Skip links

Resumo de violação: REvil Hacker recebe sentença de quase 14 anos

Além disso: Outro Ivanti Zero-Day? E o FBI pede o fortalecimento das políticas do DMARC.

Toda semana, o Information Security Media Group analisa incidentes e violações de segurança cibernética em todo o mundo. Esta semana, um hacker do REvil foi condenado; os pesquisadores viram um possível novo dia zero da Ivanti; o FBI disse para fortalecer as políticas do DMARC; Okta viu um aumento nos ataques de preenchimento de credenciais; um hospital francês recusou-se a pagar resgate; o JPMorgan, uma agência de cobrança de dívidas e uma empresa de saúde foram violados; e um ex-funcionário da NSA foi condenado.

REvil Hacker condenado a 13 anos e 7 meses

O cidadão ucraniano Yaroslav Vasinskyi, 24, recebeu uma sentença de 13 anos e sete meses de prisão na quarta-feira em um tribunal federal de Dallas. Vasinskyi, também conhecido como “Rabotnik”, participou de mais de 2.500 ataques de ransomware como afiliado da operação de ransomware como serviço REvil. O grupo exigiu mais de US$ 700 milhões em extorsão por esses ataques, embora os pagamentos reais tenham totalizado aproximadamente US$ 2,3 milhões, disseram os promotores. O tribunal também ordenou que Vasinskyi pagasse US$ 16 milhões em restituição.

Vasinskyi está sob custódia dos EUA desde março de 2022, após sua prisão no ano anterior na Polônia (ver: REvil Ransomware Suspects Snared in Global Police Crackdown ). Ele se declarou culpado em agosto de 2022 de uma acusação criminal de 11 acusações .

REvil, também conhecido como Sodinokibi, atraiu a ira das autoridades dos EUA depois que afiliados hackearam o serviço de gerenciamento de TI Kaseya em 2021 e quase duas dúzias de cidades do Texas em 2019. Uma operação multinacional de aplicação da lei colocou os servidores REvil offline em outubro de 2021.

Vasinskyi participou do hack da Kaseya, mas não do ataque contra municípios do Texas, de acordo com sua confissão de culpa. “Embora os conspiradores tentassem encobrir seus rastros lavando os pagamentos das vítimas, Vasinskyi não conseguiu se esconder das autoridades”, disse a vice-procuradora-geral adjunta principal Nicole Argentieri. Os promotores também disseram que, em 2023, recuperaram aproximadamente 40 bitcoins e US$ 6,1 milhões em pagamentos de extorsão feitos ao REvil.

Outro dia zero da Ivanti?

Recentemente listada em uma lista contínua de “vulnerabilidades descobertas por pesquisadores da Zero Day Initiative que ainda não foram divulgadas publicamente” é uma falha para produtos sem nome da Ivanti. A falha, rastreada como ZDI-CAN-23850 e publicada na quarta-feira, merece uma pontuação de 9,8 em 10 na escala CVSS, disse a ZDI.

A Ivanti, fabricante de dispositivos de gateway de Utah, não respondeu imediatamente a um pedido de comentário. Os clientes da empresa estiveram em modo de mitigação de emergência e correção durante grande parte deste ano, depois que prováveis ​​hackers do Estado-nação chinês iniciaram uma campanha de hackers em dezembro (veja: Hackers comprometeram dispositivos Ivanti usados ​​pela CISA ) que iniciou uma enxurrada de pesquisas em dispositivos Ivanti e transformou até falhas adicionais. Uma empresa de segurança da cadeia de suprimentos que fez engenharia reversa do dispositivo Pulse Secure VPN da empresa descobriu que ele opera em uma versão do Linux com 11 anos de idade e usa muitos pacotes de software obsoletos (veja: Ivanti usa sistemas operacionais em fim de vida, pacotes de software ) .

O CEO da empresa, Jeff Abbott, prometeu uma reviravolta nas práticas de segurança.

Federais dos EUA alertam sobre políticas fracas do DMARC

O FBI, o Departamento de Estado dos EUA e a Agência de Segurança Nacional instaram na quinta-feira as organizações a fortalecerem as políticas permissivas do DMARC em meio a evidências de que os hackers norte-coreanos estão ficando mais espertos ao contornar a proteção anti-spam (veja: Kimsuky usa políticas permissivas do DMARC para falsificar e-mails ) .

O grupo de hackers de Pyongyang, popularmente conhecido como Kimsuky – também conhecido como Emerald Sleet, APT43, Velvet Chollima e Black Banshee – é famoso por suas técnicas de engenharia social, incluindo e-mails falsificados supostamente de universidades, grupos de reflexão e jornalistas. O grupo é a janela do líder do Reino Eremita, Kim Jong Un, para o mundo – o grupo que a inteligência norte-coreana usa para avaliar a direção da geopolítica.

