outubro 31, 2024

[Segurança] Principais notícias de segurança em Julho de 2024

Segue abaixo a minha tradicional lista com as principais notícias sobre segurança e fraudes online que aconteceram no mês passado. em algum mês recente (kkkkk). As que eu considero mais relevantes incluem um pequeno resumo, de apenas um parágrafo. A proposta dessa série de posts é focar principalmente em notícias relacionadas a ameaças, ciber ataques, fraudes e golpes direcionadas a usuários finais no Brasil, ou alguns casos mais relevantes no mundo. Algumas dessas notícias, aquelas que eu considero mais importantes ou interessantes, estão acompanhadas por um pequeno resumo.

01/07/2024 - New regreSSHion OpenSSH RCE bug gives root on Linux servers (em inglês) (Bleeping Computer)

Pesquisadores de segurança da Qualys identificaram uma vulnerabilidade grave de execução remota de código não autenticado (RCE) no servidor OpenSSH (sshd) em sistemas Linux baseados em glibc. A vulnerabilidade recebeu o CVE-2024-6387. A vulnerabilidade afeta o sshd em sua configuração padrão.

01/07/2024 - Indonesia's communications minister faces pressure to resign following cyberattack (em inglês) (The Record)

O ministro das Comunicações e Informática da Indonésia, Budi Arie Setiadi, enfrenta pressão pública para renunciar após um ataque de ransomware em grande escala ao centro de dados nacional do país que interrompeu mais de 200 instituições, incluindo agências governamentais. O ciberataque foi atribuído a variante Brain Cipher do ransomware LockBit 3.0. Foi criada uma petição que critica a forma como o governo lidou com o ataque cibernético, destacando a interrupção de serviços essenciais e a falta de transparência. Apenas algumas instituições afetadas tiveram os seus serviços restaurados e o governo recusou-se a pagar o resgate de 8 milhões de dólares exigido pelos hackers. Foi revelado problemas com o backup de dados devido a restrições orçamentais e a restauração completa dos serviços está prevista para agosto.

01/07/2024 - Australian charged for ‘Evil Twin’ WiFi attack on plane (em inglês) (Bleeping Computer)

01/07/2024 - CyberVolk Group Unveils New Ransomware “CyberVolk Ransomware” with Unique Encryption Algorithm (em inglês) (Daily Dark Web)

01/07/2024 - Confira dias e horários preferidos para golpes e fraudes bancárias, e saiba como se proteger (Folha de São Paulo)

Segunda-feira de madrugada e terça-feira à noite são os dias e horários preferidos dos estelionatários para tentativas de fraudes bancárias, segundo a edição de 2024 do relatório "Fraud Report idwall Financeiro", da empresa idwall. O relatório destaca que a preferência dos golpistas mudou entre 2023 e 2024.

01/07/2024 - Tentativas de fraudes no e-commerce brasileiro recuam 23% no 1º trimestre, diz estudo (CNN)

02/07/2024 - Ransomware atinge US$ 5,2 milhões em pedido médio para resgate (TecMundo)

Uma análise realizada pela Comparitch afirma que a média de extorsão por ataque de ransomware ultrapassou a barreira dos US$ 5,2 milhões — cerca de R$ 29,6 milhões na cotação atual da moeda — até o início do terceiro trimestre de 2024. De todos os ataques realizados entre janeiro e junho deste ano, o maior envolveu a farmacêutica indiana RCC Laboratories e exigiu um pagamento de US$ 100 milhões. Completando o TOP 3, estão a prestadora de serviços de patologia britânica Synnovis que foi chantageada em US$ 50 milhões e a varejista canadense London Drugs, que foi obrigada a pagar US$ 25 milhões. Catalogados, aconteceram cerca de 420 ataques de ransomware até o momento em 2024. Contudo, é notória a subnotificação.

