A empresa russa de segurança cibernética e fornecedora de software antivírus Kaspersky Lab começará a encerrar as operações nos Estados Unidos em 20 de julho. Em uma declaração ao BleepingComputer, a empresa também confirmou que demitirá seus funcionários baseados nos EUA. O jornalista independente de segurança cibernética Kim Zetter relatou primeiro que isso afetará "menos de 50 funcionários nos EUA"
Isso ocorreu depois que o Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA sancionou doze executivos da Kaspersky Lab em 21 de junho por operarem no setor de tecnologia da Rússia, congelando seus ativos nos EUA e impedindo o acesso a eles até que as sanções fossem suspensas.
O Departamento de Comércio também designou a AO Kaspersky Lab, a OOO Kaspersky Group (Rússia) e a Kaspersky Labs Limited (Reino Unido) para sua Lista de Entidades, impedindo qualquer empresa dos EUA de fazer negócios com elas.
Foi publicada nesta quarta-feira (17 jul), a Resolução CD/ANPD nº 18, de 16 de julho de 2024, que aprova o Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais. Conforme descrito abaixo:
_"O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD), no uso de suas atribuições legais, considerando o disposto nos arts. 41, § 3º e 55-J, inciso XIII, da Lei nº 13.709, de 14 de agosto de 2018, bem como a deliberação tomada nos autos do processo nº 00261.000226/2022-53, resolve:
Art. 1º Este Regulamento estabelece normas complementares sobre a indicação, a definição, as atribuições e a atuação do encarregado, de que trata a Lei nº 13.709, de 14 de agosto de 2018.
A Microsoft afirma que o grupo Octo Tempest (Scattered Spider) adicionou o ransomware Qilin e o RansomHub ao seu arsenal e está utilizando-os em seus ataques.
"No segundo trimestre de 2024, o agente de ameaças com motivação financeira Octo Tempest, nosso agente de ameaças de ransomware mais monitorado, adicionou RansomHub e Qilin às suas cargas de ransomware em campanhas", disse a Microsoft na segunda-feira.
Após surgir no início de 2022, esse grupo de ameaças (também rastreado como Octo Tempest, UNC3944 e 0ktapus) ganhou notoriedade após sua campanha 0ktapus que teve como alvo mais de 130 organizações de alto perfil, incluindo Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games e Best Buy.
A CISA incluiu no seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) a vulnerabilidade rastreada como CVE-2024-28995. Os atores de ameaça estão explorando ativamente a vulnerabilidade de passagem de caminho do SolarWinds Serv-U, aproveitando explorações de prova de conceito (PoC) disponíveis publicamente.
Solução:
A SolarWinds lançou o 15.4.2 Hotfix 2, versão 15.4.2.157, em 5 de junho de 2024, para solucionar essa vulnerabilidade introduzindo mecanismos de validação aprimorados.
Ataques a organizações israelenses “mais que dobraram” desde 7 de outubro(matéria da The Record, em inglês, https://therecord.media/attacks-israeli-orgs-double
As organizações israelenses têm visto um aumento significativo nos ataques cibernéticos desde o início da guerra com a Palestina, com organizações sofrendo bombardeios constantes de tentativas de invasão, de acordo com autoridades militares e pesquisadores de segurança cibernética que trabalham no país.
São conduzidos principalmente por grupos com motivações políticas, como hackers afiliados ao Irã e ao Hezbollah, além de hacktivistas. Hackers teriam atacado a infraestrutura de nuvem das Forças de Defesa de Israel (IDF), que é usada por muitos sistemas que atendem às tropas em terra.
Um oficial militar israelense afirmou esta semana que a rede de computação em nuvem das forças de defesa do país enfrentou mais de três bilhões de tentativas de ataques cibernéticos desde o início do conflito armado, em outubro passado.
