A semana concentrou interrupções em plataformas de venda, aviação, seguros e distribuição, além de vulnerabilidades corrigidas em Microsoft, GitLab e Trend Micro e campanhas com WebDAV, Discord, AsyncRAT e Skuld Stealer.
| Componente | Plataformas de venda de ingressos, aviação, seguros, distribuição alimentar, órgãos públicos, WEBDAV, GitLab, Trend Micro Endpoint Encryption PolicyServer, Trend Micro Apex Central e campanhas com Discord. |
| Vetor | Ransomware, ciberataques com indisponibilidade operacional, download não autorizado de registros, spear-phishing com arquivos .url, execução a partir de servidor WebDAV, abuso de convites do Discord e exploração de vulnerabilidades corrigidas. |
| Impacto | Interrupção de serviços, indisponibilidade de portais, possível acesso a dados pessoais em alguns casos, exfiltração confirmada na Sensata Technologies, 300 mil registros de acidentes baixados sem autorização no TxDOT e risco de execução remota ou tomada de contas nas falhas citadas. |
| Prioridade | Aplicar as atualizações de Microsoft, GitLab e Trend Micro, revisar telemetria de identidade, endpoint, CI/CD, WebDAV, Discord e serviços indisponíveis, além de conduzir resposta a incidente nos ambientes afetados por ransomware ou vazamento. |
| Artefatos | CVE-2025-33053, CVE-2025-4278, CVE-2025-5121, CVE-2025-49212, CVE-2025-49213, arquivos .url, WebDAV, AsyncRAT, Skuld Stealer, Horus Agent e Discord webhooks. |
| IoCs | O contexto não fornece hashes, endereços IP, domínios maliciosos ou URLs de infraestrutura. |
A semana de 16 de junho concentrou incidentes com impacto operacional direto em setores dependentes de disponibilidade contínua, incluindo venda de ingressos, aviação, distribuição de alimentos, seguros, transporte público e administração municipal. O padrão mais visível foi a interrupção de serviços digitais usados por clientes e funcionários, com indisponibilidade de portais, aplicativos, sistemas internos, canais de atendimento e plataformas de solicitação. Em paralelo, houve casos com exposição ou exfiltração de dados pessoais, o que desloca a resposta de uma restauração puramente operacional para investigação forense, análise de acesso não autorizado, notificação regulatória e revisão de controles de identidade.
O mesmo ciclo também incluiu correções de segurança para produtos amplamente implantados. A atualização mensal da Microsoft endereçou 66 vulnerabilidades e incluiu CVE-2025-33053, descrita como uma falha de execução remota de código explorada ativamente em WEBDAV. GitLab corrigiu CVE-2025-4278, associada a injeção de HTML com possibilidade de tomada remota de contas, e CVE-2025-5121, uma falha de autorização ausente que permite injetar jobs maliciosos em pipelines de CI/CD. Trend Micro publicou correções para falhas críticas em Endpoint Encryption PolicyServer e Apex Central, incluindo CVE-2025-49212 e CVE-2025-49213, descritas como execução remota pré-autenticação com acesso em nível SYSTEM. O conjunto exige priorização por exposição, criticidade do ativo e evidência de exploração.
- Incidentes de ransomware e ciberataques causaram indisponibilidade em serviços voltados a clientes e operações internas.
- Falhas corrigidas atingem superfície de endpoint, colaboração,
WEBDAV, CI/CD e administração de segurança. - Campanhas de espionagem e malware exploraram phishing, arquivos
.url, plataformas confiáveis e webhooks de exfiltração.
A plataforma sul-coreana Yes24, descrita como uma das maiores do país no setor de ingressos, sofreu um ataque de ransomware que resultou em quatro dias de indisponibilidade. A interrupção atingiu reservas online para shows, acesso a e-books e fóruns de comunidade, demonstrando impacto simultâneo sobre receita, atendimento e canais de relacionamento. O incidente também afetou a cadeia de eventos, com cancelamentos e adiamentos de apresentações de K-pop, musicais e outras produções.
