search

codaqui / boletim-diario-seguranca

Receba notificações todos os dias as 10 da manhã, siga esse repositório.
7 stars 0 forks source link

Boletim Diário: 15/05/2024 #413

Closed github-actions[bot] closed 4 months ago

github-actions[bot] commented 4 months ago

:point_down:

github-actions[bot] commented 4 months ago

Boletim de Segurança

:arrow_right: Ransomware Mallox implantado por meio de um ataque ao honeypot MS-SQL. Um incidente recente envolvendo um honeypot MS-SQL (Microsoft SQL) lançou um alerta sobre as táticas sofisticadas empregadas por ciberatacantes que dependem do ransomware Mallox. O honeypot, foi alvo de um conjunto de intrusões que utilizou técnicas de força bruta para implantar o ransomware Mallox via PureCrypter, explorando várias vulnerabilidades do MS-SQL. Ao analisar amostras do Mallox, os pesquisadores identificaram dois afiliados distintos que empregavam abordagens diferentes. Um focava na exploração de ativos vulneráveis, enquanto o outro visava comprometer sistemas de informação em uma escala mais ampla. O acesso inicial ao servidor MS-SQL ocorreu por meio de um ataque de força bruta direcionado à conta “sa” (Administrador SQL), que foi comprometida dentro de uma hora após a implantação. O atacante persistiu na força bruta ao longo do período de observação, indicando um esforço determinado. Foram observadas tentativas de exploração, com padrões distintos identificados. O atacante aproveitou diversas técnicas, incluindo a habilitação de parâmetros específicos, criação de assemblies e execução de comandos via xp_cmdshell e Procedimentos de Automação Ole. Os payloads correspondiam ao PureCrypter, um carregador desenvolvido em .NET, que subsequentemente executava o ransomware Mallox. O PureCrypter, vendido como um Malware-as-a-Service por um ator de ameaça operando sob o pseudônimo de PureCoder, emprega diversas técnicas de evasão para evitar detecção e análise. O grupo Mallox, uma operação de Ransomware-as-a-Service que distribui o ransomware homônimo, está ativo desde pelo menos junho de 2021. O grupo utiliza uma estratégia de dupla extorsão, ameaçando publicar dados roubados além de criptografá-los.

:arrow_right: VMware corrige graves falhas de segurança nos produtos Workstation e Fusion.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/