Infosec em resumo Deniss Zolotarjovs, um suposto membro da gangue russa de ransomware Karakurt, foi acusado em um tribunal dos EUA de supostamente conspirar para cometer lavagem de dinheiro, fraude eletrônica e extorsão da Lei Hobbs.
O cidadão letão de 33 anos, que vivia em Moscovo, foi preso na nação europeia da Geórgia em dezembro de 2023 e extraditado para os Estados Unidos no início deste mês.
De acordo com documentos judiciais [PDF]Zolotarjovs esteve envolvido no roubo de dados de pelo menos seis empresas dos EUA entre agosto de 2021 e novembro de 2023. Zolotarjovs e seu Karakurt Os criminosos supostamente extorquiram as organizações das vítimas, exigindo o pagamento de um resgate em criptomoeda e, em alguns casos, vazaram informações confidenciais das vítimas online.
Em um caso, um alvo pagou à gangue US$ 1,3 milhão em bitcoin depois que os criminosos assediaram seus funcionários e exigiram pagamento em troca da não publicação dos dados.
Zolotarjovs – que usava o pseudônimo “Sforza” – era responsável por conduzir negociações com as vítimas de Karakurt para as chamadas “extorsões de casos arquivados”. Foi aí que as organizações se recusaram a pagar o pedido de resgate inicialmente, levando a gangue a pressionar mais as vítimas – ligando e enviando e-mails diretamente para funcionários e parceiros, e pressionando as vítimas a cederem às exigências de extorsão.
“Alguns dos chats indicaram que os esforços de Sforza para reviver casos arquivados foram bem-sucedidos em extrair pagamentos de resgate”, de acordo com os documentos do tribunal. “Sforza também discutiu esforços para recrutar jornalistas pagos para publicar artigos de notícias sobre vítimas, a fim de convencer outras vítimas a levar as demandas de extorsão de Karakurt a sério.”
Zolotarjovs é o primeiro suposto membro do Karakurt a ser preso e extraditado.
Vulnerabilidades da semana: bug do Chrome explorado na natureza
O Google lançou esta semana uma atualização do Chrome com 38 correções de segurança, incluindo uma que foi encontrada e explorada antes de ser implementada.
A vulnerabilidade de alta gravidade – rastreada como CVE-2024-7971 – é causada por confusão de tipos no mecanismo JavaScript V8 do Chrome. Pesquisadores do Microsoft Threat Intelligence Center (MSTIC) e do Microsoft Security Response Center (MSRC) encontraram e relataram o bug em 19 de agosto.
“O Google está ciente de que existe um exploit para CVE-2024-7971”, disse alerta de segurança observado.
Das 38 correções, CVE-2024-7971 é uma das sete consideradas de alta gravidade. O restante é classificado como médio e baixo.
A Microsoft emite uma solução alternativa para problemas de travamento de inicialização dupla
A Microsoft publicou uma solução alternativa para PCs de inicialização dupla executando Windows e Linux que não conseguem inicializar o Linux após instalar a atualização de segurança de agosto do Windows.
Esta atualização deveria corrigir uma vulnerabilidade de estouro de buffer de dois anos no carregador de inicialização de código aberto GRUB que, se explorada, poderia permitir que usuários desonestos ou malware em um sistema ignorassem o recurso Secure Boot e carregassem código malicioso em um computador durante o processo de inicialização.
Em seu evento Patch Tuesday de agosto, Redmond garantiu aos clientes que a atualização “não é aplicada a sistemas de inicialização dupla que inicializam Windows e Linux e não deve afetar esses sistemas”.
No entanto, esse não foi o caso. E logo após a aplicação do patch, muitos administradores começaram a relatar que suas distros Linux não inicializa mais em dispositivos de inicialização dupla.
A Microsoft agora emitiu uma solução alternativa de várias etapas e você pode seguir os procedimentos aqui.
Além disso, a gigante do Windows diz que continuará “investigando o problema com nossos parceiros Linux e fornecerá uma atualização quando mais informações estiverem disponíveis”.
