A semana reuniu intrusões em organizações públicas e privadas, vazamentos com dados pessoais, exploração condicionada de plugins WordPress, falhas críticas em NetScaler e atividade de botnet contra DVRs e roteadores.
| Componente | Ambientes corporativos, plataformas de atendimento terceirizadas, NetScaler ADC, NetScaler Gateway, plugin Forminator para WordPress, DVRs TBK e roteadores Four-Faith. |
| Vetor | Ransomware, acesso a plataforma de terceiros, phishing com domínios semelhantes à Amazon, engenharia social, exclusão arbitrária de arquivos, leitura fora de limites de memória e exploração de CVE-2024-3721 e CVE-2024-12856. |
| Impacto | Exposição de dados pessoais, interrupção operacional, possível acesso a informações sensíveis, comprometimento de sites WordPress, roubo de dados internos e uso de dispositivos comprometidos para DDoS. |
| Prioridade | Corrigir CVE-2025-6463, CVE-2025-5349 e CVE-2025-5777, revisar acessos de terceiros, investigar exfiltração, rotacionar credenciais expostas e bloquear infraestrutura de phishing e botnet. |
| Artefatos | SafePay, BlackSuit, Hellcat, Hunters International, World Leaks, RondoDox, CVE-2025-6463, CVE-2025-5349, CVE-2025-5777, CVE-2024-3721 e CVE-2024-12856. |
A semana de 6 de julho concentrou incidentes com impacto direto em disponibilidade, confidencialidade e continuidade operacional. Os casos incluem intrusão no Tribunal Penal Internacional, acesso indevido a uma plataforma de atendimento vinculada à Qantas, ransomware contra Ingram Micro e organizações públicas ou sem fins lucrativos, além de uma violação de dados na Columbia University. O conjunto mostra uma combinação de vetores: comprometimento de terceiros, engenharia social, extorsão, exploração de falhas em software exposto e abuso de dispositivos de borda ou IoT para capacidade ofensiva distribuída.
A superfície técnica observada não se limita a endpoints corporativos. Há exposição em interfaces de gerenciamento, gateways publicados na internet, plugins WordPress, centrais terceirizadas de atendimento, plataformas de distribuição, dados de funcionários e bases acadêmicas. Para operadores de segurança, a prioridade é separar eventos confirmados de alegações de atores, preservar evidências de acesso, validar exfiltração com telemetria própria, aplicar correções de fornecedores e reforçar controles de identidade nos pontos em que a cadeia de ataque depende de suporte, help desk ou fornecedores externos.
O Tribunal Penal Internacional divulgou um incidente de segurança sofisticado ocorrido em junho de 2025. A intrusão foi detectada e contida, mas a extensão do impacto permanecia em investigação no momento da divulgação. Como se trata de uma instituição com dados jurídicos, diplomáticos e investigativos sensíveis, a investigação técnica deve considerar acesso a caixas de correio, repositórios documentais, sistemas de gestão de casos, contas administrativas, integrações de colaboração e trilhas de autenticação federada.
A contenção imediata reduz a janela operacional do invasor, mas não elimina a necessidade de reconstruir a sequência de ações. Equipes de DFIR devem correlacionar autenticações incomuns, criação de tokens, uso de credenciais válidas, acessos fora do padrão geográfico, movimentação lateral e consultas anormais a sistemas documentais. O fato de ser o segundo evento relevante em anos recentes aumenta a importância de comparar artefatos com intrusões anteriores, sem assumir o mesmo ator até que haja sobreposição técnica verificável em infraestrutura, ferramentas, procedimentos ou objetivos.
- Revisar autenticações privilegiadas e sessões persistentes em serviços de colaboração.
- Preservar logs de identidade, endpoint, proxy, EDR e repositórios documentais.
- Comparar TTPs com eventos anteriores apenas quando houver evidência técnica comum.
A Qantas sofreu um incidente após atacantes mirarem um call center offshore e acessarem uma plataforma terceirizada de atendimento ao cliente. O evento afetou registros de até 6 milhões de clientes, incluindo dados pessoais e números de programas de fidelidade. O vetor descrito aponta para risco clássico de cadeia de serviços: o ativo explorado não precisa estar dentro da rede principal da companhia para expor dados relevantes, pois plataformas de atendimento concentram informações suficientes para fraude, engenharia social e enriquecimento de perfis.
A resposta deve tratar a plataforma de terceiros como ambiente comprometido até a conclusão forense. Isso inclui auditoria de contas de atendentes, exportações de dados, consultas volumosas, chaves de API, integrações com CRM e sessões iniciadas por localidade ou dispositivo incomum. Números de programa de fidelidade podem ser usados em golpes direcionados, recuperação fraudulenta de contas e tentativas de tomada de conta quando combinados com dados pessoais. A contenção exige revogação de sessões, revisão de permissões por função e validação de controles de segregação entre o fornecedor e sistemas internos.
