Principais ameaças e tendências da semana passada (16 a 22 de setembro)

23 de setembro de 2024EURavie LakshmananCibersegurança/Ameaça Cibernética

Aguente firme, porque a situação de segurança cibernética da semana passada foi uma montanha-russa! Vimos de tudo, desde hackers norte-coreanos suspendendo seus “empregos dos sonhos” para expor novos malwares, até uma reviravolta surpreendente na questão Apple vs. Grupo NSO. Até mesmo o mundo aparentemente mundano dos nomes de domínio e da computação em nuvem teve sua cota de drama. Vamos mergulhar nos detalhes e ver quais lições podemos aprender com a semana passada.

⚡ Ameaça da semana

Botnet Raptor Train dissolvido: O governo dos EUA anunciou a derrubada do botnet Raptor Train controlado pelo ator de ameaça ligado à China conhecido como Flax Typhoon. A botnet tinha mais de 260 mil dispositivos em junho de 2024, com vítimas espalhadas pela América do Norte, Europa, Ásia, África, Oceania e América do Sul. Também revelou que o ator da ameaça Flax Typhoon é uma empresa de capital aberto com sede em Pequim, conhecida como Integrity Technology Group.

🔔 Principais notícias

• Novo malware do Grupo Lazarus: Um grupo de espionagem cibernética ligado à Coreia do Norte, conhecido como UNC2970 (também conhecido como TEMP.Hermit), foi visto usando práticas de phishing para identificar possíveis vítimas nas indústrias de energia e aeroespacial e infectá-las através de um backdoor anteriormente não documentado conhecido como -MISTPEN. A operação também está sendo rastreada como Operação Dream Job.
• iServer e Ghost desmantelados: Em mais uma grande vitória para as agências responsáveis ​​pela aplicação da lei, a Europol anunciou a derrubada de uma rede criminosa internacional que utilizava a plataforma de phishing para desbloquear telemóveis roubados ou perdidos. A agência, em colaboração com a Polícia Federal Australiana (AFP), desmantelou uma rede de comunicações criptografadas chamada Ghost, que permite o crime grave e organizado em todo o mundo.
• APT iraniana atua como primeiro provedor de acesso: Um ator de ameaça iraniano identificado como UNC1860 atua como socorrista que fornece acesso remoto a redes alvo, instalando backdoors exclusivos. Este acesso é então apoiado por outros grupos de hackers iranianos que trabalham com o Ministério de Inteligência e Segurança (MOIS).
• Apple desiste do processo contra o Grupo NSO: A Apple entrou com uma moção para rejeitar “voluntariamente” um processo contra o fornecedor israelense de spyware comercial NSO Group, citando vulnerabilidades em evolução que poderiam levar à divulgação de informações confidenciais de “inteligência sobre ameaças”. O caso foi aberto em novembro de 2021.
• Ataques de phishing exploram cabeçalhos HTTP: Uma nova onda de ataques de phishing está explorando a entrada de atualização nos cabeçalhos HTTP para fornecer páginas de login de e-mail enganosas, projetadas para coletar credenciais de usuários. Os alvos das campanhas incluem empresas na Coreia do Sul e nos EUA

📰 Pelo mundo cibernético

• Sandvine deixa 56 países “antidemocráticos”: A Sandvine, uma empresa que hospedava middleboxes que facilitavam a entrega de spyware comercial como parte de ataques altamente direcionados, disse que se retirou de 32 países e continua a suspender operações em mais 24, citando ameaças crescentes aos direitos digitais. No início de fevereiro, a empresa foi adicionada ao registro corporativo dos EUA. “O uso indevido da tecnologia de inspeção profunda é um problema internacional que ameaça eleições livres e justas, os direitos humanos básicos e outras liberdades digitais que acreditamos serem inalienáveis”, afirmou. Não divulgou a lista de países de saída como parte da reestruturação.
• Domínio .mobi por US$ 20: Pesquisadores do watchTowr Labs gastaram apenas US$ 20 para encontrar um domínio de servidor WHOIS associado ao domínio de nível superior (TLD) .mobi e configurar um servidor WHOIS para esse domínio. Isto levou à descoberta de que mais de 135.000 sistemas únicos ainda consultavam o antigo servidor WHOIS no período de cinco dias que terminou em 4 de setembro de 2024, incluindo ferramentas de segurança cibernética e servidores de e-mail em instalações governamentais, militares e universitárias. O estudo também mostrou que o processo TLS/SSL para todo o TLD .mobi foi prejudicado, pois descobriu-se que muitas autoridades de certificação (CAs) ainda usam um servidor WHOIS “não autorizado” para “determinar os proprietários do domínio e para onde as informações de autenticação devem ser enviadas .” O Google nos pediu para parar de usar dados WHOIS para autenticação de domínio TLS.
• Configurações incorretas do ServiceNow vazam dados confidenciais: Milhares de empresas estão expondo inadvertidamente segredos em suas bases de conhecimento internas (KB) por meio de configurações incorretas do ServiceNow. AppOmni atribuiu o problema a “configuração desatualizada e controles de acesso mal configurados em KBs”, possivelmente indicando “um mal-entendido sistemático dos controles de acesso de KB ou a duplicação de pelo menos uma instância de controle incorreta em um cluster”. ServiceNow publicou orientações sobre como definir suas configurações para evitar acesso não autorizado a artigos da base de conhecimento.
• Falha de IA do documento do Google Cloud corrigida: Falando em configurações incorretas, os pesquisadores descobriram que as configurações mais permissivas no serviço Document AI do Google podem ser usadas por atores mal-intencionados para invadir depósitos do Cloud Storage e roubar informações confidenciais. A Vectra AI descreveu a vulnerabilidade como um exemplo de abuso de acesso dinâmico.
• Microsoft planeja fim do acesso ao kernel para software EDR: Após as principais consequências do acidente de atualização CrowdStrike em julho de 2024, a Microsoft destacou a “postura de segurança aprimorada e atualizações automáticas” do Windows 11 que permitem mais recursos de segurança para desenvolvedores de software de segurança sem acesso ao modo kernel. Afirmou também que trabalhará com parceiros do ecossistema para alcançar “maior confiabilidade sem sacrificar a segurança”.

