A semana reúne interrupções em companhias aéreas, telecomunicações, serviços municipais e saúde, além de vazamentos em aplicações, bancos e doadores, exploração de APIs expostas e falhas críticas com execução remota de código.
| Componente | Companhias aéreas, telecomunicações, serviços municipais, aplicações web, bancos, plataformas de desenvolvimento com IA, dispositivos SonicWall SMA100, ngcp-rtpengine e campanhas associadas ao Storm-2603. |
| Vetor | Ataques disruptivos contra infraestrutura corporativa, exploração de plugin WordPress GiveWP, APIs sem autenticação adequada, requisições HTTP POST não autenticadas para endpoint CGI, mensagens WebSocket manipuladas e uso de clientes C2 por HTTP e DNS. |
| Impacto | Atrasos operacionais, indisponibilidade de serviços digitais, fechamento de unidades físicas, exposição de dados pessoais e financeiros, possível execução remota de código com privilégios elevados e acesso indevido a aplicações privadas. |
| Prioridade | Validar exposição de ativos citados, corrigir componentes vulneráveis, revisar logs de acesso não autenticado, isolar sistemas com indícios de intrusão e iniciar rotação de credenciais quando houver suspeita de vazamento. |
| Artefatos | CVE-2025-40596, CVE-2025-40597, CVE-2025-40598, CVE-2025-53399, app_id, SSO, ak47c2, Qilin, DragonForce, SonicWall SMA100, ngcp-rtpengine. |
| Mitigação | Aplicar atualizações disponíveis, restringir interfaces administrativas, exigir autenticação forte em APIs internas, auditar plugins expostos na internet e correlacionar telemetria de rede, identidade, endpoint e aplicação. |
A recapitulação de 4 de agosto concentra três frentes técnicas distintas: incidentes disruptivos contra organizações de grande porte, vazamentos de dados em aplicações e instituições financeiras, e vulnerabilidades críticas com caminhos plausíveis para execução remota de código. Os casos com maior impacto operacional incluem a paralisação parcial de serviços da Aeroflot, a interrupção de serviços da Orange, a indisponibilidade de sistemas digitais da cidade de Saint Paul e o fechamento de unidades de redes farmacêuticas russas. Em paralelo, incidentes na Pi-hole, no Seychelles Commercial Bank e no aplicativo Tea indicam exposição de dados pessoais, registros financeiros, imagens sensíveis e mensagens privadas.
O conjunto de vulnerabilidades relatadas exige atenção de times de defesa porque envolve interfaces normalmente expostas a rede ou internet. A plataforma Base44 apresentou uma falha de autorização em API que aceitava valores arbitrários de app_id sem validar credenciais ou SSO. A série SonicWall SMA100 teve três falhas críticas analisadas: CVE-2025-40596, CVE-2025-40597 e CVE-2025-40598, acionáveis por requisições HTTP POST não autenticadas contra um endpoint CGI. O ngcp-rtpengine recebeu o identificador CVE-2025-53399 para uma falha de confusão de tipos em mensagens WebSocket, com prova de conceito pública e potencial de controle do processo afetado.
A maior companhia aérea da Rússia sofreu um ataque atribuído por seus operadores a grupos hacktivistas pró-Ucrânia, com atrasos severos de voos e interrupções técnicas relevantes. Os invasores afirmaram ter extraído bancos de dados contendo histórico de voos, dados de estáções de trabalho, gravações de chamadas telefônicas e informações de monitoramento de pessoal. Também alegaram ter apagado cerca de 7.000 servidores, somando mais de 22 TB de dados, o que indica risco de destruição deliberada de infraestrutura e não apenas vazamento de informação.
Para defesa, o caso deve ser tratado como comprometimento de múltiplos domínios internos até que a organização consiga separar indisponibilidade, exfiltração e destruição. A presença de gravações, dados de estáções e bases operacionais exige revisão de credenciais, contas de administração, backups imutáveis, acessos remotos e movimentação lateral. Em ambientes de aviação, o impacto operacional deve ser correlacionado com logs de diretórios, EDR, servidores de telefonia, sistemas de despacho, bases de planejamento e mecanismos de recuperação.