- Investigar exportações, consultas em massa e acessos fora do perfil normal do call center.
- Revisar permissões de atendentes, supervisores e integrações de CRM.
- Monitorar abuso de contas de fidelidade e tentativas de recuperação fraudulenta.
A Ingram Micro foi atingida por ransomware, com desligamento de sistemas internos e indisponibilidade de serviços como site, plataformas de pedidos on-line, Xvantage e Impulse. A interrupção desses sistemas indica impacto operacional relevante em distribuição, provisionamento de licenças e fluxo comercial. O grupo SafePay reivindicou responsabilidade, mas a atribuição operacional deve ser tratada como alegação até que artefatos técnicos confirmem infraestrutura, nota de resgate, amostras, método de intrusão ou publicação de dados.
Em incidentes desse tipo, a prioridade técnica é determinar se o ransomware foi precedido por exfiltração, comprometimento de identidade ou acesso persistente a sistemas de provisionamento. Plataformas de distribuição e licença podem conter dados de clientes, histórico de pedidos, chaves, contratos e integrações com parceiros. A restauração deve evitar reintroduzir credenciais antigas, tarefas agendadas maliciosas, contas criadas pelo invasor ou ferramentas de administração remota usadas durante a intrusão. Também é necessário revisar acessos de fornecedores e contas de serviço com privilégios amplos.
- Preservar imagens de sistemas afetados antes de restaurações destrutivas.
- Rotacionar credenciais associadas a pedidos, licenças, parceiros e contas de serviço.
- Validar integridade de backups e ausência de persistência antes de religar plataformas.
A Telefónica enfrentou uma possível intrusão atribuída por um ator afiliado ao ecossistema Hellcat, com alegação de exfiltração de 106 GB de dados internos e mais de 385 mil arquivos. O conteúdo alegado inclui informações de funcionários e clientes empresariais ligados a subsidiárias europeias e latino-americanas. Como o evento foi descrito como possível ataque, a análise defensiva precisa distinguir prova de posse, amostras reais, metadados verificáveis e simples reivindicação de extorsão.
Operadoras de telecomunicações possuem ambientes com alto valor para atores de extorsão e espionagem, incluindo diretórios corporativos, tickets, inventário de clientes, contratos, integrações, dados de rede e documentação interna. A resposta deve buscar evidências de transferência de grandes volumes, acesso a repositórios, uso de contas válidas, compressão de arquivos, staging em servidores intermediários e conexões para armazenamento externo. Também é importante avaliar risco para clientes empresariais caso documentos internos contenham topologias, contatos, circuitos ou dados contratuais que facilitem ataques secundários.
- Correlacionar volume de saída por usuário, sistema e destino externo.
- Procurar compactadores, ferramentas de sincronização e staging de diretórios.
- Validar amostras publicadas contra metadados internos antes de confirmar escopo.
Gloucester County, na Virgínia, sofreu ransomware com roubo de dados de 3.527 funcionários atuais e antigos do governo. As informações expostas incluem números de Seguro Social, dados bancários e informações médicas. O grupo BlackSuit reivindicou o ataque após a recusa de negociação. A combinação de dados financeiros, identificadores nacionais e registros médicos cria risco persistente para fraude, abertura de contas, golpes de folha de pagamento e ataques direcionados contra servidores públicos.
A organização suíça Radix confirmou ransomware com roubo e criptografia de dados, incluindo informações ligadas a escritórios da administração federal entre seus clientes, posteriormente publicadas em ambiente de vazamento. A Welthungerhilfe, organização humanitária alemã, também foi alvo de um grupo de ransomware como serviço que exigiu 20 BTC, aproximadamente US$ 2,1 milhões, por dados roubados. A organização recusou pagamento, desligou sistemas afetados e acionou especialistas, enquanto operações humanitárias permaneceram sem impacto. Esses casos exigem separação entre continuidade de missão e contenção técnica: manter serviços críticos em operação não pode impedir isolamento, preservação de evidências e revisão de identidade.
- Notificar pessoas afetadas quando dados bancários, médicos ou identificadores nacionais forem confirmados.
- Revisar folha de pagamento, portais de benefícios e acessos remotos usados por funcionários.
- Monitorar sites de vazamento para validar exposição real sem baixar conteúdo sensível desnecessário.