🔥 Recursos e insights de segurança cibernética

– Próximos webinários

• Confiança Zero: Armas Anti-Ransomware: Participe de nosso próximo webinar com Emily Laufer da Zscaler para um mergulho profundo no Relatório Ransomware de 2024, revelando as últimas tendências, ameaças emergentes e estratégias de desconfiança que podem proteger sua organização. Não seja mais uma estatística – Cadastre-se agora e lute!
• Reinicialização do SIEM: Da sobrecarga ao monitor: Afogando-se em dados? Seu SIEM deve ser um salva-vidas, não outra dor de cabeça. Junte-se a nós para descobrir como o SIEM legado deu errado e como uma abordagem moderna pode simplificar a segurança sem sacrificar o desempenho. Iremos mergulhar nas origens do SIEM, nos seus desafios atuais e nas nossas soluções orientadas para a comunidade para eliminar o ruído e fortalecer a sua segurança. Inscreva-se agora para uma nova versão do SIEM!

– O especialista perguntou

• Pergunta: Como o Zero Trust difere da Defesa de Perímetro tradicional e quais são os principais desafios e benefícios ao fazer a transição de uma organização de um modelo de Defesa de Perímetro para uma Arquitetura de Confiança Zero?

• UM: Zero Trust e segurança de perímetro são duas maneiras de proteger sistemas de computador. Zero Trust é como ter várias fechaduras em suas portas E verificações de identidade em todos os quartos, o que significa que não confia em ninguém e sempre verifica tudo e todos que tentam acessar qualquer coisa. É ótimo para deter criminosos, mesmo que sejam sorrateiros, e funciona bem quando as pessoas trabalham em locais diferentes ou usam serviços em nuvem. A defesa do perímetro é como ter um muro forte ao redor do seu castelo, focado em manter os bandidos afastados. Mas, se alguém invadir, terá acesso fácil a tudo que está dentro. Essa abordagem clássica combate as ameaças e os ambientes operacionais remotos atuais. Mudar para Zero Trust é como atualizar seu sistema de segurança, mas exige tempo e dinheiro. É adequado porque oferece a melhor proteção. Lembre-se de que não se trata apenas de uma coisa, mas de uma nova maneira de pensar sobre segurança, e você pode começar aos poucos e desenvolver com o tempo. Além disso, não abandone totalmente a parede, ela ainda é útil para proteção básica.

– O destruidor de jargões da segurança cibernética

• Malware polimórfico: Pense em um vírus sorrateiro que muda constantemente de disfarce (assinatura) para enganar seu antivírus. É como um camaleão, o que dificulta a captura.
• Malware metamórfico: Este é ainda mais complicado! É como um metamorfo, não apenas trocando de roupa, mas mudando completamente de corpo. Ele reescreve seu código cada vez que infecta, tornando quase impossível que um antivírus o detecte.

– Dica da semana

Labirinto “Pense antes de clicar”: Navegue por uma série de decisões baseadas em cenários do mundo real, escolhendo a opção mais segura para evitar as armadilhas do phishing e outras ameaças cibernéticas.

A conclusão

“Fazer mal ao homem; perdoar, divino.” -Alexandre Papa. Mas no caso da segurança cibernética, o perdão pode custar muito caro. Vamos aprender com estes erros, fortalecer as nossas defesas e manter o mundo digital um lugar seguro para todos.