Ataques a aeroportos, varejo de luxo, hotéis, firewalls e softwares expostos marcam a semana

A semana reuniu interrupções operacionais em aeroportos europeus, vazamentos de dados em marcas globais, campanha contra hotéis com VenomRAT, acesso indevido a backups de firewalls, falhas críticas em GoAnywhere MFT, WordPress e Chrome, além de atividade de Turla, Gamaredon, MuddyWater e TA415.

ComponenteAeroportos europeus com Collins Aerospace MUSE, marcas de luxo, hotéis, plataforma de requisições legais do Google, backups de firewalls SonicWall, GoAnywhere MFT, plugin Case Theme User para WordPress, Chrome e operações APT.
VetorOs vetores confirmados incluem ataque cibernético contra sistemas de check-in e despacho de bagagem, acesso não autorizado a sistemas corporativos, phishing com malware em recepções de hotéis, força bruta contra arquivos de preferência de backup em nuvem, desserialização de dados não confiáveis, desvio de autenticação em login social e exploração de vulnerabilidade em V8.
ImpactoOs impactos incluem atrasos e cancelamentos de voos, roubo de dados pessoais e dados de cartões de pagamento, criação de conta fraudulenta sem acesso confirmado a dados de usuários, exfiltração e criptografia de servidores, exposição de arquivos de backup com credenciais criptografadas e execução remota de comandos condicionada a pré-requisitos.
PrioridadePriorizar correções em sistemas expostos à internet, revisar acessos administrativos, caçar atividade de phishing e acesso remoto indevido, validar backups e configurações de firewalls, aplicar atualização do Chrome e investigar ambientes com sinais de VenomRAT, PureHVNC RAT, Sliver C2, Kazuar v3, BugSleep, StealthCache, Phoenix ou túneis remotos.
ArtefatosVenomRAT, Rust Loader, PureHVNC RAT, Sliver C2, PureRAT, PureCrypter, Kazuar v3, BugSleep, StealthCache, Phoenix, VS Code Remote Tunnels, CVE-2025-10035 e CVE-2025-10585.
MitigaçãoAplicar patches disponíveis, reduzir exposição de consoles administrativos, reforçar autenticação e bloqueio contra força bruta, revisar logs de identidade e endpoint, rotacionar segredos quando backups ou sistemas internos forem acessados e validar contenção por telemetria.
Resumo técnico

A semana concentrou incidentes com efeitos operacionais diretos, vazamentos de dados pessoais, campanhas de malware, exploração de vulnerabilidades e atividade de grupos de ameaça com foco geopolítico. O conjunto de eventos mostra superfícies distintas, mas com padrões defensivos recorrentes: sistemas expostos à internet, fluxos de autenticação frágeis, uso de phishing para entrada inicial, ferramentas legítimas de acesso remoto em cadeias de intrusão e arquivos de configuração ou backup que podem reduzir o esforço do atacante em etapas posteriores.

Para operação de segurança, a leitura técnica principal é separar os casos por impacto e por ação imediata. Ambientes com GoAnywhere MFT, Chrome, WordPress com Case Theme User, firewalls SonicWall registrados em serviços de backup em nuvem e estáções de atendimento em hotéis exigem verificação direta. Já os incidentes envolvendo aeroportos, marcas de luxo, Google, Insight Partners e Tiffany's pedem revisão de dependências, identidade, monitoramento de terceiros e procedimentos de resposta quando dados pessoais, dados financeiros ou sistemas de atendimento ao público ficam envolvidos.

Aeroportos europeus e sistemas de atendimento

Heathrow, Berlin, Brussels, Dublin e Cork foram citados entre aeroportos afetados por um ataque que causou interrupções em check-in eletrônico e despacho de bagagem associados ao software Collins Aerospace MUSE. O impacto operacional apareceu na forma de atrasos, cancelamentos e desvios de voos, indicando comprometimento ou indisponibilidade de uma camada usada por múltiplos aeroportos para processos de atendimento ao passageiro.

