Páginas

agosto 28, 2023

[Segurança] Principais notícias de segurança em Junho de 2023

Segue abaixo a minha tradicional lista com as principais notícias sobre segurança e fraudes online que aconteceram no mês passado em Junho deste ano. A proposta dessa série de posts é focar principalmente em notícias relacionadas a ameaças, ciber ataques, fraudes e golpes direcionadas a usuários finais no Brasil, ou alguns casos mais relevantes no mundo. Algumas dessas notícias, aquelas que eu considero mais importantes ou interessantes, estão acompanhadas por um pequeno resumo.

Vale a pena destacar que o mês de Junho foi dominado por notícias de empresas afetadas pela vulnerabilidade de dia zero no software MOVEit Transfer (CVE-2023-34362), ativamente explorada pelo grupo de ransomware Clop e que lhe rendeu mais de uma centena de vítimas em apenas um mês!

Segue um apanhado das principais notícias desse mês:

01/06/2023 - Amazon to pay $30.8M for Alexa and Ring privacy violations (em inglês) (SC Magazine)

01/06/2023 - Dark Pink cyber-spies add info stealers to their arsenal, notch up more victims (em inglês) (The Register)

01/06/2023 - New MOVEit Transfer zero-day mass-exploited in data theft attacks (em inglês) (Bleeping Computer)

01/06/2023 - New Horabot campaign takes over victim's Gmail, Outlook accounts (em inglês) (Bleeping Computer)

01/06/2023 - Programa Red Zone #80

Tópicos: ANCINE aperta cerco contra pirataria e as IPTVs, Musk consegue licença para o Neuralink, Itália parou de novo. Novos ataques de Biometria, Transparência na ANPD, USA x Russia - acusações de Celulares, Japonês é preso por pirataria via Youtube.

02/06/2023 - França aprova lei para regular influencers em redes sociais, com pena até de prisão (O Globo)

02/06/2023 - New Botnet Malware 'Horabot' Targets Spanish-Speaking Users in Latin America (em inglês) (The Hacker News)

02/06/2023 - iSpace, Inc. Files Notice of Data Breach Leaking Consumers’ SSNs and PHI (em inglês) (jdsupra)

03/06/2023 - Uncle Sam wants DEF CON hackers to pwn this Moonlighter satellite in space (em inglês) (The Register)

03/06/2023 - "Golpe da Mão Fantasma": Agências Bancárias do RS alertam clientes (Terra)

03/06/2023 - Amazon: empregados da Ring espionaram usuários de câmeras domésticas (TecMundo)

04/06/2023 - Large Spanish bank confirms ransomware attack (em inglês) (The Record)

A Globalcaja, um grande banco na Espanha com sede na cidade espanhola de Albacete, reportou que está lidando com um ataque de ransomware que afeta vários escritórios. O grupo Play ransomware afirmou que atacou o banco e roubou uma quantidade não revelada de dados confidenciais privados e pessoais, documentos de clientes e funcionários, passaportes, contratos e muito mais.

05/06/2023 - Brazilian Cybercriminals Using LOLBaS and CMD Scripts to Drain Bank Accounts (em inglês) (The Hacker News)

05/06/2023 - Analista de TI finge ser gangue de ransomware para extorquir os patrões (Terra)

Um homem de 28 anos foi preso no Reino Unido depois de fingir ser membro de uma gangue de ransomware para tentar extorquir dinheiro da empresa em que trabalhava, a Oxford BioMedica, enquanto essa sofria um ataque real de sequestro de dados. O analista de TI Ashley Liles aproveitou o incidente para tentar extorquir £ 300.000 em Bitcoins. Após alterar a carteira de criptomoedas usadas pelos criminosos originais para um endereço que pertencia a si mesmo, Liles passou a coletar documentos e arquivos confidenciais, em uma tentativa de ampliar as ameaças. Ele também pressionava seus patrões a realizarem o pagamento do resgate através de um e-mail falso, mas semelhante ao usado pelos criminosos.