A operadora francesa Orange registrou um ataque cibernético com interrupções operacionais que afetaram principalmente clientes na França e determinados serviços corporativos e de consumo. Não houve confirmação de exfiltração de dados de clientes ou da empresa no material analisado, e a extensão de eventual comprometimento permaneceu indefinida. Essa distinção é importante: indisponibilidade de serviço não comprova vazamento, mas exige preservação de evidências para separar falha operacional, intrusão, sabotagem ou abuso de sistemas de suporte.
A investigação defensiva deve priorizar serviços de autenticação, portais de cliente, plataformas de atendimento, infraestrutura de rede de serviços e integrações B2B afetadas. A ausência de evidência de exfiltração não elimina a necessidade de examinar saídas anômalas de tráfego, criação de contas privilegiadas, alterações em regras de roteamento, modificações em sistemas de gestão e acessos administrativos fora de janela. A recuperação deve ocorrer com validação de integridade antes de recolocar sistemas críticos em produção.
A cidade de Saint Paul, em Minnesota, sofreu um ataque que tornou indisponíveis serviços digitais e sistemas municipais críticos, incluindo pagamentos on-line, bibliotecas e centros recreativos. Serviços de emergência não foram afetados, mas cerca de 311.000 residentes enfrentaram atrasos ou interrupções no acesso a recursos públicos. O impacto técnico combina indisponibilidade de aplicações cidadãs, possível contenção preventiva de sistemas e degradação de processos internos dependentes de identidade e rede municipal.
Em ambientes municipais, a superfície costuma misturar portais públicos, sistemas legados, provedores terceirizados, estáções administrativas, bibliotecas, rede de prédios e plataformas de pagamento. A resposta deve mapear quais serviços ficaram indisponíveis por desligamento intencional, quais falharam por dependência compartilhada e quais apresentaram sinais de acesso não autorizado. Logs de VPN, autenticação, servidores web, gateways de pagamento e consoles de administração devem ser preservados antes de qualquer reconstrução.
A Pi-hole sofreu um vazamento que expôs nomes e endereços de e-mail de quase 30.000 doadores. A origem técnica indicada foi uma vulnerabilidade no plugin WordPress de doações GiveWP. O impacto confirmado envolve dados de contato de doadores, não uma falha no mecanismo de bloqueio de anúncios em nível de rede. Mesmo assim, a exposição cria risco de phishing direcionado, tentativas de falsos pedidos de doação, enumeração de apoiadores e abuso de reputação do projeto.
Operadores que usam WordPress para captação de recursos devem revisar versões de plugins, permissões de banco de dados, endpoints públicos, logs de exportação e contas administrativas. A detecção deve procurar acessos incomuns a rotas do GiveWP, consultas em massa a tabelas de doadores, downloads repetidos, alterações em usuários privilegiados e requisições com padrões incompatíveis com fluxo normal de pagamento. A mitigação inclui atualização do plugin, invalidação de sessões administrativas e comunicação objetiva aos doadores afetados.
O Seychelles Commercial Bank sofreu vazamento de 2,2 GB de informações sensíveis de clientes. Os dados expostos incluíram nomes, datas de nascimento, telefones, tipos de conta, saldos e registros vinculados a autoridades governamentais. O incidente atingiu contas individuais e empresariais, além de dados de funcionários. O conjunto de informações tem valor elevado para fraude, engenharia social, extorsão, tentativa de tomada de conta e mapeamento financeiro de pessoas expostas politicamente.
A resposta técnica deve assumir que dados financeiros e identificadores pessoais já podem ter sido copiados fora do ambiente controlado. É necessário revisar trilhas de acesso a bancos de dados, aplicações de atendimento, exportações administrativas, contas de suporte e integrações com sistemas bancários. Controles antifraude precisam incorporar indicadores de clientes afetados, reforçar verificação em canais remotos e monitorar mudanças de dados cadastrais, solicitações de transferência, redefinições de senha e acessos de dispositivos novos.