A superfície crítica nesse caso é a dependência compartilhada de um fornecedor e de sistemas que conectam atendimento físico, emissão de serviço e logística de bagagem. Mesmo sem detalhes públicos de payload, credencial inicial ou infraestrutura adversária, defensores devem tratar a ocorrência como risco de cadeia operacional: revisar conectividade entre aeroportos e fornecedor, validar segregação de redes, preservar logs de autenticação e confirmar se estáções de balcão, quiosques e serviços intermediários apresentaram execução incomum, falhas de comunicação ou alterações de configuração.

  • Verificar indisponibilidade, reinicializações e falhas de autenticação em sistemas integrados ao Collins Aerospace MUSE.
  • Correlacionar eventos de rede entre terminais de atendimento, serviços de bagagem, diretórios corporativos e conexões de fornecedor.
  • Preservar evidências de interrupção operacional antes de restaurar imagens ou reconfigurar estáções críticas.
Vazamentos em marcas de luxo e varejo

Gucci, Balenciaga e Alexander McQueen foram associadas a um vazamento com roubo de informações pessoais de clientes em escala potencialmente global. Os dados citados incluem nomes, endereços de e-mail, telefones, endereços físicos e total gasto por cliente. Dados financeiros, como informações de cartão de crédito, não foram indicados como parte do conjunto roubado nesse caso. A reivindicação pública foi atribuída ao grupo Scattered Lapsus$ Hunters.

Tiffany's também sofreu acesso não autorizado a sistemas com exposição de dados de clientes e detalhes de gift cards. Os dados envolvidos incluem nomes, endereços postais e de e-mail, telefones, dados de vendas, números internos de referência de cliente, números de gift cards e PINs associados. Esse tipo de vazamento tem impacto além de privacidade: gift cards com PIN podem ser convertidos em perda financeira, e históricos de compra permitem fraude direcionada, engenharia social e validação de identidade contra centrais de atendimento.

  • Monitorar uso anômalo de gift cards, consultas de saldo e alterações de e-mail ou telefone em contas de cliente.
  • Revisar logs de CRM, plataformas de venda, integrações de atendimento e consultas em massa por operadores ou contas de serviço.
  • Preparar rotação ou invalidação controlada de PINs e mecanismos equivalentes quando houver risco de uso fraudulento.
Google, requisições legais e abuso de identidade institucional

O Google confirmou um ataque que resultou na criação de uma conta fraudulenta dentro da plataforma Law Enforcement Request System. Não houve indicação de requisições oficiais realizadas por essa conta e nenhum acesso a dados de usuários foi confirmado por meio dela. Ainda assim, a criação de uma identidade fraudulenta em um fluxo reservado a autoridades eleva o risco de impersonação, tentativa de obtenção indevida de dados e abuso de confiança operacional.

O vetor público não detalha credenciais, exploração técnica ou falha específica, mas o caso deve ser tratado como incidente de governança de identidade e validação de entidades externas. Plataformas que processam solicitações legais precisam de verificação forte de organização, domínio, credencial, autorização e comportamento. A resposta defensiva deve buscar tentativas de cadastro com atributos inconsistentes, mudanças recentes em perfis de órgãos, metadados de origem incomuns e requisições preparadas, mas não finalizadas.

  • Revisar criação de contas institucionais, alterações de perfil e tentativas de validação em sistemas de requisições sensíveis.
  • Exigir confirmação fora de banda para entidades novas ou alterações em órgãos previamente cadastrados.
  • Correlacionar IP, domínio, e-mail, certificado, dispositivo e histórico de aprovação antes de liberar privilégios.
Hotéis, phishing e `VenomRAT`

Hotéis no Brasil e em outros países foram atingidos por ataques que levaram ao roubo de dados de cartões de pagamento de hóspedes a partir de sistemas de recepção. A cadeia descrita usa phishing para entregar malware e envolve VenomRAT, com capacidades de roubo de credenciais, acesso remoto e exfiltração de dados. A campanha foi atribuída ao grupo RevengeHotels e inclui uso de código gerado com apoio de LLM, o que pode acelerar variações de scripts, loaders e componentes auxiliares.

