos. Para aumentar suas demandas de resgate, os co-conspiradores do Sodinokibi/REvil também expunham publicamente os dados de suas vítimas quando elas se recusavam a pagar. Vasinskyi foi extraditado para os EUA em março de 2022 após sua prisão na Polônia em outubro de 2021. REvil, antes de formalmente sair do ar no final de 2021, foi responsável por uma série de ataques de alto perfil contra a JBS e a Kaseya. Anteriormente, ele se declarou culpado no Distrito Norte do Texas de uma acusação de 11 crimes, incluindo conspiração para cometer fraude e atividade relacionada a computadores, danos a computadores protegidos e conspiração para cometer lavagem de dinheiro. O DoJ também obteve o confisco final de milhões de dólares em pagamentos de resgate obtidos por meio de dois casos de confisco civil relacionados em 2023. Isso inclui 39.89138522 Bitcoin e $6.1 milhões em fundos em dólares americanos que foram rastreados até pagamentos de resgate recebidos por outros membros da conspiração.
:arrow_right: Nova Botnet Goldoon está Mirando Roteadores D-Link. Recentemente, foi observada uma botnet inédita chamada Goldoon direcionando roteadores da D-Link com uma falha crítica de segurança, quase uma década após sua descoberta. A vulnerabilidade em questão, denominada CVE-2015-2051, afeta os roteadores D-Link DIR-645, permitindo que atacantes remotos executem comandos arbitrários por meio de solicitações HTTP especialmente elaboradas. De acordo com pesquisadores da Fortinet, a exploração da CVE-2015-2051 pode conceder aos invasores controle total sobre os dispositivos comprometidos. Isso possibilita a extração de informações do sistema, o estabelecimento de comunicação com um servidor C2 e o uso desses dispositivos para lançar ataques adicionais, como negação de serviço distribuído (DDoS). Dados de telemetria de uma empresa de segurança de rede apontam para um aumento significativo na atividade da botnet por volta de 9 de abril de 2024. O processo começa com a exploração da vulnerabilidade para recuperar um script de dropper de um servidor remoto, responsável por baixar a próxima carga útil para diferentes arquiteturas de sistemas Linux. A carga útil é lançada no dispositivo comprometido e atua como um downloader para o malware Goldoon de um ponto de extremidade remoto. Após a execução do arquivo, o dropper remove o script e se autoexclui na tentativa de encobrir o rastro. Qualquer tentativa de acesso direto ao ponto de extremidade exibe uma mensagem de erro peculiar.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: