As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

A ferramenta de gerenciamento remoto Action1 está sendo cada vez mais utilizada por cibercriminosos para executar comandos, scripts e binários em redes comprometidas, alertam pesquisadores de segurança. Embora seja amplamente usada por empresas e provedores de serviços gerenciados, a plataforma pode ser explorada por ameaças para implantar malware ou ganhar persistência em redes. A empresa por trás da ferramenta está trabalhando em novas medidas para evitar o uso indevido e se coloca à disposição de autoridades e vítimas de ataques.

O malware Goldoson infiltrou a Google Play por meio de 60 aplicativos legítimos, com um total de 100 milhões de downloads. O malware é parte de uma biblioteca de terceiros usada por todos os aplicativos afetados e pode coletar dados sobre aplicativos instalados, dispositivos conectados por Wi-Fi e Bluetooth e locais GPS do usuário, além de realizar fraudes em anúncios. A Google removeu os aplicativos não conformes da loja e os usuários devem atualizar seus aplicativos afetados.

O grupo de ransomware LockBit criou encryptadores específicos para o macOS, o que pode torná-lo o primeiro grande operador de ransomware a visar especificamente a plataforma. No entanto, os especialistas acreditam que os encryptadores ainda não estão prontos para serem implantados em ataques reais. O especialista em cibersegurança Patrick Wardle disse que a LockBit precisa primeiro "descobrir como passar pelo TCC, obter a aprovação" antes que o encryptador possa ser funcional.

O grupo APT29 (também conhecido como Cozy Bear), ligado à Rússia, está sendo atribuído a uma campanha de espionagem cibernética em andamento que visa ministérios estrangeiros e entidades diplomáticas em estados membros da OTAN, União Européia e África. A atividade compartilha sobreposições táticas com um cluster rastreado pela Microsoft como Nobelium, conhecido por um ataque de alto perfil à SolarWinds em 2020.

A plataforma de ponto de venda Aloha, da NCR, está enfrentando uma interrupção após um ataque de ransomware do grupo BlackCat/ALPHV. Embora a NCR tenha afirmado que o ataque afetou um número limitado de aplicativos Aloha, os clientes afirmaram que a interrupção causou problemas significativos em suas operações comerciais. O grupo de ransomware ameaçou divulgar as credenciais dos clientes da NCR se um resgate não fosse pago. Esta operação de ransomware é uma das mais significativas em atividade atualmente.

Golpistas estão usando inteligência artificial para simular a voz de vítimas em sequestros falsos. Um caso recente ocorrido no Arizona, EUA, envolveu uma mãe que recebeu uma ligação com a suposta voz da filha em prantos, pedindo ajuda, enquanto um homem anunciava o sequestro e exigia US$ 50 mil pelo resgate. A polícia foi acionada e confirmou que a vítima estava segura. Especialistas alertam que bastam três segundos de amostra de áudio para clonar a entonação e emoção de uma voz usando IA.

A agência de segurança cibernética dos EUA (CISA) emitiu um alerta sobre uma vulnerabilidade de alta gravidade no Android que teria sido explorada pelo aplicativo chinês de comércio eletrônico Pinduoduo como um zero-day para espionar seus usuários. O Google corrigiu a falha de segurança em atualizações de segurança lançadas em março, mas a CISA adicionou a vulnerabilidade à sua lista de Vulnerabilidades Conhecidas Exploradas. Agências federais dos EUA têm até 4 de maio para corrigir seus dispositivos contra a vulnerabilidade CVE-2023-20963 .

O malware de roubo de credenciais Zaraza bot está sendo vendido no Telegram e usa o serviço de mensagens como um sistema de comando e controle. O malware é capaz de atingir até 38 diferentes navegadores da web e enviar as informações roubadas para um servidor Telegram, onde os hackers podem acessá-las imediatamente. Acredita-se que o Zaraza bot esteja sendo oferecido como uma ferramenta comercial a outros cibercriminosos mediante assinatura.

Hackers invadiram os sistemas da fabricante Western Digital e roubaram cerca de 10 TB de dados, incluindo informações pessoais de clientes. O grupo está pedindo um alto valor em dinheiro para não divulgar publicamente as informações e ameaça causar mais danos caso não seja feito o pagamento. A empresa confirmou um "incidente de segurança" em abril, mas não havia confirmou se dados foram roubados.

O Google lançou uma atualização de segurança de emergência para o Chrome, que aborda a primeira vulnerabilidade zero-day explorada em ataques desde o início do ano. Os usuários devem atualizar para a versão 112.0.5615.121, pois ela corrige a vulnerabilidade CVE-2023-2033 em sistemas Windows, Mac e Linux. A vulnerabilidade de alta gravidade é devido a uma fraqueza de type confusion no mecanismo JavaScript V8 do Chrome.