05/06/2023 - Microsoft links Clop ransomware gang to MOVEit data-theft attacks (em inglês) (Bleeping Computer) (twitter)

05/06/2023 - SpinOk Android malware found in more apps with 30 million installs (em inglês) (Bleeping Computer)

06/06/2023 - Febraban alerta para cuidados em sites e redes sociais nas compras para o Dia dos Namorados (Febraban)

06/06/2023 - Polícia Civil de Itapeva deflagra operação 'Duas Caras' (Polícia Civil)

Policiais civis da Delegacia de Polícia de Investigações Gerais (DIG) de Itapeva realizaram a operação denominada “Duas Caras”, relacionada a uma organização criminosa especializada em estelionatos. Eles praticavam o golpe do “falso familiar”, no qual os criminosos se passavam por parentes ou amigos das vítimas e solicitavam a transferência de valores via PIX. 

06/06/2023 - Banco espanhol Globalcaja é alvo de ciberataque de ransomware (CISO Advisor)

O banco espanhol Globalcaja confirmou que sofreu um ataque de ransomware que afetou alguns de seus sistemas locais. O grupo de ransomware Play assumiu a autoria do ataque. Globalcaja garantiu aos clientes que o ataque de ransomware não comprometeu nenhuma conta ou contrato, nem afetou o funcionamento de sua plataforma de banco eletrônico, Ruralvía, aplicativo móvel de banco e finanças, cujas funcionalidades permaneceram inalteradas.

06/06/2023 - Outlook.com hit by outages as hacktivists claim DDoS attacks (em inglês) (Bleeping Computer)

06/06/2023 - Over 60,000 Android apps secretly installed adware for past six months (em inglês) (Bleeping Computer)

06/06/2023 - Ransomware Clop assume autoria do ataque ao MOVEit Transfer (CISO Advisor)

O grupo de ransomware Clop assumiu a autoria dos ataques de roubo de dados a partir da vulnerabilidade no MOVEit Transfer, software de transferência segura de dados usado por grandes empresas ao redor do mundo. Os hackers exploraram uma vulnerabilidade de dia zero para violar os servidores de várias empresas e roubar seus dados. O Clop confirmou ainda que começou a explorar a vulnerabilidade em 27 de maio, durante o feriado prolongado do Memorial Day nos EUA.

06/06/2023 - Novo malware tem como alvo a indústria aeroespacial dos EUA (CISO Advisor)

Um novo script de malware PowerShell chamado PowerDrop descoberto pode ser usado em ataques direcionados à indústria de defesa aeroespacial dos EUA. O malwre foi descoberto pela Adlumin, que no mês passado encontrou uma amostra do malware na rede de uma empresa de defesa nos EUA.
Pesquisadores de segurança da Akamai localizaram uma nova campanha contínua de web skimmer, no estilo do grupo cibercriminoso Magecart, projetada para roubar informações de identificação pessoal (PII) e dados de cartão de crédito de sites de comércio eletrônico.

07/06/2023 - Polícia investiga vazamento de informações sigilosas da Justiça gaúcha a advogados, com uso de senhas de servidores (GZH)

07/06/2023 - Laboratório da Febraban lança curso gratuito para estudantes da área de tecnologia e cibersegurança (Febraban)

07/06/2023 - Vírus bancário criado no Brasil atinge sete países da América Latina (Canal Tech)

Uma campanha maliciosa que aparenta ser operada do Brasil já atingiu pelo menos sete países da América Latina com um vírus que rouba e-mails e credenciais bancárias. O cavalo de Tróia Horabot está circulando desde novembro de 2020 e tem foco amplo, podendo atingir desde usuários finais até empresas de variadas verticais, de acordo com análise da empresa de segurança Cisco Talos. o vírus é capaz de furtar credenciais de acesso a contas e serviços financeiros, bem como dados digitados, tokens e até códigos de verificação em duas etapas. Os especialistas detectaram contaminações no México, Uruguai, Venezuela, Argentina, Panamá e Guatemala, além do próprio Brasil. A operação foi associada ao nosso país devido ao uso da linguagem Delphi (uma preferência entre os cibercriminosos locais) e pelo fato dos domínios relacionados ao Horabot terem sido registrados a partir de IPs nacionais.

