Drogas em Londres atingidas por LockBit Ransomware, software de gravação em tribunais entregam malware: seu resumo de notícias sobre segurança cibernética

Notícias de segurança cibernética sobre ameaças de ransomware e malware.

Drogas de Londres atingidas pelo LockBit Ransomware, recusam-se a pagar demanda de US$ 25 milhões

A rede canadense de farmácias London Drugs foi atingida por um ataque de ransomware orquestrado pela gangue LockBit. O incidente inicialmente rotulado como “incidente de segurança cibernética”, ocorreu em 28 de abril de 2024 e levou ao fechamento temporário de todos os 79 locais da London Drugs no oeste do Canadá. A empresa confirmou que o ataque resultou no roubo de arquivos corporativos, alguns dos quais podem conter informações de funcionários INFORMAÇÕES. A LockBit está exigindo um resgate de US$ 25 milhões e ameaçando vazar os dados roubados se a empresa não cumprir.

Apesar das alegações da LockBit de que a London Drugs ofereceu inicialmente US$ 8 milhões, a rede de farmácias declarou publicamente que “não está disposta e não é capaz” de pagar qualquer resgate aos cibercriminosos – mesmo que os dados dos funcionários estejam em risco. Embora a London Drugs garanta que as bases de dados de pacientes e clientes permanecem inalteradas, a empresa notificou todos os funcionários actuais sobre o potencial comprometimento das suas informações pessoais. A rede de farmácias oferece dois anos de monitoramento de crédito gratuito e proteção contra roubo de identidade aos funcionários afetados, enquanto continua a investigar a extensão do problema. violação de dados.

Este ataque ocorre em meio a um declínio nas atividades da LockBit após uma operação policial que perturbou a infraestrutura da gangue e expôs seu chefão. Apesar deste revés, o grupo de ransomware ainda tem como alvo ativo as organizações, como evidenciado pelo ataque London Drugs. Embora os esforços de aplicação da lei possam ter prejudicado as operações da LockBit, o grupo continua a ser uma ameaça significativa no cíber segurança panorama.

Spyware pcTattletale sofre grande violação de segurança, expondo dados do usuário e código-fonte

O spyware pcTattletale, conhecido por sua presença nos sistemas de reservas de vários hotéis Wyndham nos Estados Unidos e por seu histórico de vazamento de dados confidenciais, foi atingido por uma violação de segurança significativa.

Um pesquisador de segurança, Eric Daigle, descobriu uma falha grave na API do pcTattletale, permitindo acesso não autorizado a capturas de tela tiradas de dispositivos onde o spyware estava instalado. As tentativas de entrar em contato com os desenvolvedores para corrigir o problema foram ignoradas.

Além disso, um hacker desconhecido explorou uma vulnerabilidade diferente para desfigurar o site pcTattletale e vazar 20 arquivos contendo o código-fonte do spyware e dados de banco de dados. O hacker afirma ter usado um exploit Python para extrair credenciais da AWS por meio da API baseada em SOAP do spyware. Em uma reviravolta irônica, o hacker compartilhou um vídeo supostamente feito com pcTattletale, mostrando o proprietário do site tentando restaurá-lo. Isso sugere que o proprietário pode estar usando seu próprio spyware em seu próprio dispositivo.

Este incidente destaca os riscos associados ao spyware e o potencial de uso indevido de dados confidenciais. Os usuários que foram alvo do pcTattletale podem ter suas capturas de tela, pressionamentos de teclas e outras informações pessoais comprometidas. O código-fonte vazado também pode ser usado por agentes mal-intencionados para desenvolver spyware mais sofisticado ou explorar vulnerabilidades no software existente.

Falha crítica no software de gravação de tribunais explorada para entregar malware RustDoor

Uma falha crítica de segurança (CVE-2024-4978) foi descoberta no instalador do JAVS Viewer v8.3.7, um software usado para registrar procedimentos judiciais e outros eventos. Esta vulnerabilidade permitiu que invasores entregassem malware conhecido como RustDoor por meio de um instalador comprometido.

O ataque envolveu a substituição do instalador legítimo por uma versão maliciosa assinada com um certificado falso. Após a execução, o malware se comunica com um servidor de comando e controle, desativa recursos de segurança e baixa cargas adicionais.

Este malware, RustDoor, era conhecido anteriormente por ter como alvo dispositivos macOS, mas este incidente também revela uma versão para Windows. Ambas as versões compartilham funcionalidades semelhantes e estão vinculadas a um grupo de ransomware como serviço chamado ShadowSyndicate.

O ataque foi descoberto pela Rapid7, que iniciou uma investigação após encontrar um executável malicioso dentro da pasta de instalação do software. JAVS, o desenvolvedor do software, reconheceu o problema, removeu a versão afetada de seu site e tomou medidas para proteger seus sistemas. Eles afirmam que seu código-fonte e outras versões de software permanecem inalterados.

Os usuários são aconselhados a verificar se há sinais de comprometimento e, se infectados, recriar a imagem dos dispositivos afetados, redefinir as credenciais e atualizar para a versão mais recente do JAVS Viewer. Este incidente sublinha os riscos associados aos ataques à cadeia de fornecimento de software e a importância de verificar a autenticidade do software descarregado.