A Cisco corrigiu uma vulnerabilidade de gravidade crítica que permite que invasores adicionem novos usuários com privilégios de root e bloqueiem permanentemente os dispositivos Security Email Gateway (SEG) usando e-mails com anexos maliciosos.
Rastreada como CVE-2024-20401 (CVSS v3 9.8), essa falha de segurança de gravação de arquivo arbitrário nos recursos de verificação de conteúdo e filtragem de mensagens do SEG é causada por uma fraqueza de travessia de caminho absoluto que permite a substituição de qualquer arquivo no sistema operacional subjacente.
"Essa vulnerabilidade é devido ao manuseio impróprio de anexos de e-mail quando a análise de arquivo e filtros de conteúdo estão habilitados. Uma exploração bem-sucedida pode permitir que o invasor substitua qualquer arquivo no sistema de arquivos subjacente", explicou Cisco.
Crimes contra o patrimônio, como roubos de veículos, caíram no ano passado, mas um deles não para de crescer: o estelionato, especialmente aquele praticado por meio virtual. Entre os motivos para a alta, está a popularização do Pix, ferramenta do Banco Central que permite transações financeiras gratuitas, e outros aplicativos bancários.
O total de estelionatos cresceu 8,2% no País no ano passado ante 2022, segundo o Anuário da Segurança Pública, elaborado pelo Fórum Brasileiro de Segurança Pública e divulgado nesta quinta-feira, 18. Foram quase dois milhões de pessoas vítimas de algum tipo de golpe.
Os pesquisadores do Fórum ponderam que o aumento porcentual, sobretudo na modalidade online, tem como um dos motivos uma alteração no Código Penal, que tipificou o crime de fraude eletrônica em 2021.
Um problema técnico no fornecedor de segurança cibernética CrowdStrike causou interrupções em massa de TI em todo o mundo nesta sexta-feira, 19, interrompendo setores críticos como companhias aéreas, bancos, mídia e varejo.
O problema envolveu uma atualização da plataforma de segurança Falcon Sensor da CrowdStrike, que está impactando os sistemas operacionais Microsoft Windows. Relatórios sugerem que os sistemas afetados estão com dificuldades para inicializar corretamente, causando o aparecimento de um erro de tela azul.
Na página de status do serviço de nuvem Azure, a Microsoft também reconheceu o bug e confirmou ter sido informada de que algumas máquinas virtuais Windows com o agente CrowdStrike Falcon foram afetadas. Segundo a empresa, o bug tem deixado essas máquinas presas em estado de reinicialização.
No Brasil, o apagão gerou atrasos nos voos e problemas em serviços bancários e empresas brasileiras também sofreram com a falha dos sistemas. Diversos CIOs consultados pelo IT Forum relatam problemas em suas estruturas. Uma delas, de uma empresa do segmento de beleza, disse que foi totalmente impactada.
Uma intrusão do APT41 foi detectada por pesquisadores, na qual o ator malicioso implantou uma combinação de web shells ANTSWORD e BLUEBEAM para persistência. Esses web shells foram identificados em um servidor Tomcat Apache Manager e estão ativos desde pelo menos 2023. O APT41 utilizou esses web shells para executar certutil.exe e baixar o dropper DUSTPAN, que carrega furtivamente o BEACON.
À medida que a intrusão do APT41 progredia, o grupo intensificou suas táticas implantando o dropper DUSTTRAP. Após a execução, o DUSTTRAP descriptografava uma carga maliciosa e a executava na memória, deixando rastros forenses mínimos. A carga descriptografada foi projetada para estabelecer canais de comunicação com a infraestrutura controlada pelo APT41 para comando e controle ou, em alguns casos, com uma conta comprometida do Google Workspace, misturando ainda mais suas atividades maliciosas com tráfego legítimo. As contas afetadas do Google Workspace foram corrigidas com sucesso para evitar mais acesso não autorizado.