07/06/2023 - Criminosos distribuem 'vírus do anúncio' em 60 mil apps para Android (TecMundo)

07/06/2023 - No Brasil, 80% das empresas não se adequaram à LGPD (DCiber)

Uma pesquisa do Grupo Daryus apontou que só 20% das empresas brasileiras estão completamente em consonância com a LGPD. No mais, 35% estão parcialmente adequadas, e outras 24% dizem estar na fase inicial do processo de harmonização à legislação.

08/06/2023 - Microsoft OneDrive down worldwide following claims of DDoS attacks (em inglês) (Bleeping Computer)

08/06/2023 - Programa Red Zone #81

Tópicos: O Aeroporto da Bahia parou por falta de luz nas pistas. Problema monstro na Barracuda Webmail, Farmacêutica Japonesa atacada, Visual Studio distribuído com vírus, DeepFake com Putin na Rússia, Malware distribuído no Minecraft, Cidade de Dallas sofre com Ransomware, Smash Punpkins atacados e relatório da Verizon.

09/06/2023 - Microsoft’s Azure portal down following new claims of DDoS attacks (em inglês) (Bleeping Computer)

Centenas de empresas em todo o mundo estão sendo extorquidas pelo grupo de ransomware Clop, depois que ele explorou uma vulnerabilidade na ferramenta de transferência de arquivos MOVEit para invadir redes de computadores em todo o mundo e roubar informações confidenciais. O grupo publicou uma nota de extorsão alegando que “centenas” de empresas foram afetadas e alertando que essas vítimas precisavam entrar em contato com a gangue ou, caso contrário, serão identificadas no site de extorsão do grupo.

10/06/2023 - Gigabyte corrige vulnerabilidade em diversos modelos de placa-mãe (TecMundo)

10/06/2023 - Kaspersky identifica nova tentativa de ataques de phishing por SMS (Guia do PC)

11/06/2023 - Ataques de botnet IoT ameaçam redes de telecom no mundo (CISO Advisor)

11/06/2023 - Gigante farmacêutica Eisai põe sistemas offline após ciberataque (CISO Advisor)

11/06/2023 - Shell apura vazamento de dados de motoristas de carros elétricos (CISO Advisor)

11/06/2023 - Da conta invadida ao presente em casa: como se proteger dos golpes da moda (Metrópoles)

12/06/2023 - A Massive Vaccine Database Leak Exposes IDs of Millions of Indians (em inglês) (Wired)

12/06/2023 - Hackers ucranianos derrubam infraestrutura bancária da Rússia (CISO Advisor)

12/06/2023 - Homens são sequestrados após 'golpe do Tinder' (Estado de Minas)

13/06/2023 - Mais de 80% das empresas sofrem ataques cibernéticos direcionados aos funcionários, segundo pesquisa (TI Inside)

13/06/2023 - Estudo mapeia os 10 carros mais visados em fraudes de compra e venda online (TI Inside)

14/06/2023 - Qbot se consolida como principal malware no Brasil (CISO Advisor)

Segundo a CheckPoint Research, o malware Qbot, um cavalo de Troia sofisticado que rouba credenciais bancárias e digitação de teclado, se firma como principal ameaça no Brasil. O Qbot aparece na liderança da lista nacional há seis meses consecutivos e mantém o alto impacto nas organizações no Brasil com índices de 13,94% em maio, 19,10% em abril, 21,63% em março, 19,84% em fevereiro, 16,44% em janeiro. São todos índices superiores aos do ranking mundial, os quais se mantêm praticamente o dobro em relação aos respectivos globais.

14/06/2023 - Operação ‘Rei do Pix’ prende integrantes de organização criminosa na zona leste de São Paulo (Polícia Civil)

A Polícia Civil de São Paulo cumpriu mandados de prisão e de busca e apreensão durante a segunda fase da operação contra uma associação criminosa especializada em roubos e extorsões. Os criminosos restringiam a liberdade das vítimas e realizavam diversas transferências eletrônicas de valores, via PIX. Em uma das ocorrências, a quadrilha comandada por um indivíduo conhecido como “Rei do PIX” invadiu uma residência, mantendo um casal sob coação para a realização de diversas transferências, o que causou às vítimas um prejuízo de aproximadamente R$ 90 mil.

