Ransomware Quantum e BlackCat usam Emotet como vetor de entrada
Pesquisadores da AdvIntel publicaram os resultados de uma investigação relatando que os operadores de ransomware Quantum e BlackCat adotaram o uso do Emotet como dropper em suas operações entre seus TTP.
Especificamente, a Emotet surgiu em 2014 classificada como um trojan bancário, no entanto, sua evolução acabou transformando-a em uma botnet que os operadores de ransomware Conti usaram em suas operações até junho de 2022, quando foi dissolvido.
A metodologia adotada atualmente pela Quantum e pela BlackCat para usar o Emotet é instalar um farol Cobalt Strike que implanta uma carga útil que lhes permite assumir o controle das redes e executar operações de ransomware.
De acordo com especialistas, a Emotet aumentou sua atividade desde o início do ano, distribuindo-se através de arquivos .lnk, e estima-se que mais de 1,2 milhão de computadores estão infectados. Esse aumento também foi corroborado por outras equipes de pesquisa, como eSET e Agari.
Ler mais ⇾
* * *
Revolut sofre violação de dados com mais de 50.000 usuários expostos
O banco online Revolut, que tem uma licença bancária na Lituânia, foi vítima de um ataque cibernético no qual as informações pessoais de mais de 50.000 clientes foram comprometidas.
O incidente, ocorrido há uma semana, foi descrito como «altamente visado». De acordo com a Agência lituana de proteção de dados, 50.150 clientes foram afetados, 20.687 deles pertencentes à Área Econômica Europeia.
Nesta fase, os detalhes de como o invasor obteve acesso ao banco de dados do banco não foram divulgados, mas todas as indicações são de que o ator da ameaça confiou em um ataque de engenharia social como vetor de entrada.
A Agência observa que as informações expostas incluem: endereços de e-mail, nomes e sobrenomes, endereços postais, números de telefone, detalhes limitados do cartão de pagamento e detalhes da conta.
Finalmente, a Revolut emitiu um comunicado dizendo que os dados pessoais comprometidos variam de cliente para cliente e que nenhum detalhe do cartão ou senhas foram acessados.
Ler mais ⇾
* * *
Vulnerabilidades críticas em ambientes de sistemas de controle industrial
A Agência de Segurança cibernética e segurança de infraestrutura (CISA) emitiu um total de oito avisos de segurança alertando para vulnerabilidades em sistemas de controle industrial (ICS), incluindo falhas críticas que afetam os produtos Dataprobe iBoot-PDU.
Deve-se notar que as unidades de distribuição de energia (PDUs) são usadas para gerenciar remotamente a fonte de alimentação de sistemas comumente utilizados em infraestruturas críticas.
Os pesquisadores de segurança da Claroty descobriram um total de sete vulnerabilidades no produto Dataprobe, incluindo CVE-2022-3183 e CVE-2022-3184 com um CVSS de 9,8. Essas falhas de segurança podem permitir que atores mal-intencionados acessem usuários não autenticados e executem remotamente o código nos sistemas afetados.
David Weiss, CEO da Dataprobe, indicou que os problemas de segurança foram corrigidos na versão 1.42.06162022 e que outros são corrigidos por configuração adequada, como desativação de SNMP, telnet e HTTP.
Ler mais ⇾
* * *
Vulnerabilidade antiga do Phyton afeta milhares de repositórios
Pesquisadores da Trellix divulgaram detalhes sobre a exploração de uma vulnerabilidade na linguagem de programação Python que foi negligenciada por 15 anos.
O bug pode afetar mais de 350.000 repositórios de código aberto e pode levar à execução de código. O relatório explica que eles redescobriram a vulnerabilidade ao revisar outros bugs não relacionados, concluindo que era CVE-2007-4559, já documentado em um relatório inicial em agosto de 2007, e que permaneceu sem correção até hoje.
Somente durante o ano de 2022, do Python Bug Tracker, foi uma atualização fornecida à documentação que apenas alertou os desenvolvedores sobre o risco. Por sua vez, Trellix ressalta que o bug persiste, fornecendo vídeos explicativos sobre como explorá-lo.
A vulnerabilidade está no extrato e extrato de todas as funções do módulo tarfile, o que permitiria a um invasor substituir arquivos arbitrários anexando a sequência «…» para nomes de arquivos em um arquivo TAR.
Além disso, a Trellix anunciou patches para pouco mais de 11.000 projetos, embora, no momento, a Python Software Foundation não tenha comentado sobre a vulnerabilidade, por isso é recomendado um cuidado extremo, pois este é um bug que representa um risco claro para a cadeia de fornecimento de software.
Ler mais ⇾
* * *
O malware chromeloader aumenta sua atividade e aumenta seus recursos
Pesquisadores da Microsoft e da VMware relataram uma campanha maliciosa do malware Chromeloader, uma extensão maliciosa para o navegador Chrome, destinada a infectar dispositivos das vítimas com vários programas maliciosos.
Durante o primeiro trimestre de 2022, o Chromeloader chegou aos holofotes na forma de adware e mais tarde se tornou um ladrão especializado em roubar dados armazenados nos navegadores de usuários-alvo.
No entanto, de acordo com a Microsoft, atualmente há uma campanha em andamento atribuída ao ator de ameaças rastreado como DEV-0796, que faz uso desse malware para lançar cargas muito mais poderosas e direcionadas.
O Chromeloader foi encontrado para ser implantado em arquivos ISO que são distribuídos através de anúncios maliciosos e comentários em vídeo do YouTube.
Além disso, como o VMware também detalha em seu relatório, há pelo menos 10 variantes deste malware camuflado sob utilitários destinados a gerenciar legendas de filmes, jogadores de música e, mais preocupantemente, uma variante do Chromeloader que implementa o ransomware Enigma em um arquivo HTML.
Ler mais ⇾
The post Boletim semanal de cibersegurança 17 — 23 setembro appeared first on Think Big.