Boletim Diário: 01/10/2024

[github-actions[bot]]

:point_down:

[github-actions[bot]]

Boletim de Segurança

:arrow_right: Grupo BlackByte alega invasão nos sistemas da TOTVS. O grupo de ransomware BlackByte afirma ter invadido os sistemas da TOTVS, uma das principais empresas de tecnologia do país. Amostras de documentos internos da empresa foram disponibilizadas na dark web como prova da invasão, expondo dados que supostamente pertencem à TOTVS. O BlackByte é conhecido por realizar ataques devastadores contra grandes corporações em diversos setores ao redor do mundo, sempre visando a extorsão de valores significativos em troca da não divulgação de informações sigilosas. Diferente de muitos grupos de ransomware, o BlackByte opera de forma rápida e agressiva, frequentemente publicando dados das vítimas na dark web em questão de horas após a invasão, deixando pouca margem para reação. A TOTVS confirmou a um portal de notícias que está respondendo a um ataque cibernético.

:arrow_right: Grupo KillSec Alega Ataque ao Portal NF-e do Governo Brasileiro. Em 29 de setembro de 2024, o grupo de cibercriminosos KillSec reivindicou um ataque ao portal da Nota Fiscal Eletrônica (NF-e), pertencente ao governo brasileiro, hospedado em nfe.fazenda.gov.br. A NF-e é uma ferramenta essencial para a Receita Federal, coordenada pela ENCAT, que digitaliza e valida notas fiscais de empresas em todo o país. O suposto ataque foi direcionado a um sistema que é fundamental para a transição de documentos fiscais do papel para o formato eletrônico, gerando uma ameaça crítica à integridade das informações fiscais brasileiras. Segundo a alegação do KillSec, o grupo teve acesso a dados sensíveis, incluindo informações fiscais de empresas, transações comerciais e possivelmente dados financeiros de milhões de usuários do sistema. O KillSec afirma ter colocado os dados do portal à venda por US$ 25.000, o que, se verdadeiro, pode representar um grande risco para a segurança e privacidade de milhares de empresas e seus clientes. Fundado em 2021, o KillSec possui um histórico de ataques direcionados a governos e grandes corporações, utilizando ações cibernéticas para fins financeiros e ideológicos.

:arrow_right: Nova Variante do Malware BBTok Mira Empresas Brasileiras com Técnicas Avançadas. Uma nova variante do malware bancário BBTok, foi desenvolvida exclusivamente para empresas no Brasil. O ataque começa com um e-mail que contém uma imagem ISO, camuflada como um documento fiscal legítimo, que ao ser aberta, executa um código malicioso em máquinas infectadas. O malware BBTok utiliza uma técnica chamada “AppDomain Manager Injection”, que permite a execução avançada de código malicioso. Esse método é capaz de compilar código C# diretamente no dispositivo comprometido, sem levantar suspeitas. O código é disfarçado em arquivos XML, o que torna sua análise mais complexa. Além disso, os atacantes exploram vulnerabilidades em arquivos LNK e utilizam o ícone de PDF para enganar as vítimas e fazê-las acreditar que estão abrindo um documento inofensivo. Ao executar o arquivo, o malware começa sua ação, exibindo um falso documento fiscal enquanto carrega seu código malicioso em segundo plano. A carga maliciosa também cria uma persistência no sistema, utilizando técnicas de bypass de UAC (User Account Control) e alterando configurações do Windows para garantir que o malware permaneça ativo e indetectável. A versão mais recente do BBTok inclui um arquivo DLL obfuscado chamado Trammy.dll, que impede a leitura de seus códigos. Pesquisadores conseguiram deobfuscar a DLL, permitindo a compreensão do funcionamento interno do malware. Uma das táticas usadas pelo BBTok é verificar a localização do IP da vítima, garantindo que o ataque seja executado apenas em máquinas localizadas no Brasil. O BBTok se destaca por sua capacidade de escapar de ferramentas automáticas de detecção, usando métodos avançados de ofuscação e criptografia.

:arrow_right: Vulnerabilidade Crítica no OpenPLC Permite Execução Remota de Código. Pesquisadores da Cisco Talos descobriram cinco vulnerabilidades críticas no OpenPLC, um controlador lógico programável de código aberto amplamente utilizado na automação industrial. Entre as falhas encontradas, destaca-se a CVE-2024-34026, uma vulnerabilidade de estouro de buffer na pilha, que possui uma pontuação CVSS de 9,0 e pode ser explorada para executar código remotamente. O OpenPLC é usado em indústrias como manufatura, energia e serviços públicos, oferecendo uma solução de baixo custo para automação de processos e máquinas. No entanto, essa vulnerabilidade grave está presente na funcionalidade EtherNet/IP parser do OpenPLC v3, e um invasor pode enviar solicitações EtherNet/IP manipuladas para disparar o erro e obter controle sobre o sistema. Além do CVE-2024-34026, a Cisco Talos também identificou outras vulnerabilidades graves que podem ser exploradas para causar uma condição de negação de serviço (DoS), rastreadas como CVE-2024-36980, CVE-2024-36981, CVE-2024-39589 e CVE-2024-39590. Todas essas falhas podem ser acionadas através de requisições maliciosas feitas pelo protocolo EtherNet/IP, amplamente utilizado em redes industriais. A Cisco Talos informou a equipe de manutenção do OpenPLC sobre essas vulnerabilidades no dia 10 de junho de 2024, e a correção foi disponibilizada em 18 de setembro de 2024. Agora, é altamente recomendável que os usuários atualizem seus sistemas para a versão mais recente do OpenPLC para mitigar esses riscos.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/