.
Infosec em resumo A violação do Microsoft Exchange Online em julho por supostos hackers chineses é o próximo tópico a ser analisado pelo Conselho de Revisão de Segurança Cibernética (CSRB) do Departamento de Segurança Interna.
Secretário do DHS, Alejandro Mayorkas anunciado a revisão na última sexta-feira, dizendo que iria avaliar a invasão da Microsoftalém de realizar uma revisão mais ampla da infraestrutura de identidade e autenticação usada pelos provedores de nuvem.
“Organizações de todos os tipos dependem cada vez mais da computação em nuvem para fornecer serviços ao povo americano, o que torna imperativo que entendamos as vulnerabilidades dessa tecnologia”, disse Majorkas.
Esta será a terceira investigação do recém-formado CSRB. Isto primeiro revisou as vulnerabilidades do Log4j descobertas em 2021, concluindo que a exploração provavelmente seria um problema por pelo menos uma década. Isso é segundo O relatório, divulgado no início desta semana, enfocou as ameaças do grupo de hackers Lapsus$. Nesse relatório, o CSRB disse que o grupo internacional de crimes cibernéticos usou “técnicas simples” para escapar das ferramentas de segurança e ofereceu dez recomendações para proteger os ambientes contra esses invasores.
A decisão de investigar a invasão do Outlook de julho e a segurança da nuvem de forma mais ampla foi bem recebida pelo senador Ron Wyden (D-OR), que na semana passada culpado A Microsoft por sua falha em proteger contas em nuvem pertencentes a funcionários do governo dos EUA e pediu que o CSRB investigasse o incidente.
“Aplaudo o presidente Biden e o diretor da CISA, Easterly, por atenderem ao meu pedido para que o conselho revise esta recente campanha de espionagem, incluindo a negligência de segurança cibernética da Microsoft que a permitiu”, disse Wyden. “O governo só será capaz de proteger os sistemas federais contra ataques cibernéticos se chegar ao fundo do que deu errado. Ignorar os problemas é um desperdício de dólares dos contribuintes e um grande presente para os adversários da América.”
A diretora da CISA, Jen Easterly, disse que as descobertas do CSRB ajudariam a promover a segurança cibernética na nuvem – tanto governamental quanto corporativa.
Vale a pena notar que o CSRB não tem poderes regulatórios ou de execução. Em vez disso, “seu objetivo é identificar lições relevantes aprendidas para informar melhorias futuras”, disse o DHS. Em outras palavras, nada do que o CSRB finalmente decidir é obrigatório de alguma forma.
O Gabinete de Responsabilidade do Governo disse que fez mais de 4.000 recomendações a agências federais para abordar questões de segurança cibernética e, em dezembro de 2022, mais de 880 (quase um quarto) ainda não haviam sido totalmente implementadas.
Vulnerabilidades críticas: uma pequena lista
Foi uma semana relativamente tranquila, com Black Hat e Def Con dominando o espaço de segurança. As coisas não são muito mais animadas quando se trata de vulnerabilidades críticas, a maioria das quais já foram abordadas em nosso relatório de agosto Atualização de terça-feira história no início desta semana.
Ainda assim, havia uma vulnerabilidade específica que vale a pena mencionar.
Um ataque de injeção de comando em roteadores Zyxel que foi identificado pela primeira vez em 2017 foi descoberto sendo explorado na natureza, CISA disse no início desta semana. Como Fortinet apontado Fora, o roteador Zyxel afetado – o P660HN-T1A – é um produto legado que não está mais sob suporte.
O ataque está usando uma variante de Gafgyt com o objetivo de infectar roteadores vulneráveis e recrutá-los para uma botnet.
Um remendo foi lançado em 2017, e qualquer pessoa que ainda esteja executando um roteador afetado que não possa ser substituído deve garantir que o patch seja instalado. Melhor ainda, remova o hardware sem suporte do seu ambiente e substitua-o por algo que ainda esteja recebendo atualizações de segurança.
Cuidado: campanha de phishing detectada visando usuários C-suite
Os pesquisadores de segurança da Proofpoint dizem que descobriram uma campanha de phishing usando o EvilProxy para contornar a autenticação multifator e que parece ter como alvo específico os superiores corporativos e outros alvos de alto valor.
Ponto de prova disse esta semana que a campanha está em andamento desde março e, desde então, enviou aproximadamente 120.000 e-mails de phishing para mais de 100 empresas em todo o mundo. Curiosamente, 39 por cento das “centenas de… usuários” comprometidos durante a campanha eram executivos de nível C, 17 por cento dos quais eram diretores financeiros e outros nove por cento eram presidentes e/ou CEOs.
“Nem todos os usuários que caíram na tentação inicial do phishing e enviaram suas credenciais foram acessados por pessoas mal-intencionadas”, disse a Proofpoint. “Em contraste com outras campanhas maliciosas que observamos… os invasores priorizaram claramente apenas alvos ‘VIP’, ignorando aqueles de menor valor.”
EvilProxy, uma ameaça que continua a crescer em popularidade, é um phishing como um aplicativo de serviço que usa páginas de login falsas e redireciona para enganar os usuários a inserir credenciais. O EvilProxy pode supostamente roubar cookies de sessão e tokens MFA, dando aos usuários acesso a contas comprometidas “em segundos”, disse a Proofpoint.
A semana passada foi um mau momento para ser um criminoso cibernético internacional
A aplicação da lei internacional teve uma boa semana em termos de repressão aos criminosos que permitem o crime cibernético internacional.
A Europol informou na semana passada que prendeu cinco pessoas associadas ao site de hospedagem de crimes cibernéticos LolekHosted.net, além de apreender os servidores do site e colocá-lo offline.
LolekHosted, Europol disse, foi usado para facilitar a distribuição de malware, lançar ataques DDoS, gerenciar botnets, enviar spam e hospedar lojas online fictícias, mantendo uma política de nãStrong The One. Funcionários do FBI dos EUA ajudaram na investigação, disse a Europol.
A Interpol, por sua vez, relatou a prisão de mais de 100 pessoas na UE e na África, a identificação de mais de 1.000 suspeitos, o fechamento de 208 contas bancárias e a apreensão de mais de 2,15 milhões de euros (US$ 2,4 milhões) em ativos pertencentes ao Axe crime / sindicato do crime cibernético.
Black Axe é um dos vários sindicatos do crime da África Ocidental conhecidos por seu estilo violento e mafioso e iniciativas de crimes cibernéticos. A Black Axe conduziu “esquemas de comprometimento de e-mail comercial, golpes de romance, golpes de herança, fraude de cartão de crédito, fraude fiscal, golpes de pagamento antecipado e lavagem de dinheiro”, segundo a Interpol. ®
.
