Skip links

Ex-hacker da CIA condenado a 40 anos de prisão.

Toda semana, o Information Security Media Group analisa incidentes e violações de segurança cibernética em todo o mundo. Esta semana, ex-programador da CIA recebe sentença de 40 anos, confiança zero evita danos generalizados, possível ataque de ransomware na Geórgia, suposto hacker detido na Ucrânia, malware espalhado por USB na Itália, ataque LockBit a credores hipotecários não bancários e críticas ucranianas infraestrutura interrompida.

Ex-hacker da CIA condenado a 40 anos

Um ex-programador da CIA que divulgou on-line a caixa de ferramentas ultrassecretas de hackers da agência recebeu na quinta-feira uma sentença de 40 anos de prisão. A sentença de Joshua Schulte abrange um veredicto de culpa de 2022 por causar a maior violação de dados na história da CIA em 2017, bem como um julgamento separado no ano passado por posse de materiais de abuso sexual infantil que também resultou num veredicto de culpa do júri. Um julgamento de 2020 sobre o vazamento de acusações que terminou com um júri empatado também produziu condenações por desrespeito ao tribunal e por declarações falsas materiais.

Schulte, 35 anos, desenvolveu ferramentas de penetração para o serviço de espionagem e enviou ao WikiLeaks um tesouro de técnicas usadas para espionagem em iPhones, dispositivos de rede Cisco, Skype e TVs inteligentes (veja: 7 fatos: ‘Vault 7’ CIA Hacking Tool Dump by WikiLeaks ).

“Joshua Schulte traiu o seu país ao cometer alguns dos crimes de espionagem mais descarados e hediondos da história americana”, disse o procurador dos EUA, Damian Williams, do Distrito Sul de Nova Iorque. “E durante todo esse tempo, Schulte coletou milhares e milhares de vídeos e imagens de crianças sendo submetidas a abusos repugnantes para sua própria gratificação pessoal.”

Hacker usou tokens Okta roubados em ataque Cloudflare

Um provável hacker estatal usou um token de acesso e três credenciais de conta de serviço roubadas da Okta em setembro para acessar um servidor Atlassian auto-hospedado usado pelo provedor de infraestrutura de internet Cloudflare, informou a Cloudflare na quinta-feira.

A empresa disse que “não conseguiu alternar” as credenciais depois que Okta divulgou o ataque em outubro.

A Cloudflare disse que nenhum dado ou sistema de cliente foi afetado pela penetração, fato atribuído à adoção da arquitetura de confiança zero. A confiança zero é “como anteparas em um navio onde um comprometimento em um sistema é limitado a comprometer toda a organização”, escreveram os executivos da empresa em um blog.

A Cloudflare chamou o invasor – cujo nome não foi identificado – de “sofisticado” e disse que ele tinha uma “maneira atenciosa e metódica” e provavelmente veio de uma operação estatal.

De acordo com o cronograma da empresa, de 14 a 17 de novembro o hacker realizou reconhecimento e acessou o wiki interno, que é baseado no Atlassian Confluence, e o banco de dados de bugs, que é baseado no Atlassian Jira. “Em 20 e 21 de novembro, vimos acesso adicional indicando que eles podem ter voltado para testar o acesso e garantir que tinham conectividade”, disse Cloudflare.

Em 22 de novembro, o hacker usou uma ferramenta de automação e personalização Jira chamada ScriptRunner para estabelecer acesso persistente. O invasor “tentou, sem sucesso, acessar um servidor de console que tinha acesso ao data center que a Cloudflare ainda não havia colocado em produção em São Paulo, Brasil”.

Os defensores cibernéticos encerraram o acesso do invasor em 24 de novembro, disse a empresa.

Ataque de segurança cibernética no condado de Fulton, na Geórgia, causa interrupções

O condado de Fulton, na Geórgia, está enfrentando um ataque de segurança cibernética que interrompeu as linhas telefônicas, o sistema judiciário e o sistema tributário no fim de semana. Entre os funcionários do condado afetados está o promotor público Fani Willis, que lidera um processo criminal de interferência eleitoral contra o ex-presidente Donald Trump e supostos co-conspiradores.

“Neste momento, não temos conhecimento de qualquer transferência de informações confidenciais sobre cidadãos ou funcionários, mas continuaremos a analisar cuidadosamente esta questão”, disse o presidente do Conselho de Comissários do condado, Robb Pitts, durante uma conferência de imprensa na segunda-feira.

