.
em resumo Um homem acusado de ser o chefe de um dos maiores mercados criminosos online, o BreachForums, foi preso em Peekskill, Nova York.
Conor Brian FitzPatrick, que supostamente operava o fórum sob o nome de pompompurin, foi supostamente preso na tarde de quarta-feira e de acordo com documentos judiciais [PDF] Fitzpatrick confessou dirigir o fórum.
“Quando prendi o réu em 15 de março de 2023, ele me declarou em substância e em parte que: a) seu nome era Conor Brian FitzPatrick; b) ele usava o pseudônimo ‘pompourin’ e c) era o proprietário e administrador do ‘BreachForums’, o site de violação de dados mencionado na denúncia”, testemunhou o agente especial do FBI John Longmire.
BreachForums apareceu na dark web logo após o morte do RaidForums – um site especializado na venda de dados roubados. Isto cresceu rapidamente para se tornar um site extremamente popular para ladrões de dados anunciarem suas façanhas.
FitzPatrick foi acusado de conspiração para cometer fraude de dispositivo de acesso e a fiança foi fixada em $ 300.000 – paga por seus pais.
Os golpes do SVB continuam chegando
Os titulares de contas do Silicon Valley Bank já estão sendo prejudicados pelo colapso de sua instituição financeira, e os criminosos cibernéticos foram rápidos em adicionar insulto à injúria, aproveitando a oportunidade para atacar aqueles cujo dinheiro foi pego na corrida ao banco.
nós temos já avisado leitores sobre golpes online surgindo para tirar proveito do colapso do Silicon Valley Bank, e pelo menos uma campanha já surgiu: empresa de segurança Inky relatado o que afirma ser o primeiro golpe relacionado ao SVB a atingir as credenciais da conta da Microsoft.
De acordo com o relatório de Inky, o ataque começa com notificações falsas do DocuSign marcadas para aparecer como se fossem da equipe de atualização Conheça seu cliente do SVB e pede à vítima que preencha duas pesquisas para verificar sua identidade como titular de uma conta do SVB.
Quando os links no e-mail são clicados, no entanto, ele redireciona os usuários para um par de links diferentes que afirmam estar redirecionando o usuário para a página de login da organização – neste caso, falsificado para se parecer com um login da conta da Microsoft.
Obviamente, se alguém clicar nesses links com um olhar crítico, pode surgir um pouco de confusão ao precisar entrar em uma conta da Microsoft para acessar os documentos do DocuSign. No caso de isso não alertar os usuários, é uma boa ideia colocar na lista negra os domínios que o Inky sinalizou como parte do golpe: servindo-sys[.]com e docuonline[.]UE. Inky também alerta para o uso de web[.]domínios de aplicativos sendo usados para hospedar páginas de login falsas da Microsoft.
Esta campanha é diferente dos golpes SVB que vieram antes dela, mas apenas gradualmente, já que os golpes relatados anteriormente também tentaram enganar as pessoas com links DocuSign falsos.
A Proofpoint também identificou uma campanha no início desta semana visando usuários do aplicativo DeFi Circle, que tinha uma participação considerável no SVB, enganando as pessoas para que comprassem a criptomoeda USDC – uma “stablecoin” atrelada ao valor do dólar americano que perdeu sua paridade quando o SVB desabou. A Proofpoint disse que o golpe estava tentando atrair os clientes para resgatar o USDC por dólares americanos a uma taxa de 1:1.
Portanto, como outros golpes de crimes cibernéticos em alta, os que cercam o colapso do SVB não são particularmente bem elaborados nem excepcionalmente perigosos. São os mesmos velhos truques de phishing: iscas para os gananciosos e soluções simples para os medrosos.
Proofpoint resumiu como aqueles com interesse no SVB devem responder bem ao ambiente de ameaças atual em um tweet: “Qualquer pessoa envolvida no manuseio de informações ou transações financeiras [should] tenha cautela e diligência adicionais, pois as mensagens podem emanar de fraudadores.”
Itens acionáveis desta semana
A lista desta semana de problemas de segurança cibernética que precisam de ação imediata é dominada pelo Patch Tuesday, que já coberto. Se esta lista parece um pouco curta, é porque todos os grandes bugs da Microsoft, Adobe, Android, Chrome e SAP relatados esta semana estão cobertos lá.
Dito isso, se você estiver no setor de TI industrial, foi uma semana ruim para a Siemens e a AVEVA. Se você estiver executando qualquer um desses sistemas, obtenha patches:
- CVS 9.8 – CVE-2023-1256: AVEVA Plant SCADA e AVEVA Telemetry Server contêm um vulnerabilidade de autorização imprópria que pode permitir que um usuário remoto não autenticado leia dados, cause negação de serviço e adultere estados de alarme.
- CVS 9.8 – vários CVEs: Em uma atualização para uma notificação anterior, a CISA disse que os softwares AVEVA InTouchAccess Anywhere e Plant SCADA Access Anywhere são afetados por um trio de bugs que podem permitir que um usuário não autenticado obtenha acesso a sistemas seguros e execute códigos arbitrários. Curiosamente, o SCADA está aconselhando os clientes, neste caso, a não atualizar o software afetado, mas desinstalá-lo completamente e fazer uma nova instalação da versão atualizada.
