O cibercrime nunca dorme — mas os editores dormem. Para encerre esta curta semana de quatro de julho, os editores da Dark Reading estão coletando todas as interessantes histórias de inteligência contra ameaças e incidentes cibernéticos que simplesmente não chegamos mais cedo, mas seria negligente não cobrir.
Estamos falando de uma vulnerabilidade crítica da Cisco, um alerta da Microsoft sobre atualizações para o ransomware Hive, problemas da QNAP e um par de ataques cibernéticos.
No resumo “no caso de você ter perdido” (ICYMI) desta semana, continue lendo para saber mais sobre o seguinte:
- Vulnerabilidade crítica de segurança da Cisco permite acesso root ao sistema operacional
- Hive Ransomware recebe uma atualização de ferrugem
- QNAP adverte sobre ataques de ransomware “Checkmate”
- “SHI-eesh”: Gigante da TI Desligado em Ataque Cibernético Coordenado
- California College Permanece Offline Após Ransomware
Vulnerabilidade crítica de segurança da Cisco permite acesso root ao sistema operacional
A Cisco lançou patches para 10 bugs de segurança, incluindo uma falha crítica que poderia permitir que os ciberattackers manipulem o código-fonte do aplicativo, ou arquivos de configuração e críticos do sistema.
O problema crítico (CVE-2022-20812, pontuação de gravidade CVSS de 9,0) é uma vulnerabilidade de passagem de caminho que afeta o software Cisco Expressway Series e o software Cisco TelePresence VCS, se estiverem no padrão
“Uma vulnerabilidade na API do banco de dados de cluster da Cisco Expressway Series e do Cisco TelePresence VCS poderia permitir que um invasor remoto autenticado com privilégios de leitura e gravação do Administrador no aplicativo conduza ataques de travessia de caminho absoluto em um dispositivo afetado e sobrescreva arquivos no sistema operacional subjacente como um usuário root”, de acordo com o aviso, o mais recente desde a
A vulnerabilidade surge graças à validação de entrada insuficiente dos argumentos de comando fornecidos pelo usuário, observou a gigante da rede.
“Um invasor pode explorar essa vulnerabilidade autenticando-se no sistema como um usuário administrativo de leitura e gravação e enviando entrada criada para o comando afetado.”
Hive Ransomware recebe uma atualização de ferrugem
A oferta de ransomware como serviço (RaaS), conhecida como Hive, revisou sua infraestrutura, usando a linguagem de programação Rust.
Esse é o burburinho da Microsoft, cujos pesquisadores de segurança notaram que o Hive é um exemplo de adaptação à rápida mudança encontrada na economia subterrânea.
“Com sua última variante carregando várias atualizações importantes, a Hive também prova que é uma das famílias de ransomware que mais evolui, exemplificando o ecossistema de ransomware em constante mudança”, disseram os pesquisadores em um post esta semana. “As mudanças mais notáveis incluem uma migração completa de código para outra linguagem de programação [de GoLang para Rust] e o uso de um método de criptografia mais complexo.”
Rust, uma linguagem também usada pelo ransomware BlackCat, permite avanços no controle de codificação, uso de memória, resistência à engenharia reversa e acesso a uma variedade de bibliotecas criptográficas, disseram os pesquisadores.
Quanto à criptografia, “a nova variante Hive usa criptografia de string que pode torná-la mais evasiva”, de acordo com o aviso. “As constantes usadas para descriptografar a mesma string às vezes diferem entre as amostras, tornando-as uma base não confiável para detecção.”
QNAP adverte sobre ataques de ransomware “Checkmate”
A QNAP, o fornecedor de armazenamento conectado à rede (NAS), está sinalizando a atividade em seus dispositivos, o que resulta na execução do ransomware Checkmate.
Os atacantes cibernéticos estão visando especificamente serviços de compartilhamento de arquivos SMB expostos à Internet, usando um ataque de dicionário para quebrar contas com senhas fracas.