A Columbia University sofreu violação com roubo de até 460 GB de informações sensíveis após acesso de um hacktivista com motivação política a sistemas de TI selecionados. O volume alegado inclui pelo menos 1,8 milhão de números de Seguro Social associados a funcionários, candidatos, estudantes e familiares. O perfil do incidente combina exposição de dados pessoais em larga escala com motivação ideológica, o que pode alterar o objetivo do invasor: publicação seletiva, pressão pública e dano reputacional podem ser mais relevantes do que monetização direta.
Ambientes universitários tendem a reunir diretórios amplos, sistemas legados, aplicações departamentais, identidades de longa duração e múltiplos grupos de usuários. A investigação deve priorizar sistemas que concentram admissões, recursos humanos, finanças estudantis, benefícios, cadastro familiar e autenticação central. Em paralelo, é necessário verificar se o invasor usou credenciais válidas, falhas de aplicação, exploração de servidores expostos ou acesso indevido a armazenamento. A resposta defensiva deve incluir rotação de segredos, revisão de contas inativas e monitoramento de uso fraudulento de dados pessoais.
- Mapear quais sistemas continham números de Seguro Social e dados de familiares.
- Investigar acessos a armazenamento, bancos de dados e exportações administrativas.
- Revogar contas inativas e sessões persistentes associadas a sistemas acadêmicos.
A vulnerabilidade de alta severidade CVE-2025-6463 afeta o plugin Forminator para WordPress e permite exclusão arbitrária de arquivos sem autenticação. A consequência técnica mais crítica é a remoção de arquivos essenciais no servidor web, como wp-config.php, o que pode degradar a instalação, expor caminhos de reinstalação ou levar a condições que resultem em execução remota de código e comprometimento total do site. O impacto depende das permissões efetivas do processo web, da configuração do servidor e da presença do plugin vulnerável.
A Citrix publicou correções para duas falhas em NetScaler ADC e NetScaler Gateway. A CVE-2025-5349 envolve controle de acesso impróprio na interface de gerenciamento, enquanto a CVE-2025-5777 é uma leitura excessiva de memória causada por validação insuficiente de entrada quando o produto está configurado como Gateway. Mesmo sem exploração ativa confirmada no material analisado, a criticidade vem da exposição típica desses appliances e da possibilidade de acesso a dados sensíveis. Interfaces de gerenciamento devem permanecer fora da internet pública e gateways corrigidos precisam ter sessões e tokens revisados após a atualização.
- Inventariar sites WordPress com
Forminatorinstalado e aplicar a correção do plugin. - Corrigir
NetScaler ADCeNetScaler Gatewayafetados porCVE-2025-5349eCVE-2025-5777. - Verificar exposição pública de interfaces de gerenciamento e revogar sessões após atualização.
Foi observado aumento de atividade criminosa mirando o Amazon Prime Day 2025, com mais de 1.000 domínios novos parecidos com Amazon registrados em junho. Entre eles, 87% foram classificados como maliciosos ou suspeitos. A técnica descrita é phishing de credenciais por páginas que imitam portais legítimos de autenticação da Amazon, com objetivo de induzir usuários a inserir dados pessoais, credenciais e possivelmente informações de pagamento em sites falsos.
Esse tipo de campanha se beneficia de sazonalidade, urgência de compra e volume de comunicações comerciais. Para defesa, o foco deve estar em proteção de DNS, bloqueio de domínios recém-criados, detecção de páginas com marcas e formulários de login falsos, além de resposta rápida para contas que tiveram credenciais inseridas. Organizações devem tratar o risco não apenas como problema de consumidores: usuários corporativos podem reutilizar senhas, receber phishing em e-mail empresarial ou acessar páginas falsas a partir de dispositivos gerenciados.
- Bloquear domínios recém-criados que imitam marcas e contenham páginas de autenticação.
- Alertar usuários sobre reutilização de senhas entre contas pessoais e corporativas.
- Monitorar tentativas de login corporativo após cliques em campanhas sazonais.
A atividade do grupo financeiramente motivado Scattered Spider foi destacada pelo foco em pessoas, e não em exploração direta de vulnerabilidades de software. O grupo usa engenharia social e técnicas de living-off-the-land para entrar em organizações de telecomunicações, jogos, transporte e varejo. Esse modelo de intrusão reduz a dependência de malware customizado e aumenta a importância de controles em help desk, redefinição de senha, MFA, acesso remoto e monitoramento de ferramentas administrativas legítimas.
O grupo Hunters International anunciou encerramento e disponibilização de ferramentas gratuitas de descriptografia para vítimas anteriores, embora a efetividade delas tenha sido questionada por respondedores. Pesquisadores indicam transição para uma plataforma de extorsão sem criptografia chamada World Leaks, com semelhanças operacionais e de código com o ransomware Hive. Para equipes defensivas, a mudança reforça que a ausência de criptografia não reduz o dano: exfiltração, publicação de dados e pressão contra vítimas continuam suficientes para gerar impacto operacional, jurídico e reputacional.
