Em um comunicado preocupante sobre o cenário corporativo global, a Redbelt Security divulgou seu mais recente relatório de análise das tendências de ameaças cibernéticas que exigem a atenção das empresas, com o intuito de que reforcem suas proteções digitais.
“Em uma análise recente, realizada por pesquisadores de diferentes instituições especializadas mundiais, foi detectado que vários atores de ameaças e suas ferramentas personalizadas realmente estão se sofisticando”, afirma William Amorim, especialista em Cibersegurança da Redebelt Security.
O grupo APT28, também conhecido como Fancy Bear, Forest Blizzard, Sofacy e STRONTIUM, foi identificado utilizando a ferramenta personalizada GooseEgg para explorar a vulnerabilidade CVE-2022- 38028 no serviço Windows Print Spooler. Essa ferramenta permite o roubo de credenciais e ações privilegiadas em sistemas direcionados, afetando principalmente setores governamentais.
Segundo Amorim, outra descoberta dos analistas internacionais lidas por ele foi que uma nova variante do malware LightSpy, originalmente projetado para plataformas móveis, agora foi direcionada para dispositivos macOS. Esta variante explora vulnerabilidades do sistema para realizar atividades de espionagem, indicando um aumento nas ameaças cibernéticas direcionadas a usuários do macOS. “A análise revelou técnicas sofisticadas, como cargas criptografadas e carregamento dinâmico de módulos”, explica o executivo da Redbelt Security.
Por fim, os pesquisadores detalharam as ferramentas de tunelamento de tráfego e extração de dados utilizadas pelo grupo ToddyCat APT. Elas incluem uma ferramenta de tunelamento SSH reverso e a ferramenta SoftEther VPN, usada para contornar medidas de segurança de rede e extrair dados sensíveis de organizações governamentais na Ásia. Essas descobertas destacam a sofisticação e a diversidade das ameaças cibernéticas enfrentadas atualmente.
Ainda de acordo com o especialista da Redbelt Security, a exposição de uma vulnerabilidade de segurança pode ter consequências devastadoras para empresas de todos os portes. Desde grandes corporações até pequenas startups, nenhuma companhia está imune aos riscos. Uma brecha de segurança pode levar ao vazamento de dados confidenciais, roubo de propriedade intelectual, interrupção das operações e até mesmo a perda de confiança dos clientes.
Além disso, as multas e processos judiciais decorrentes de violações de dados podem representar um grande impacto financeiro. Portanto, é crucial que as empresas priorizem a segurança cibernética, invistam em soluções robustas e mantenham seus sistemas atualizados. Somente com uma abordagem proativa e vigilante, as organizações poderão se proteger contra as ameaças em constante evolução e salvaguardar seu futuro no mundo digital.
Phishing com Venom RAT visa LATAM
O agente de ameaças conhecido como TA558 lançou uma nova campanha massiva de phishing, visando uma ampla variedade de setores na América Latina, com a intenção de instalar o Venom RAT. Esses ataques têm como alvo principal setores como hoteleiro, de viagens, comercial, financeiro, industrial e governamental em diversos países, incluindo Espanha, México, Estados Unidos, Colômbia, Portugal, Brasil, República Dominicana e Argentina.
“É essencial que as empresas permaneçam vigilantes e fortaleçam suas defesas cibernéticas, adotando medidas proativas para educar seus funcionários sobre os perigos do phishing e fortalecer suas políticas de segurança. A colaboração entre os setores público e privado é crucial para mitigar os riscos e proteger os dados sensíveis contra essas ameaças cada vez mais sofisticadas”, aconselha Amorim.
Falha crítica em gateway da Palo Alto
Foi emitido um alerta sobre uma falha crítica que afeta o software PAN-OS, utilizado nos gateways GlobalProtect da Palo Alto Networks, que está sendo ativamente explorada. Identificada como CVE-2024-3400, essa vulnerabilidade possui uma pontuação CVSS de 10,0, o que indica sua gravidade máxima. A empresa especificou que o problema afeta exclusivamente firewalls que possuem as configurações do gateway GlobalProtect (Rede > GlobalProtect > Gateways) e telemetria de dispositivos (Dispositivo > Configuração > Telemetria) habilitadas.
A descoberta e reportagem do bug foram realizadas pela empresa de segurança cibernética Volexity. Embora não existam detalhes técnicos adicionais sobre a natureza dos ataques, a Palo Alto Networks reconheceu estar ciente de um número limitado de ataques que exploram essa vulnerabilidade. Enquanto isso, é recomendado que os clientes com assinatura do Threat Prevention habilitem o Threat ID 95187 para se protegerem contra essa ameaça.
Risco de ataques no Windows por falha crítica
Uma falha crítica de segurança, apelidada de ‘BatBadBut’, foi descoberta na biblioteca padrão do Rust, representando um risco para os sistemas Windows. Essa vulnerabilidade pode ser explorada para direcionar usuários do Windows e facilitar ataques de injeção de comando. Identificada como CVE-2024-24576, a falha possui uma pontuação CVSS de 10,0, indicando gravidade máxima.
Ela impacta situações em que arquivos em lote são chamados no Windows com argumentos não confiáveis. A vulnerabilidade, conhecida como ‘BatBadBut’, impacta várias linguagens de programação e ocorre quando a “linguagem de programação encapsula a função CreateProcess [no Windows] e adiciona um mecanismo de escape para os argumentos de comando”. Como nem todas as linguagens de programação resolveram o problema, os desenvolvedores são aconselhados a ter cautela ao executar comandos no Windows.
Ciberespionagem explora falhas da Cisco
Hackers utilizaram duas vulnerabilidades de dia zero para instalar malware personalizado, visando facilitar a coleta de dados secretos em ambientes específicos. Denominada ArcaneDoor pela Cisco Talos, a atividade foi atribuída a um ator sofisticado conhecido como UAT4356 (também referido como Storm-1849 pela Microsoft), supostamente patrocinado por um Estado ainda não identificado.
Embora os preparativos para a campanha tenham sido iniciados em julho de 2023, a via de acesso inicial utilizada para comprometer os dispositivos permanece desconhecida. “É importante ressaltar que uma exploração de dia zero é uma técnica usada por agentes maliciosos para tirar vantagem de uma vulnerabilidade de segurança não divulgada, buscando acesso não autorizado a um sistema”, destaca Amorim.
Interpol move operações contra phishing
Cerca de 37 pessoas foram presas como parte de uma operação internacional para combater um serviço de crimes cibernéticos chamado LabHost. O LabHost era usado por criminosos para roubar credenciais pessoais de vítimas em todo o mundo.
Como parte da operação, codinomeada PhishOFF e Nebulae (referindo-se ao braço australiano da investigação), dois usuários do LabHost de Melbourne e Adelaide foram presos em 17 de abril. LabHost (“lab-host[] ru”) e todos os seus sites de phishing associados foram confiscados e substituídos por uma mensagem anunciando sua apreensão.
As informações capturadas incluíam nomes, endereços, e-mails, datas de nascimento, respostas a perguntas de segurança, números de cartões de crédito, senhas e PINs. De acordo com a Europol, as redes de crime organizado estão se tornando cada vez mais ágeis, sem fronteiras, controladoras e destrutivas (ABCD). Isso ressalta a necessidade de uma “resposta concertada, sustentada, multilateral e cooperação conjunta”.