02/07/2024 - PCDF investiga fraude contra banco que gerou prejuízo de R$ 3 milhões (Metrópoles)

03/07/2024 - OVHcloud blames record-breaking DDoS attack on MikroTik botnet (em inglês) (Bleeping Computer)

03/07/2024 - Hackers abused API to verify millions of Authy MFA phone numbers (em inglês) (Bleeping Computer)

03/07/2024 - LockBit attack disrupts largest Croatian hospital (em inglês) (SC Media)

03/07/2024 - Hackers atacam sites governamentais para promover conteúdo publicitário ilegalmente, alerta BrandMonitor (CryptoID)

04/07/2024 - RockYou2024: 10 billion passwords leaked in the largest compilation of all time (em inglês) (Cyber News)

Pesquisadores descobriram o que parece ser a maior compilação de senhas já vazadas, com impressionantes 9.948.575.739 senhas exclusivas armazenadas em um arquivo em texto simples. O arquivo com os dados, intitulado rockyou2024.txt, foi postado no dia 4 de julho por um usuário do fórum ObamaCare. Segundo análises, essas senhas vieram de uma mistura de violações de dados novas e antigas.

04/07/2024 - Phishing lidera ranking global dos ciberataques (CISO Advisor)

A crescente utilização de inteligência artificial (IA) para fins ilícitos vem impulsionando golpes de phishing cada vez mais sofisticados, o que fez com que a técnica fosse a mais utilizada por agentes de ameaças nos seis primeiros meses deste ano, segundo monitoramento da Appgate, empresa especializada em acesso seguro. O phishing respondeu por 61% das atividades fraudulentas neutralizadas pelo Centro de Operações de Segurança (SOC) da companhia, seguido por uso não autorizado de marcas registradas (25%) e redirecionamento para páginas de phishing (10%). Outras modalidades somaram 4%. Isso mostra que o phishing manteve a predominância apontada em 2023, quando o roubo de identidade e outras informações foi responsável por 74% dos incidentes de fraude registrados naquele ano, um aumento de 81% em comparação com 2022, de acordo com o último relatório Fraud Beat.

04/07/2024 - YouTube passa a receber queixas contra clones gerados por IA; veja como denunciar (Folha de São Paulo)

No primeiro programa de julho de 2024, no aniversário da independência americana, vimos que a SICOOB foi realmente atacada, vazou e vai vazar mais... A ANPD corta as asas da META no Brasil, bugs no Linux com problemas no SSH, CISCO com Zero-Days, Proton decide lançar o "Docs on Proton Drive" e se torna concorrente direto da Google com ferramentas de edição compartilhada. A EuroPol derruba quase 400 servidores Cobalt Strike, Google anuncia BugBounty de verdade com pagamentos astronômicos, a Policia Civil coloca 32 criminosos na cadeia em São Paulo, que aplicavam golpes digitais com o Norte e Nordeste do País. Uma doidinha que emprestou dinheiro para falso Schwarzenegger pede na justiça o dinheiro de volta.

05/07/2024 - Attack on cybersecurity researchers: pseudo-exploit for regreSSHion (em inglês) (Kaspersky)

05/07/2024 - New Eldorado ransomware targets Windows, VMware ESXi VMs (em inglês) (Bleeping Computer)

09/07/2024 - Grupos indesejados se espalham no WhatsApp sob promessa de renda extra; saiba se proteger (Folha de São Paulo)


11/07/2024 - Olimpíadas elevam risco cibernético em toda a Europa (CISO Advisor)

Em 11 de julho de 2024, aconteceu a premiação da MISS IA e Marrocos se deu bem. Bilhetes falsos vendidos para Olimpíadas e ninguém fez nada mesmo com mais de 700 DNS criados sem controle. Google aumenta pagamento de valores de BugBounty, AVAST libera chaves de decifragem para o Ransomware DoNex gratuitamente, USA acaba com botnet russa que explorava o Twitter (agora X desde 2022), Patch Tuesday da Microsoft com 142 impactos diferentes, Governo brasileiro lança método para denunciar violação da LGPD que ele mesmo não segue.