- CVS 9.8 – vários CVEs: Honeywell OneWireless Wireless Device Manager tem um trio de vulnerabilidades que podem permitir que um invasor aumente seus privilégios e execute código remoto.
- CVS 9.1 – CVE-2023-0811: Os PLCs CJ1M da Omron têm um monte de componentes vulneráveis isso pode permitir que um invasor ignore as proteções de memória do usuário, sobrescreva senhas e impeça que os engenheiros leiam suas próprias regiões de memória.
- CVS 9.8 – MUITOS CVEs: 65 números CVE separados estão incluídos neste aviso de que mais de uma dúzia de Siemens Scalance e um par de dispositivos Ruggedcom contêm vulnerabilidades que podem permitir que um invasor injete código e cause negação de serviço. Você pode querer verificar essa lista.
- CVS 9.1 – CVE-2023-25957: várias versões do software Siemens Mendix SAML contêm um algoritmo de autenticação implementado incorretamente que pode permitir que um invasor remoto não autenticado ignore a autenticação.
- CVS 8.8 – 2 CVEs: Todas as versões do Siemens Ruggedcom Crossbow anteriores à versão 5.3 não possuem verificações de autorização que permitem que um invasor inicie ataques de injeção de SQL.
Antes de retornarmos a mais notícias de segurança, vale a pena apontar algumas histórias que não foram publicadas esta semana, mas ainda é importante estar ciente delas.
Em primeiro lugar, a CISA lançado um programa piloto de Aviso de Vulnerabilidade de Ransomware por meio do qual rastreará e notificará organizações em setores críticos se determinar que alguns dos sistemas que eles executam são vulneráveis a ataques de ransomware. A CISA disse que fará isso aproveitando os serviços e fontes de dados existentes, incluindo inteligência de código aberto coletada da web. Não há menção à necessidade de se inscrever para receber essas notificações, então parece que a CISA vai presumir que você deseja esses avisos.
Claro, isso poderia facilmente levantar a cabeça de muitos profissionais de segurança cibernética – como quem pode saber se o verdadeiro CISA está ligando – mas a agência parece estar ciente do potencial de falsificação. Ele disse que qualquer pessoa contatada por um escritório da CISA no programa piloto deve entrar em contato com CISA Central para verificar a legitimidade de uma notificação.
Em segundo lugar, o Centro de Análise de Ameaças Digitais da Microsoft alertou que está vendo sinais de que a Rússia pode estar se reagrupando para outra rodada de ataques cibernéticos que também podem envolver novas formas de ransomware e novos alvos. “Atores cibernéticos com laços conhecidos ou suspeitos com os serviços de inteligência da Rússia tentaram obter acesso inicial ao governo e organizações relacionadas à defesa não apenas na Europa Central e Oriental, mas também nas Américas”, disse a Microsoft. avisou.
Entre golpes bancários e guerras cibernéticas, provavelmente não é uma semana ruim para fazer alguma auditoria de segurança.
Lavador de criptomoedas arrancado pelas autoridades americanas e alemãs
O ChipMixer, um “mixer” de criptomoedas amplamente utilizado por cibercriminosos, foi retirado do ar graças a um esforço conjunto liderado pelo Departamento de Justiça dos EUA e autoridades alemãs, que no processo apreendido quase 2.000 Bitcoins (US$ 50,7 milhões), quatro servidores e sete terabytes de dados suculentos adjacentes ao crime.
Até sua remoção em 15 de março, o ChipMixer era usado para lavar criptomoedas, convertendo todas as criptomoedas depositadas – principalmente Bitcoin – em seu próprio ativo virtual chamado chips. Esses chips foram misturados em um grande pool antes de serem redistribuídos, ocultando todas as trilhas do blockchain no processo.
O serviço foi criado em 2017 pelo cidadão vietnamita e residente Minh Quốc Nguyễn, a quem o DoJ dos EUA acusou de lavagem de dinheiro, operação de um negócio de transmissão de dinheiro não licenciado e roubo de identidade. Nguyễn está foragido e pode pegar até 40 anos de prisão se for condenado.
De acordo com o DoJ, a Chipmixer lavou dinheiro para os criminosos cibernéticos por trás de 37 variedades de ransomware, mais de US$ 700 milhões em Bitcoin vinculados a carteiras roubadas, mais de US$ 200 milhões associados a mercados darknet – incluindo US$ 60 milhões pertencentes a Hidrae milhões mais associados a fóruns da dark web, onde atores mal-intencionados podem comprar credenciais de contas roubadas e coisas do gênero.
A ChipMixer supostamente contava entre sua clientela o Diretório Principal de Inteligência do Estado-Maior Russo, ou GRU, e suas unidades subsidiárias, que incluem APT 28atores norte-coreanos por trás do Axie Infinity hack, e os indivíduos por trás do ponte do horizonte hack. Autoridades europeias disseram que agentes de ransomware, incluindo Mamba e Lockbit, também usaram o serviço.
Sobre a ideia de que a criptomoeda – ou serviços de lavagem como o ChipMixer – podem anonimizar o crime, o FBI disse que a tecnologia não protegerá ninguém.
“A tecnologia mudou o jogo… Em resposta, o FBI continua a evoluir nas formas de ‘seguir o dinheiro’ da empresa ilegal”, disse a agente especial do FBI Jacqueline Maguire, do Escritório de Campo da Filadélfia. ®
.
