O período trouxe incidentes com ransomware, vazamentos de dados, DDoS, exploração de vulnerabilidades antigas, falhas de execução remota e uma campanha de cadeia de suprimentos contra extensões Magento.
| Componente | Ambientes de varejo, saúde, mídia, energia, VPN SonicWall SMA, Apple AirPlay, NVIDIA Riva, Linux via SSH e lojas Magento com extensões comprometidas. |
| Vetor | Os vetores informados incluem ransomware, DDoS, incidente em terceiro, exploração de CVE-2023-44221 e CVE-2024-38475, RCE zero-click em rede local, credenciais SSH fracas ou padrão e extensões Magento com backdoor PHP. |
| Impacto | Os efeitos confirmados incluem interrupção de serviços, vazamento de dados pessoais, roubo de arquivos alegado por grupos de ransomware, acesso não autorizado a serviços de IA, mineração de criptomoeda, DDoS e execução remota de código em cenários específicos. |
| Prioridade | Priorizar correções em SonicWall SMA, Apache HTTP Server, Apple AirPlay e NVIDIA Riva, auditar extensões Magento, revisar credenciais SSH, validar exposição de dados pessoais e reforçar monitoramento de ransomware e DDoS. |
| Versões e falhas citadas | CVE-2023-44221, CVE-2024-38475, CVE-2025-24252, CVE-2025-24132, CVE-2025-23242 e CVE-2025-23243. |
| Artefatos | Foram citados ransom notes, backdoor PHP em extensões Magento, mineradores XMRig, cliente baseado em IRC e detecções relacionadas a Clop, Akira e Cactus. |
A semana concentrou eventos de natureza distinta, mas com um padrão operacional comum para defesa: ativos expostos, terceiros comprometidos, software legado sem correção aplicada e abuso de componentes confiáveis. Três grandes varejistas do Reino Unido, Co-op, Harrods e Marks & Spencer, sofreram ataques que interromperam operações e comprometeram dados sensíveis. A atividade foi relacionada de forma não conclusiva ao grupo Scattered Spider, enquanto o grupo de ransomware DragonForce reivindicou responsabilidade. Como o contexto não detalha o vetor inicial nesses varejistas, a leitura defensiva deve ficar limitada a impacto operacional, possível extorsão e necessidade de revisão de identidade, acesso remoto, suporte técnico e fluxos de recuperação.
Também houve incidentes em saúde, mídia, energia, serviços administrativos, infraestrutura de rede, dispositivos Apple, serviços de IA, Linux e comércio eletrônico. Ascension relatou vazamento após incidente de hacking em terceiro ocorrido em dezembro de 2024, com nomes, endereços, números de Social Security e registros de internação entre os dados roubados. VeriSource Services teve vazamento ocorrido em fevereiro de 2024 com impacto superior a quatro milhões de pessoas. Urban One sofreu ataque em fevereiro com vazamento de 2,5 TB de dados pessoais de empregados. Nova Scotia Power e Emera tiveram servidores canadenses e rede de negócios afetados, com serviço ao cliente e acesso on-line degradados para mais de 500 mil clientes, embora operações tenham permanecido sem impacto informado.
Os ataques contra Co-op, Harrods e Marks & Spencer são relevantes porque combinam interrupção operacional com comprometimento de dados sensíveis em organizações com grande dependência de disponibilidade, atendimento ao cliente, logística e sistemas de pagamento. A relação com Scattered Spider foi apresentada como crença ou avaliação, não como atribuição conclusiva; portanto, a prioridade técnica não deve ser presumir um único TTP, mas mapear como contas privilegiadas, acessos de suporte, identidades federadas e canais de recuperação foram usados ou expostos durante o incidente.
A reivindicação da DragonForce indica risco de extorsão, mas o contexto não informa criptografia de sistemas, publicação de dados ou volume de informações afetadas. Para equipes de defesa em varejo, a resposta deve separar continuidade de negócio, investigação de identidade e análise de endpoints. Eventos de autenticação anômalos, alterações em MFA, criação de contas, sessões administrativas fora de padrão e mudanças em ferramentas de acesso remoto devem ser correlacionados com indisponibilidades em lojas, centros de distribuição, atendimento e plataformas de comércio eletrônico.