A Rússia acusou os Estados Unidos e outros países membros da OTAN de lançarem mais de 5.000 ciberataques contra infraestruturas críticas no país desde o início de 2022. A agência de segurança russa FSB afirma ter tomado medidas para evitar consequências negativas. A FSB afirma que os ataques são originários de territórios ucranianos, mas a empresa de telecomunicações Rostelecom relata que a maioria dos ataques vem de grupos de espionagem cibernética russos.

A empresa de segurança cibernética Darktrace negou ter sido vítima do grupo de ransomware LockBit, que afirmou ter invadido seus sistemas em um site de vazamento na dark web. A investigação da empresa não encontrou nenhuma evidência de comprometimento de seus sistemas. Acredita-se que LockBit tenha confundido a Darktrace com a empresa de inteligência de ameaças DarkTracer. Esta não é a primeira vez que o grupo de ransomware alegou ter invadido uma empresa de segurança cibernética por engano ou intencionalmente.

O grupo de ransomware Vice Society está usando uma ferramenta baseada em PowerShell para automatizar o processo de exfiltração de dados de redes comprometidas, segundo pesquisadores da Palo Alto Networks. A ferramenta permite que o grupo voe sob o radar das soluções de segurança e pode esconder-se no ambiente operacional, oferecendo subversão ao ator de ameaça. A descoberta da ferramenta destaca a ameaça contínua da extorsão dupla no cenário de ransomware.

O grupo de ransomware "Read The Manual" (RTM) Locker, que atua como um provedor privado de ransomware como serviço (RaaS), está evitando alvos de alto perfil para evitar chamar a atenção, de acordo com pesquisadores de segurança. O grupo usa afiliados para ransomware de vítimas e exige que sigam regras estritas e permaneçam ativos ou notifiquem o grupo quando saírem. O RTM foi identificado pela primeira vez em 2015 como um malware bancário direcionado a empresas na Rússia e evoluiu para implantar um ransomware em hosts comprometidos.

A agência de segurança cibernética dos EUA (CISA) adicionou duas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), com base em evidências de exploração ativa. As vulnerabilidades incluem uma falha de privilégio de escalonamento no Android Framework e uma vulnerabilidade de deserialização insegura no software Novi Survey. As agências do governo dos EUA foram aconselhadas a aplicar patches necessários até 4 de maio de 2023.

O Google anunciou medidas para melhorar o ecossistema de gerenciamento de vulnerabilidades e estabelecer medidas de transparência em torno da exploração. A empresa está formando um Conselho de Política de Hacking com empresas como Bugcrowd, HackerOne e Intel, além de criar um Fundo de Defesa Legal de Pesquisa de Segurança para fornecer financiamento inicial para representação legal de indivíduos que buscam relatar vulnerabilidades de boa fé. O Google também se comprometeu a divulgar publicamente incidentes quando encontrar evidências de exploração ativa de vulnerabilidades em sua carteira de produtos.

A Anatel estabeleceu requisitos mínimos de segurança cibernética para equipamentos CPE comercializados no Brasil, que incluem senhas fortes, mecanismos de defesa e atualizações de segurança gratuitas. Produtos que não atenderem às exigências a partir de março de 2024 não poderão ser homologados.

A Polícia Holandesa está enviando e-mails para ex-membros do RaidForums, pedindo que excluam dados roubados e parem com atividades cibernéticas ilegais, alertando que não são anônimos. A ação ocorre após a prisão do administrador do fórum e dois cúmplices em abril de 2022. A análise dos dados do fórum levou ao arresto de três pessoas que extorquiram empresas ameaçando vazar dados roubados. Muitos membros dessas comunidades são menores atraídos pela emoção de hackear redes e sites. A Polícia Holandesa tem um programa chamado GameChangers para dissuadir jovens do cibercrime.

O Windows 11 Beta tem uma nova configuração de privacidade que permite aos usuários controlar se os aplicativos podem detectar quando estão interagindo ativamente com o dispositivo. A configuração de "detecção de presença" permite bloquear ou permitir que certos aplicativos acessem os sensores de presença do dispositivo, proporcionando mais controle sobre a privacidade. A atualização também inclui um novo interruptor de atualização que permite aos usuários obter as atualizações mais recentes assim que estiverem disponíveis.

Cinco indivíduos foram presos em uma operação coordenada pela Europol e Eurojust em março, suspeitos de fazer parte de um esquema de fraude de investimento online que afetou pelo menos 33 mil vítimas e resultou em perdas estimadas em 89 milhões de euros. O esquema funcionava por meio de anúncios online e mídia social, com vítimas sendo convencidas a fazer pequenos investimentos com promessas de grandes lucros. As vítimas eram então persuadidas a fazer investimentos maiores, que eram perdidos, enquanto os lucros ilegais eram pagos aos perpetradores.