12/07/2024 - Crooks Steal Phone, SMS Records for Nearly All AT&T Customers (em inglês) (KrebsOnSecurity)

A empresa de software CDK Global pagou um resgate de US$ 25 milhões aos criminosos por trás de um ataque de ransomware em seus próprios sistemas. A afirmação foi feita pela rede CNN, com base em múltiplas fontes. A TRM Labs, que analisa transações de criptomoedas, disse à CNN que, no dia 21 de junho, uma quantia de 387 bitcoins foi transferida para uma carteira de criminosos ligados ao ransomware BlackSuit.

15/07/2024 - AT&T teria pago US$ 370K em resgate de dados (CISO Advisor)

A AT&T pagou um valor de US$ 370 mil para que o grupo de hackers que se autointitula ShinyHunters apagasse os dados de clientes roubados da empresa em Abril deste ano. A revelação foi feita pela revista Wired. O ataque a um repositório de dados da empresa permitiu o roubo de logs onde havia dados de todos os clientes do serviço móvel da companhia. Esses dados incluíam registros de chamadas e mensagens de SMS de praticamente todos os clientes de celular da AT&T, e das operadoras de rede virtual móvel (MVNOs) que usam a rede sem fio da AT&T, além de clientes de linhas fixas da AT&T que interagiram com esses números de celular.

15/07/2024 - O WhatsApp pirata que abre as portas do celular para hackers (Folha de São Paulo)

15/07/2024 - Esta lista foi compilada e compartilhada no blog do Anchises

16/07/2024 - Kaspersky to Shut US Business, Lay Off Remaining 50 Workers (em inglês) (InfoRisk Today)

O Ministério Público Federal de São Paulo e o Idec (Instituto de Defesa de Consumidores) entraram com a maior ação judicial da história do país em proteção de dados pessoais, com um pedido de indenização contra o WhatsApp que pode chegar a R$ 1,7 bilhão. Caso a causa seja ganha, o valor pago a título de dano moral coletivo é destinado ao Fundo de Direitos Difusos, vinculado ao Ministério da Justiça. A ação também responsabiliza a ANPD por não atuar contra o WhatsApp. O processo contra o WhatsApp e a ANPD se deve às mudanças realizadas na Política de Privacidade da empresa em 2021, que está em vigor até hoje. Para o Instituto, a alteração feita infringe a LGPD (Lei Geral de Proteção de Dados Pessoais) e o CDC (Código de Defesa do Consumidor).

Informação de que os dados de 38 milhões de usuários da plataforma de e-commerce tinham sido expostos na Dark Web, bem como informações relacionadas a 40 milhões de compras efetivadas começaram a circular a partir de uma postagem no BreachForums. A varejista informou em nota estar ciente do ocorrido e que está tomando todas as medidas cabíveis.

18/07/2024 - Ataques cibernéticos crescem cerca de 70% no Brasil em um ano (CISO Advisor)

Os pesquisadores da Check Point Software relatam o maior aumento de ciberataques globais visto nos últimos dois anos, um crescimento de 30% nos ataques cibernéticos globais do segundo trimestre de 2024. Com uma média de 1.636 ataques por organização por semana, a investida incessante de ataques destaca a crescente sofisticação e persistência dos cibercriminosos. Regionalmente, a América Latina registrou o aumento mais significativo, com aumento de 53% ano a ano para uma média de 2.667 ataques a organizações por semana. Especificamente em relação às estatísticas de ataques cibernéticos no Brasil, o levantamento apontou que, no segundo trimestre deste ano, o país registrou um aumento de 67% dos ciberataques. As organizações foram atacadas 2.754 vezes semanalmente, em comparação ao período homólogo. Um crescimento exponencial diante do índice de 7% no segundo trimestre de 2023, em que as organizações no Brasil foram atacadas 1.645 vezes semanalmente, em comparação ao mesmo período de 2022.