14/06/2023 - Associação criminosa responsável por central de golpes é desbaratada na zona norte da capital (Polícia Civil)

Policiais civis de São Paulo desmantelaram uma organização criminosa especializada em golpes aplicados via internet. Após investigações, os agentes identificaram que o grupo usava três apartamentos como centrais clandestinas no bairro Tremembé, destinadas à subtração de valores de contas correntes de diversas pessoas, de várias instituições financeiras.
Uma nova backdoor personalizada chamada Stealth Soldier foi implantada como parte de um conjunto de ataques de espionagem altamente direcionados no norte da África, segundo a Check Point. A operação em andamento é caracterizada pelo uso de servidores de comando e controle (C&C) que imitam sites pertencentes ao Ministério das Relações Exteriores da Líbia. Os primeiros artefatos associados à essa campanha datam de outubro de 2022.

14/06/2023 - Gartner cita quatro mitos que ofuscam o valor total da segurança cibernética (TI Inside)

14/06/2023 - GSI promove audiência pública sobre Política Nacional de Cibersegurança (ConJur)

14/06/2023 - ANPD divulga modelo de registro simplificado de operações com dados pessoais para Agentes de Tratamento de Pequeno Porte (ATPP) (ANPD)

15/06/2023 - Android GravityRAT malware now steals your WhatsApp backups (em inglês) (Bleeping Computer)

15/06/2023 - KillNet, Anonymous Sudan, and REvil Unveil Plans for Attacks on US and European Banking Systems (em inglês) (Trustwave)

15/06/2023 - Mais de de 1/4 das empresas brasileiras sofreram ataques cibernéticos nos últimos 12 meses (Security Report)

De acordo com a 2ª Pesquisa Nacional BugHunt de Segurança da Informação, mais de 1/4 das empresas brasileiras sofreram ataques cibernéticos no último ano. Dentre os ataques sofridos, as companhias reportam Phishing (39%), Ransomware (25%), Vírus (25%), DDOS (17%) e Vishing (11,1%) como os mais recorrentes enfrentados pelas equipes.

15/06/2023 - Rhysida ransomware leaks documents stolen from Chilean Army (em inglês) (Bleeping Computer)

15/06/2023 - Agência reguladora de cibersegurança pretende ter 800 servidores e gasto anual de R$ 600 milhões (Teletime)

15/06/2023 - Security experts bypass BIOS-locked laptop using just a screwdriver (em inglês) (Techspot)

15/06/2023 - Esta lista foi compilada e compartilhada no blog do Anchises

15/06/2023 - Programa Red Zone #82

Tópicos: Problemas em todos os lugares: Google, Windows 10 pirata e Windows 11 com problemas, Fortinet, VMware, AirTAG, fraude no México, POC em GithHUB, MS Patch Tuesday e por fim um relatório apresentando os números que demonstram o quanto está impactada a segurança mundial.

16/06/2023 - Police cracks down on DDoS-for-hire service active since 2013 (em inglês) (Bleeping Computer)

16/06/2023 - A Russian ransomware gang breaches the Energy Department and other federal agencies (em inglês) (K8)


A Polícia Civil de São Paulo realizou uma operação contra um homem de 34 anos suspeito de usar um manequim e fotografias de documentos das vítimas para burlar o reconhecimento facial de aplicativos de bancos. Com o uso do manequim e fotos em tamanho real das vítimas, o criminoso abria contas em bancos e, em seguida, solicitava empréstimos. Além do tronco de manequim, foram apreendidas 17 máquinas de cartão, diversas fotografias dos rostos das vítimas, um cofre com cartões, documentos, munições 9mm e um aparelho celular.

18/06/2023 - Microsoft confirms Azure, Outlook outages caused by DDoS attacks (em inglês) (Bleeping Computer) (blog da Microsoft)

20/06/2023 - Mais de 100.000 credenciais de contas do ChatGPT Roubadas são vendidas na Deep Web (BoletimSec)

20/06/2023 - Vídeo. PCDF prende hackers que vazaram dados de autoridades na dark web (Metropoles)

O relatório Fast Facts da Trend Micro indicou que o mês de março registrou o maior número de ataques do ano — até o momento somam 15,8 bilhões —, fechando o trimestre com 43,3 bilhões de ameaças detectadas, o que representa um aumento de 31% na comparação com o mesmo período do ano passado.

