A semana incluiu interrupções em órgãos públicos, roubo de tokens na WEMIX, alegações envolvendo SSO em nuvem, exposição de dados pessoais e vulnerabilidades em NAKIVO, MegaRAC e Veeam Backup & Replication.
| Componente | Órgãos municipais, plataforma WEMIX, ambientes de SSO em nuvem alegadamente afetados, bancos de dados corporativos, sistemas de backup NAKIVO e Veeam Backup & Replication, software BMC MegaRAC, páginas de phishing hospedadas no Firebase e operações associadas ao RansomHub. |
| Vetor | Ransomware, ataque contra plataforma blockchain, alegação em fórum clandestino, invasão de terceiro com software de transferência de arquivos, exploração de vulnerabilidades CVE-2024-48248, CVE-2024-54085 e CVE-2025-23120, phishing e uso de backdoor customizado. |
| Impacto | Interrupção de serviços públicos, atraso de julgamentos, roubo de 8.654.860 tokens, exposição de informações pessoais e financeiras, exfiltração de 44 GB de dados corporativos, leitura arbitrária de arquivos, bypass de autenticação, execução remota de código condicionada a pré-requisitos e coleta de credenciais. |
| Prioridade | Validar exposição dos produtos citados, aplicar correções disponíveis, revisar logs de autenticação, transferência de arquivos, backup, BMC e endpoint, isolar sistemas com indício de ransomware ou exfiltração e rotacionar credenciais quando houver evidência de acesso a segredos. |
| Artefatos | Ransomware.Wins.Qilin, CVE-2024-48248, CVE-2024-54085, CVE-2025-23120, Veeam.Backup.EsxManager.xmlFrameworkDs, Veeam.Backup.Core.BackupSummary, Betruger, RansomHub e Hellcat. |
O conjunto de ocorrências da semana cobre três frentes operacionais distintas: indisponibilidade causada por ransomware ou ataques não atribuídos, exposição de dados por comprometimento direto ou cadeia de terceiros e vulnerabilidades em componentes de infraestrutura usados para backup, gerenciamento remoto e administração de servidores. A leitura técnica não deve tratar esses eventos como uma campanha única, porque o material analisado reúne casos independentes com diferentes níveis de confirmação, atribuição e detalhe. Para defesa, o valor está em separar o que exige resposta a incidente, o que exige verificação de exposição e o que exige correção preventiva.
Os incidentes com maior impacto operacional envolveram municípios e entidades públicas, com serviços de tribunais, repartições e escolas afetados. Em paralelo, plataformas e organizações privadas relataram perda de ativos digitais, dados pessoais, informações financeiras, documentos internos, código-fonte e credenciais. A superfície vulnerável inclui NAKIVO Backup and Replication, AMI MegaRAC BMC e Veeam Backup & Replication, três tecnologias sensíveis porque interagem com cópias de segurança, gerenciamento de hardware e administração de ambientes corporativos. A presença de phishing baseado em Firebase e de uma backdoor chamada Betruger em ataques ligados a afiliados do RansomHub reforça que controles de identidade, endpoint e telemetria de rede precisam ser correlacionados com mudanças em infraestrutura e acessos administrativos.
Municípios em quatro estados dos Estados Unidos sofreram ataques cibernéticos que interromperam serviços de repartições de condado, tribunais e escolas. O caso com atribuição técnica mais clara envolve o Cleveland Municipal Court, atingido por ransomware Qilin. O impacto operacional incluiu funcionários colocados offline e adiamento de julgamentos, o que indica perda ou restrição de disponibilidade em sistemas usados por equipes administrativas e atividades judiciais. O contexto não informa criptografia específica, vetor inicial, credenciais usadas, vazamento de dados ou infraestrutura de comando e controle; portanto, a análise defensiva deve ficar restrita à interrupção confirmada e à presença do ransomware citado.
Strafford County, Pelham School District e Derby Police Department também relataram interrupções de serviço, mas sem reivindicação por ator específico no material recebido. Em ambientes de governo local e educação, a contenção deve priorizar isolamento de estáções e servidores com comportamento anômalo, preservação de evidências de autenticação e revisão de acessos remotos recentes. Como não há confirmação de exfiltração nesses casos, não é tecnicamente correto presumir vazamento; a investigação deve procurar indicadores de execução de ransomware, alteração de arquivos, tarefas agendadas, uso anormal de contas administrativas e falhas de disponibilidade em sistemas críticos.