As redes farmacêuticas russas Stolichki e Neofarm confirmaram ataque cibernético que levou ao fechamento de centenas de unidades e interrompeu sistemas de pagamento, reservas de medicamentos e programas de fidelidade. O impacto não se limita a tecnologia administrativa: a falha em reservas e pagamentos afetou o acesso de milhares de pacientes a medicamentos. Esse tipo de incidente combina disponibilidade, continuidade de negócio e risco de segurança do paciente quando sistemas digitais sustentam estoque, retirada e autorização de compra.
A investigação deve separar falhas em ponto de venda, sistemas de inventário, CRM de fidelidade, integrações de pagamento e plataformas de reserva. A contenção precisa garantir que terminais e servidores de loja não sejam religados com credenciais comprometidas ou artefatos persistentes. Logs de transações recusadas, autenticação de operadores, alterações de preço, sincronização de estoque e comunicação entre lojas e datacenters ajudam a reconstruir o fluxo de interrupção.
O aplicativo de segurança para encontros Tea sofreu vazamento de mais de 59 GB de dados sensíveis, incluindo cerca de 72.000 imagens, como selfies, documentos oficiais e fotos publicadas na aplicação. Também houve exposição de uma base separada com 1,1 milhão de mensagens privadas trocadas entre usuários. A combinação de documentos, imagens pessoais e conversas privadas torna o incidente grave para privacidade, doxing, chantagem, impersonação e abuso em outras plataformas.
Do ponto de vista defensivo, o foco deve recair sobre armazenamento de mídia, permissões de buckets, controle de acesso a APIs de mensagens, segregação entre bases operacionais e dados de verificação de identidade. Evidências importantes incluem downloads em massa, tokens de acesso reutilizados, URLs assinadas com validade excessiva, chamadas de API sem autorização por objeto e consultas anômalas a bancos de mensagens. A contenção deve bloquear exposição pública, rotacionar chaves de armazenamento e invalidar sessões associadas a acessos suspeitos.
O Museu Nacional de História Natural da França confirmou ataque cibernético com interrupção significativa de sistemas internos e colaborativos de pesquisa. O incidente afetou acesso a bases científicas e trabalhos em andamento, com impacto particular em projetos internacionais e colaborações. Em instituições de pesquisa, disponibilidade e integridade são tão importantes quanto confidencialidade, porque dados científicos, metadados, repositórios compartilhados e ambientes de análise podem sustentar pesquisas de longa duração.
A defesa deve preservar evidências em sistemas de identidade federada, VPN, servidores de arquivos, repositórios de dados, plataformas de colaboração e ambientes de computação científica. Contas de pesquisadores visitantes, credenciais de projetos internacionais e chaves de integração merecem revisão, pois costumam ampliar a superfície de ataque. Antes da restauração, bases científicas precisam de verificação de integridade para detectar modificação silenciosa, exclusão seletiva ou substituição de arquivos.
Pesquisadores identificaram uma falha crítica na plataforma de desenvolvimento com IA Base44 que permitia acesso não autenticado a aplicações privadas por abuso de endpoints expostos. O erro estava em uma API que aceitava valores arbitrários de app_id sem exigir credenciais ou validação de SSO. Com exploração bem-sucedida, um atacante poderia acessar ferramentas empresariais privadas que manipulassem dados de RH, sistemas internos ou informações pessoais identificáveis.
A condição técnica central é falha de autorização por objeto, em que a aplicação confia em um identificador fornecido pelo usuário sem confirmar se a identidade chamadora tem permissão sobre aquele recurso. O hunting deve procurar sequências de requisições com variação de app_id, acessos a aplicações privadas sem sessão válida, respostas bem-sucedidas vindas de origens incomuns e leituras em massa de objetos internos. A mitigação exige validação server-side de identidade, vínculo de tenant, escopo de sessão e negação padrão para qualquer aplicação privada sem autorização explícita.