“Uma vez que o invasor faz login com sucesso em um dispositivo, ele criptografa os dados em pastas compartilhadas e deixa uma nota de resgate com o nome do arquivo ‘! CHECKMATE_DECRYPTION_README’ em cada pasta”, de acordo com o aviso da QNAP esta semana. Ele acrescentou: “Estamos investigando minuciosamente o caso e forneceremos mais informações o mais rápido possível.”
Os clientes da fabricante de eletrodomésticos com sede em Taiwan têm sofrido atividades contínuas e implacáveis de ransomware – que a Dark Reading quebrou no início desta semana (juntamente com possíveis defesas) em uma extensa mesa redonda de especialistas.
Para proteger seus negócios e evitar um xeque-mate de ransomware, os usuários devem evitar expor o serviço SMB à internet e devem empregar senhas fortes em qualquer caso.
“SHI-eesh”: Gigante da TI Desligado em Ataque Cibernético Coordenado
O fornecedor de TI, Bigwig SHI International, disse esta semana que era o alvo de “um ataque de malware coordenado e profissional”.
O fornecedor com sede em Nova Jersey, que tem 5.000 funcionários e 15.000 clientes em todo o mundo, disse que se moveu rapidamente para impedir a infecção e minimizar o impacto nos sistemas e operações da SHI. Isso significava que alguns sistemas, como os sites públicos e o e-mail da SHI, foram colocados offline “enquanto o ataque era investigado e a integridade desses sistemas era avaliada”.
A equipe da SHI recuperou o acesso ao e-mail, mas a partir de quinta-feira o site principal ainda não estava operacional. A empresa disse em um aviso de site que as equipes de TI continuam trabalhando para trazer outros sistemas de volta aos seus sistemas.
Não está claro qual era o objetivo dos ciber-atacantes, mas alguns pesquisadores observaram que a tentativa de compromisso da cadeia de suprimentos é uma possibilidade real.
“Além de ser uma grande empresa, a SHI é um grande fornecedor de software e hardware para várias empresas da Fortune 500 e, embora não haja evidências de fornecedores terceirizados sendo violados ou dados de clientes sendo exfiltrados, isso certamente está muito perto para o conforto de muitos de seus clientes”, disse Rajiv Pimplaskar, CEO da Dispersive Holdings, por e-mail.
California College Permanece Offline Após Ransomware
Como o último exemplo do que acontece quando a TI não está preparada para um sucesso, o College of the Desert, de 12.500 estudantes, uma faculdade comunitária em Palm Desert, Califórnia, permanece offline após o sofrimento que os pesquisadores suspeitam ter sido um ataque de ransomware.
O ataque cibernético derrubou os serviços on-line da escola e as linhas telefônicas do campus em 4 de julho. No final da quinta-feira, o site da escola ainda retornou um aviso de que “está atualmente passando por uma interrupção em todo o sistema da maioria dos serviços”, incluindo a capacidade de os alunos solicitar transcrições, adicionar ou abandonar aulas ou se inscreverem para as aulas.
“As instituições educacionais continuaram a ser o principal alvo de grupos de ransomware nos últimos dois anos”, diz Josh Rickard, arquiteto sênior de soluções de segurança da Swimlane, observando que esta é a segunda vez que o College of the Desert é atingido por um ataque de malware; o primeiro incidente ocorreu em agosto de 2020. “Para evitar ataques semelhantes no futuro e garantir que as operações continuem a funcionar sem problemas, instituições educacionais, como a College of the Desert, precisam dedicar mais recursos a equipes, ferramentas, processos e produtos de segurança da informação.”
Rickard suspeita que o incidente foi ransomware devido à grave interrupção operacional, mas deve-se notar que o College of the Desert não confirmou isso, admitindo apenas uma “interrupção da rede de computadores”.
FONTE: DARK READING