O dado disponível indica preocupação com possível acesso não autorizado a informações pessoais de clientes, mas não confirma vazamento. Para resposta defensiva, a distinção é importante: o ambiente precisa ser tratado como incidente com potencial comprometimento de dados até que logs, cópias de segurança, sistemas de autenticação e movimentação lateral sejam analisados, mas a comunicação técnica não deve afirmar exfiltração sem evidência. Em plataformas desse tipo, a investigação deve cobrir contas administrativas, sistemas de reserva, acesso a bibliotecas digitais, bases de usuários e integrações usadas por produtoras e parceiros de pagamento.
A WestJet, segunda maior companhia aérea do Canadá, foi atingida por um ciberataque que gerou acesso parcial a sistemas internos, incluindo o aplicativo e o site da empresa. Usuários ficaram temporariamente impossibilitados de fazer login nesses serviços, enquanto o incidente afetou softwares críticos e operações. A descrição aponta para uma interrupção que não se limita à interface pública, pois envolve sistemas internos e dependências operacionais.
Em uma companhia aérea, falhas de acesso em aplicativo e site podem gerar efeito cascata sobre atendimento, remarcações, comunicação com passageiros e processos de suporte. A investigação deve priorizar autenticação, sessões de usuário, sistemas de backend ligados a login, integrações internas e alterações em privilégios durante a janela do ataque. O contexto não informa roubo de dados, família de malware ou vetor inicial; portanto, a resposta deve permanecer focada em contenção de acesso, restauração controlada e validação de integridade dos sistemas recuperados.
A United Natural Foods confirmou um ciberataque que levou ao desligamento de determinados sistemas e afetou sua capacidade de atender e distribuir pedidos de clientes. O incidente provocou interrupções relevantes nos negócios, com relatos de cancelamento de turnos de funcionários e sistemas afetados temporariamente retirados do ar. Nenhum ator de ameaça assumiu responsabilidade no material analisado, e permanece incerto se houve roubo de dados.
O ponto técnico central é a dependência entre sistemas corporativos e distribuição física. Quando uma organização de atacado alimentar desliga sistemas para conter um ataque, a indisponibilidade pode impactar pedidos, roteamento, estoque, faturamento e operações de armazém. A resposta precisa preservar evidências antes da restauração, revisar contas com acesso a sistemas de fulfillment, identificar processos interrompidos e validar que a retomada não reintroduz credenciais comprometidas ou hosts ainda sob controle adversário.
A Sensata Technologies divulgou uma violação de dados decorrente de ransomware ocorrida entre 28 de março de 2025 e 6 de abril de 2025. Diferentemente de incidentes em que a exfiltração é apenas uma hipótese, o contexto informa extração de dados sensíveis. O conjunto inclui nomes completos, endereços, números de Social Security, números de carteira de motorista, informações financeiras, informações médicas e outros dados pessoais de funcionários atuais, ex-funcionários e dependentes.
Esse tipo de exposição amplia o escopo de resposta porque combina ransomware com comprometimento de dados de alto valor. A contenção técnica deve ser acompanhada de análise de quais repositórios foram acessados, quais contas tiveram uso indevido, se houve compressão ou transferência anormal de arquivos e quais sistemas mantinham informações de dependentes. Também é necessário revisar controles sobre dados de recursos humanos, políticas de retenção, segmentação de servidores e capacidade de detectar exfiltração antes da criptografia ou interrupção.
A Erie Insurance confirmou um ciberataque que provocou indisponibilidade ampla de plataformas e interrupções de negócios. Clientes ficaram sem conseguir acessar o portal, registrar sinistros ou obter documentos. O impacto descrito é operacional e voltado ao atendimento, com sistemas da empresa afetados, mas sem confirmação sobre roubo ou vazamento de dados.
Para uma seguradora, indisponibilidade de portal e fluxo de sinistros afeta processos sensíveis porque clientes dependem desses canais para documentação, prazos e comunicação sobre eventos cobertos. A investigação deve mapear quais serviços ficaram indisponíveis, quais identidades administrativas foram usadas durante a janela do ataque e se houve acesso anômalo a documentos de apólices ou registros de sinistros. Como não há confirmação de exfiltração, a prioridade técnica é estabelecer evidência positiva ou negativa por logs, telemetria de endpoint e auditoria dos sistemas que armazenam documentação.
