Boletim Diário: 23/09/2024

[github-actions[bot]]

:point_down:

[github-actions[bot]]

Boletim de Segurança

:arrow_right: Telegram Banido na Ucrânia por Riscos à Segurança Nacional. A Ucrânia anunciou a proibição do uso do aplicativo de mensagens Telegram por funcionários do governo, militares e trabalhadores de setores críticos de infraestrutura, devido a preocupações com a segurança nacional. A medida foi divulgada pelo Centro Nacional de Coordenação para a Cibersegurança (NCCC) em uma publicação no Facebook. Kyrylo Budanov, chefe da agência de inteligência militar GUR da Ucrânia, afirmou que a restrição não é uma questão de liberdade de expressão, mas sim uma medida essencial para a segurança do país. “Sempre defendi a liberdade de expressão, mas o problema do Telegram não está relacionado à liberdade de expressão, e sim à segurança nacional”, declarou Budanov. Segundo o Conselho de Segurança e Defesa Nacional da Ucrânia (NSDC), o Telegram tem sido amplamente utilizado pelas forças inimigas para lançar ataques cibernéticos, espalhar mensagens de phishing e software malicioso, rastrear a localização dos usuários e coletar informações para ajudar o exército russo a atingir instalações ucranianas com drones e mísseis. Com isso, o uso do aplicativo foi proibido em dispositivos oficiais de funcionários estatais, militares, membros do setor de segurança e defesa, bem como de empresas que operam infraestrutura crítica. No entanto, a proibição não se aplica a telefones pessoais ou a quem utilize o Telegram em funções específicas dentro de suas atribuições profissionais. Em resposta, o Telegram declarou à Reuters que nunca forneceu dados pessoais a nenhum país, incluindo a Rússia, e que as mensagens excluídas pelos usuários são permanentemente apagadas, sem possibilidade de recuperação.

:arrow_right: Operação Internacional Derruba Plataforma de Phishing iServer. Autoridades de segurança desmantelaram uma rede criminosa internacional que utilizava uma plataforma de phishing para desbloquear telefones celulares roubados ou perdidos. A plataforma, chamada iServer, teria vitimado mais de 483.000 pessoas ao redor do mundo, com as principais ocorrências registradas no Chile (77.000), Colômbia (70.000), Equador (42.000), Peru (41.500), Espanha (30.000) e Argentina (29.000). A operação, batizada de Kaerb, envolveu a colaboração de agências de segurança da Espanha, Argentina, Chile, Colômbia, Equador e Peru. Um cidadão argentino, apontado como responsável pelo desenvolvimento e operação do iServer desde 2018, foi preso durante a ação, realizada entre os dias 10 e 17 de setembro. No total, 17 pessoas foram detidas, 28 buscas realizadas e 921 itens apreendidos, incluindo celulares, dispositivos eletrônicos, veículos e armas. Estima-se que 1,2 milhão de dispositivos móveis tenham sido desbloqueados ilegalmente até o momento. O iServer era uma plataforma de phishing-as-a-service (PhaaS), focada na obtenção de credenciais para desbloquear telefones roubados. O iServer permitia que criminosos de baixo nível, conhecidos como “unlockers”, acessassem senhas de dispositivos e credenciais de plataformas móveis baseadas em nuvem, facilitando o desbloqueio de aparelhos através da desativação do Modo Perdido. Os “unlockers” também eram responsáveis por enviar mensagens fraudulentas às vítimas de roubo de celular, induzindo-as a clicar em links para localizar seus dispositivos perdidos. Esses links redirecionavam as vítimas para páginas de phishing, onde eram solicitadas a fornecer credenciais e códigos de autenticação de dois fatores (2FA), que eram então utilizados pelos criminosos para acessar os dispositivos e removê-los das contas dos proprietários.

:arrow_right: Ataques Cibernéticos Causam Danos Extremos a Infraestruturas Russas. Um grupo hacktivista conhecido como Twelve foi identificado realizando ataques cibernéticos destrutivos contra entidades russas, utilizando ferramentas amplamente disponíveis. Em vez de exigir um resgate para a recuperação de dados, o grupo opta por criptografar as informações das vítimas e, em seguida, destruir suas infraestruturas com um malware do tipo wiper, impedindo qualquer tentativa de recuperação. De acordo com uma análise da Kaspersky, o Twelve parece focado em causar o máximo de danos possível, sem buscar ganhos financeiros diretos. O grupo foi formado em abril de 2023, logo após o início da guerra entre Rússia e Ucrânia, e tem como objetivo desestabilizar redes e operações de negócios das vítimas. Além disso, o Twelve também realiza operações de hack-and-leak, exfiltrando informações sensíveis e compartilhando esses dados em seu canal do Telegram. Segundo a Kaspersky, há semelhanças entre as táticas do Twelve e do grupo de ransomware chamado DARKSTAR, sugerindo uma possível conexão entre os dois ou, até mesmo, que ambos façam parte do mesmo conjunto de atividades. Os ataques do Twelve começam com o abuso de contas locais ou de domínio válidas, utilizando o Remote Desktop Protocol (RDP) para movimentação lateral dentro das redes das vítimas. Em alguns casos, os ataques são facilitados por meio dos contratados das empresas, aproveitando o acesso concedido por certificados de terceiros para se infiltrar na infraestrutura do cliente. Em um incidente investigado, o grupo explorou vulnerabilidades conhecidas no VMware vCenter, como as CVE-2021-21972 e CVE-2021-22005, para implantar um backdoor chamado FaceFish. Posteriormente, o grupo usou o PowerShell para criar novos usuários de domínio e modificar listas de controle de acesso (ACLs) em objetos do Active Directory.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/