A plataforma de jogos em blockchain WEMIX confirmou um ataque cibernético que resultou no roubo de 8.654.860 tokens, avaliados em aproximadamente 6,1 milhões de dólares. O evento ocorreu em 28 de fevereiro de 2025 e afetou detentores de tokens da plataforma, com possível perda financeira para usuários impactados. O contexto não descreve se o ataque explorou contrato inteligente, chave privada, carteira operacional, infraestrutura de custódia, conta administrativa ou falha em aplicação; por isso, qualquer resposta técnica deve começar pela reconstrução do caminho de movimentação dos ativos.
Para operadores de segurança em ambientes blockchain, a investigação deve correlacionar transações de saída, permissões de carteiras, alterações recentes em contas privilegiadas e eventos de autenticação em sistemas que controlam emissão, custódia ou movimentação de tokens. O dado confirmado é o volume de tokens subtraídos e a data do ataque. Sem endereços, hashes de transação ou contratos citados, o hunting não deve inventar IoCs; a prioridade é validar controles de assinatura, revisar acessos administrativos, congelar fluxos quando tecnicamente possível e preservar trilhas de auditoria associadas à operação dos tokens.
Um ator identificado como rose87168 afirmou em fórum clandestino ter comprometido 6 milhões de registros de uma plataforma de SSO em nuvem atribuída à Oracle. A alegação inclui exposição de senhas SSO criptografadas, arquivos Java KeyStore e outras credenciais sensíveis, com possível impacto sobre mais de 140 mil empresas. A própria Oracle negou ter sido violada, afirmou que as credenciais publicadas não pertencem ao Oracle Cloud e declarou que clientes Oracle Cloud não sofreram violação nem perda de dados.
A divergência entre alegação criminosa e negação do fornecedor exige tratamento condicionado. Equipes que dependem de SSO, federação de identidade, arquivos JKS ou integrações em nuvem devem verificar internamente se há credenciais, chaves ou materiais de autenticação compatíveis com os artefatos alegados, sem assumir comprometimento confirmado da plataforma. A ação defensiva concreta é procurar reutilização de senhas, chaves antigas em repositórios, certificados expirados ainda aceitos, alterações incomuns em provedores de identidade e acessos que usem credenciais de serviço fora do padrão histórico.
A California Cryobank, banco de sêmen dos Estados Unidos, sofreu violação que expôs informações pessoais, incluindo nomes, dados de conta bancária, números de Seguro Social, carteiras de motorista, dados de cartão de pagamento e detalhes de seguro saúde. O número de clientes impactados não foi informado e nenhum ator reivindicou responsabilidade no material analisado. A combinação de dados financeiros, documentos de identidade e informação de saúde eleva o risco de fraude, mas a análise técnica não pode assumir método de intrusão, malware ou exfiltração adicional sem evidência.
O Western Alliance Bank, sediado no Arizona, também relatou exposição de dados pessoais e financeiros de quase 22 mil indivíduos. Nesse caso, a causa descrita foi um ataque ocorrido em outubro de 2024 contra software de transferência de arquivos de terceiros. Os dados comprometidos incluem nomes, números de Seguro Social, informações de carteira de motorista e números de contas financeiras. Para organizações que dependem de ferramentas similares, o ponto defensivo é mapear fluxos de arquivos, contas de serviço, integrações externas, retenção em diretórios temporários e trilhas de download, porque a exposição ocorreu por dependência de terceiro e não por um produto bancário explicitamente nomeado no contexto.
A Ascom, provedora suíça de soluções de telecomunicações, sofreu ataque que afetou seu sistema técnico de tíquetes e resultou na exfiltração de 44 GB de dados corporativos. As informações expostas incluem código-fonte, faturas e documentos confidenciais. O grupo de ransomware Hellcat reivindicou responsabilidade. Nesse cenário, a superfície sensível não é apenas o sistema de tíquetes, mas também os anexos, comentários técnicos, credenciais eventualmente registradas em chamados e referências internas que podem revelar arquitetura, clientes, integrações e processos de suporte.
