The post From Shanghai to Houston: The HAFNIUM Hacker Who Stole Vaccine Secrets Faces Justice appeared first on Daily CyberSecurity.

The Grinex cyberattack has once again drawn attention to the vulnerabilities facing the global Crypto exchange ecosystem. In a cyberattack on Grinex, the Kyrgyzstan-based platform was forced to suspend all trading operations after hackers executed a large-scale wallet breach, stealing more than $15 million in USDT.   The cyberattack on Grinex unfolded when attackers infiltrated the exchange wallet infrastructure, extracting over 1 billion rubles, equivalent to roughly $13–15 million in USDT.  

Response to the Grinex Cyberattack 

In response, Grinex halted all trading activities, including withdrawals, effectively locking users out of their accounts while the platform assessed the damage. The company described the wallet breach as a “highly coordinated” operation carried out by skilled threat actors equipped with advanced tools and resources.   While Grinex suggested the possibility of foreign intelligence involvement, claiming the attack may have been intended to undermine Russia’s financial independence, no concrete evidence has been presented to support this assertion. Investigations into the Grinex cyberattack are ongoing, and the source of the breach remains unidentified. 

Stolen Funds Rapidly Moved Across Blockchains 

Following the wallet breach, the attackers wasted no time in attempting to obscure the trail of stolen assets. According to blockchain analytics firm Elliptic, the hackers quickly distributed the funds across multiple wallets and blockchain networks, including Ethereum and Tron.  This tactic, commonly observed in major Crypto exchange hacks, is designed to slow down tracking efforts by law enforcement. The attackers also converted USDT into other digital assets such as TRX and ETH. This step was likely taken because Tether, the issuer of USDT, has the authority to freeze tokens linked to illicit activity.  Eventually, the stolen funds were consolidated into a primary wallet containing approximately 45.9 million TRX, valued at around $15 million. This consolidation phase typically signals that attackers are deciding whether to hold, redistribute, or liquidate the assets, as reported by MEXC.   The Grinex cyberattack follows well-documented cybercrime patterns, including “chain-hopping” (moving funds across multiple blockchains) and “layering” (spreading funds across numerous wallets). These methods exploit the decentralized nature of blockchain systems, where the absence of a central authority allows funds to move with limited immediate intervention. 

Broader Risks for Crypto Exchanges 

The cyberattack on Grinex is part of a new trend affecting the Crypto exchange industry throughout 2025 and 2026. Security researchers have repeatedly identified hot wallet vulnerabilities and compromised transaction-signing processes as the most common entry points for attackers.  Grinex itself acknowledged facing ongoing operational challenges, including sanctions pressure, transaction restrictions, and prior minor cyber incidents. The company stated that these pressures have required aggressive defensive measures.  In the aftermath of the wallet breach, Grinex filed a criminal complaint and shared all available data with law enforcement agencies to aid in tracking the stolen funds.  

Links to Sanctioned Ecosystems Raise Stakes 

Grinex is widely regarded as a successor to Garantex, a major Crypto exchange that ceased operations in 2025 following sanctions from the United States, European Union, and United Kingdom over alleged money laundering activities. After Garantex shut down, a large portion of its user base and liquidity migrated to platforms like Grinex.  This transition positioned Grinex as a key trading hub for ruble-based crypto transactions. It also became central to the use of stablecoins such as A7A5, a ruble-backed token tied to deposits held by sanctioned institutions. Operating across blockchains like Ethereum and Tron, A7A5 enables large-scale, cross-border transactions.  However, it is noted that a relatively small number of wallets control a large share of these transactions, concentrating activity among a limited group of participants. Such structures can facilitate sanction evasion, making platforms like Grinex both strategically important and highly attractive targets for cybercriminals. 

Kraken exchange faces extortion after a staff member misused access to record internal systems, about 2,000 accounts affected, no funds or systems breached.

The post CISA Adds 7 Fresh Exploits to KEV Catalog appeared first on Daily CyberSecurity.