Especialistas em segurança de e-mail há anos incentivam as organizações a adotar autenticação, relatórios e conformidade de mensagens baseadas em domínio como uma forma de combater spammers que manipulam cabeçalhos de e-mail para fazê-los parecer originários de uma fonte confiável. Domínios de e-mail com DMARC habilitado afixam uma assinatura digital aos e-mails e especificam quais endereços IP podem enviar e-mails legitimamente. O DMARC também permite que proprietários de domínios proponham uma política padrão para e-mails que falhem nos ataques de autenticação. As opções são: rejeitar, colocar em quarentena ou não fazer nada.

Os falsificadores de e-mail, incluindo hackers norte-coreanos, gostam de domínios que dizem aos destinatários para não fazerem nada, pois isso significa que o e-mail falsificado provavelmente chegará à caixa de entrada do destinatário. “Para que as organizações tornem suas políticas mais rígidas e sinalizem aos servidores de e-mail para considerarem e-mails não autenticados como spam, as agências de autoria recomendam mitigar essa ameaça atualizando a política DMARC da sua organização” para rejeitar ou colocar em quarentena.

Okta vê aumento nos ataques de preenchimento de credenciais

A gigante de identidades Okta alertou sobre um aumento notável nos ataques de preenchimento de credenciais originados de serviços de proxy residenciais e da rede de anonimato Tor. O aviso baseia-se em um comunicado anterior da Cisco Talos que afirma ter detectado um “aumento global em ataques de força bruta” contra VPNs, interfaces de autenticação da web e serviços Secure Shell.

Okta recomenda bloquear solicitações de serviços anônimos e IPs suspeitos, implementar políticas de senhas fortes, habilitar autenticação multifatorial, adotar autenticação sem senha e monitorar comportamento anômalo.

Hospital francês rejeita pedido de resgate

Um hospital francês se recusou a pagar uma demanda de extorsão de hackers que usavam o software de bloqueio criptográfico LockBit 3.0. O Hôpital de Cannes Simone Veil, que atende o francês Rivera, disse na quinta-feira que hackers de ransomware publicaram dados roubados do hospital.

O ataque de 16 de Abril causou perturbações operacionais, levando ao reagendamento de procedimentos e consultas não emergenciais. As operações estão quase de volta ao normal, disse o hospital na quinta-feira.

Uma operação internacional se infiltrou no grupo criminoso de língua russa e apreendeu servidores no início deste ano, mas seus líderes tentaram se reagrupar e relançar as atividades (veja: Operação Ransomware LockBit relança site de vazamento Dark Web ).

Violação de dados do JPMorgan expõe 450 mil clientes

A empresa financeira global dos EUA, JPMorgan Chase Bank, divulgou uma violação de dados que afetou mais de 451.000 indivíduos devido a um problema de software em um sistema fornecido pelo fornecedor. Três usuários autorizados acessaram os registros dos participantes do plano de aposentadoria entre 26 de agosto de 2021 e 23 de fevereiro de 2024, baixando 12 relatórios com dados sensíveis. O banco corrigiu a descoberta do problema de acesso e aplicou uma atualização de software. Apesar de não haver evidências de uso indevido de dados ou ataque cibernético, o JPMorgan está oferecendo aos indivíduos afetados dois anos de serviços de proteção contra roubo de identidade por meio da Experian.

Violação de dados em agência de cobrança de dívidas

A agência de cobrança de dívidas Financial Business and Consumer Solutions revelou uma violação de dados que afeta potencialmente 1.955.385 indivíduos. A empresa detectou hackers em 26 de fevereiro e posteriormente determinou que eles obtiveram acesso mais de 10 dias antes, em 14 de fevereiro. Os dados afetados incluem nomes, números de Seguro Social e datas de nascimento.

Violação de dados em soluções projetadas para receber

A empresa de gerenciamento de contas a receber de saúde, Designed Receivable Solutions, atualizou o número de indivíduos afetados por uma violação de dados em janeiro de 129.000 para 498.686. A violação expôs informações confidenciais, incluindo nomes, endereços e números de Seguro Social.

Ex-funcionário da NSA condenado por tentativa de espionagem

O ciberespecialista da Agência de Segurança Nacional, Jareh Sebastian Dalke, 32, recebeu uma sentença de quase 22 anos de prisão por tentar espionar para a Rússia. Dalke, que passou menos de um mês na NSA, usou uma conta de e-mail criptografada para transmitir trechos de três documentos marcados como “Top Secret//Sensitive Compartimented Information” para um indivíduo que ele acreditava ser um agente russo, sem saber que estava lidando com um agente secreto. Agente do FBI. Dalke, um veterano do Exército, recebeu US$ 16.499 em criptomoeda e se ofereceu para vender o restante dos documentos por US$ 85.000. Ele combinou um encontro com o suposto agente russo na Union Station, no centro de Denver, para onde transferiu quatro arquivos contendo informações confidenciais de defesa nacional. Agentes federais o prenderam momentos depois de ele enviar os arquivos.

Dalke, de Colorado Springs, se confessou culpado em outubro de seis acusações de tentativa de transmitir informações confidenciais de defesa nacional a um agente de um governo estrangeiro (ver: Breach Roundup: Ex-NSA Employees Pleads Guilty to Selling Secrets .


 

This website uses cookies to improve your web experience.