A Pennsylvania State Education Association divulgou uma violação iniciada em julho de 2024 que resultou no roubo de informações sensíveis de mais de 517 mil membros. Os dados citados incluem documentos oficiais, números de Seguro Social, detalhes de passaporte e informações financeiras. O contexto não informa ator, vetor inicial ou produto explorado, mas o volume e o tipo de dado exigem resposta focada em notificação, revisão de acesso a bases de membros, preservação de logs históricos e validação de contas com permissão para exportar conjuntos grandes de registros.
A vulnerabilidade CVE-2024-48248 em NAKIVO Backup and Replication é descrita como uma falha de travessia absoluta de caminho com pontuação CVSS 8.6. O impacto informado é leitura arbitrária de arquivos, com acesso a dados sensíveis como arquivos de configuração e credenciais. O contexto também menciona que a exploração pode permitir execução remota de código e comprometimento posterior de ambientes corporativos, além de tentativas observadas em campo. Como sistemas de backup frequentemente armazenam credenciais de hipervisores, bancos e servidores, a leitura de arquivos pode se transformar em acesso mais amplo quando segredos reutilizáveis são obtidos.
CVE-2024-54085 afeta o software BMC MegaRAC da AMI e permite bypass de autenticação por interfaces de gerenciamento remoto, incluindo Redfish. A exploração permite controle remoto de servidor, implantação de malware, adulteração de firmware e até inutilização de hardware, conforme descrito no contexto. Dispositivos afetados citados incluem HPE Cray XD670, Asus RS720A-E11-RS24U e ASRockRack. Em BMC, a defesa precisa tratar a interface de gerenciamento como plano crítico, separado da rede de produção, com exposição mínima, autenticação forte e monitoramento de comandos de energia, console remoto e atualização de firmware.
Foi lançada correção para CVE-2025-23120 no Veeam Backup & Replication, uma falha crítica que permite execução remota de código por usuários autenticados de domínio. A causa indicada é tratamento inconsistente de deserialização, com exploração por classes não bloqueadas, incluindo Veeam.Backup.EsxManager.xmlFrameworkDs e Veeam.Backup.Core.BackupSummary. O pré-requisito informado é autenticação como usuário de domínio, o que delimita o risco: não se trata, pelo material analisado, de exploração anônima sem credenciais.
Mesmo com a exigência de autenticação, o impacto é relevante porque servidores de backup concentram permissões e conectividade para restaurar, montar, copiar e administrar dados críticos. A mitigação principal é aplicar a correção disponibilizada e revisar quais contas de domínio têm acesso ao Veeam. A investigação deve procurar chamadas incomuns a componentes de backup, autenticações fora do horário, criação de tarefas inesperadas, alterações em repositórios de backup e execução de processos filhos anômalos a partir de serviços associados ao produto.
Pesquisadores relataram uma campanha de coleta de credenciais que usa Firebase para hospedar páginas de phishing visualmente convincentes que imitam serviços conhecidos. O contexto não lista marcas imitadas, domínios, URLs ou kits específicos, mas o uso de uma plataforma legítima de hospedagem complica bloqueios baseados apenas em reputação de domínio raiz. Para defesa, o foco deve estar na inspeção de URLs completos, telemetria de navegação, páginas recém-criadas, formulários que coletam credenciais e fluxos de login que desviam usuários para propriedades fora dos domínios oficiais.
Afiliados da operação de ransomware como serviço RansomHub passaram a usar uma backdoor customizada chamada Betruger. O malware é descrito como multifuncional, com capacidade de dump de credenciais, escalonamento de privilégio, varredura de rede, keylogging e captura de tela. A adoção de uma ferramenta própria reduz a necessidade de múltiplos utilitários durante a preparação do ransomware, o que pode diminuir oportunidades de detecção baseadas em ferramentas conhecidas. A contenção deve considerar que um único binário pode concentrar descoberta, coleta de credenciais e espionagem de usuário antes da etapa de criptografia.
A superfície exposta reúne ativos com perfis muito diferentes: tribunais e órgãos locais dependentes de disponibilidade, plataformas blockchain com movimentação de tokens, provedores de identidade e SSO, bancos de dados com informações pessoais, sistemas de tíquetes com anexos corporativos, associações com bases de membros, servidores de backup, interfaces BMC e páginas de phishing hospedadas em serviço legítimo. A priorização deve considerar criticidade operacional e capacidade de propagação: backup, BMC e identidade normalmente têm maior potencial de impacto sistêmico do que estáções isoladas.
