Resumo de segurança cibernética maio de 2024

Hackers vinculados à China visam especialistas em IA dos EUA com malware SugarGh0st 

Pesquisadores da Proofpoint descobriram uma campanha altamente direcionada de um suposto ator de ameaça chinês, apelidado de “UNK_SweetSpecter”, com o objetivo de roubar informações de especialistas em inteligência artificial nos Estados Unidos. Os invasores usaram uma variante personalizada do notório malware Gh0st RAT, chamado SugarGh0st, para infectar os sistemas de um grupo seleto de indivíduos associados a uma organização líder de IA com sede nos EUA.  A campanha, que surgiu em maio de 2024, envolvia e-mails de phishing com tema de IA contendo um arquivo ZIP malicioso. Uma vez executado, o malware estabeleceu comunicação com um servidor de comando e controle controlado pelo invasor, permitindo potencialmente que os hackers exfiltrassem dados confidenciais relacionados a tecnologias generativas de IA.  A Proofpoint sugere que esta campanha pode ser uma resposta aos recentes esforços do governo dos EUA para restringir o acesso chinês às tecnologias generativas de IA. A natureza direcionada do ataque e o seu foco em especialistas em IA indicam que o objetivo do ator da ameaça era provavelmente obter informações não públicas sobre inteligência artificial generativa para promover os objetivos de desenvolvimento da China neste domínio. 
Informações sobre SSL.com: Para se protegerem contra ameaças cibernéticas sofisticadas, como a campanha SugarGh0st RAT, as organizações devem melhorar os seus protocolos de segurança de e-mail, empregando filtros avançados que examinam anexos e links em busca de ameaças potenciais, especialmente em comunicações que solicitar técnico assistência ou pretendem resolver problemas de software. Também é imperativo educar os especialistas em IA e outro pessoal de alto risco sobre as especificidades dos ataques de phishing direcionados, garantindo que sejam adeptos do reconhecimento e do tratamento de e-mails suspeitos. Implantar software que monitores pois o uso não autorizado de ferramentas administrativas e comunicações externas inesperadas podem proteger ainda mais informações confidenciais contra comprometimento. SSL.com's S/MIME os certificados fornecem uma camada robusta de segurança, garantindo a autenticidade e integridade dos e-mails, o que é vital para evitar que invasores se façam passar por fontes legítimas e, ao criptografar o conteúdo do e-mail, protegem informações confidenciais contra acesso não autorizado, mesmo que ocorra uma violação. 

Proteja seus e-mails agora  

Fique protegido

CISA alerta sobre falha explorada ativamente no NextGen Healthcare Mirth Connect 

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma vulnerabilidade crítica de segurança no NextGen Healthcare Mirth Connect, uma plataforma de integração de dados de código aberto amplamente utilizada no setor de saúde. A falha, rastreada como CVE-2023-43208, permite a execução remota de código não autenticado e acredita-se que seja explorada ativamente em estado selvagem.  A vulnerabilidade decorre de um patch incompleto para outra falha crítica, CVE-2023-37679, e está relacionada ao uso inseguro da biblioteca Java XStream para desempacotar cargas XML. Os pesquisadores da Horizon3.ai divulgaram a vulnerabilidade pela primeira vez em outubro de 2023, com detalhes técnicos adicionais e uma exploração de prova de conceito lançada em janeiro de 2024.  A CISA adicionou CVE-2023-43208 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), obrigando as agências federais a atualizar seus sistemas para o Mirth Connect versão 4.4.1 ou posterior até 10 de junho de 2024. Embora a agência não tenha fornecido detalhes sobre o andamento ataques, a falha é considerada facilmente explorável e representa um risco significativo para as organizações de saúde.  Além da vulnerabilidade Mirth Connect, a CISA também adicionou um bug de confusão de tipo divulgado recentemente que afeta o Google Chrome (CVE-2024-4947) ao catálogo KEV, pois foi reconhecido pelo Google como sendo explorado em ataques do mundo real. 
Informações sobre SSL.com: A recente adição do NextGen Healthcare Mirth Conectar A vulnerabilidade ao catálogo de Vulnerabilidades Conhecidas Exploradas da CISA significa um desenvolvimento crítico na segurança cibernética, destacando as ameaças crescentes enfrentadas pelos sistemas de dados de saúde. As organizações devem priorizar a implantação imediata de atualizações e patches para essas vulnerabilidades, a fim de proteger dados confidenciais de saúde contra acesso não autorizado e exploração potencial. Como fornecedor líder de certificados digitais, SSL.com enfatiza a necessidade de implementar medidas robustas de criptografia e empregar certificados digitais para garantir a integridade dos dados e canais de comunicação seguros, reforçando assim as defesas contra essas ameaças cibernéticas sofisticadas.