Google has announced that, starting January 28, 2026, it will completely block the distribution of overseas cryptocurrency exchange apps on Google Play if they are not licensed by Korean financial authorities. ※Google Play (2026). Preview: Blockchain-based Content Source: https://support.google.com/googleplay/android-developer/answer/16302285?sjid=8888255779410190101-NC   Figure 1. Google Play Console Policy Center   According to Google’s updated policy for cryptocurrency exchanges […]

Poucos especialistas em cibersegurança discordariam de que ataques a servidores Microsoft Exchange devem ser considerados inevitáveis e o risco de comprometimento permanece consistentemente elevado. Em outubro, a Microsoft encerrou o suporte ao Exchange Server 2019, tornando o Exchange Server Subscription Edition (Exchange SE) a única solução on-premises suportada até 2026. Apesar disso, muitas organizações continuam operando o Exchange Server 2016, 2013 e até versões ainda mais antigas.

Para agentes de ameaça, o Exchange é um alvo irresistível. Sua popularidade, complexidade, vasta quantidade de configurações e, principalmente, sua acessibilidade a partir de redes externas o tornam suscetível a uma ampla variedade de ataques:

• Infiltração de caixas de correio por meio de ataques de password spraying ou spearphishing
• Comprometimento de contas devido ao uso de protocolos de autenticação obsoletos
• Roubo de e-mails específicos mediante a injeção de regras maliciosas de fluxo de e-mail via Exchange Web Services
• Sequestro de tokens de autenticação de funcionários ou falsificação de mensagens explorando falhas na infraestrutura de processamento de e-mails do Exchange
• Exploração de vulnerabilidades do Exchange para executar código arbitrário (implantação de Web shells) no servidor
• Movimento lateral e comprometimento do servidor, em que o Exchange se torna um ponto de apoio para reconhecimento de rede, hospedagem de malware e tunelamento de tráfego
• Exfiltração de e-mails a longo prazo por meio de implantes especializados para Exchange

Para compreender de fato a complexidade e a variedade dos ataques ao Exchange, vale revisar as pesquisas sobre as ameaças GhostContainer, Owowa, ProxyNotShell e PowerExchange.

Dificultar o comprometimento do Exchange pelos invasores e reduzir o impacto de um ataque bem-sucedido não é impossível, mas exige uma série de medidas que vão desde simples alterações de configuração até migrações complexas de protocolos de autenticação. Uma revisão conjunta de medidas de defesa prioritárias foi publicada recentemente pelo Centro Canadense de Cibersegurança (CISA) e por outros órgãos reguladores de cibersegurança. Então, como começar o fortalecimento de segurança do seu Exchange on-premises?

Migração de versões EOL

A Microsoft e a CISA recomendam a transição para o Exchange SE para garantir o recebimento pontual de atualizações de segurança. Para organizações que não conseguem realizar a migração imediatamente, há uma assinatura paga de Extended Security Updates (ESU) disponível para as versões de 2016 e 2019. A Microsoft enfatiza que atualizar a versão de 2016 ou 2019 para o Exchange SE tem complexidade semelhante à instalação de uma Cumulative Update padrão.

Se, por qualquer motivo, for necessário manter em operação uma versão sem suporte, ela deve ser rigidamente isolada tanto da rede interna quanto da externa. Todo o fluxo de e-mail deve ser roteado por um gateway de segurança de e-mail especialmente configurado.

Atualizações regulares

A Microsoft lança duas atualizações cumulativas por ano, além de hotfixes de segurança mensais. Uma tarefa essencial para administradores de Exchange é estabelecer um processo para implantar essas atualizações sem demora, já que agentes maliciosos não perdem tempo em explorar vulnerabilidades conhecidas. É possível acompanhar o cronograma e o conteúdo dessas atualizações na página oficial da Microsoft. Para verificar o estado geral e a situação de atualização da sua instalação do Exchange, utilize ferramentas como SetupAssist e Exchange Health Checker.