Ambientes que usam NAKIVO Backup and Replication, Veeam Backup & Replication ou hardware com MegaRAC BMC devem verificar exposição direta à internet, permissões administrativas e estado de correção. Organizações que operam transferência de arquivos por terceiros precisam revisar contratos, logs de acesso, inventário de dados enviados e retenção. Entidades com dados pessoais sensíveis devem separar resposta técnica de resposta regulatória, mantendo evidências sobre quando dados foram acessados, quais campos estavam presentes e quais contas ou integrações tinham permissão para consulta.
- Serviços públicos afetados por interrupção: Cleveland Municipal Court, Strafford County, Pelham School District e Derby Police Department.
- Produtos e componentes vulneráveis citados:
NAKIVO Backup and Replication,AMI MegaRAC BMCeVeeam Backup & Replication. - Dados expostos em incidentes distintos: documentos de identidade, números de Seguro Social, contas financeiras, dados de cartão, informações de saúde, código-fonte, faturas e documentos confidenciais.
A caça deve ser organizada por classe de evento. Para ransomware e backdoors, procure execução anômala em endpoints, criação de processos com acesso a credenciais, enumeração de rede, captura de tela, keylogging, varreduras internas e mudanças rápidas em arquivos. Para Betruger, o contexto fornece capacidades, não IoCs; portanto, detecções comportamentais são mais apropriadas do que buscas por hash inexistente no material recebido. Para Qilin, a interrupção no tribunal de Cleveland justifica análise de endpoints offline, contas usadas antes da indisponibilidade e trilhas de acesso remoto.
Para vulnerabilidades em backup e BMC, o hunting deve cobrir leituras de arquivos fora do padrão, acessos a configurações, autenticações administrativas, chamadas a Redfish, alterações de firmware e execução de comandos em servidores de gerenciamento. No caso do Veeam, como o pré-requisito citado envolve usuário autenticado de domínio, vale correlacionar logon de domínio, privilégios atribuídos no produto e operações de backup ou restauração incomuns. Para phishing em Firebase, a telemetria útil inclui navegação para páginas recém-observadas, submissão de formulários, redirecionamentos e autenticações falhas logo após acesso a páginas externas.
- Autenticações de domínio seguidas de ações administrativas no
Veeam Backup & Replication. - Leitura incomum de arquivos de configuração ou credenciais em servidores
NAKIVO. - Acesso externo ou interno inesperado a interfaces
Redfishem BMCMegaRAC. - Navegação para páginas Firebase que imitam autenticação de serviços conhecidos.
- Sinais de dump de credenciais, varredura de rede, keylogging ou captura de tela compatíveis com as capacidades atribuídas ao
Betruger.
A resposta deve começar pelos ativos com correção disponível ou exposição administrativa. Aplique a atualização para CVE-2025-23120 no Veeam Backup & Replication, valide a remediação de CVE-2024-48248 no NAKIVO Backup and Replication e verifique orientação de fornecedor para CVE-2024-54085 em equipamentos com MegaRAC BMC. Em paralelo, reduza exposição de consoles de backup e BMC, limite acesso por rede de administração, revise grupos de domínio com privilégio e remova contas que não precisam operar cópia de segurança, restauração ou gerenciamento remoto.
Para incidentes de dados e alegações envolvendo credenciais, a mitigação depende de evidência interna. Rotacione senhas, chaves, certificados e arquivos JKS quando houver confirmação de exposição ou correspondência com dados publicados. Em casos de ransomware, preserve imagens e logs antes de reconstruir sistemas, mantenha backups isolados e valide restauração limpa. Para phishing, bloqueie URLs específicas identificadas na telemetria interna, reforce autenticação multifator, revise eventos de login após submissões suspeitas e invalide sessões associadas a usuários que inseriram credenciais em páginas fraudulentas.
- Inventariar e corrigir instalações de
NAKIVO,Veeam Backup & Replicatione BMCMegaRACexpostas ou acessíveis por redes amplas. - Restringir interfaces
Redfishe consoles de backup a redes administrativas com autenticação forte e registro detalhado. - Revisar contas de domínio com acesso ao Veeam e remover permissões que não sejam necessárias.
- Preservar logs de autenticação, transferência de arquivos, tíquetes, endpoint e rede para os períodos citados nos incidentes.
- Rotacionar credenciais e materiais criptográficos somente quando houver evidência de exposição, correspondência com artefatos divulgados ou acesso indevido confirmado.
0 Comentários