Em resumo Uma pesquisa com tomadores de decisão de segurança cibernética descobriu que 77% acham que o mundo está agora em um estado perpétuo de guerra cibernética.
Além disso, 82% acreditam que a geopolítica e a segurança cibernética estão “intrinsecamente ligadas” e dois terços das organizações pesquisadas relataram mudar sua postura de segurança em resposta à invasão russa da Ucrânia.
Dos entrevistados, 64% acreditam que já podem ter sido alvo de um ataque cibernético dirigido por um estado-nação. Infelizmente, 63 por cento dos líderes de segurança pesquisados também acreditam que eles nunca saberiam se um ator em nível de estado-nação os denunciou.
A pesquisa, organizada pela loja de segurança Venafi, questionou 1.100 líderes de segurança. Kevin Bocek, vice-presidente de estratégia de segurança e inteligência de ameaças, disse que os resultados mostram que a guerra cibernética está aqui, e que é completamente diferente do que muitos imaginariam. “Qualquer negócio pode ser prejudicado por estados-nação”, acrescentou. estão sendo usados para promover objetivos geopolíticos online. Ao contrário da guerra convencional, disse Bocek, todos são alvos e não há método militar ou governamental para proteger todos.
Também não haverá muitos recursos financeiros disponíveis. No início desta semana, o Lloyd’s de Londres anunciou que não recompensaria mais os segurados por certos ataques a estados-nação.
Na sexta-feira, Facebook concordou, em princípio, em resolver um processo nos EUA pedindo indenização por permitir que terceiros, incluindo a Cambridge Analytica, acessem os dados privados dos usuários. Os termos do acordo ainda não foram finalizados. Os Googlers descobrem uma ferramenta encantadora de raspagem de e-mail
Pesquisadores do Grupo de Análise de Ameaças do Google (TAG) detalharam malware de roubo de e-mail que se acredita ser do APT Charming Kitten iraniano.
A ferramenta, que a TAG apelidou de Hyperscrape, foi projetada para extrair informações do Gmail, Yahoo! e Contas do Outlook. O Hyperscrape é executado localmente na máquina Windows infectada e é capaz de percorrer o conteúdo de uma caixa de entrada direcionada e baixar mensagens individualmente. Para ocultar seus rastros, ele pode, entre outras coisas, excluir e-mails alertando os usuários sobre possíveis intrusões.
Não confundir com Rocket Kitten, outro APT que se acredita ser apoiado pelo Irã, Charming Kitten vem sequestrando contas, implantando malware e usando “novas técnicas para conduzir espionagem alinhada com os interesses do governo iraniano” há anos, disse a TAG.
No caso do Hyperscrape, parece que a ferramenta é raramente usada ou ainda está sendo trabalhada, pois o Google disse que só viu menos de duas dúzias de instâncias do software desagradáveis, todos localizados dentro do Irã.
O malware também é limitado em termos de capacidade de operação: ele precisa ser instalado localmente na máquina da vítima e possui dependências que, se movidas de sua pasta, quebrarão sua funcionalidade. Além disso, o Hyperscrape “exige que as credenciais da conta da vítima sejam executadas usando uma sessão de usuário autenticada e válida que o invasor invadiu ou credenciais que o invasor já adquiriu”, disse o Google. uso pode ser raro e seu design um pouco restritivo, Hyperscrape ainda é um malware perigoso que o Google disse ter escrito para aumentar a conscientização. “Esperamos que isso melhore a compreensão de táticas e técnicas que aprimorem os recursos de caça a ameaças e levem a proteções mais fortes em todo o setor”, escreveu o engenheiro de segurança do Google Ajax Bash.
Os profissionais de segurança podem encontrar os indicadores de comprometimento de dados para Hyperscrape no relatório do Google. A agência francesa pode investigar o Google – novamente
Uma agência governamental francesa que multou o Google duas vezes por violações dos regulamentos de privacidade de dados e o GDPR foi avisado pelo Centro Europeu de Direitos Digitais (NOYB) sobre outra possível má prática: vestir anúncios para parecerem mensagens de e-mail normais.
De acordo com NOYB, Google faz anúncios aparecerem nas caixas de entrada dos usuários do Gmail que parecem ser e-mails normais, o que seria uma violação direta da diretiva de privacidade eletrônica da UE, já que as pessoas podem não ter se inscrito ou consentido tecnicamente em ver essas coisas.
“Quando e-mails comerciais são enviados diretamente aos usuários, eles constituem e-mails de marketing direto e são regulamentados pela diretiva ePrivacy”, disse a NOYB.