Campanha de Phishing explora falha global na solução da Crowdstrike - Atualizado com novos domínios
Pesquisadores da Apura identificaram uma campanha de phishing direcionada a diversas empresas usando como tema a recente falha de atualização da solução Falcon da Crowdstrike que causou uma grande parada de serviços em todo o mundo nesta sexta-feira 19/07. Diversos sites maliciosos foram identificados.
Essas são as notícias da semana que consideramos bastante relevantes, mas a nossa newsletter semanal é apenas uma amostra do que a plataforma BTTng tem para oferecer.
A experiência completa e aprofundada está reservada para nossos clientes, pelo menu “Boletins” da plataforma BTTng. Nele você encontra as notícias completas, análises detalhadas e atualização constante.
Agradecemos por ser parte da nossa comunidade e esperamos vê-lo explorando mais no BTTng! Se você ainda não usa o BTTng, entre em contato conosco pelo e-mail comercial@apura.com.br e marque uma prova de conceito.
FIQUE À FRENTE DAS AMEAÇAS DIGITAIS COM NOSSA NEWSLETTER SEMANAL
Segue abaixo o resumo dos maiores acontecimentos semanais na área de cyber inteligência. Para acessar os textos completos, clique em news.apura.com.br
Kaspersky encerra seus escritórios nos Estados Unidos (matéria da Bleeping Computer, em inglês, https://www.bleepingcomputer.com/news/security/kaspersky-is-shutting-down-its-business-in-the-united-states/
A empresa russa de segurança cibernética e fornecedora de software antivírus Kaspersky Lab começará a encerrar as operações nos Estados Unidos em 20 de julho. Em uma declaração ao BleepingComputer, a empresa também confirmou que demitirá seus funcionários baseados nos EUA. O jornalista independente de segurança cibernética Kim Zetter relatou primeiro que isso afetará "menos de 50 funcionários nos EUA"
Isso ocorreu depois que o Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA sancionou doze executivos da Kaspersky Lab em 21 de junho por operarem no setor de tecnologia da Rússia, congelando seus ativos nos EUA e impedindo o acesso a eles até que as sanções fossem suspensas.
O Departamento de Comércio também designou a AO Kaspersky Lab, a OOO Kaspersky Group (Rússia) e a Kaspersky Labs Limited (Reino Unido) para sua Lista de Entidades, impedindo qualquer empresa dos EUA de fazer negócios com elas.
Ministério da Justiça aprova regulamento sobre tratamento de dados pessoais (resolução publicada no Diário Oficial da União, https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-18-de-16-de-julho-de-2024-572632074
Foi publicada nesta quarta-feira (17 jul), a Resolução CD/ANPD nº 18, de 16 de julho de 2024, que aprova o Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais. Conforme descrito abaixo:
_"O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD), no uso de suas atribuições legais, considerando o disposto nos arts. 41, § 3º e 55-J, inciso XIII, da Lei nº 13.709, de 14 de agosto de 2018, bem como a deliberação tomada nos autos do processo nº 00261.000226/2022-53, resolve:
Art. 1º Este Regulamento estabelece normas complementares sobre a indicação, a definição, as atribuições e a atuação do encarregado, de que trata a Lei nº 13.709, de 14 de agosto de 2018.
Microsoft divulga ferramentas usadas por Octo Tempest (Scattered Spider) (declaração da Microsoft Threat Intelligence, em inglês, https://x.com/MsftSecIntel/status/1812932749314978191
A Microsoft afirma que o grupo Octo Tempest (Scattered Spider) adicionou o ransomware Qilin e o RansomHub ao seu arsenal e está utilizando-os em seus ataques.
"No segundo trimestre de 2024, o agente de ameaças com motivação financeira Octo Tempest, nosso agente de ameaças de ransomware mais monitorado, adicionou RansomHub e Qilin às suas cargas de ransomware em campanhas", disse a Microsoft na segunda-feira.
Após surgir no início de 2022, esse grupo de ameaças (também rastreado como Octo Tempest, UNC3944 e 0ktapus) ganhou notoriedade após sua campanha 0ktapus que teve como alvo mais de 130 organizações de alto perfil, incluindo Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games e Best Buy.