21/06/2023 - PwC and EY impacted by MOVEit cyber attack (em inglês) (Cyber Security Hub)

21/06/2023 - As mensagens ameaçadoras de um hacker para um delegado: “Aguarde, safado” (Metropoles)

21/06/2023 - Trojan bancário Mekotio segue ativo na América Latina (CISO Advisor)

Detectado pela primeira vez em 2015, o Mekotio, malware que rouba informações financeiras, principalmente credenciais para acessar contas bancárias ou dados de cartão de crédito, continua ativo em vários países da América Latina, segundo alerta a ESET. Até agora, mais de 70 variantes desse trojan foram detectadas. Na América Latina, a Argentina (52%) é o país com mais atividade do Mekotio, seguido pelo México (17%), Peru (12%), Chile (10%) e Brasil (3%).

Levantamento feito pela NordVPN revelou que 144 mil cartões de pagamento foram roubados no Brasil neste ano, o que coloca o país na quinta posição mundial entre os mais afetados pelo crime e o primeiro na América do Sul. Os pesquisadores estimam que o preço médio de uma unidade de dados de cartões na dark web é de R$ 42,94. Segundo a NordVPN, hoje existem cerca de 92 mil cartões de pagamento brasileiros à venda ilegalmente, sendo que mais de 48 mil vêm com número de telefone das vítimas. A venda desse banco de dados pode render mais de US$ 18,5 milhões aos cibercriminosos.

22/06/2023 - Aumentam ataques contra segurança de sistemas VoIP (TI Inside)

22/06/2023 - Suíça terá nova lei de proteção de dados a partir de setembro (TI Inside)

22/06/2023 - Programa Red Zone #83

Tópicos: O submarino não conseguiu visitar o Titanic, mas demitiu o responsável pela segurança antes da catástrofe. Vulnerabilidades na MoveIt, Apple acerta a Triangulação, Shell com problemas em abastecimento de carros elétricos, Canadá prevê ataques, DeepFake usando manequins para golpes, SSH comprometidos, Câmeras de IA na China geram problemas, Hacker que comercializavam dados de Ministros e políticos é preso.

22/06/2023 - Agência Nacional de Cibersegurança: foco será mitigar 85% dos ataques (Convergência Digital)

23/06/2023 - Uso da inteligência artificial por pedófilos aumenta a pornografia infantil na internet (TI Inside)

24/06/2023 - Urubu do Pix: entenda o golpe envolvendo depósitos no WhatsApp (TecMundo)

25/06/2023 - Diablo 4 sofre ataque DDoS que deixa servidores fora do ar por várias horas (Tecmundo)

25/06/2023 - American e Southwest Airlines sofrem violação de dados (CISO Advisor)

A American Airlines e a Southwest Airlines, duas das maiores companhias aéreas do mundo, informaram terem sido alvos de violações de dados causadas pelo hack à Pilot Credentials, uma fornecedora terceirizada que gerencia aplicativos de pilotos e portais de recrutamento de várias companhias aéreas O ataque, ocorrido em 30 de abril, comprometeu documentos com informações de candidatos no processo de contratação de pilotos. De acordo com as notificações de violação apresentadas pelas cias aéreas, a American Airlines disse que a violação de dados afetou 5.745 pilotos e candidatos, enquanto a Southwest relatou um total de 3.009.

26/06/2023 - Some Petro-Canada locations are cash only amid 'cybersecurity incident' at parent company Suncor (em inglês) (CBC)

26/06/2023 - Brasil teve 1 tentativa de fraude a cada 11 segundos em abril (CISO Advisor)

Os brasileiros sofreram uma tentativa de golpe a cada 11 segundos no mês de abril, o que resultou em um total de 232.478 investidas de cibercriminosos contra consumidores e empresas a fim de fraudá-los ou roubar suas identidades. Os dados são do Indicador de Tentativas de Fraude da Serasa Experian.