O Departamento de Transporte do Texas sofreu uma violação de dados com download não autorizado de 300 mil registros de acidentes a partir do Crash Records Information System, identificado como CRIS. Os dados expostos incluem nomes, endereços, números de carteira de motorista, placas de veículos, informações de apólice de seguro automotivo e outros detalhes. O caso é um incidente de confidencialidade com volume definido e sistema de origem identificado.
A presença de registros de acidentes cria risco de abuso de dados pessoais e correlação com veículos e seguros. A resposta técnica deve concentrar-se na trilha de acesso ao CRIS, contas usadas para consulta ou exportação, volume de downloads por usuário, horários incomuns, endereços de origem e eventuais falhas de autorização. Como o vetor específico não foi descrito, não é correto atribuir o incidente a ransomware, exploração de vulnerabilidade ou credenciais comprometidas; a análise deve partir dos registros do próprio sistema e de controles de acesso.
Thomasville, na Carolina do Norte, enfrentou um ciberataque que levou múltiplos sistemas municipais a ficarem offline, enquanto serviços essenciais permaneceram operacionais. O contexto não confirma acesso ou comprometimento de informações sensíveis. Em paralelo, o gabinete do promotor do Ogeechee Judicial Circuit, na Geórgia, sofreu um ciberataque que causou quedas de telefone e internet, fechamento de escritórios e interrupção operacional em quatro condados.
Esses casos mostram impacto em administração pública local e órgãos judiciais, onde a continuidade de serviços depende de rede, telefonia, acesso a documentos e sistemas internos. A resposta deve separar sistemas críticos que permaneceram ativos daqueles desligados por contenção, preservar logs de borda, autenticação e endpoint, e avaliar se a indisponibilidade foi causada por criptografia, bloqueio preventivo ou perda de conectividade. O dado disponível não permite concluir vazamento, ator responsável ou vetor inicial.
A atualização de junho da Microsoft corrigiu 66 vulnerabilidades e incluiu CVE-2025-33053, uma falha de execução remota de código em WEBDAV descrita como zero-day explorada ativamente. A relevância defensiva está na combinação de exploração ativa e componente de acesso remoto a recursos distribuídos, o que exige correção rápida, revisão de exposição do serviço e busca por uso anômalo de WEBDAV nos ambientes que dependem desse protocolo.
No GitLab, CVE-2025-4278 é descrita como uma injeção de HTML de alta severidade capaz de permitir tomada remota de contas, enquanto CVE-2025-5121 envolve autorização ausente e permite injeção de jobs maliciosos em pipelines. O risco atinge diretamente CI/CD, onde jobs podem acessar código, variáveis, artefatos e credenciais de implantação. Trend Micro corrigiu falhas críticas em Endpoint Encryption PolicyServer e Apex Central, incluindo execução remota pré-autenticação com acesso SYSTEM em CVE-2025-49212 e CVE-2025-49213. Em produtos de segurança e administração, esse nível de privilégio pode transformar a própria camada de defesa em ponto de execução adversária caso a atualização seja adiada.
Uma campanha de espionagem atribuída ao grupo Stealth Falcon explorou CVE-2025-33053 para entregar malware por arquivos .url, com execução a partir de servidor WebDAV. Os alvos descritos são entidades governamentais e de defesa no Oriente Médio e na África. A cadeia envolve spear-phishing, infecções em múltiplos estágios e implantes personalizados, incluindo Horus Agent, além de keyloggers, ferramentas de coleta de credenciais e táticas de evasão.
Outra campanha abusou do sistema de convites do Discord para redirecionar usuários a servidores maliciosos. A entrega envolveu AsyncRAT e um stealer personalizado chamado Skuld Stealer por meio de plataformas confiáveis como GitHub e Discord, com phishing, loaders em múltiplos estágios e técnicas de evasão. O contexto também informa desvio de proteções do Chrome e exfiltração por Discord webhooks. Separadamente, o relatório de malware de maio de 2025 destacou SafePay como grupo de ransomware mais prevalente, com estratégia de dupla extorsão, criptografia, exfiltração de dados, exclusão de máquinas com teclado em idioma cirílico, mais de 200 vítimas e quase 20% dos alvos na Alemanha.
O setor de viagens aparece como superfície de ameaça pela dependência de dados em tempo real e redes globais. Os incidentes citados incluem um ataque DDoS em março de 2025 contra um consolidador de passagens aéreas e uma violação em nuvem em janeiro de 2025 que expôs 112 mil registros. Também são mencionadas campanhas de phishing e comprometimentos de terceiros direcionados a sistemas de pagamento.
