.
Em resumo Vamos começar com a boa notícia: de acordo com uma pesquisa com líderes empresariais e de segurança, os executivos ficaram muito mais conscientes da importância da segurança cibernética nos últimos dois anos, alinhando melhor as equipes de segurança e a liderança.
Agora, as más notícias: entender e priorizar a segurança cibernética não resultou em operações mais tranquilas. Na verdade, tem sido mais do mesmo, escreveu a empresa de segurança cibernética LogRhythm em sua equipe de segurança de 2022 relatório.
A LogRhythm divulgou pela última vez seu relatório de equipe de segurança em 2020, quando apenas 43% dos entrevistados disseram ter recebido apoio executivo suficiente para orçamento, estratégia e adesão necessários para se manterem seguros.
Em 2022, 83% dizem o mesmo, o que a LogRhythm disse indicar “uma melhoria significativa na compreensão”. Com esse entendimento, veio mais pressão interna para melhorar as medidas de segurança, bem como pressão externa de parceiros e clientes.
De acordo com o estudo, que entrevistou 1.175 líderes de segurança e negócios, 91% das empresas foram solicitadas pelos clientes a fornecer provas de que atendem a requisitos de segurança específicos, enquanto 85% foram solicitados pelos parceiros de negócios.
Esses padrões nem sempre são atendidos: 67% dos entrevistados disseram que seus negócios perderam um negócio “devido à falta de confiança do cliente” na estratégia de segurança de sua empresa.
Parte dessa incerteza pode ser devido ao problema de soluções sobrepostas, com o qual 74% das empresas disseram estar lidando – abaixo dos 85% em 2020. A maior parte dessa sobreposição também é acidental.
Apesar da sobreposição acidental, que a LogRhythm disse que pode levar a trabalho adicional e tempos de resposta mais lentos, a implantação de novas soluções de segurança foi classificada como a terceira prioridade mais popular para as equipes de segurança, superada apenas pela melhoria das defesas e redução do tempo de resposta.
Portanto, embora os líderes de negócios pensem que estão no controle da segurança cibernética, isso pode não ser o caso – pelo menos se você perguntar às equipes de segurança estressadas.
A grande coisa a evitar? Sendo atraídos para “a armadilha de implantar tecnologia desnecessária”, argumentou a LogRhythm, acrescentando que os executivos devem se concentrar nas prioridades de suas equipes de segurança da linha de frente, bem como priorizar a consolidação de ferramentas, treinamento e retenção de pessoal.
O guru do intervalo de ar tem outra nova maneira de exfiltrar dados
Mordechai Guri, chefe de P&D do Centro de Pesquisa de Segurança Cibernética da Universidade Ben-Gurion de Israel, publicou mais um método de exfiltração de dados de sistemas sem ar.
Desta vez, Guri conta com um malware que pode manipular cargas de CPU, que ele disse pode ser usado para gerar radiação eletromagnética de baixa frequência na banda de 0 a 60 KHz. Um dispositivo equipado “com uma pequena antena de US$ 1” colocada a dois metros da máquina isolada pode ser usado para receber sinais na forma de dados binários em velocidades de até 1.000 bits por segundo.
Isso não é particularmente rápido para o seu passeio médio pela Internet, mas de acordo com o jornal, 1.000 bps permitiria keylogging em tempo real, poderia transmitir uma chave RSA de 4096 bits inteira em pouco mais de quatro segundos e poderia roubar chaves privadas de criptomoeda em um quarto de segundo.
Guri disse que as contramedidas podem incluir a fixação de CPUs em certas frequências, bem como garantir que qualquer software antivírus na máquina possa detectar padrões de CPU suspeitos.
Este é apenas o mais recente dos muitos ataques de canal lateral de Guri que ele demonstrou ao longo dos anos. Guri também evitou aberturas de ar usando um fonte de energia para gerar ruído em transformadores e capacitores, dados farejados sem cabos usando um kit de prateleira de $ 30, dados transmitidos por ultrassom a um giroscópio de smartphone e tirou outras acrobacias.
Grupo de ciberespionagem flagrado construindo rede proxy
Um misterioso grupo de espionagem cibernética conhecido como Cloud Atlas, ou Inception, tem como alvo a Rússia, Belarus e a Ucrânia controlada pela Rússia com malware que inclui um novo truque: uma DLL maliciosa que permite usar sistemas comprometidos como proxies.
A Checkpoint compartilhou a notícia em um atualizar sobre a estratégia mais recente do Cloud Atlas e disse que, embora seja conhecido sobre o grupo desde 2014, não detectou esse método específico de proxy do grupo antes.
O comprometimento inicial parece resultar em grande parte de e-mails de phishing e anexos maliciosos, que o grupo usa para carregar seu malware de assinatura: um backdoor do PowerShell chamado PowerShower. Os alvos do grupo têm sido em grande parte entre empresas diplomáticas, governamentais, de energia e tecnologia russas e bielorrussas.
Por fim, a cadeia de instalação do malware leva a uma DLL responsável por retransmitir comandos entre servidores que, segundo a Checkpoint, provavelmente faz parte de uma sequência de proxies usada pelo Cloud Atlas para ocultar seu tráfego. A Checkpoint disse que a Cloud Atlas supostamente operou uma rede proxy mundial no passado, mas que “nunca foi mencionado que eles conseguiram isso com DLLs no Windows”.
Por fim, o malware do Cloud Atlas age como um típico software de espionagem cibernética, e a Checkpoint observa que ele não mudou muito nos sete anos desde que foi descoberto. No entanto, isso não deve deixar ninguém confortável – com uma rede proxy mundial, presumivelmente, seria fácil para o Cloud Atlas mascarar seu tráfego por trás do que parece ser uma máquina confiável. ®
.
