Boletim de Segurança

➡️ Microsoft alerta sobre aumento de ataques cibernéticos em dispositivos OT.
A Microsoft destacou a necessidade de reforçar a segurança dos dispositivos de tecnologia operacional (OT) expostos à internet após uma série de ataques cibernéticos desde o final de 2023. “Esses ataques repetidos contra dispositivos OT ressaltam a necessidade de melhorar a postura de segurança desses dispositivos e evitar que sistemas críticos se tornem alvos fáceis”, afirmou a equipe de Inteligência de Ameaças da Microsoft. A empresa observou que um ataque cibernético a um sistema OT pode permitir que agentes mal-intencionados alterem parâmetros críticos utilizados em processos industriais, seja programaticamente via controlador lógico programável (PLC) ou utilizando os controles gráficos da interface homem-máquina (HMI), resultando em mau funcionamento e interrupções do sistema. Além disso, a Microsoft disse que os sistemas OT frequentemente carecem de mecanismos de segurança adequados, tornando-os propensos à exploração por adversários, facilitando ataques “relativamente fáceis de executar”, um fato agravado pelos riscos adicionais introduzidos pela conexão direta de dispositivos OT à internet. Isso não apenas torna os dispositivos detectáveis por ferramentas de varredura da internet, mas também pode ser utilizado para obter acesso inicial explorando senhas fracas ou software desatualizado com vulnerabilidades conhecidas. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) também divulgou um boletim alertando sobre hacktivistas pró-Rússia que estão mirando sistemas de controle industrial vulneráveis na América do Norte e na Europa.

➡️ Ataque cibernético derruba mais de 600 mil roteadores nos EUA.
Mais de 600.000 roteadores SOHO foram desativados e tirados do ar após um ataque cibernético destrutivo realizado por atores cibernéticos não identificados, interrompendo o acesso à internet dos usuários. O evento misterioso, que ocorreu entre 25 e 27 de outubro de 2023, impactou um único provedor de serviços de internet (ISP) nos EUA e foi codinomeado Pumpkin Eclipse. O ataque afetou especificamente três modelos de roteadores fornecidos pelo ISP: ActionTec T3200, ActionTec T3260 e Sagemcom. “O incidente ocorreu durante um período de 72 horas entre 25 e 27 de outubro, tornando os dispositivos infectados permanentemente inoperantes, exigindo substituição de hardware”, afirmou a empresa em um relatório técnico. O apagão é significativo, especialmente porque levou à remoção de 49% de todos os modems do número do sistema autônomo (ASN) do ISP impactado durante o período. Embora o nome do ISP não tenha sido divulgado, evidências apontam para a Windstream, que sofreu uma interrupção no mesmo período, fazendo com que usuários relatassem uma “luz vermelha constante” exibida pelos modems afetados. Dito isso, o método exato de acesso inicial utilizado para comprometer os roteadores ainda é incerto, embora se teorize que possa ter envolvido o abuso de credenciais fracas ou a exploração de uma interface administrativa exposta.

➡️ Atualizações falsas comprometem navegadores com BitRAT e Lumma Stealer.
Pesquisadores de segurança cibernética alertaram sobre um novo esquema de atualizações falsas de navegador que está espalhando os malwares BitRAT e Lumma Stealer. A investigação revelou que os atacantes estão utilizando atualizações fraudulentas para infectar dispositivos, comprometendo a segurança dos usuários. Os ataques foram detectados em maio de 2024 e envolvem a distribuição de atualizações falsas para navegadores populares. Ao visitar uma página da web infectada, os usuários são redirecionados para uma página de atualização falsa, onde um arquivo malicioso chamado ‘Update.zip’ é baixado automaticamente para o dispositivo da vítima. Este arquivo contém scripts PowerShell que baixam e executam os malwares BitRAT e Lumma Stealer. O BitRAT é uma ferramenta de acesso remoto com capacidades avançadas, incluindo a possibilidade de realizar ataques DDoS, recuperação de senhas, mineração de criptomoedas e acesso remoto à área de trabalho. Ele também permite o controle de milhares de dispositivos infectados, tornando-o uma ameaça significativa. O Lumma Stealer, por sua vez, é um malware de roubo de informações que tem como alvo carteiras de criptomoedas, extensões de navegador 2FA e outros dados sensíveis. Desenvolvido em linguagem C, ele opera como um serviço de malware, sendo vendido em fóruns de língua russa desde agosto de 2022. Os ataques exploram vulnerabilidades comuns, como credenciais fracas e interfaces administrativas expostas, para obter acesso inicial aos dispositivos. Após o comprometimento, os malwares utilizam técnicas avançadas para se manterem ativos e ocultos nos sistemas infectados, dificultando a detecção e a remoção.
 

Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/

from boletim-diario-seguranca.