Polícia fecha 600 servidores de Cobalt Strike, ferramenta da Cloudflare para parar bots de IA, logs de malware Infostealer usados para identificar membros de sites de CSAM e mais

Esta edição começa com uma operação policial global que derrubou quase 600 servidores usados por grupos cibercriminosos ligados ao Cobalt Strike. A Cloudflare introduziu uma ferramenta para impedir que bots de IA raspem dados de sites para treinamento. O Grupo Insikt da Recorded Future usa logs de malware que roubam informações para identificar mais de 3.000 membros de sites que acessam material de abuso sexual infantil (CSAM), a vulnerabilidade regreSSHion deixa milhões de servidores OpenSSH vulneráveis e mais.

 

Histórias relacionadas à cibersegurança que chamam nossa atenção:

 

• Operação policial global fecha 600 servidores de cibercrime vinculados ao Cobalt Strike

Uma operação policial global com o codinome MORPHEUS desmantelou com sucesso quase 600 servidores de cibercrime vinculados ao uso ilícito do framework Cobalt Strike. Liderada pela U.K. National Crime Agency e envolvendo autoridades de vários países, a operação teve como alvo versões antigas e não licenciadas do Cobalt Strike, uma ferramenta frequentemente abusada por cibercriminosos e atores estatais para atividades de pós-exploração e implantação de ransomware. Essa repressão destaca os esforços contínuos para combater a infraestrutura de cibercrime, com a Europol relatando que 590 de 690 endereços IP sinalizados estão agora offline, e reforça a necessidade de medidas aprimoradas de cibersegurança para prevenir a exploração similar de software legítimo por entidades maliciosas.

 

• Cloudflare lança ferramenta para combater bots de IA

A Cloudflare introduziu uma ferramenta gratuita para combater bots de IA que coletam dados de sites para treinar modelos de IA. Embora grandes fornecedores de IA como Google e OpenAI permitam que sites bloqueiem seus bots via robots.txt, nem todos os bots cumprem essa diretiva. A nova ferramenta da empresa usa modelos avançados de detecção para identificar e bloquear bots de IA evasivos, analisando seus padrões de tráfego e comportamento. Esta iniciativa aborda preocupações crescentes de proprietários de sites sobre a coleta não autorizada de dados por empresas de IA. À medida que aumenta a demanda por dados de treinamento de IA, mais sites estão bloqueando raspadores de IA, mas alguns fornecedores contornam essas restrições, apresentando desafios contínuos. A solução da Cloudflare visa melhorar a precisão na detecção de bots e apoiar os proprietários de sites

 

• Registros de malware ladrão de informações usados para identificar membros de sites de abuso infantil

O grupo Insikt da Recorded Future utilizou registros de malware ladrão de informações para identificar 3.324 indivíduos que acessam sites de material de abuso sexual infantil (CSAM), marcando uma nova ferramenta para a aplicação da lei. Ao analisar dados de malware como Redline e Raccoon, a empresa vinculou credenciais roubadas a nomes de usuário, endereços IP e detalhes do sistema. Essas informações, compartilhadas com as forças da lei, facilitam a identificação e prisão de suspeitos. Os registros de malware, que geralmente contêm credenciais, histórico de navegação e informações do sistema, foram cruzados com domínios conhecidos de CSAM. Os esforços da Insikt destacam o potencial de aproveitar ferramentas cibercriminosas para combater a exploração infantil, com implicações significativas para investigações policiais.

 

• Milhões de servidores OpenSSH potencialmente vulneráveis ao ataque remoto regreSSHion

Milhões de servidores OpenSSH estão em risco devido à vulnerabilidade regreSSHion (CVE-2024-6387), que permite a execução remota de código sem autenticação. Descoberta pela Qualys, essa falha crítica no processo 'sshd' do servidor OpenSSH em sistemas Linux baseados em glibc pode levar ao controle total do sistema, permitindo a instalação de malware e a criação de backdoors. Mais de 14 milhões de instâncias potencialmente vulneráveis foram identificadas globalmente, com cerca de 700.000 sistemas expostos confirmados pela Qualys. Este problema, comparável à severa vulnerabilidade Log4Shell de 2021, surge de uma condição de corrida do manipulador de sinais reintroduzida no OpenSSH 8.5p1 em outubro de 2020. Embora recentemente removida no OpenSSH 9.8p1, as organizações incapazes de atualizar devem aplicar os patches que estão por vir. A Qualys compartilhou detalhes técnicos e indicadores de compromisso para auxiliar na detecção, mas reteve o código de prova de conceito para prevenir a exploração.

 

• Mais de 110.000 sites afetados por ataque de cadeia de suprimentos do Polyfill sequestrado

Mais de 110.000 sites usando Polyfill.io estão comprometidos após sua aquisição pela empresa chinesa Funnull, que modificou a biblioteca JavaScript para redirecionar os usuários para sites maliciosos. O Google bloqueou anúncios para sites de comércio eletrônico afetados e forneceu informações de mitigação. Cloudflare e Fastly ofereceram soluções alternativas, instando os usuários a abandonarem o Polyfill.io devido aos riscos de ataques à cadeia de suprimentos. O domínio comprometido foi movido para polyfill.com. Este incidente destaca vulnerabilidades no JavaScript do lado do cliente e ressalta a necessidade crítica de soluções avançadas de monitoramento. Além disso, uma falha crítica relacionada, CVE-2024-34102, impacta os sites Adobe Commerce e Magento, exacerbando o cenário de ameaças à segurança.