Cidade de Wichita alvo de ataque de ransomware no fim de semana 

A cidade de Wichita, Kansas, a maior cidade do estado e uma das 50 maiores cidades dos Estados Unidos, revelou que foi atingida por um ataque de ransomware no fim de semana. O incidente, ocorrido no domingo, 5 de maio, forçou a cidade a desligar partes de sua rede para evitar a propagação do ransomware para outros dispositivos.  Num movimento invulgarmente transparente, a cidade confirmou o ataque no seu website, afirmando que está em curso uma revisão e avaliação minuciosas do incidente, incluindo o potencial impacto nos dados. Como resultado do ataque, os sistemas de pagamento online da cidade, incluindo aqueles para pagamento de contas de água e citações e multas judiciais, estão atualmente offline.  Embora a cidade não tenha divulgado a identidade da gangue de ransomware responsável pelo ataque, eles relataram o incidente às agências policiais locais e federais, que estão auxiliando na resposta. Ainda não se sabe se algum dado foi roubado, embora seja comum que gangues de ransomware exfiltrem dados de redes comprometidas durante dias ou até semanas antes de implantarem seus criptografadores.  Apesar do ataque, o Cidades garantiu aos residentes que os socorristas, incluindo a polícia e os bombeiros, ainda estão prestando serviços, tendo mudado para medidas de continuidade de negócios quando necessário. 
Informações sobre SSL.com: Em resposta à crescente ameaça de ataques de ransomware, como exemplificado pelo recente incidente em Wichita, as organizações devem melhorar a segurança da sua rede, implementando fortes controlos de acesso e segmentando redes para limitar a propagação de tais ataques. Garantir que os sistemas sensíveis sejam isolados e que o acesso à infraestrutura crítica seja concedido somente após a autenticação multifator pode reduzir drasticamente o impacto do ransomware. Backups agendados regularmente e a capacidade de restaurar sistemas rapidamente também são cruciais para a recuperação após um ataque, minimizando o tempo de inatividade e o potencial de perda de dados. SSL.com's Os certificados de autenticação de cliente reforçam essas medidas de segurança, fornecendo um método para autenticar usuários e dispositivos, garantindo que apenas pessoal autorizado possa acessar sistemas e dados críticos, o que é vital para impedir o acesso não autorizado que poderia levar à implantação de ransomware.