A leitura técnica é que disponibilidade, identidade e cadeia de fornecedores precisam ser tratadas de forma conjunta nesse setor. Sistemas de reserva, pagamento, emissão de bilhetes e atendimento dependem de integração contínua entre organizações, o que amplia o impacto de indisponibilidade e torna terceiros uma via plausível de exposição. Como o contexto não fornece IoCs ou produtos específicos nesses casos, a ação defensiva fica concentrada em segmentação, revisão de integrações, monitoramento de autenticação, proteção contra DDoS e validação de controles sobre ambientes em nuvem que armazenam registros de clientes.
A busca defensiva deve refletir a diversidade dos incidentes. Em ransomware e interrupções operacionais, os pontos principais são criação ou execução incomum de processos em massa, desligamento de serviços, alteração de políticas, remoção de cópias de segurança, compressão de arquivos, conexões externas não usuais e mudanças em contas privilegiadas. Nos casos em que há suspeita ou confirmação de dados pessoais afetados, a telemetria deve incluir leitura e exportação de bases, transferências volumosas, consultas fora do padrão e acessos administrativos durante a janela do incidente.
Para CVE-2025-33053, o hunting deve procurar uso anômalo de WEBDAV, abertura de arquivos .url, execução de binários ou scripts a partir de caminhos remotos e conexões com servidores WebDAV que não fazem parte do uso corporativo normal. Em GitLab, a atenção deve ir para alterações de pipeline, criação de jobs inesperados, mudanças em permissões, comportamento anormal de contas e acesso a variáveis sensíveis. Em campanhas com Discord, operadores devem procurar redirecionamentos por convites, downloads vindos de GitHub ou Discord fora do padrão, execução de AsyncRAT ou Skuld Stealer, uso de Discord webhooks para saída de dados e eventos de navegador associados a desvio de proteção.
- Abertura de arquivos
.urlseguida de comunicaçãoWebDAVe execução de malware. - Jobs novos ou modificados no GitLab sem mudança legítima associada ao repositório.
- Downloads, loaders ou webhooks ligados a Discord e GitHub em endpoints de usuários.
- Exportações volumosas de dados pessoais, registros de acidentes, documentos de sinistros ou bases de funcionários.
- Indisponibilidade coordenada de portais, aplicativos, telefonia, sistemas internos e ferramentas de distribuição.
A mitigação deve começar por atualizações com exploração ou impacto crítico: aplicar os patches da Microsoft para CVE-2025-33053, as correções do GitLab para CVE-2025-4278 e CVE-2025-5121, e os patches da Trend Micro para CVE-2025-49212 e CVE-2025-49213. Em paralelo, ambientes com WEBDAV exposto ou utilizado internamente precisam validar necessidade de negócio, restringir acesso, revisar logs e bloquear execução não autorizada originada de arquivos .url ou caminhos remotos.
Nos incidentes de ransomware e indisponibilidade, a resposta deve preservar evidências antes de restaurar, isolar sistemas afetados, validar backups, revisar credenciais privilegiadas e confirmar integridade dos serviços retomados. Onde houve exfiltração confirmada ou download não autorizado, como Sensata Technologies e TxDOT, a prioridade inclui delimitar os dados acessados, auditar contas envolvidas, rotacionar credenciais quando aplicável e reforçar monitoramento contra uso indevido. Para campanhas com Discord, GitHub e webhooks, controles de saída, reputação de destino, inspeção de downloads, EDR e bloqueio de automações não autorizadas ajudam a reduzir o canal de entrega e exfiltração.
- Atualizar Microsoft, GitLab e Trend Micro conforme a exposição real de cada ambiente.
- Restringir ou revisar uso de
WEBDAVe investigar execução associada a arquivos.url. - Auditar pipelines GitLab em busca de jobs injetados, permissões indevidas e acesso a variáveis sensíveis.
- Isolar hosts suspeitos, preservar logs e validar restauração antes de recolocar serviços críticos em produção.
- Revisar acessos a bases com dados pessoais e documentar evidência de exfiltração, download ou ausência de acesso indevido.
0 Comentários