Vulnerabilidade do SolarWinds Serv-U explorada ativamente em ataques (comunicado completo no site da CISA, em inglês, https://www.cisa.gov/news-events/alerts/2024/07/17/cisa-adds-three-known-exploited-vulnerabilities-catalog
A CISA incluiu no seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) a vulnerabilidade rastreada como CVE-2024-28995. Os atores de ameaça estão explorando ativamente a vulnerabilidade de passagem de caminho do SolarWinds Serv-U, aproveitando explorações de prova de conceito (PoC) disponíveis publicamente.
Solução: A SolarWinds lançou o 15.4.2 Hotfix 2, versão 15.4.2.157, em 5 de junho de 2024, para solucionar essa vulnerabilidade introduzindo mecanismos de validação aprimorados.
Ataques a organizações israelenses “mais que dobraram” desde 7 de outubro (matéria da The Record, em inglês, https://therecord.media/attacks-israeli-orgs-double As organizações israelenses têm visto um aumento significativo nos ataques cibernéticos desde o início da guerra com a Palestina, com organizações sofrendo bombardeios constantes de tentativas de invasão, de acordo com autoridades militares e pesquisadores de segurança cibernética que trabalham no país. São conduzidos principalmente por grupos com motivações políticas, como hackers afiliados ao Irã e ao Hezbollah, além de hacktivistas. Hackers teriam atacado a infraestrutura de nuvem das Forças de Defesa de Israel (IDF), que é usada por muitos sistemas que atendem às tropas em terra. Um oficial militar israelense afirmou esta semana que a rede de computação em nuvem das forças de defesa do país enfrentou mais de três bilhões de tentativas de ataques cibernéticos desde o início do conflito armado, em outubro passado.
Cisco corrige vulnerabilidade crítica no Security Email Gateway (SEG) (comunicado completo no site da Cisco, em inglês, https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-afw-bGG2UsjH
A Cisco corrigiu uma vulnerabilidade de gravidade crítica que permite que invasores adicionem novos usuários com privilégios de root e bloqueiem permanentemente os dispositivos Security Email Gateway (SEG) usando e-mails com anexos maliciosos.
Rastreada como CVE-2024-20401 (CVSS v3 9.8), essa falha de segurança de gravação de arquivo arbitrário nos recursos de verificação de conteúdo e filtragem de mensagens do SEG é causada por uma fraqueza de travessia de caminho absoluto que permite a substituição de qualquer arquivo no sistema operacional subjacente.
"Essa vulnerabilidade é devido ao manuseio impróprio de anexos de e-mail quando a análise de arquivo e filtros de conteúdo estão habilitados. Uma exploração bem-sucedida pode permitir que o invasor substitua qualquer arquivo no sistema de arquivos subjacente", explicou Cisco.
Golpes chegam a quase 2 milhões no Brasil, puxados por crimes do Pix e fraudes virtuais (matéria do Estado S. Paulo, https://www.estadao.com.br/brasil/golpes-virtuais-estelionato-fraudes-pix-seguranca/
Crimes contra o patrimônio, como roubos de veículos, caíram no ano passado, mas um deles não para de crescer: o estelionato, especialmente aquele praticado por meio virtual. Entre os motivos para a alta, está a popularização do Pix, ferramenta do Banco Central que permite transações financeiras gratuitas, e outros aplicativos bancários.
O total de estelionatos cresceu 8,2% no País no ano passado ante 2022, segundo o Anuário da Segurança Pública, elaborado pelo Fórum Brasileiro de Segurança Pública e divulgado nesta quinta-feira, 18. Foram quase dois milhões de pessoas vítimas de algum tipo de golpe.
Os pesquisadores do Fórum ponderam que o aumento porcentual, sobretudo na modalidade online, tem como um dos motivos uma alteração no Código Penal, que tipificou o crime de fraude eletrônica em 2021.