Mitigações emergenciais

Para vulnerabilidades críticas exploradas ativamente, instruções temporárias de mitigação costumam ser publicadas no blog do Exchange e na página de mitigações do Exchange. O serviço mitigação de emergência (EM) deve estar ativado nos seus servidores Exchange Mailbox. O EM conecta-se automaticamente ao Office Config Service para baixar e aplicar regras de mitigação para ameaças urgentes. Essas medidas podem desativar rapidamente serviços vulneráveis e bloquear solicitações maliciosas por meio de regras de reescrita de URL no IIS.

Baselines de segurança

Um conjunto uniforme de configurações, abrangendo toda a organização e otimizado às suas necessidades, deve ser aplicado não apenas aos servidores Exchange, mas também aos clientes de e-mail em todas as plataformas e aos sistemas operacionais subjacentes.

Como as baselines de segurança recomendadas diferem entre sistemas operacionais e versões do Exchange, o guia da CISA faz referência aos populares e gratuitos CIS Benchmarks e às instruções da Microsoft. O CIS Benchmark mais recente foi criado para o Exchange 2019, mas também é totalmente aplicável ao Exchange SE, já que as opções de configuração atuais do Subscription Edition não diferem das do Exchange Server 2019 CU15.

Soluções de segurança especializadas

Um erro crítico cometido por muitas organizações é não instalar agentes de EDR e EPP em seus servidores Exchange. Para prevenir a exploração de vulnerabilidades e a execução de Web shells, o servidor precisa ser protegido por uma solução de segurança como Kaspersky Endpoint Detection and Response. O Exchange Server integra-se à Antimalware Scan Interface (AMSI), o que permite que ferramentas de segurança processem eventos no lado do servidor de forma eficaz.

A lista de permissão de aplicativos pode dificultar significativamente as tentativas de invasores de explorar vulnerabilidades do Exchange. Esse recurso é padrão na maioria das soluções EPP avançadas. No entanto, se for necessário implementá-lo usando ferramentas nativas do Windows, é possível restringir aplicativos não confiáveis usando App Control for Business ou AppLocker.

Para proteger funcionários e suas máquinas, o servidor deve utilizar uma solução como o Kaspersky Security for Mail Serve para filtrar o tráfego de e-mail. Isso resolve diversos desafios para os quais o Exchange on-premises, em sua configuração padrão, não possui ferramentas suficientes, como autenticação de remetentes por meio dos protocolos SPF, DKIM e DMARC, ou proteção contra spam sofisticado e spearphishing.

Se, por qualquer motivo, um EDR completo não estiver implantado no servidor, é fundamental ao menos ativar o antivírus padrão e garantir que a regra de Attack Surface Reduction (ASR) “Block Webshell creation for Servers” esteja ativada.

Para evitar a degradação de desempenho do servidor ao utilizar o antivírus padrão, a Microsoft recomenda excluir arquivos e pastas específicas das verificações.

Restrição de acesso administrativo

Invasores frequentemente elevam privilégios abusando do acesso ao Exchange Admin Center (EAC) e ao PowerShell Remoting. As boas práticas determinam que essas ferramentas sejam acessíveis apenas por meio de um número limitado de estações de trabalho com privilégios elevados (PAWs). Isso pode ser aplicado por meio de regras de firewall nos próprios servidores Exchange ou utilizando um firewall. As regras de Client Access nativas no Exchange também podem oferecer alguma utilidade nesse cenário, mas não conseguem impedir o abuso de PowerShell.

Adoção de Kerberos e SMB em vez de NTLM

A Microsoft está eliminando gradualmente protocolos de rede e de autenticação legados. Instalações modernas do Windows desativam SMBv1 e NTLMv1 por padrão, com versões futuras devendo também desativar NTLMv2. Iniciando com o Exchange SE CU1, o NTLMv2 será substituído pelo Kerberos, implementado usando MAPI over HTTP, como o protocolo de autenticação padrão.

As equipes de TI e segurança devem conduzir uma auditoria completa do uso de protocolos legados na infraestrutura e desenvolver um plano de migração para métodos modernos e mais seguros de autenticação.