AARL pagou um milhão de dólares à equipe de ransomware
A Associação Nacional de Rádio Amador (ARRL) revelou que pagou US$ 1 milhão a uma gangue de ransomware que comprometeu a rede da organização sem fins lucrativos no início de maio.
Em um e-mail enviado aos membros da AARL em 21 de agosto, a organização disse que a equipe criminosa não identificada criptografou e excluiu dados em “tudo, desde desktops e laptops até servidores baseados em Windows e Linux” durante as primeiras horas da manhã de 15 de maio.
Em três horas, a AARL montou uma equipe de resposta a incidentes, incluindo especialistas em segurança externos, e alertou o FBI e as autoridades locais.
No mês passado, a AARL notificou 150 funcionários de que seus dados haviam sido roubados durante o ataque.
No relatório de incidentes de segurança desta semana, a organização descreveu as exigências iniciais de resgate como “exorbitantes”.
“Estava claro que eles não sabiam, e não se importavam, que tinham atacado uma pequena organização 501(c)(3) com recursos limitados… Também estava claro que eles acreditavam que a ARRL tinha uma ampla cobertura de seguro que cobriria um pagamento de resgate multimilionário”, observou a carta. “Após dias de tensa negociação e temeridade, a ARRL concordou em pagar um resgate de US$ 1 milhão.”
A apólice de seguro da AARL cobriu a maior parte dos pagamentos de ransomware, além dos custos de restauração, segundo nos disseram.
Qilin rouba credenciais armazenadas no Chrome
O grupo de ransomware Qilin está usando uma nova tática para roubar credenciais de contas armazenadas no navegador Google Chrome, de acordo com pesquisadores de segurança da Sophos.
Durante uma violação investigada pela equipe Sophos X-Ops, a gangue de ransomware primeiro obteve acesso à rede por meio de credenciais comprometidas para um portal VPN que não tinha autenticação multifator.
Faça isso então esperou 18 dias antes de mover lateralmente para um controlador de domínio e então editou a política de domínio para introduzir um Objeto de Política de Grupo (GPO) baseado em logon.
O GPO continha um script do PowerShell chamado IPScanner.ps1 que tentava coletar credenciais armazenadas no Chrome em todas as máquinas do domínio. Ele também continha um script em lote chamado logon.bat que executava o malware.
“Essa combinação resultou na coleta de credenciais salvas em navegadores Chrome em máquinas conectadas à rede”, disse a Sophos avisado. “Como esses dois scripts estavam em um GPO de logon, eles seriam executados em cada máquina cliente conforme ela efetuasse login.”
Isso é especialmente preocupante porque pode permitir que invasores roubem todas as credenciais armazenadas no endpoint de uma organização vítima.
“Se [Qilin]ou outros invasores, decidiram também minerar credenciais armazenadas em endpoints – o que poderia fornecer uma porta de entrada para um alvo subsequente, ou tesouros de informações sobre alvos de alto valor a serem explorados por outros meios – um novo capítulo sombrio pode ter se aberto na história contínua do crime cibernético”, alertou a Sophos.
CertiK emite mea culpa por extorsão de “whitehat”
A CertiK finalmente (de certa forma) se desculpou por seus pesquisadores de segurança “whitehat” que, após encontrar e divulgar um bug crítico no Kraken, exploraram a falha e roubou $ 3 milhões da bolsa de criptomoedas antes de finalmente devolver os fundos.
Detectar a vulnerabilidade crítica e garantir que ela fosse corrigida “foi uma vitória para a segurança do blockchain e do Web3”, disse a empresa de segurança de blockchain. declarado em uma declaração.
“No entanto, ao conduzir este trabalho, cometemos erros de julgamento e nos comunicamos mal com a Kraken, resultando em uma disputa pública que levantou preocupações significativas dentro da comunidade”, continuou CertiK.
A loja de segurança admitiu que “lamenta que este incidente tenha ocorrido e tomou as medidas necessárias para minimizar o risco de mal-entendidos semelhantes ocorrerem novamente”. ®