Segundo o Google, entre fevereiro de 2020 e março de 2021, foram identificados 11 grupos diferentes explorando 22 vulnerabilidades Zero Day em diferentes plataformas e sistemas operacionais. Isso mostra que os espiões cibernéticos têm mais recursos e capacidade para descobrir, comprar ou desenvolver ataques Zero Day do que os criminosos comuns.

18/07/2024 - Uma pessoa cai em golpe a cada 16 segundos, aponta anuário da segurança (Correio Braziliense)

Uma pessoa sofreu o crime de estelionato, conhecido também como roubo, a cada 16 segundos, de acordo com o Anuário de Segurança Pública 2024, indicando que foram registrados 1.965.353 golpes ao longo de todo o ano passado, um aumento de 8,2% de estelionatos em relação a 2022 e de 360% desde 2018. O número ultrapassou os crimes de rua, que apresentaram queda. São Paulo foi a unidade da Federação com o maior crescimento de registros totais de estelionatos, com aumento de 22,7%, um índice três vezes maior do que a média nacional. Rondônia aparece em segundo, com 19,6% de aumento, e Paraíba em terceiro, com 13,7% de aumento. O Amapá é o único estado que obteve queda nos estelionatos entre 2022 e 2023, de 16,8%.


18/07/2024 - Celulares Samsung são os mais roubados, mas iPhones correm mais risco, revela pesquisa (TecMundo)

18/07/2024 - Criminosos estão usando o Telegram para espalhar pornô deepfake de brasileiras (TecMundo)

Apresentamos o efeito manada do RockYOU_2024, que assustou o mundo com 10 Bilhões de credenciais vazadas - mas o arquivo não contem NADA. O Ministério Público Federal faz barulho e quer receber da META 1,7 Bilhões de reais por quebra da lei de 2021 com o Whatsapp. A PF investiga os "Chupa-Cabras" no INSS, Cloudflare apresenta pesquisa provando que POCs de Zero-Days são colocadas em uso por criminosos em 22 minutos, NetGear apresenta patch para problemas de bypass de autenticação e Stored XSS, e Kaspersky é banida dos Estados Unidos e tem suas operações comerciais finalizadas até Setembro de 2024. O hacker Rincon analisa jogo do tigrinho que usa redes sociais para decidir quem ganha ou perde mais.


The "Crowd Strikes" The World!!!

22/07/2024 - Telegram zero-day allowed sending malicious Android APKs as videos (em inglês) (Bleeping Computer)

22/07/2024 - New Play ransomware Linux version targets VMware ESXi VMs (em inglês) (Bleeping Computer)

23/07/2024 - Fake CrowdStrike repair manual pushes new infostealer malware (em inglês) (Bleeping Computer)

23/07/2024 - 200 milhões de brasileiros são expostos gratuitamente em site de consulta (TecMundo)

Descoberto o site “Scan da Vida”, acessível facilmente na surface Web. O site de consultas de dados pessoais  afirma que possui mais de 200 milhões de dados registrados, três mil usuários ativos cadastrados, dois mil clientes registrados e realiza mais de 200 mil buscas por mês.

23/07/2024 - Forças da lei derrubam operação de DDoS as a service (CISO Advisor)

O FBI e a polícia britânica derrubaram a plataforma de DDoS as a service chamado digitalstress.su, depois que a polícia irlandesa prendeu um homem acusado de ser o administrador. Através do DigitalStress.su, os usuários podiam realizar ataques de negação de serviço em sites mediante o pagamento de uma taxa. De acordo com a Agência Nacional do Crime Britânica (NCA), a plataforma foi responsável por dezenas de milhares de ataques por semana em todo o mundo.