Como o Google “filtra com sucesso a maioria das mensagens de spam externas em uma pasta de spam separada”, afirma NOYB, quando mensagens não solicitadas acabam na caixa de entrada de um usuário, dá a impressão de que foi algo que eles realmente se inscreveu, quando não for o caso.
“A lei da UE já deixa bem claro: o uso de e-mail, para fins de marketing direto, requer o consentimento do usuário”, NOYB disse, referindo-se a um comunicado de imprensa do Tribunal de Justiça da UE de 2021 que descreve as regras sobre a publicidade na caixa de entrada.
“É bem simples. Spam é um e-mail comercial enviado sem consentimento. E é ilegal. Spam não se torna legal apenas porque é gerado pelo provedor de e-mail”, disse o advogado da NOYB Romain Robert. Em fevereiro, descobriu-se que o Google estava violando os regulamentos do GDPR ao transmitir dados para os EUA. O Google também foi multado pela Autoridade de Concorrência da França por não pagar aos editores franceses ao usar seu conteúdo.
disse a NOYB em sua reclamação à CNIL que, por acusar o Google de violar a diretiva ePrivacy e não o GDPR, o órgão de vigilância não precisa cooperar ou esperar que as ações de outras autoridades nacionais de privacidade de dados decidam multar ou penalizar a gigante da web americana.
Nobelium está de volta com uma nova ferramenta pós-compromisso
Os pesquisadores de segurança da Microsoft descreveram um software personalizado sendo usado pela Nobelium, também conhecido como Cozy Bear, também conhecido como os autores do ataque SolarWinds, para manter o acesso a redes Windows comprometidas.
Apelidada de MagicWeb por Redmond, essa DLL maliciosa do Windows, uma vez instalada por um intruso de alto privilégio em um servidor de Serviços Federados do Active Directory (ADFS), pode ser usada para garantir que qualquer usuário que tente fazer login seja aceito e autenticado. Isso ajudará os invasores a voltar à rede se de alguma forma perderem o acesso inicial.
A Microsoft observou que o MagicWeb é semelhante ao malware FoggyWeb implantado em 2021 e acrescentou que “MagicWeb vai além dos recursos de coleta do FoggyWeb, facilitando o acesso secreto diretamente.”
Esta também não é uma amostra teórica de malware: a Microsoft disse que encontrou um exemplo real do MagicWeb em ação durante uma investigação de resposta a incidentes. De acordo com a Microsoft, o invasor tinha acesso de administrador ao sistema ADFS e substituiu uma DLL legítima pela DLL MagicWeb, “fazendo com que o malware fosse carregado pelo ADFS em vez do binário legítimo”. MagicWeb é um malware pós-comprometimento que exige que o invasor já tenha acesso privilegiado aos sistemas Windows de seu alvo. A Microsoft recomenda tratar os servidores ADFS como ativos de nível superior e protegê-los como se fosse um controlador de domínio.
Além disso, a Microsoft recomenda que os administradores de domínio habilitem as políticas de emissão de certificado de inventário em ambientes PKI, usem o log de eventos detalhado e procurem a ID de evento 501, que indica uma infecção MagicWeb.
Redmond disse que as organizações também podem evitar uma infecção MagicWeb, mantendo-se atento aos arquivos executáveis localizados nos diretórios Global Assembly Cache (GAC) ou ADFS que não foram assinados pela Microsoft e adicionar diretórios AD FS e GAC às verificações de auditoria.
Software anti-cheat sequestrado por matar AV
Acontece que o software anti-fraude do jogo de RPG Genshin Impact pode ser, e está sendo, usado por criminosos para matar o antivírus nos computadores Windows das vítimas antes de implantar o ransomware em massa em uma rede.
A TrendMicro disse que detectou o mhyprot2.sys, o driver anti-fraude do modo kernel usado por Genshin, sendo usado como um rootkit por invasores para desativar a proteção de ponto final em máquinas. O software foi projetado para eliminar processos indesejados, como programas de trapaça.
Você não precisa ter o jogo instalado em seu PC para estar em risco, pois os slingers de ransomware podem coloque uma cópia do driver nos computadores das vítimas e use-o a partir daí.
Ele tem os privilégios, assinatura de código e recursos necessários para extorsionistas para tornar a implantação do ransomware um cinch, nos disseram. A TrendMicro recomenda ficar atento a instalações inesperadas do driver mhyprot2, que devem aparecer no log de eventos do Windows.