26/06/2023 - Anatsa Android trojan now steals banking info from users in US, UK (em inglês) (Bleeping Computer)
Um recente levantamento feito pela Apura Cyber Intelligence, em sua plataforma BTTng, apontou um crescimento no número de credenciais vazadas de usuários brasileiros em 2023, saltando de uma média de 6 milhões por mês em 2022 para cerca de 9 a 10 milhões de credenciais de acesso expostas nos primeiros meses deste ano. Em 2022, a plataforma BTTng identificou o vazamento de 72 milhões de credenciais, apenas de brasileiros. Nos quatro primeiros meses deste ano, foram identificadas 39.597.964 credenciais vazadas.

27/06/2023 - Criminosos promovem Golpe de crowdfunding de caridade para roubar doações  (Security Report)

27/06/2023 - Golpes contra PMEs são lucrativos para o cibercrime, aponta relatório (in_cyber)

O relatório “As Ameaças contra as PMEs” da Kaspersky revela que o número total de tentativas de ataques usando arquivos maliciosos contra pequenas e médias empresas durante os primeiros cinco meses de 2023 atingiu 764.015 casos. Exploits foram a ameaça mais comum contra as PMEs, respondendo por 63% (483.980) de todas as tentativas durante os primeiros cinco meses de 2023.

27/06/2023 - 60% do ransomware ataca pequenas e médias empresas (in_cyber)

De acordo com o Relatório SMB 2022 da Check Point Software, a partir de uma pesquisa com mais de 1.000 pequenas e médias empresas nos Estados Unidos, Alemanha, Reino Unido e Cingapura, dois dos maiores impactos que os ataques cibernéticos têm nas PMEs incluem perda de receita (28%) e a perda de confiança do cliente (16%).

28/06/2023 - Siemens Energy confirma ciberataque via MOVEit Transfer (CISO Advisor)

28/06/2023 - Linux version of Akira ransomware targets VMware ESXi servers (em inglês) (Bleeping Computer)

28/06/2023 - Golpe da Shein: criminosos compram anúncios falsos no Google para enganar clientes (TecMundo)

29/06/2023 - Cerca de 140 organizações foram afetadas pelo hack ao MOVEit (CISO Advisor)

Segundo levantamento feito pela Emsisoft, cerca de 140 organizações conhecidas no mercado foram afetadas pelo hack ao MOVEit Transfer, que resultou na violação de dados e no comprometimento de informações pessoais de mais de 15 milhões de pessoas. A lista inclui grandes organizações como Shell, Siemens Energy, Schneider Electric, Universidade da Califórnia em Los Angeles (UCLA), Sony, EY, PwC, Cognizant e AbbVie.

29/06/2023 - Programa Red Zone #84

Tópicos: Apresentamos um resumo da BSidesSP. Problemas com a Cisco e VMware de novo. Pipocam incidentes da MoveIt, Siemens impactada. PEM em Drones, Suncor do Canadá atacada, Hacker contrata gamers para ataques reais, polícia prende pessoas ligadas a EncroChat, Cão Robô utilizado na guerra e faxineiro destrói pesquisa de milhões.

30/06/2023 - Semiconductor giant says IT supplier was attacked; LockBit makes related claims (em inglês) (The Register)

Gostaram da lista? Se esqueci de citar algum assunto relevante, comente aqui no Blog.

Veja também o vídeo dos incidentes do mês de Junho de 2023 produzido pela CECyber, com o professor Almir Alves. Neste mês, ele destacou 4 assuntos que marcaram o mês de junho: o roubo de 100 mil contas de usuários do ChatGPT, BrasDex, o vírus que tem atormentado os usuários de PIX em celulares Android, problemas de disponibilidade nos principais serviços Microsoft, como Outlook e Azure e as APIs como principal preocupação dos CISOs brasileiros. Confira o vídeo abaixo:


Veja também:

Veja o histórico de notícias:

PS: Post atualizado em 05, 11 e 21/09, em 02/10, 30/11 e 19/12.

Nenhum comentário:

Postar um comentário