Boletim Diário: 02/12/2024

[github-actions]

👇

[github-actions]

Boletim de Segurança

➡️ Hacker Russo Ligado ao Ransomware LockBit e Hive é Preso na Rússia.
Um hacker russo procurado pelos Estados Unidos por envolvimento com as operações de ransomware LockBit e Hive foi preso por autoridades policiais na Rússia. A notícia foi divulgada pelo veículo de mídia russo RIA Novosti, que relatou que Mikhail Pavlovich Matveev é acusado de desenvolver um programa malicioso projetado para criptografar arquivos e exigir resgate em troca de uma chave de descriptografia. Segundo o Ministério de Assuntos Internos da Rússia, o caso foi encerrado com um indiciamento formal assinado pelo promotor e enviado ao Tribunal Distrital Central da cidade de Kaliningrado para julgamento. Matveev foi acusado sob a Parte 1 do Artigo 273 do Código Penal da Federação Russa, que trata da criação, uso e distribuição de programas de computador que causam “destruição, bloqueio, modificação ou cópia de informações computacionais.” O hacker já havia sido formalmente acusado e indiciado pelo governo dos Estados Unidos em maio de 2023 por ataques de ransomware contra “milhares de vítimas” nos EUA e no mundo. Matveev, também conhecido pelos pseudônimos Wazawaka, m1x, Boriselcin, Uhodiransomwar e Orange, teria até mesmo se gabado publicamente de suas atividades ilícitas, afirmando que elas eram toleradas pelas autoridades locais, desde que ele permanecesse leal à Rússia. O Departamento do Tesouro dos Estados Unidos sancionou Matveev e ofereceu uma recompensa de até US$ 10 milhões por informações que levassem à sua captura ou condenação. Além disso, uma investigação da empresa suíça de segurança cibernética PRODAFT revelou que Matveev liderava uma equipe de seis “testadores de penetração” para realizar os ataques de ransomware.

➡️ Ataques AiTM Superam MFA e Roubam Credenciais Microsoft.
Pesquisadores de cibersegurança estão alertando sobre campanhas de e-mail maliciosas que utilizam uma ferramenta de phishing-como-serviço (PhaaS) chamada Rockstar 2FA. O objetivo dessas campanhas é roubar credenciais de contas do Microsoft 365 por meio de ataques conhecidos como adversário-no-meio (AiTM). Essa técnica permite que os atacantes interceptem tanto as credenciais dos usuários quanto os cookies de sessão, tornando até mesmo usuários com autenticação de múltiplos fatores (MFA) vulneráveis a esses ataques. De acordo com pesquisadores, o Rockstar 2FA é uma versão atualizada do kit de phishing DadSec (também conhecido como Phoenix). A Microsoft monitora os desenvolvedores e distribuidores da plataforma DadSec sob o codinome Storm-1575. A ferramenta é promovida em plataformas como ICQ, Telegram e Mail.ru sob um modelo de assinatura que custa US$ 200 por duas semanas ou US$ 350 por um mês, permitindo que cibercriminosos sem grande conhecimento técnico conduzam ataques em larga escala. Entre os recursos anunciados pelo Rockstar 2FA estão a capacidade de bypassar a autenticação de dois fatores (2FA), coleta de cookies de autenticação, proteção antibot, temas de páginas de login que imitam serviços populares, links indetectáveis e integração com bots do Telegram. Além disso, a ferramenta oferece um painel administrativo moderno que permite aos clientes acompanhar o status de suas campanhas de phishing, gerar URLs e até personalizar temas para os links criados. As campanhas de e-mail observadas utilizam diversos vetores de acesso inicial, como URLs, códigos QR e anexos de documentos, enviados por contas comprometidas ou ferramentas de spam. As mensagens empregam iscas como notificações de compartilhamento de arquivos e solicitações de assinaturas eletrônicas. Para escapar de sistemas antispam, os atacantes utilizam redirecionadores legítimos, como URLs encurtadas, serviços de proteção de links e reescritores de URLs.

➡️ Pesquisadores Descobrem Protótipo de Bootkit que Mira o Kernel Linux.
Pesquisadores de cibersegurança revelaram o que pode ser descrito como o primeiro bootkit UEFI (Unified Extensible Firmware Interface) projetado para sistemas Linux. Batizado de Bootkitty por seus criadores, conhecidos pelo nome BlackCat, o bootkit é avaliado como um protótipo (proof-of-concept) e, até o momento, não há evidências de que tenha sido utilizado em ataques reais. Também rastreado como IranuKit, ele foi enviado à plataforma VirusTotal em 5 de novembro de 2024. De acordo com os pesquisadores Martin Smolár e Peter Strýček, da ESET, o objetivo principal do Bootkitty é desativar o recurso de verificação de assinatura do kernel Linux e pré-carregar dois binários ELF desconhecidos durante o processo de inicialização do sistema, manipulando o processo “init” do Linux. O desenvolvimento é significativo porque marca uma mudança no cenário de ameaças cibernéticas, indicando que os bootkits UEFI não estão mais restritos a sistemas Windows. Apesar disso, o Bootkitty só pode ser executado em sistemas com o Secure Boot desativado ou onde um certificado controlado por atacantes já tenha sido instalado, pois ele é assinado por um certificado autoassinado. Os pesquisadores alertam que, embora seja um protótipo, o Bootkitty representa um marco no panorama de ameaças UEFI, desafiando a crença de que esses bootkits seriam exclusividade de sistemas Windows. Isso enfatiza a necessidade de as organizações se prepararem para potenciais ameaças futuras, dado o aumento da complexidade dos ataques direcionados ao firmware.

Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/