23/07/2024 - Malware desligou aquecimento de 600 residências (CISO Advisor)

A Drago publicou hoje um relatório sobre um novo malware destinado a atacar soluções de OT, em especial o protocolo Modbus. Esse malware foi usado em um ataque contra uma empresa de energia na Ucrânia em Janeiro deste ano, o que resultou em 600 residências sem aquecimento em pleno inverno. Apelidado de FrostyGoop, o malware é um dos poucos que podem interagir diretamente com sistemas de controle industrial e ter efeito físico no hardware, segundo o relatório. Durante o ataque, foi comprometida a operação da distribuidora de energia Lvivteploenergo, que tem sede na cidade de Lviv. De acordo com relatos da mídia local na época, a interrupção afetou moradores do distrito de Sykhiv, onde vivem cerca de 100.000 pessoas.

23/07/2024 - Hackers invadem contas de prefeitura e levam R$ 1,3 milhão (Estado de Minas)

24/07/2024 - Over 3,000 GitHub accounts used by malware distribution service (em inglês) (Bleeping Computer)

24/07/2024 - Polícia prende homem que dirigia “Batmóvel dos golpes” por ruas de SP (Metrópolis)

Um homem de 23 anos foi preso em flagrante pela Polícia Militar de São Pulo por dirigir um veículo com diversos equipamentos eletrônicos que disparavam mensagens com “links maliciosos” para todos os aparelhos celulares das áreas em que trafegava. O objetivo era induzir as vítimas a clicarem nos links para que fossem direcionadas para páginas falsas, em que tinham os dados capturados pelos criminosos. Segunda polícia, os equipamentos instalados no veículo, uma Jeep Renegade, derrubava o sinal dos aparelhos celulares e na sequência enviava mensagens. “Prezado(a) cliente, sua pontuação de 98.742 vence em 24h. Faça troca por descontos, produtos ou milhas”, dizia uma delas.


24/07/2024 - Polícia Federal abre operação contra ciberataque e fraude na Caixa (Security Leaders)

A Polícia Federal abriu uma nova operação para investigar um incidente cibernético ocorrido na Caixa Econômica Federal em 2020, quando a página de internet da Caixa voltada para movimentações bancárias de prefeituras municipais foi invadida, permitindo que 150 contas de 40 prefeituras de todo o país tivessem transações irregulares. Na região norte de Minas Gerais, duas prefeituras afetadas pelo ataque tiveram R$ 2 milhões movidos indevidamente de suas contas, e cerca de R$ 1,6 milhão foi tirado da conta de um ente público por meio de quitação de boletos e transferências junto à CEF baseada em Montes Claros. As autoridades cumpriram 193 ordens judiciais de sequestro de bens e valores, além de mandados de busca e apreensão nas cidades de Montes Claros, em Minas Gerais, e Itajaí, em Santa Catarina.

24/07/2024 - Cibercriminosos estão prontos para os Jogos Olímpicos (CISO Advisor)

24/07/2024 - Tentativas de fraude já somam R$ 1,2 bi em 2024; veja data, hora e alvos preferidos de golpistas (CNN)

24/07/2024 - Sistema Eletrônico de Informações do governo sai do ar; suspeita é de ataque hacker (CNN)

24/07/2024 - PF é acionada por suspeita de ataque hacker em sistema de informação do governo federal (O Globo)

Mais impactos da Crowdstrike & MS Windows, corte de L.A. fora por ataque ransomware, NSA se infiltra na DigitalStress e acaba com a mamata do DDOS deles, Meta bane 63 mil contas de usuários, Policia Francesa acessa todas as máquinas de habitantes para limpar malware PlugX, Google exige senha para downloads de arquivos suspeitos e volta atrás em decisão de cookies de terceiros, e um Zero-Day do Telegram que ninguém esperava tamanha velocidade de propagação.