A série SonicWall SMA100 teve três vulnerabilidades críticas detalhadas: CVE-2025-40596, CVE-2025-40597 e CVE-2025-40598. As falhas incluem estouro de buffer em pilha, estouro de heap e escrita arbitrária em memória. Todas podem ser acionadas por requisições HTTP POST não autenticadas contra um endpoint CGI. A consequência possível é execução remota de código com privilégios de root, o que torna a exposição de interfaces acessíveis pela internet especialmente crítica.
Dispositivos de acesso remoto são alvos de alto valor porque concentram autenticação, sessões VPN e caminho para redes internas. O hunting deve procurar requisições POST incomuns ao endpoint afetado, falhas de processo, reinicializações inesperadas, criação de arquivos fora de padrão, conexões de saída a partir do appliance e alterações em contas locais. A mitigação principal é aplicar correções do fabricante, restringir acesso por lista de origem confiável, remover exposição direta quando possível e revisar todos os acessos remotos realizados antes da correção.
O ngcp-rtpengine recebeu a identificação CVE-2025-53399 para uma vulnerabilidade crítica que permite execução remota de código não autenticada por mensagens WebSocket manipuladas. A falha decorre de confusão de tipos no processamento de mensagens do protocolo de controle, permitindo sobrescrita de ponteiros de função e desvio do fluxo de execução. A exploração resulta em controle completo do processo rtpengine, e há prova de conceito pública disponível.
Ambientes que usam rtpengine em infraestrutura de voz, SIP ou mídia em tempo real devem verificar exposição do canal de controle e separar interfaces administrativas de redes não confiáveis. Sinais de exploração incluem mensagens WebSocket com campos fora do padrão, encerramentos anômalos do processo, reinícios frequentes, conexões de origem desconhecida e comportamento inesperado no plano de mídia. A mitigação deve combinar atualização, segmentação de rede, filtragem de origem e revisão de privilégios do processo.
A atividade de ransomware no segundo trimestre de 2025 apresentou fragmentação do ecossistema após interrupções em grupos de Ransomware-as-a-Service, uso operacional de IA em etapas de negociação ou suporte e surgimento de modelos de cartel como DragonForce. O grupo Qilin apareceu como líder do período, com novas ferramentas de extorsão e serviços legais associados ao processo de pressão sobre vítimas. Também foram observadas ofertas como negociação com IA em plataformas de RaaS.
A queda global nas taxas de pagamento, associada à desconfiança em criminosos e pressão regulatória, deslocou parte das operações para extorsão de dados e ataques reputacionais. Para defesa, isso muda a prioridade de resposta: restaurar sistemas não elimina o risco se dados sensíveis já foram copiados. Telemetria de exfiltração, inventário de dados, classificação de informação, logs de armazenamento, proxies e DLP passam a ser essenciais para estimar impacto real e orientar comunicação.
O ator Storm-2603, associado a explorações recentes de ToolShell, provavelmente mirou organizações na América Latina durante o primeiro semestre de 2025, em paralelo a ataques na região APAC. A atividade inclui um framework de comando e controle personalizado chamado internamente de ak47c2, com clientes baseados em HTTP e DNS. Essa combinação permite alternar canais de comunicação conforme bloqueios de rede, inspeção de tráfego e maturidade defensiva do alvo.
A atribuição deve ser tratada com cautela porque o material analisado indica associação provável e não comprovação absoluta de todos os operadores envolvidos. Ainda assim, organizações com exposição a vetores de ToolShell devem revisar logs de aplicação, web shells, processos filhos de serviços web, consultas DNS anômalas, beacons HTTP periódicos e comunicação com domínios recém-criados. A contenção deve priorizar isolamento de servidores expostos, coleta forense de memória e disco, rotação de credenciais e busca por persistência em tarefas agendadas, serviços e scripts de inicialização.
A superfície afetada abrange serviços públicos, companhias aéreas, telecomunicações, saúde, pesquisa, bancos, aplicações móveis, WordPress, appliances de acesso remoto, infraestrutura de mídia em tempo real e plataformas de desenvolvimento com IA. O padrão técnico recorrente é a dependência de interfaces expostas: APIs, endpoints CGI, WebSocket, plugins web, portais de cliente, sistemas de pagamento, canais de colaboração e serviços administrativos. Qualquer ambiente que combine internet, identidade centralizada e dados sensíveis deve ser avaliado por exposição direta e por dependências de terceiros.