Fortalecer Infraestrutura crítica Defesas  

Ativar proteção

Black Basta Ransomware tem como alvo mais de 500 organizações em todo o mundo 

A operação Black Basta de ransomware como serviço (RaaS) tem como alvo mais de 500 entidades privadas da indústria e de infraestrutura crítica na América do Norte, Europa e Austrália desde seu surgimento em abril de 2022, de acordo com um comunicado conjunto publicado pela CISA, FBI , HHS e MS-ISAC.  Os agentes de ameaças por detrás do Black Basta encriptaram e roubaram dados de pelo menos 12 dos 16 setores de infraestruturas críticas, empregando um modelo de dupla extorsão. Os afiliados do grupo usam técnicas comuns de acesso inicial, como phishing e exploração de vulnerabilidades conhecidas, e fornecem às vítimas um código exclusivo para contatá-las por meio de um URL .onion para obter instruções de pagamento de resgate.  Black Basta foi associado a 28 dos 373 ataques de ransomware confirmados em abril de 2024 e testemunhou um aumento de 41% na atividade em relação ao trimestre anterior no primeiro trimestre de 1. Acredita-se que o grupo tenha ligações com o grupo de crimes cibernéticos FIN2024.  O cenário do ransomware está passando por mudanças, com um declínio de 18% na atividade no primeiro trimestre de 1 em comparação com o trimestre anterior, principalmente devido a operações de aplicação da lei contra ALPHV (também conhecido como BlackCat) e LockBit. Novos grupos de ransomware, como APT2024, DoNex, DragonForce, Hunt, KageNoHitobito, Megazord, Qiulong, Rincrypt e Shinra, também surgiram nas últimas semanas.  Apesar do declínio geral na atividade de ransomware, o pagamento médio de resgate aumentou 5 vezes no último ano, de US$ 400,000 para US$ 2 milhões, de acordo com uma pesquisa da Sophos. No entanto, as vítimas recusam-se cada vez mais a pagar o montante inicial exigido, com apenas 24% dos inquiridos a pagarem o pedido original. 
Informações sobre SSL.com: Para combater a crescente ameaça do ransomware, como exemplificado pela operação Black Basta, as organizações devem implementar uma estratégia de segurança robusta em vários níveis que inclua a detecção precoce de tentativas de phishing e a exploração de vulnerabilidades conhecidas, que são comuns. do estado inicial, técnicas de acesso para ataques de ransomware. É fundamental atualizar e corrigir continuamente os sistemas para defendê-los contra explorações conhecidas e empregar ferramentas sofisticadas de detecção e resposta de endpoints que possam identificar e neutralizar as ameaças antes que elas aumentem. Além disso, as organizações devem treinar seus funcionários regularmente sobre as melhores práticas de segurança cibernética e conscientização sobre ransomware para evitar ataques de phishing bem-sucedidos. SSL.com's Os certificados de autenticação de cliente podem melhorar significativamente as medidas de segurança, garantindo que apenas dispositivos e usuários autenticados possam acessar os recursos da rede, reduzindo o risco de acesso não autorizado que pode levar à implantação de ransomware; além disso, esses certificados podem ajudar a proteger as comunicações por email, um vetor comum para distribuição de ransomware, adicionando assim uma camada essencial de defesa contra essas ameaças cibernéticas.

Aumente sua resiliência cibernética  

Criptografe hoje

Anúncios SSL.com

SSL.com's S/MIME Os certificados agora podem ser integrados a uma rede habilitada para LDAP

LDAP (Lightweight Directory Access Protocol) é um protocolo padrão da indústria para acessar e gerenciar serviços de informações de diretório. É comumente usado para armazenar e recuperar informações sobre usuários, grupos, estruturas organizacionais e outros recursos em um ambiente de rede.

Integrando LDAP com S/MIME certificados envolve a utilização de LDAP como um serviço de diretório para armazenar e gerenciar certificados de usuário. 

Ao integrar o LDAP com S/MIME certificados, as organizações podem centralizar o gerenciamento de certificados, aprimorar a segurança e agilizar o processo de recuperação e autenticação de certificados em vários aplicativos e serviços que utilizam o LDAP como um serviço de diretório.

Contato sales@ssl.com para obter mais informações sobre a integração LDAP. 

Single Sign On (SSO) agora pode ser habilitado para contas SSL.com 

Os usuários do SSL.com agora podem ativar o Single Sign On (SSO) para suas contas. Este recurso permite que os usuários vinculem suas contas do Google, Microsoft, GitHub e Facebook às suas contas SSL.com. Uma vez vinculado e conectado a qualquer um dos quatro provedores de serviços mencionados, não há necessidade de os usuários fazerem login repetidamente em suas contas SSL.com com seu nome de usuário e senha. A adoção do SSO por SSL.com representa um compromisso em manter altos padrões de segurança, ao mesmo tempo em que fornece um ambiente amigável, promovendo, em última análise, uma experiência online mais segura para seus usuários. 

Automatize a validação e emissão de certificados de criptografia e assinatura de e-mail para funcionários 

<p align="justify">Inscrição em massa agora está disponível para Identificação Pessoal+Organização S/MIME Certificados (também conhecido como IV+OV S/MIME), E Certificados NAESB através da ferramenta de pedidos em massa SSL.com. Inscrição em massa de ID pessoal + organização S/MIME e Certificados NAESB tem o requisito adicional de um Empreendimento PKI (EPKI) Acordo. um EPKI O acordo permite que um único representante autorizado de uma organização solicite, valide, emita e revogue um grande volume desses dois tipos de certificados para outros membros, permitindo assim uma recuperação mais rápida na proteção dos dados e sistemas de comunicação de uma organização.

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.