Métodos de autenticação modernos

A partir do Exchange 2019 CU13, os clientes podem utilizar uma combinação de OAuth 2.0, MFA e ADFS para uma autenticação robusta: uma estrutura conhecida como Modern Authentication, ou Modern Auth. Assim, um usuário só consegue acessar sua caixa de e-mail após concluir com sucesso a MFA via ADFS, com o servidor Exchange recebendo então um token de acesso válido do servidor ADFS. Depois que todos os usuários tiverem migrado para Modern Auth, a autenticação básica deve ser desativada no servidor Exchange.

Ativação do Extended Protection

O Extended Protection (EP) fornece defesa contra ataques de retransmissão NTLM, Adversary-in-the-Middle, e técnicas semelhantes. Ela aprimora a segurança TLS usando um Channel Binding Token (CBT). Se um invasor roubar credenciais ou um token e tentar usá-los em uma sessão TLS diferente, o servidor encerra a conexão. Para ativar o EP, todos os servidores Exchange devem estar configurados para usar a mesma versão do TLS.

O Extended Protection é ativado por padrão em novas instalações de servidor iniciando com o Exchange 2019 CU14.

Versões seguras de TLS

Toda a infraestrutura de servidores, incluindo todos os servidores Exchange, deve estar configurada para usar a mesma versão de TLS: 1.2 ou, idealmente, 1.3. A Microsoft oferece orientações detalhadas sobre a configuração ideal e verificações prévias necessárias. É possível usar o script Health Checker para verificar a correção e uniformidade dessas configurações.

HSTS

Para garantir que todas as conexões estejam protegidas por TLS, também é necessário configurar o HTTP Strict Transport Security (HSTS). Isso ajuda a prevenir certos ataques AitM. Após aplicar as alterações de configuração do Exchange Server recomendadas pela Microsoft, todas as conexões ao Outlook on the Web (OWA) e ao EAC serão forçadas a usar criptografia.

Download Domains

O recurso Download Domains fornece proteção contra certos ataques de falsificação de solicitação entre sites e roubo de cookies, movendo o download de anexos para um domínio diferente daquele que hospeda o Outlook on the Web da organização. Isso separa o carregamento da interface e da lista de mensagens do download de arquivos anexados.

Modelo de administração baseado em funções

O Exchange Server implementa um modelo de controle de acesso baseado em funções (RBAC) para usuários privilegiados e administradores. A CISA destaca que contas com privilégios de administrador do AD muitas vezes também são usadas para gerenciar o Exchange. Nessa configuração, o comprometimento do servidor Exchange leva imediatamente ao comprometimento total do domínio. Portanto, é fundamental usar permissões divididas e RBAC para separar o gerenciamento do Exchange de outros privilégios administrativos. Isso reduz o número de usuários e administradores com privilégios excessivos.

Assinatura de fluxos do PowerShell

Administradores frequentemente usam scripts PowerShell conhecidos como cmdlets para modificar configurações e gerenciar servidores Exchange por meio do Exchange Management Shell (EMS). O acesso remoto ao PowerShell deve, idealmente, ser desativado. Quando estiver ativado, os fluxos de dados de comando enviados ao servidor devem ser protegidos com certificados. Desde novembro de 2023, essa configuração está ativada por padrão para Exchange 2013, 2016 e 2019.

Proteção de cabeçalhos de e-mail

Em novembro de 2024, a Microsoft introduziu uma proteção aprimorada contra ataques que envolvem a falsificação de cabeçalhos P2 FROM, que levava as vítimas a acreditarem que os e-mails tinham sido enviados por um remetente confiável. Novas regras de detecção agora sinalizam e-mails em que esses cabeçalhos provavelmente foram manipulados. Administradores não devem desativar essa proteção e devem encaminhar e-mails suspeitos contendo o cabeçalho X-MS-Exchange-P2FromRegexMatch para especialistas em segurança para análise adicional.

[Kaspersky Next banner]