Apagão cibernético: falha na CrowdStrike e Microsoft causa interrupções globais de TI (comunicado oficial da CrowdStrike, em inglês, https://www.crowdstrike.com/blog/statement-on-falcon-content-update-for-windows-hosts/
Um problema técnico no fornecedor de segurança cibernética CrowdStrike causou interrupções em massa de TI em todo o mundo nesta sexta-feira, 19, interrompendo setores críticos como companhias aéreas, bancos, mídia e varejo.
O problema envolveu uma atualização da plataforma de segurança Falcon Sensor da CrowdStrike, que está impactando os sistemas operacionais Microsoft Windows. Relatórios sugerem que os sistemas afetados estão com dificuldades para inicializar corretamente, causando o aparecimento de um erro de tela azul.
Na página de status do serviço de nuvem Azure, a Microsoft também reconheceu o bug e confirmou ter sido informada de que algumas máquinas virtuais Windows com o agente CrowdStrike Falcon foram afetadas. Segundo a empresa, o bug tem deixado essas máquinas presas em estado de reinicialização.
No Brasil, o apagão gerou atrasos nos voos e problemas em serviços bancários e empresas brasileiras também sofreram com a falha dos sistemas. Diversos CIOs consultados pelo IT Forum relatam problemas em suas estruturas. Uma delas, de uma empresa do segmento de beleza, disse que foi totalmente impactada.
O comunicado oficial da Crowdstrike sobre o incidente detalha o procedimento de recuperação dos computadores afetados: https://www.crowdstrike.com/blog/statement-on-falcon-content-update-for-windows-hosts/.
Grupo APT41 se infiltra nos setores globais de transporte e tecnologia (relatório completo no site da Mandiant, em inglês, https://cloud.google.com/blog/topics/threat-intelligence/apt41-arisen-from-dust
Uma intrusão do APT41 foi detectada por pesquisadores, na qual o ator malicioso implantou uma combinação de web shells ANTSWORD e BLUEBEAM para persistência. Esses web shells foram identificados em um servidor Tomcat Apache Manager e estão ativos desde pelo menos 2023. O APT41 utilizou esses web shells para executar certutil.exe e baixar o dropper DUSTPAN, que carrega furtivamente o BEACON.
À medida que a intrusão do APT41 progredia, o grupo intensificou suas táticas implantando o dropper DUSTTRAP. Após a execução, o DUSTTRAP descriptografava uma carga maliciosa e a executava na memória, deixando rastros forenses mínimos. A carga descriptografada foi projetada para estabelecer canais de comunicação com a infraestrutura controlada pelo APT41 para comando e controle ou, em alguns casos, com uma conta comprometida do Google Workspace, misturando ainda mais suas atividades maliciosas com tráfego legítimo. As contas afetadas do Google Workspace foram corrigidas com sucesso para evitar mais acesso não autorizado.
Campanha de Phishing explora falha global na solução da Crowdstrike - Atualizado com novos domínios
Pesquisadores da Apura identificaram uma campanha de phishing direcionada a diversas empresas usando como tema a recente falha de atualização da solução Falcon da Crowdstrike que causou uma grande parada de serviços em todo o mundo nesta sexta-feira 19/07. Diversos sites maliciosos foram identificados.
Essas são as notícias da semana que consideramos bastante relevantes, mas a nossa newsletter semanal é apenas uma amostra do que a plataforma BTTng tem para oferecer.
A experiência completa e aprofundada está reservada para nossos clientes, pelo menu “Boletins” da plataforma BTTng. Nele você encontra as notícias completas, análises detalhadas e atualização constante.
Agradecemos por ser parte da nossa comunidade e esperamos vê-lo explorando mais no BTTng! Se você ainda não usa o BTTng, entre em contato conosco pelo e-mail comercial@apura.com.br e marque uma prova de conceito.