- Reforçar validação de identidade em help desk antes de redefinições de MFA e senha.
- Detectar uso incomum de ferramentas administrativas nativas por contas recém-recuperadas.
- Preparar resposta a extorsão baseada em vazamento, mesmo sem criptografia de sistemas.
A botnet RondoDox infecta DVRs TBK e roteadores Four-Faith explorando CVE-2024-3721 e CVE-2024-12856. Após obter acesso, o malware estabelece persistência, disfarça tráfego como pacotes associados a jogos ou VPN, baixa cargas adicionais por conexões seguras e habilita os dispositivos comprometidos para ataques distribuídos de negação de serviço. O uso de equipamentos periféricos amplia a dificuldade de resposta porque muitos desses ativos têm telemetria limitada, ciclos lentos de atualização e administração fora do padrão corporativo de endpoints.
A defesa precisa começar por inventário. Dispositivos expostos com firmware vulnerável devem ser isolados, atualizados ou substituídos quando não houver correção disponível. Como o tráfego pode simular padrões legítimos, a detecção deve combinar comportamento de rede, destinos incomuns, conexões persistentes, picos de tráfego de saída e mudanças de configuração. Em ambientes gerenciados, logs de firewall, NetFlow, DNS e autenticação administrativa nos dispositivos podem revelar variações que não aparecem em ferramentas tradicionais de EDR.
- Localizar DVRs TBK e roteadores Four-Faith expostos ou acessíveis por redes não confiáveis.
- Aplicar correções para
CVE-2024-3721eCVE-2024-12856quando disponíveis. - Bloquear comunicações de comando e controle suspeitas e tráfego de DDoS originado de dispositivos de borda.
A busca ativa deve ser orientada por classe de incidente. Em ransomware, procurar criação de arquivos de nota, desativação de serviços, execução de ferramentas de enumeração, compactação em massa, transferência para destinos externos e alterações em backups. Em violações de dados, priorizar consultas volumosas, exportações administrativas, criação de arquivos compactados, acessos a repositórios fora do horário e uso de contas com privilégios incompatíveis com a função. Em phishing, correlacionar clique, resolução DNS, submissão de formulário e tentativa posterior de autenticação.
Para vulnerabilidades em produtos expostos, a telemetria precisa incluir logs de aplicação, proxy reverso, WAF, appliances, autenticação e alterações de configuração. No caso de Forminator, buscar requisições anômalas associadas a operações de arquivo e alterações inesperadas em arquivos críticos da instalação WordPress. Para NetScaler, revisar acessos à interface de gerenciamento, erros relacionados a validação de entrada, sessões criadas antes da correção e qualquer comportamento de gateway que indique exposição de memória ou acesso a dados sensíveis.
- Acessos administrativos fora de padrão, especialmente em plataformas terceirizadas e appliances publicados.
- Transferência de grandes volumes para armazenamento externo, serviços de sincronização ou hosts intermediários.
- Alterações inesperadas em
wp-config.php, arquivos de aplicação, contas privilegiadas e políticas de MFA. - Tráfego persistente ou camuflado de DVRs, roteadores e dispositivos de borda para destinos incomuns.
A ordem de resposta deve começar pela redução de exposição confirmada: corrigir plugins, appliances e dispositivos vulneráveis; remover interfaces administrativas da internet; isolar sistemas com indício de ransomware; e suspender integrações de terceiros quando houver evidência de uso indevido. Em seguida, as equipes devem preservar evidências antes de restaurações, coletar logs de identidade e rede, validar escopo de exfiltração e rotacionar credenciais, tokens e chaves de API que possam ter sido acessados.
A fase de recuperação deve incluir validação independente de backups, revisão de contas privilegiadas, endurecimento de MFA, segmentação para plataformas terceirizadas e testes de detecção para os vetores observados. Organizações afetadas por vazamento de dados pessoais precisam acionar processos legais e de comunicação, mas a resposta técnica não deve depender apenas da confirmação pública de publicação. Quando há alegação de extorsão, amostras devem ser verificadas com cuidado e sem ampliar a exposição de dados sensíveis.
- Aplicar correções para
CVE-2025-6463,CVE-2025-5349,CVE-2025-5777,CVE-2024-3721eCVE-2024-12856nos ativos afetados. - Rotacionar credenciais e tokens associados a plataformas de atendimento, gateways, WordPress, distribuição, identidade e repositórios.
- Revisar fornecedores, contas de suporte, fluxos de redefinição de MFA e permissões administrativas por função.
- Executar hunting retrospectivo para exfiltração, persistência, abuso de ferramentas nativas e tráfego de botnet.
0 Comentários