- Organizações afetadas: Co-op, Harrods e Marks & Spencer.
- Impacto informado: interrupção de operações e comprometimento de dados sensíveis.
- Atribuição informada: vínculo não conclusivo com Scattered Spider e reivindicação pela DragonForce.
O caso Ascension envolve um incidente em terceiro ocorrido em dezembro de 2024, seguido por roubo de informações pessoais e de saúde de pacientes. Os dados citados incluem nomes, endereços, números de Social Security e registros de internação. A ausência de reivindicação pública por ator específico limita a atribuição; o contexto menciona apenas uma possível relação temporal com ataques Cl0p que exploraram uma vulnerabilidade zero-day no software de transferência segura Cleo. Essa relação deve ser tratada como hipótese, não como causa confirmada do vazamento.
Em VeriSource Services, o vazamento ocorreu em fevereiro de 2024 e afetou mais de quatro milhões de pessoas. Os campos expostos incluem nomes completos, endereços, datas de nascimento, gênero e números de Social Security. O risco técnico central não é apenas exposição documental, mas uso posterior desses atributos em fraude de identidade, engenharia social e tentativas de tomada de conta. Equipes que consomem serviços de terceiros devem exigir cronologia do incidente, sistemas acessados, período de permanência, classes de dados envolvidas e evidências de contenção, além de revisar integrações que compartilham dados pessoais com fornecedores administrativos.
- Ascension: incidente em terceiro em dezembro de 2024 com dados pessoais e de saúde roubados.
- VeriSource Services: vazamento de fevereiro de 2024 com mais de quatro milhões de pessoas impactadas.
- Dados citados: nomes, endereços, Social Security, registros de internação, datas de nascimento e gênero.
Hitachi Vantara, subsidiária da Hitachi, sofreu um ataque que interrompeu partes de seus sistemas. O incidente foi reivindicado pelo grupo Akira, que alegou roubo de arquivos da rede da empresa e deixou ransom notes em máquinas comprometidas. A presença de notas de resgate em endpoints é um artefato importante porque indica interação direta com sistemas internos, mas o contexto não detalha vetor inicial, credenciais usadas, ferramentas de movimentação ou volume de arquivos. A contenção deve preservar imagens forenses, registros de autenticação, telemetria EDR e trilhas de compartilhamentos acessados.
A empresa de mídia Urban One sofreu ataque em fevereiro com vazamento de 2,5 TB de dados pessoais de empregados, incluindo nomes, endereços, números de Social Security, informações de depósito direto e formulários W-2. O ataque foi reivindicado pelo grupo Cactus. Nesse cenário, a combinação de dados de folha, bancários e fiscais aumenta o risco de fraude direcionada contra empregados. A resposta deve incluir inventário dos repositórios acessados, validação de contas administrativas, revisão de ferramentas remotas, busca por compactação ou transferência incomum de grandes volumes e comunicação específica aos titulares dos dados afetados.
- Hitachi Vantara: interrupção parcial de sistemas, reivindicação Akira e ransom notes em máquinas comprometidas.
- Urban One: vazamento de 2,5 TB de dados de empregados, reivindicado pela Cactus.
- Dados citados na Urban One: Social Security, depósito direto e W-2.
Organizações públicas e privadas na Holanda confirmaram uma série de ataques DDoS ligados ao grupo hacktivista pró-Rússia NoName057(16). Os ataques causaram problemas de acesso e interrupções de serviço em entidades importantes. Não houve relato de vazamento de dados ou comprometimento de sistemas, o que delimita o impacto ao plano de disponibilidade. A motivação indicada foi resposta ao apoio militar holandês à Ucrânia, mas a defesa deve tratar esse dado como contexto de ameaça, não como substituto para telemetria de rede.
Nova Scotia Power e a controladora Emera sofreram ataque que afetou a rede canadense e servidores de negócios. O incidente prejudicou atendimento ao cliente e acesso on-line para mais de 500 mil clientes, enquanto operações permaneceram sem impacto informado. Esse tipo de separação é relevante para resposta em infraestrutura crítica: ambientes de atendimento, portais e sistemas corporativos podem estar degradados sem que sistemas operacionais essenciais tenham sido afetados. Ainda assim, a validação deve confirmar segmentação, rotas de autenticação compartilhadas e dependências entre aplicações de negócio e sistemas operacionais.