O fluxo técnico provável começa em mensagens direcionadas a equipes de hotelaria, onde anexos ou links conduzem à execução inicial em estáções usadas para reservas, atendimento e cobrança. Uma vez ativo, VenomRAT fornece controle remoto e coleta de credenciais, permitindo movimentação para sistemas que processam dados de pagamento ou armazenam informações de hóspedes. A prioridade é isolar estáções de recepção suspeitas, preservar memória e artefatos de disco, revisar processos persistentes, checar conexões de saída incomuns e rotacionar senhas usadas em sistemas de reservas, adquirência, e-mail e administração local.

  • Procurar execução de binários recém-criados em perfis de usuários de recepção e diretórios temporários.
  • Investigar conexões persistentes para infraestrutura externa após abertura de anexos ou links de reservas falsas.
  • Validar se sistemas de pagamento, navegadores, cofres de senha e clientes de e-mail tiveram credenciais acessadas.
Ransomware na Insight Partners

A Insight Partners foi vítima de um ataque de ransomware com exfiltração de dados e criptografia de servidores. O impacto declarado alcança 12.657 indivíduos e inclui dados bancários e fiscais, informações pessoais de empregados atuais e antigos, dados de limited partners, além de informações de fundos, gestão e portfólio. A presença de exfiltração antes da criptografia indica uma cadeia com acesso suficiente para coleta, empacotamento e saída de dados antes da etapa de indisponibilidade.

Em ambientes financeiros e de investimento, a resposta precisa ir além da restauração de backups. É necessário mapear quais servidores foram criptografados, quais repositórios de documentos foram acessados, quais contas tiveram uso fora do padrão e quais integrações com portfólio ou investidores ficaram dentro do escopo. Dados fiscais e bancários exigem validação de exposição por categoria, notificação regulatória conforme jurisdição e monitoramento de fraude, enquanto segredos operacionais de fundos podem exigir rotação de credenciais, revisão de compartilhamentos e bloqueio de sessões ativas.

SonicWall e backups de firewall em nuvem

A SonicWall divulgou acesso não autorizado a arquivos de preferência de backup de firewalls armazenados em nuvem por meio de ataques de força bruta. Cerca de 5% dos firewalls registrados tiveram arquivos de backup acessados. Esses arquivos continham credenciais criptografadas e informações que podem facilitar exploração posterior dos dispositivos afetados, principalmente quando o atacante usa a configuração como mapa para VPNs, regras, objetos de rede, contas locais e serviços expostos.

Mesmo com credenciais criptografadas, a exposição de backup de firewall é sensível porque revela topologia, políticas e caminhos administrativos. A ação defensiva deve incluir revisão das contas associadas ao serviço em nuvem, troca de senhas e chaves relevantes, validação de MFA, análise de autenticações falhas e bem-sucedidas, auditoria de alterações de configuração e comparação entre backup exposto e configuração atualmente ativa. Organizações afetadas devem considerar que a informação acessada pode reduzir o tempo necessário para exploração de VPN, administração remota ou movimentação lateral.

  • Identificar firewalls registrados cujo backup foi acessado e exportar linha do tempo de autenticação no serviço em nuvem.
  • Rotacionar credenciais administrativas, chaves compartilhadas e segredos relacionados a VPNs e integrações.
  • Comparar regras e objetos sensíveis dos backups com exposição real à internet.
Vulnerabilidades em `GoAnywhere MFT`, `WordPress` e `Chrome`

CVE-2025-10035 afeta o License Servlet do GoAnywhere MFT da Fortra e foi classificada com severidade máxima. A falha decorre de desserialização de dados não confiáveis e permite injeção remota de comandos com baixa complexidade quando o atacante consegue forjar uma assinatura válida de resposta de licença. O alvo de maior risco é console administrativo exposto externamente, pois a exploração bem-sucedida pode resultar em acesso não autorizado ao sistema e execução de comandos.

