.
em resumo A notória gangue de ransomware LockBit assumiu o crédito por um ataque ao Royal Mail – mas um prazo que deu para o pagamento veio e se foi sem nada exposto na web, exceto as reivindicações do grupo.
O ataqueque ocorreu em janeiro, levou a interrupções no correio internacional de entrada e saída que ainda não estive totalmente resolvido, explicou o Royal Mail em uma atualização em 10 de fevereiro.
A princípio, não ficou claro se a gangue de ransomware ligada à Rússia estava ou não por trás do ataque, com alguns relatos de que o LockBit assumiu a responsabilidade por isso e outros negando o envolvimento do grupo. Os relatórios iniciais sugeriram que pode ter sido um afiliado da LockBit que usou uma versão vazada do software do grupo para lançar um ataque.
LockBit até publicou uma página se gabando de um ataque contra a fintech ION sem reconhecer diretamente o ataque do Royal Mail no início desta semana – embora isso tenha mudado, de acordo com à Reuters.
A Lockbit ameaçou em 7 de fevereiro que liberaria dados roubados do Royal Mail em 9 de fevereiro se os carteiros de Sua Majestade não pagassem os pedidos de resgate. Mas vários relatórios no Twitter na manhã de sexta-feira, 10 de fevereiro, indicam que os documentos não estão disponíveis – apesar do LockBit alegar que eles foram publicados.
O Royal Mail disse à Reuters que sua investigação não encontrou nenhuma informação financeira ou sensível do cliente entre os dados exfiltrados.
Brett Callow, analista de ameaças da Emsisoft, disse em um tweet que a manobra provavelmente foi uma tática de assédio destinada a manter o Royal Mail sob pressão, e que a LockBit redefiniu os cronômetros de liberação de contagem regressiva em outras violações anteriores.
“Resumindo: o LockBit não liberará dados até que desista de poder monetizar o ataque”, Callow disse.
Em 9 de fevereiro, o Royal Mail disse que vários serviços internacionais foram restabelecidos, mas ainda era “incapaz de processar novos pacotes do Royal Mail comprados nas agências dos correios”.
Sistemas da cidade de Oakland atingidos por ransomware – mas está tudo bem!
Oakland tem enfrentado muitos problemas ultimamente, mas esta semana houve um novo problema: ransomware.
“A cidade de Oakland soube que foi recentemente sujeita a um ataque de ransomware que começou na noite de quarta-feira”, lamentaram os governantes da cidade em uma afirmação.
“O Departamento de Tecnologia da Informação está coordenando com a aplicação da lei e investigando ativamente o escopo e a gravidade do problema. Nossas funções principais estão intactas. 911, dados financeiros e recursos de incêndio e emergência não são afetados.”
Eles explicaram que “o público deve esperar atrasos da cidade como resultado” – o que não será um choque para quem tem que lidar com serviços locais lentos. A declaração veio depois que o repórter de East Bay, Jaime Omar Yassin, detectou o problema pela primeira vez.
Without prompt, two sources I spoke to about this almost immediately complained about the City's archaic, under-resourced IT system and dept leading to this.
— Trash Night Heron (@hyphy_republic) February 9, 2023
Vulnerabilidades que você deve conhecer
Como um novo recurso do resumo semanal de segurança cibernética, incluímos uma lista de vulnerabilidades relatadas recentemente com uma pontuação CVSS de 9,0 ou superior.
- CVSS 9.8 – Os sistemas operacionais QuTS hero e QTS da QNAP, ambos v.5.0.1, contêm uma vulnerabilidade que permite que um invasor remoto injete código malicioso;
- CVSS 9.8 – Um modelo de módulo de desempenho LS Electric PLC contém várias vulnerabilidades que podem dar a um invasor controle extensivo sobre a unidade;
- CVSS 9.8 – O MegaServiSignAdapter da ChangingTech tem um problema de validação de entrada que pode permitir que um invasor modifique as chaves de registro do usuário atual;
- CVSS 9.8 – SiteServer CMS v. 7.1.3 é vulnerável à injeção de SQL;
- CVSS 9.8 – O gerenciador de plug-ins do LimeSurvey v5.4.15 possui uma vulnerabilidade de upload de arquivo arbitrário que pode fornecer ao invasor habilidades arbitrárias de execução de código com um arquivo PHP malicioso;
- CVSS 9.8 – Opencats tem uma vulnerabilidade de injeção de SQL em seu parâmetro importID na função Import viewerrors;
- CVSS 9.8 – A plataforma de gerenciamento de armários bancários PHPGurukul possui uma vulnerabilidade de injeção de SQL em seu campo de nome de usuário;
- CVSS 9.8 – O produto Efence da Thinking Software valida insuficientemente a entrada do usuário em sua função de login;
- CVSS 9.1 – Um par de módulos de E/S ethernet Control By Web tem firmware vulnerável a cross-site scripting e injeção de código;
Ufa – agora faça o patch.
Shhh: A gangue por trás do WhisperGate está de volta com uma nova ferramenta desagradável
O malware de limpeza de dados estava em voga no início da invasão ilegal da Rússia na Ucrânia no ano passado, mas o grupo por trás de um dos primeiros lançados em Kiev no início de 2022 parece ter seguido em frente – se não nos alvos, pelo menos no estilo de ataque.
A equipe de caçadores de ameaças da Symantec disse ter descoberto um malware de roubo de informações chamado Graphiron, direcionado a organizações ucranianas. Assim como as outras ferramentas escritas pelo grupo que a Symantec chama de Nodaria, o Graphiron é codificado em Go – uma versão mais recente, aliás – indicando que é um produto mais recente.
O Graphiron supostamente apareceu em outubro e usa uma abordagem de dois estágios para infecção que primeiro verifica qualquer uma das dezenas de ferramentas de análise de malware antes de instalar sua carga útil. Ao contrário do limpador WhisperGate da Nodaria – que não fez nada além de causar estragos nos sistemas infectados – o Graphiron tem tudo a ver com entrar, ficar quieto e roubar o máximo de informações possível.
Uma vez instalado, o Graphiron é capaz de ler GUIDs, obtém o endereço IP do computador, recupera o nome do host e outras informações do sistema, rouba dados, incluindo hosts SSH conhecidos, dados PuTTY, senhas armazenadas, chaves de criptografia e arquivos arbitrários, cria diretórios, faz capturas de tela, executa comandos shell … e muito mais.
A Symantec observou que detectou Graphirion em ataques contra alvos ucranianos em meados de janeiro e acredita que provavelmente ainda é uma parte ativa do kit de ferramentas de ataque da Nodaria. A Symantec não indicou como as infecções por Graphiron estão ocorrendo, mas disse que o vetor de ataque típico do Nodaria é por meio de e-mails de spear phishing.
A Nodaria está ativa desde março de 2021, disse a Symantec, mas se concentrou em atingir organizações na Ucrânia, com alguns outros ataques possivelmente lançados contra outros alvos no Quirguistão e possivelmente na Geórgia.
Não está claro se a adoção de malware para roubo de informações em ataques vinculados à Rússia contra a Ucrânia é uma tendência ou se Nodaria está traçando seu próprio caminho, mas Symanteic disse que o alto nível de atividade do grupo no ano passado aponta para que seja um dos jogadores-chave na guerra digital da Rússia contra a Ucrânia.
Com isso em mente, pode ser uma boa ideia para as organizações ucranianas começarem a considerar o roubo de dados, e não apenas os apagamentos debilitantes do sistema, como possíveis danos colaterais na guerra em andamento. ®
.