- Holanda: DDoS com indisponibilidade e sem vazamento ou comprometimento informado.
- Grupo associado aos DDoS: NoName057(16).
- Nova Scotia Power e Emera: mais de 500 mil clientes com atendimento e acesso on-line afetados.
A SonicWall relatou exploração ativa de duas vulnerabilidades antigas que afetam appliances Secure Mobile Access. A CVE-2023-44221 é uma falha de injeção de comando de alta severidade na interface SSL-VPN do SMA100, explorável por administradores. A CVE-2024-38475 afeta Apache HTTP Server e permite execução remota de código sem autenticação. A diferença entre pré-condições é importante: uma falha depende de contexto administrativo no SMA100, enquanto a outra é descrita como RCE não autenticada no Apache HTTP Server. A ação defensiva deve começar por exposição externa, versão instalada, correções aplicadas e análise de comandos ou requisições anômalas.
O relatório de zero-days de 2024 do Google registrou 75 vulnerabilidades zero-day exploradas em ambiente real, sendo 33 contra tecnologias empresariais. Produtos empresariais, especialmente software de segurança e rede, responderam por 44% do total. Plataformas como WebKit e Firefox também foram citadas, mostrando que o interesse de atacantes não se limita a um único tipo de ativo. Para operadores, a implicação é manter inventário de appliances, navegadores, bibliotecas embutidas e produtos de segurança, pois esses componentes costumam ter alto privilégio, ampla exposição e telemetria dispersa.
CVE-2023-44221: injeção de comando no SonicWall SMA100 SSL-VPN explorável por administradores.CVE-2024-38475: falha no Apache HTTP Server com execução remota de código sem autenticação.- Zero-days em 2024: 75 exploradas em ambiente real, com 33 voltadas a tecnologias empresariais.
O conjunto de 17 vulnerabilidades chamado Airborne afeta o protocolo e SDK AirPlay da Apple. Duas falhas, CVE-2025-24252 e CVE-2025-24132, permitem ataques RCE zero-click com característica wormable, possibilitando comprometimento em rede local de dispositivos Apple e de terceiros. A condição de rede local é decisiva para avaliação de risco: ambientes com dispositivos em segmentos compartilhados, redes convidadas mal isoladas ou equipamentos de terceiros com AirPlay habilitado precisam revisar exposição lateral, descoberta de serviços e aplicação de patches emitidos pela Apple para iPhones, iPads, Macs e Apple Vision Pro.
As vulnerabilidades CVE-2025-23242 e CVE-2025-23243 foram divulgadas em implantações NVIDIA Riva e estão relacionadas a configuração incorreta. O impacto informado é acesso não autorizado e possível abuso de serviços de IA, como reconhecimento de fala e conversão de texto em fala. O risco defensivo está em serviços de IA expostos com permissões frouxas, endpoints acessíveis além do necessário e ausência de controles de autenticação ou autorização coerentes. A mitigação deve verificar configuração efetiva, escopo de rede, identidades autorizadas e logs de chamadas para detectar uso fora de padrões esperados.
- Airborne: 17 vulnerabilidades no protocolo e SDK AirPlay.
CVE-2025-24252eCVE-2025-24132: RCE zero-click em rede local com potencial wormable.CVE-2025-23242eCVE-2025-23243: falhas de configuração em NVIDIA Riva.
O botnet Outlaw foi descrito como uma operação baseada em Perl que mira sistemas Linux explorando credenciais SSH fracas ou padrão. Após o acesso, os operadores implantam mineradores XMRig customizados, encerram mineradores concorrentes para preservar recursos e usam um cliente baseado em IRC com funções de DDoS, upload de arquivos e acesso por backdoor. O alvo principal informado são dispositivos nos Estados Unidos. A defesa deve concentrar evidência em autenticações SSH, tentativas de login com senha, processos de mineração, conexões IRC, consumo anômalo de CPU e scripts Perl persistentes ou executados de locais incomuns.