No ecossistema WordPress, uma falha crítica de desvio de autenticação no plugin Case Theme User permitiu que atacantes não autenticados acessassem contas arbitrárias, inclusive administradores, explorando problemas na implementação de login social via Facebook quando o e-mail do alvo é conhecido. Exploração em massa foi observada, com mais de 20.900 tentativas bloqueadas. No Chrome, o Google liberou correção para quatro vulnerabilidades, incluindo CVE-2025-10585, uma confusão de tipos em V8 com exploração existente em ambiente real. Para defensores, isso coloca navegadores desatualizados, painéis MFT expostos e sites WordPress com o plugin vulnerável no topo da fila de correção.

  • Remover exposição pública desnecessária de consoles administrativos do GoAnywhere MFT e aplicar a correção do fornecedor.
  • Atualizar ou desabilitar o plugin Case Theme User e revisar criação de sessões administrativas inesperadas.
  • Forçar atualização do Chrome em estáções e investigar falhas de renderização, processos suspeitos e downloads próximos ao momento de navegação.
Campanhas APT e acesso remoto

Uma campanha ClickFix usou ofertas falsas de emprego para conduzir vítimas à execução de uma cadeia composta por Rust Loader, PureHVNC RAT e Sliver C2 ao longo de uma intrusão de oito dias. A análise citou variantes de PureHVNC, recursos associados ao builder PureRAT, uso de PureCrypter e detalhes sobre PureCode, desenvolvedor ligado ao ecossistema do malware. O padrão combina engenharia social, loader compilado em Rust, acesso remoto furtivo e infraestrutura de comando e controle voltada à persistência operacional.

Na Ucrânia, pesquisadores observaram colaboração entre atores russos Turla e Gamaredon, com ferramentas de Gamaredon implantando e relançando a backdoor de Turla. Em máquinas compartilhadas, Gamaredon implantou várias ferramentas, enquanto Turla usou Kazuar v3. Separadamente, MuddyWater, associado ao Irã, passou de ações oportunistas para spearphishing mais direcionado, empregando BugSleep, StealthCache, Phoenix, ferramentas abertas e infraestrutura em AWS, Cloudflare, DigitalOcean, OVH, M247, SEDO e hosts bulletproof. A campanha TA415 contra governo e academia dos Estados Unidos, ligada a temas econômicos entre Estados Unidos e China, usou personificação de organizações e figuras relevantes, loaders Python ofuscados e VS Code Remote Tunnels para acesso remoto e roubo de dados.

  • Caçar execução de loaders Python ofuscados, binários Rust inesperados e instalação de túneis remotos em endpoints de usuários-alvo.
  • Monitorar conexões para Sliver C2, sessões HVNC, infraestrutura cloud incomum e processos que relançam backdoors após remoção.
  • Revisar contas de usuários expostos a spearphishing temático, principalmente governo, academia, hotéis e funções com acesso a dados financeiros.
Superfície afetada

A superfície da semana cobre ambientes de TI corporativa, OT leve de atendimento aeroportuário, varejo, hotelaria, firewalls de borda, transferência gerenciada de arquivos, navegadores e CMS. O ponto comum é que sistemas de alto valor operacional ou alto volume de dados continuam sendo atacados por vetores que não dependem apenas de exploits sofisticados: força bruta, phishing, abuso de login social, exposição de console e uso de ferramentas legítimas de acesso remoto aparecem como caminhos suficientes para impacto relevante.

Organizações devem mapear dependências externas e ativos expostos antes de tratar os casos como ocorrências isoladas. Aeroportos dependem de fornecedores de processamento de passageiro; hotéis dependem de estáções de recepção e sistemas de pagamento; varejistas dependem de CRM, gift cards e atendimento; empresas com MFT dependem de consoles administrativos; usuários finais dependem de atualização rápida de navegador. Esse inventário orienta quais logs preservar, quais credenciais rotacionar e quais serviços retirar da internet.