27/07/2024 - As 10 marcas mais abusadas em ataques de phishing (CISO Advisor)

27/07/2024 - DDoS recorde contra banco no Oriente Médio: seis dias (CISO Advisor)

Um banco de um país no Oriente Médio ficou seis dias sob ataque distribuído de negação de serviço, um ataque considerado recorde pelos especialistas em telecomunicações. O ataque teria sido comandado pelo grupo hacktivista SN_BLACKMETA. O ataque se desenvolveu em dez ondas, cada uma durando de quatro a 20 horas. No total, a instituição financeira enfrentou cem horas de ataque. A taxa média de solicitações alcançou 4,5 milhões por segundo (RPS), com pico de 14,7 milhões de RPS segundo a Radware, encarregada de proteger a rede da organização. “Os Serviços de Proteção contra DDoS da Web da Radware interromperam mais de 1,25 trilhão de solicitações da web maliciosas, deixando 1,5 bilhão de solicitações da web legítimas intocadas”, diz o relatório da empresa sobre o incidente.

28/07/2024 - Teste de resiliência com 109 bancos aponta brechas (CISO Advisor)

29/07/2024 - Microsoft: Ransomware gangs exploit VMware ESXi auth bypass in attacks (em inglês) (Bleeping Computer)

29/07/2024 - Mandrake spyware sneaks onto Google Play again, flying under the radar for two years (em inglês) (SecureList)

29/07/2024 - Registro do governo de vazamento de dados em 2024 já é o dobro dos três anos anteriores (Folha de São Paulo)

30/07/2024 - Dark Angels ransomware receives record-breaking $75 million ransom (em inglês) (Bleeping Computer)

30/07/2024 - CISA warns of VMware ESXi bug exploited in ransomware attacks (em inglês) (Bleeping Computer)

30/07/2024 - Black Basta ransomware switches to more evasive custom malware (em inglês) (Bleeping Computer)

30/07/2024 - Fraudador imita voz de CEO da Ferrari com deep fake (CISO Advisor)

Um ataque com voz, construída em deep fake, foi descoberto e derrubado por um executivo da Ferrari: numa comunicação por meio do WhatsApp, a pessoa utilizou uma voz com o padrão do presidente da empresa, Benedetto Vigna, para construir um cenário de aquisição de outra companhia, o que certamente poderia terminar em grande prejuízo para a Ferrari. Um executivo da empresa recebeu uma série de mensagens por Whatsapp por uma pessoa que parecia ter a mesma voz do CEO. Durante o telefonema ele se referiu a uma importante aquisição recente na China e a suposta urgência de concluir algumas operações no mercado de câmbio. Apesar da qualidade da imitação, o executivo desconfiou e fez uma “pergunta de segurança” ao suposto Vigna, perguntando-lhe que livro tinha sugerido, dias antes, que ele lesse. Aparentemente desmascarado, o golpista desligou imediatamente e a equipe iniciou imediatamente uma investigação interna.

30/07/2024 - Intrusões já atingem 73% dos ambientes de OT (CISO Advisor)

31/07/2024 - PF combate associação criminosa especializada em fraudes bancárias eletrônicas (Polícia Federal)

A Polícia Federal deflagrou a Operação Multicontas, com o objetivo de desarticular esquema criminoso de fraudes bancárias eletrônicas. Foram cumpridos sete mandados de busca e apreensão e três de prisão preventiva nas cidades de Goiânia/GO, Carapicuíba/SP, São Vicente/SP e Praia Grande/SP. Os alvos são suspeitos de serem responsáveis pelo cometimento de fraudes bancárias eletrônicas em diversos bancos, gerando um prejuízo de quase R$ 3 milhões. Após as fraudes, os valores eram pulverizados em diversas contas bancárias até o destinatário final, atividade típica de lavagem de capitais.

Gostaram da lista? Se esqueci de citar alguma notícia relevante, comente aqui no Blog.

Veja também o vídeo sobre os incidentes do mês de Julho de 2024 produzido pela CECyber, com o professor Almir Alves. Neste mês, ele destacou a falha de atualização da Crowdstrike, e aproveitou para rever alguns ciberataques históricos (o ciberataque contra a Estônia, o Stuxnet e o Wannacry). Confira o vídeo abaixo:

Veja também:

Veja o histórico de notícias:

PS: Atualizado em 22/11/24.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.