Os impactos variam por ativo. Em incidentes de disponibilidade, o risco principal é interrupção de serviço e perda operacional. Em vazamentos, o risco se desloca para fraude, phishing, chantagem e uso secundário de dados. Em vulnerabilidades de execução remota, a prioridade é impedir tomada de controle antes que o atacante use o ativo como ponto de entrada para rede interna.
- Instâncias
SonicWall SMA100expostas a requisições externas devem ser tratadas como prioridade de correção e revisão de logs. - Servidores com
ngcp-rtpengineacessíveis porWebSocketdevem ter o canal de controle restrito e atualizado. - Aplicações Base44 privadas devem validar autorização por
app_id, tenant, sessão eSSOantes de retornar dados. - Ambientes WordPress com
GiveWPdevem revisar versões, contas administrativas e acesso a dados de doadores.
A atividade de hunting deve ser orientada por fluxo técnico, não apenas por nomes de incidentes. Para ataques disruptivos, procure sinais de movimentação lateral, exclusão em massa, falhas simultâneas de autenticação, uso incomum de credenciais privilegiadas e alterações em políticas de backup. Para vazamentos, priorize leituras em massa, exportações administrativas, picos de tráfego de saída, acessos de geolocalização incomum e chamadas repetidas a APIs de listagem. Para vulnerabilidades de RCE, busque requisições malformadas, travamentos de processo, criação de arquivos temporários, shells reversos e conexões de saída originadas do serviço vulnerável.
No caso de Storm-2603 e ak47c2, a telemetria de rede deve correlacionar beacons HTTP com consultas DNS recorrentes, especialmente quando partem de servidores que normalmente não fazem resolução externa direta. Em ambientes afetados por ransomware ou extorsão, logs de armazenamento, EDR, proxy, CASB e identidade ajudam a determinar se houve apenas criptografia, destruição ou também exfiltração de dados.
- Requisições
HTTP POSTnão autenticadas para endpointCGIemSonicWall SMA100. - Mensagens
WebSocketanômalas no canal de controle dongcp-rtpengine. - Variação sequencial ou aleatória de
app_idem APIs da Base44 sem sessão válida. - Downloads em massa de imagens, mensagens, registros de doadores, dados bancários ou bases científicas.
- Beacons por
HTTPe consultasDNSperiódicas compatíveis com clientes doak47c2.
A ordem de resposta deve começar por contenção dos ativos com maior risco de execução remota e maior exposição externa. Dispositivos SonicWall SMA100 e instâncias ngcp-rtpengine devem receber atualização, restrição por origem e revisão de indicadores de comprometimento antes de serem considerados confiáveis. APIs privadas, como o caso da Base44, precisam de correção de autorização no servidor, validação de tenant e bloqueio de acesso baseado apenas em identificadores fornecidos pelo cliente.
Para incidentes de vazamento, a ação defensiva deve incluir escopo de dados, preservação de logs, rotação de chaves, invalidação de sessões, revisão de permissões de armazenamento e comunicação aos afetados com informação precisa. Para ataques disruptivos, restauração a partir de backup deve ser precedida por verificação de integridade, erradicação de persistência e reconstrução controlada de credenciais administrativas. Em todos os casos, a validação final precisa confirmar que o vetor usado foi fechado e que não há canais de saída, contas criadas ou tarefas persistentes remanescentes.
- Aplicar correções disponíveis para
SonicWall SMA100,ngcp-rtpengine, WordPress e plugins expostos. - Restringir interfaces administrativas, endpoints de controle e appliances de acesso remoto a redes confiáveis.
- Rotacionar credenciais, tokens e chaves quando houver indício de acesso não autorizado ou exfiltração.
- Preservar logs antes da restauração para permitir análise de causa, escopo e linha do tempo.
- Revisar backups imutáveis, restauração testada e segregação de privilégios em sistemas críticos.
0 Comentários