  • Consoles administrativos de GoAnywhere MFT expostos à internet.
  • Sites WordPress usando Case Theme User com login social via Facebook.
  • Estáções de recepção em hotéis com acesso a reservas, e-mail e pagamento.
  • Firewalls SonicWall com backups armazenados em nuvem e contas sujeitas a força bruta.
  • Endpoints com Chrome desatualizado ou ferramentas remotas não aprovadas.
Hunting e telemetria

A caça deve começar por eventos com maior materialidade: execução de comandos em servidores MFT, autenticação administrativa inesperada em WordPress, criação de sessões em contas privilegiadas, acessos a backups de firewall, conexões persistentes de estáções de recepção e instalação de componentes de acesso remoto. Em endpoint, priorize criação de processos a partir de diretórios temporários, loaders recém-baixados, scripts Python ofuscados, binários Rust sem reputação, conexões para provedores cloud incomuns e ferramentas que abrem túneis remotos sem mudança aprovada.

Em identidade e nuvem, procure força bruta, novas contas institucionais, mudanças de privilégios, tokens emitidos fora de horário normal, logins de ASN incomum e consultas em massa a dados de cliente. Em rede, correlacione tráfego de saída de estáções críticas para domínios recém-criados, infraestrutura de hospedagem barata, serviços de túnel e C2 conhecido. Em aplicações web, revise logs de login social, redefinição de sessão, troca de e-mail e acesso direto a rotas administrativas após requisições anômalas.

  • Execução de VS Code Remote Tunnels, Sliver C2, HVNC ou ferramentas remotas não aprovadas.
  • Falhas e sucessos de autenticação em massa contra serviços de backup, VPN e consoles administrativos.
  • Criação de sessões administrativas em WordPress sem fluxo legítimo de autenticação.
  • Processos associados a VenomRAT, loaders Rust, scripts Python ofuscados ou backdoors relançadas após remoção.
  • Exfiltração por arquivos compactados, upload incomum para nuvem pública ou conexões longas a infraestrutura externa.
Mitigação

A ordem de resposta deve combinar correção, contenção e validação. Sistemas GoAnywhere MFT expostos precisam ser corrigidos e, quando possível, colocados atrás de VPN, allowlist ou camada de acesso condicional. Instalações WordPress com Case Theme User devem ser atualizadas ou ter o plugin removido até validação, com revisão completa de administradores, sessões, plugins instalados e alterações recentes. O Chrome deve ser atualizado em todos os canais corporativos, com checagem de conformidade em EDR ou MDM.

Para SonicWall, a mitigação exige tratar backups acessados como informação sensível: rotacionar segredos, revisar VPNs, bloquear administração remota desnecessária e validar integridade de configuração. Para hotéis, isolar estáções de recepção suspeitas, coletar artefatos, rotacionar credenciais e verificar sistemas de pagamento reduz o risco de continuidade da coleta. Para vazamentos em varejo e ransomware, a contenção precisa incluir escopo de dados, revogação de acessos, notificação, monitoramento de fraude e auditoria de integrações que permitiram consulta ou exfiltração em massa.

  • Aplicar patches e validar versão efetiva em GoAnywhere MFT, Chrome e componentes WordPress afetados.
  • Restringir consoles administrativos, MFT, firewalls e painéis de backup a redes confiáveis e autenticação forte.
  • Rotacionar credenciais, chaves de VPN, segredos de serviço e PINs quando houver exposição confirmada ou plausível.
  • Executar varredura de persistência em endpoints com sinais de VenomRAT, PureHVNC RAT, Sliver C2, Kazuar v3, BugSleep, StealthCache ou Phoenix.
  • Revisar playbooks de terceiros para aeroportos, varejo, hotéis e serviços jurídicos sensíveis, incluindo preservação de logs e comunicação de incidente.