A Enygma Tecnologia inaugura esse boletim técnico para comunicar informações importantes aos clientes e parceiros relacionadas à cibersegurança.

Mensalmente publicaremos um informativo registrando e divulgando as principais notícias a respeito de incidentes/ataques/eventos de cibersegurança ocorridas no mês e que possam ter grandes ramificações para a indústria e/ou afetar as organizações.

Ataque de malware em Roteadores
01/02/2023

Foram observadas várias vulnerabilidades mais antigas de roteadores ainda sendo exploradas na natureza para distribuir malware, como Malware MooBot, Malware Lucifer, Botnet BotenaGo, Malware Zerobot, Malware Enemybot.

Fonte: https://fortiguard.fortinet.com/outbreak-alert/router-malware-attack

Ataque de Ramsonware no Servidor VMware ESXi
08/02/2023

O CERT-FR divulgou um aviso sobre campanhas de ataque direcionadas a hipervisores VMware ESXi vulneráveis e não atualizados, com o objetivo de implantar ransomware.
O ataque visa principalmente servidores ESXi na versão anterior à 7.0 U3i, por meio da porta OpenSLP (427). Para verificar a versão do ESXi, consulte a página do servidor em sua interface de cliente e siga as etapas para desativar o serviço SLP.

Fonte: https://fortiguard.fortinet.com/outbreak-alert/esxiargs-ransomware

Malware potencialmente destrutivo Medusa mira dispositivos Linux
10/02/2023

O malware Medusa é baseado no malware Mirai e não só é capaz de lançar ataques DDoS e extrair informações de dispositivos infectados, como também pode criptografar arquivos e deletar arquivos dos discos do sistema 24 horas após a conclusão da criptografia de arquivos, o que torna os dispositivos afetados inutilizáveis.

Fonte: https://www.fortiguard.com/threat-signal-report/5016/potentially-destructive-medusa-malware-targets-linux-devices

Vulnerabilidade de Execução Remota de Código (RCE) Fortra GoAnywhere MFT
14/02/2023

O Fortra (anteriormente conhecido como HelpSystems) GoAnywhere MFT (Managed File Transfer) (CVE-2023-0669) contém uma vulnerabilidade de execução remota de código pré-autenticação no Servlet de Resposta de Licença.

O ransomware Cl0p aproveitou-se da vulnerabilidade para infectar servidores vulneráveis do GoAnywhere MFT e roubar dados de mais de 130 organizações. Um patch está disponível na versão 7.1.2 e deve ser aplicado o mais rápido possível.

Fonte: https://www.fortiguard.com/threat-signal-report/5022/goanywhere-mft-rce-vulnerability-cve-2023-0669-actively-exploited

Vulnerabilidade de Injeção de Comando Cacti
16/02/2023

O Cacti é uma plataforma de código aberto que fornece um robusto e extensível framework de monitoramento operacional e gerenciamento de falhas para usuários.
Nas versões afetadas do Cacti v1.2.22, uma vulnerabilidade de injeção de comandos permite que um usuário não autenticado execute código arbitrário em um servidor que execute o Cacti. Obter acesso à instância do Cacti de uma organização poderia dar aos atacantes a oportunidade de aprender sobre os tipos de dispositivos na rede e seus endereços IP locais.
É recomendado que os administradores do Cacti atualizem as versões vulneráveis do Cacti para 1.2.23, 1.3.0 e acima.

Fonte: https://fortiguard.fortinet.com/outbreak-alert/cacti-command-injection