Hackers vinculados à China visam especialistas em IA dos EUA com malware SugarGh0st
Pesquisadores da Proofpoint descobriram uma campanha altamente direcionada de um suposto ator de ameaça chinês, apelidado de “UNK_SweetSpecter”, com o objetivo de roubar informações de especialistas em inteligência artificial nos Estados Unidos. Os invasores usaram uma variante personalizada do notório malware Gh0st RAT, chamado SugarGh0st, para infectar os sistemas de um grupo seleto de indivíduos associados a uma organização líder de IA com sede nos EUA. A campanha, que surgiu em maio de 2024, envolvia e-mails de phishing com tema de IA contendo um arquivo ZIP malicioso. Uma vez executado, o malware estabeleceu comunicação com um servidor de comando e controle controlado pelo invasor, permitindo potencialmente que os hackers exfiltrassem dados confidenciais relacionados a tecnologias generativas de IA. A Proofpoint sugere que esta campanha pode ser uma resposta aos recentes esforços do governo dos EUA para restringir o acesso chinês às tecnologias generativas de IA. A natureza direcionada do ataque e o seu foco em especialistas em IA indicam que o objetivo do ator da ameaça era provavelmente obter informações não públicas sobre inteligência artificial generativa para promover os objetivos de desenvolvimento da China neste domínio.Proteja seus e-mails agora
CISA alerta sobre falha explorada ativamente no NextGen Healthcare Mirth Connect
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma vulnerabilidade crítica de segurança no NextGen Healthcare Mirth Connect, uma plataforma de integração de dados de código aberto amplamente utilizada no setor de saúde. A falha, rastreada como CVE-2023-43208, permite a execução remota de código não autenticado e acredita-se que seja explorada ativamente em estado selvagem. A vulnerabilidade decorre de um patch incompleto para outra falha crítica, CVE-2023-37679, e está relacionada ao uso inseguro da biblioteca Java XStream para desempacotar cargas XML. Os pesquisadores da Horizon3.ai divulgaram a vulnerabilidade pela primeira vez em outubro de 2023, com detalhes técnicos adicionais e uma exploração de prova de conceito lançada em janeiro de 2024. A CISA adicionou CVE-2023-43208 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), obrigando as agências federais a atualizar seus sistemas para o Mirth Connect versão 4.4.1 ou posterior até 10 de junho de 2024. Embora a agência não tenha fornecido detalhes sobre o andamento ataques, a falha é considerada facilmente explorável e representa um risco significativo para as organizações de saúde. Além da vulnerabilidade Mirth Connect, a CISA também adicionou um bug de confusão de tipo divulgado recentemente que afeta o Google Chrome (CVE-2024-4947) ao catálogo KEV, pois foi reconhecido pelo Google como sendo explorado em ataques do mundo real.Cidade de Wichita alvo de ataque de ransomware no fim de semana
A cidade de Wichita, Kansas, a maior cidade do estado e uma das 50 maiores cidades dos Estados Unidos, revelou que foi atingida por um ataque de ransomware no fim de semana. O incidente, ocorrido no domingo, 5 de maio, forçou a cidade a desligar partes de sua rede para evitar a propagação do ransomware para outros dispositivos. Num movimento invulgarmente transparente, a cidade confirmou o ataque no seu website, afirmando que está em curso uma revisão e avaliação minuciosas do incidente, incluindo o potencial impacto nos dados. Como resultado do ataque, os sistemas de pagamento online da cidade, incluindo aqueles para pagamento de contas de água e citações e multas judiciais, estão atualmente offline. Embora a cidade não tenha divulgado a identidade da gangue de ransomware responsável pelo ataque, eles relataram o incidente às agências policiais locais e federais, que estão auxiliando na resposta. Ainda não se sabe se algum dado foi roubado, embora seja comum que gangues de ransomware exfiltrem dados de redes comprometidas durante dias ou até semanas antes de implantarem seus criptografadores. Apesar do ataque, o Cidades garantiu aos residentes que os socorristas, incluindo a polícia e os bombeiros, ainda estão prestando serviços, tendo mudado para medidas de continuidade de negócios quando necessário.Fortalecer Infraestrutura crítica Defesas
Black Basta Ransomware tem como alvo mais de 500 organizações em todo o mundo
A operação Black Basta de ransomware como serviço (RaaS) tem como alvo mais de 500 entidades privadas da indústria e de infraestrutura crítica na América do Norte, Europa e Austrália desde seu surgimento em abril de 2022, de acordo com um comunicado conjunto publicado pela CISA, FBI , HHS e MS-ISAC. Os agentes de ameaças por detrás do Black Basta encriptaram e roubaram dados de pelo menos 12 dos 16 setores de infraestruturas críticas, empregando um modelo de dupla extorsão. Os afiliados do grupo usam técnicas comuns de acesso inicial, como phishing e exploração de vulnerabilidades conhecidas, e fornecem às vítimas um código exclusivo para contatá-las por meio de um URL .onion para obter instruções de pagamento de resgate. Black Basta foi associado a 28 dos 373 ataques de ransomware confirmados em abril de 2024 e testemunhou um aumento de 41% na atividade em relação ao trimestre anterior no primeiro trimestre de 1. Acredita-se que o grupo tenha ligações com o grupo de crimes cibernéticos FIN2024. O cenário do ransomware está passando por mudanças, com um declínio de 18% na atividade no primeiro trimestre de 1 em comparação com o trimestre anterior, principalmente devido a operações de aplicação da lei contra ALPHV (também conhecido como BlackCat) e LockBit. Novos grupos de ransomware, como APT2024, DoNex, DragonForce, Hunt, KageNoHitobito, Megazord, Qiulong, Rincrypt e Shinra, também surgiram nas últimas semanas. Apesar do declínio geral na atividade de ransomware, o pagamento médio de resgate aumentou 5 vezes no último ano, de US$ 400,000 para US$ 2 milhões, de acordo com uma pesquisa da Sophos. No entanto, as vítimas recusam-se cada vez mais a pagar o montante inicial exigido, com apenas 24% dos inquiridos a pagarem o pedido original.Aumente sua resiliência cibernética
Anúncios SSL.com
SSL.com's S/MIME Os certificados agora podem ser integrados a uma rede habilitada para LDAP
LDAP (Lightweight Directory Access Protocol) é um protocolo padrão da indústria para acessar e gerenciar serviços de informações de diretório. É comumente usado para armazenar e recuperar informações sobre usuários, grupos, estruturas organizacionais e outros recursos em um ambiente de rede.
Integrando LDAP com S/MIME certificados envolve a utilização de LDAP como um serviço de diretório para armazenar e gerenciar certificados de usuário.
Ao integrar o LDAP com S/MIME certificados, as organizações podem centralizar o gerenciamento de certificados, aprimorar a segurança e agilizar o processo de recuperação e autenticação de certificados em vários aplicativos e serviços que utilizam o LDAP como um serviço de diretório.
Contato vendas@ssl.com para obter mais informações sobre a integração LDAP.