LockBit Green: nova variante LockBit
Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit.
Esta nova variante seria a terceira usada pelo grupo, após a sua criação com o Lockbit Red, e sua subsequente evolução para o LockBit Black (também chamado de LockBit 3.0). Vários pesquisadores analisaram as amostras disponíveis do LockBit Green e descobriram que essa nova variante é baseada no código-fonte do Conti.
Com base em sua análise, eles observam que a nota de resgate usada é a do LockBit 3.0, e que a extensão .lockbit não é mais usada, mas aleatória, ao criptografar arquivos no sistema da vítima. A equipe da PRODAFT também compartilhou Indicadores de Comprometimento (IoCs) e uma regra Yara para a nova variante.
Ler mais →
* * *
GitHub revoga certificados Desktop e Atom comprometidos
O Github tomou a decisão de revogar uma série de certificados usados para seus aplicativos Desktop e Atom depois que eles foram comprometidos em um incidente de segurança em dezembro.
De acordo com a própria empresa, o acesso não autorizado em dezembro não afetou os serviços da plataforma, no entanto, um grupo de certificados foi exfiltrado como resultado. Esses certificados são protegidos por senha e, até o momento, nenhum uso mal-intencionado deles foi detectado. A remoção desses certificados invalidará o GitHub Desktop para Mac versões 3.0.2 a 3.1.2 e Atom versões 1.63.0 a 1.63.1.
Os usuários dessas versões são aconselhados a atualizar para a versão mais recente no caso do Desktop e reverter para versões anteriores no caso do Atom. As alterações entrarão em vigor em 2 de Fevereiro.
Ler mais →
* * *
PoC disponível para a vulnerabilidade KeePass
KeePass descobriu recentemente uma vulnerabilidade em seu software para o qual um PoC já foi lançado. A falha, identificada como CVE-2023-24055, permite que os agentes de ameaças com acesso de gravação a um sistema alterem o arquivo de configuração XML e injetem malware para exportar o banco de dados com usuários e senhas em texto sem formatação.
Quando um usuário acessa o KeePass e insere a senha mestra para abrir o banco de dados, a regra de exportação é acionada em segundo plano e o conteúdo é salvo em um arquivo acessível aos invasores. Embora a KeePass tenha descrito o problema em 2019 sem descrevê-lo como uma vulnerabilidade, os usuários estão solicitando que o produto inclua uma mensagem de confirmação antes de exportar ou poder desativar o recurso.
O Bleeping Computer recomenda garantir que usuários sem privilégios não tenham acesso a nenhum arquivo de aplicativo e criar um arquivo de configuração.
Ler mais →
* * *
Duas novas vulnerabilidades em dispositivos CISCO
Pesquisadores da Trellix alertaram para duas vulnerabilidades nos dispositivos Cisco. O primeiro, identificado como CVE-2023-20076 e com CVSS de um fabricante de 7.2, permitiria que um invasor não autenticado injetasse comandos remotamente em vários dispositivos.
O segundo bug, até agora identificado com o ID de bug da Cisco CSCwc67015, permitiria que um invasor executasse remotamente o código e substituísse os arquivos existentes. Embora ambos os bugs tenham sido originalmente identificados nos roteadores Cisco ISR 4431, eles também afetariam outros dispositivos: ISRs industriais da série 800, módulos de computação CGR1000, gateways de computação industrial IC3000, dispositivos baseados em IOS-XE configurados com IOx; Roteadores industriais IR510 WPAN e pontos de acesso Cisco Catalyst (COS-APs).
A Cisco divulgou atualizações de segurança para a primeira vulnerabilidade mencionada, e os pesquisadores pedem que as organizações afetadas atualizem para a versão mais recente do firmware disponível e desativem a estrutura IOx se não for necessária.
* * *
Campanha de Lazarus contra empresas de energia e saúde
A WithSecure publicou uma extensa pesquisa sobre a mais recente campanha do APT Lazarus, supostamente apoiada pela Coreia do Norte.
A campanha recebeu o nome de «No Pineapple!» e nela o grupo conseguiu roubar 100 GB de dados de empresas de pesquisa médica, engenharia e energia, entre outras. De acordo com a WithSecure, o Lazarus explorou as vulnerabilidades CVE-2022-27925 e CVE-2022-37042 em Zimbra para colocar um webshell no servidor de e-mail das vítimas.
Uma vez dentro do sistema, eles usaram várias ferramentas, como o backdoor Dtrack e uma nova versão do malware GREASE, que abusa da vulnerabilidade PrintNightmare. A WithSecure conseguiu atribuir a campanha a Lazarus, além de repetir TTPs associados ao grupo, porque descobriu que os webshells se comunicavam com um IP localizado na Coreia do Norte.
Ler mais →
The post Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro appeared first on Think Big.