A campanha contra Magento envolve 21 extensões com backdoor de fornecedores Tigren, Meetanshi e MGS, afetando entre 500 e 1.000 lojas de comércio eletrônico. O backdoor PHP teria sido injetado até seis anos antes e ativado em 20 de abril. O impacto informado inclui execução remota de código, roubo de dados, injeção de skimmer e criação de contas administrativas. O risco de cadeia de suprimentos é elevado porque a execução ocorre dentro de componentes já aceitos pela aplicação, muitas vezes versionados e implantados em produção sem suspeita. Lojas Magento devem auditar extensões instaladas, comparar pacotes com versões limpas, revisar contas administrativas criadas perto da data de ativação e buscar alterações em templates, checkout e código PHP carregado por módulos.
- Outlaw: botnet Perl contra Linux por credenciais SSH fracas ou padrão.
- Capacidades citadas: XMRig, encerramento de mineradores concorrentes, IRC, DDoS, upload de arquivos e backdoor.
- Magento: 21 extensões com backdoor PHP de Tigren, Meetanshi e MGS, com 500 a 1.000 lojas afetadas.
A investigação deve combinar telemetria de identidade, endpoint, rede, aplicação e terceiros. Em ransomware e extorsão, procure ransom notes, criação de arquivos em massa, compactação incomum, conexões para destinos raros e acessos administrativos fora de horário. Em vazamentos por terceiros, o ponto crítico é obter evidência de sistemas acessados, classes de dados extraídas, período de exposição e contas usadas. Em DDoS, a prioridade é diferenciar saturação de tráfego, indisponibilidade de aplicação e falhas de autenticação ou backend.
Para vulnerabilidades, hunting deve focar as pré-condições informadas. Em SonicWall SMA, correlacione contas administrativas, comandos suspeitos e requisições à interface SSL-VPN. Em Apache HTTP Server afetado pela CVE-2024-38475, revise logs HTTP para padrões de exploração compatíveis com execução remota de código, sem assumir payloads não informados. Em AirPlay, procure tráfego inesperado em segmentos locais e dispositivos de terceiros com serviço habilitado. Em Magento, verifique arquivos PHP alterados em extensões, contas administrativas novas, mudanças no checkout e indícios de skimmer.
- Ransom notes, alterações de contas privilegiadas e acesso remoto fora de padrão.
- Picos de tráfego DDoS sem evidência de vazamento ou comprometimento quando esse for o limite observado.
- Processos XMRig, scripts Perl, conexões IRC e autenticações SSH com senha.
- Extensões Magento modificadas, contas administrativas criadas e alterações em checkout.
A ordem de resposta deve começar pelos ativos com exploração ativa ou execução remota de código: SonicWall SMA, Apache HTTP Server, AirPlay e ambientes NVIDIA Riva. Aplique correções disponíveis, reduza exposição de interfaces administrativas, restrinja acesso por rede e valide que a versão corrigida está realmente em execução. Em ambientes Apple e dispositivos de terceiros com AirPlay, a segmentação de rede local é parte da mitigação, porque as falhas citadas dependem de alcance local para comprometer dispositivos sem interação do usuário.
Para incidentes de dados e ransomware, a contenção deve preservar evidência e reduzir impacto secundário. Revogue sessões suspeitas, gire credenciais administrativas, revise MFA, bloqueie ferramentas de acesso remoto não autorizadas e valide backups antes de restauração. Para fornecedores e terceiros, exija indicadores de escopo, sistemas tocados e dados efetivamente acessados. Em Magento, remova ou substitua extensões comprometidas, revise integridade de código, audite contas administrativas, cheque skimmers e rotacione segredos que possam ter sido acessados pela aplicação. Em Linux exposto por SSH, desative senhas quando possível, remova credenciais padrão, aplique chaves fortes, limite origem de acesso e monitore persistência associada ao Outlaw.
- Aplicar patches para SonicWall SMA, Apache HTTP Server, produtos Apple afetados por AirPlay e implantações NVIDIA Riva.
- Auditar fornecedores, terceiros e fluxos de transferência segura quando houver vazamento associado a terceiros.
- Revisar Magento em busca das 21 extensões comprometidas, backdoors PHP, skimmers e contas administrativas indevidas.
- Endurecer SSH em Linux, bloquear credenciais fracas ou padrão e investigar XMRig, Perl e IRC.
0 Comentários