O Atlanta Journal-Constitution informou na quinta-feira que especialistas cibernéticos acreditam que o ataque foi um ataque de ransomware e provavelmente não teve motivação política. O condado está se recuperando do ataque, embora muitos serviços públicos e operações internas do condado ainda estejam inoperantes, disse o jornal.

Ucrânia detém suposto hacker do “Exército Cibernético” russo

A agência de serviços de segurança interna ucraniana disse no Telegram que prendeu um suposto membro do grupo de hackers apoiado pela inteligência russa Cyber ​​Army of Russia. As autoridades disseram que o indivíduo, identificado como especialista em tecnologia de Kharkiv, conduziu ataques DDoS em sites do governo. O suspeito teria se juntado ao grupo por meio de um canal hacker no Telegram.

As autoridades disseram que o homem forneceu informações sobre alvos para ataques com mísseis, incluindo um que atingiu um hospital. Se condenado, ele poderá pegar uma pena máxima de 12 anos de prisão.

Campanha de malware baseada em USB direcionada a organizações italianas

Um grupo de ameaças com motivação financeira rastreado pela Mandiant como UNC4990 está usando dispositivos USB para infectar organizações italianas – e usando sites de terceiros como GitHub, Vimeo e a seção de fórum do site de notícias Ars Technica para hospedar cargas maliciosas.

A empresa de inteligência de ameaças disse que os hackers por trás dos atores da ameaça estão ativos desde pelo menos 2020 e favorecem alvos nos setores de saúde, transporte, construção e logística. Os serviços legítimos usados ​​por hackers para hospedar cargas não foram hackeados. “Nenhuma dessas organizações tinha nada mal configurado para permitir esse abuso”, disse Mandiant. No caso do Vimeo, os hackers inseriram uma carga codificada na descrição de um vídeo sobre a banda de rock progressivo Pink Floyd . O vídeo não está mais disponível.

Uma infecção começa com a vítima clicando em um arquivo de atalho LNK malicioso em um dispositivo USB, o que leva à execução de um script PowerShell codificado que carrega um downloader Mandiant chamado Emptyspace, também conhecido como BrokerLoader e Vetta Loader . O downloader se comunica com a carga executável oculta em um site de terceiros.

Os atores da ameaça usam um backdoor que o Mandiant chama de Quietboard que é capaz de execução arbitrária de comandos, manipulação de conteúdo da área de transferência para roubo de criptomoeda, infecção de unidade removível, captura de tela, coleta de informações do sistema e comunicação com o servidor C2.

Planet Home Lending notifica clientes sobre ataque de ransomware

A Planet Home Lending disse que foi hackeada pela gangue de extorsão de língua russa LockBit e notificou quase 200.000 clientes sobre um incidente de violação de dados em novembro. O credor não bancário atribuiu a violação a uma vulnerabilidade em dispositivos NetScaler conhecida como Citrix Bleed (veja: Amid Citrix Bleed Exploits, NetScaler Warns: Kill Sessions ).

As informações de identificação pessoal comprometidas incluem nomes, endereços, números de Seguro Social, números de empréstimos e detalhes de contas financeiras. A empresa disse que não pagou o pedido de resgate e não planeja pagar nenhum resgate ao autor da ameaça.

Infraestrutura crítica ucraniana direcionada

Vários operadores estatais ucranianos de infra-estruturas críticas relataram interrupções de serviço na semana passada resultantes de um ataque cibernético aos seus sistemas de informação baseados em nuvem mantidos pelas instalações do centro de dados Parkovy em Kiev.

Pelo menos cinco organizações ucranianas confirmaram a interrupção do serviço, incluindo a empresa estatal de energia Naftogaz ; prestador nacional de serviços postais Ukrposhta ; a ferrovia estatal Ukrzaliznytsia , DSBT , a agência responsável pela segurança dos transportes; e o canal de televisão estatal criado para os residentes das áreas ocupadas da Ucrânia.

Parkovy restaurou o acesso aos dados na última sexta-feira, mas antecipou 48 horas para recuperação completa dos backups disponíveis.


FONTE:https://www.databreachtoday.com/breach-roundup-cia-hacking-tool-leaker-gets-40-years-a-24249

Acesse nosso Instagram

Acesse nosso LinkedIn

This website uses cookies to improve your web experience.
pt_BRPortuguese