Incidentes envolveram órgãos públicos, serviços financeiros, saúde, varejo, extensões maliciosas para editores de código, APIs Docker expostas e vulnerabilidades exploradas em VPNs SonicWall.
| Componente | Órgãos públicos, bases de autenticação, APIs, appliances SSL VPN, extensões VSIX, ambientes Docker e estáções de desenvolvimento |
| Vetor | Ransomware com roubo de dados, acesso indevido a terceiros, IDOR em API, relay contra Windows SMB Server, abertura de repositório com Workspace Trust desativado e exposição de Docker API |
| Impacto | Exfiltração de documentos institucionais, dados pessoais, informações de saúde, credenciais com senhas em hash, execução arbitrária de código e comprometimento de ambientes de desenvolvimento |
| Prioridade | Corrigir vulnerabilidades exploradas, revisar credenciais após migração de VPN, auditar fornecedores, bloquear APIs expostas, remover extensões suspeitas e validar logs de identidade, endpoint e rede |
| Artefatos | CVE-2025-55234, CVE-2024-21907, CVE-2024-40766, .vscode/tasks.json, RansomHub, INC Ransom, Akira, LummaStealer, Yurei, WhiteCobra |
| Versões | SonicWall SSL VPN Gen 5 a 7 com SonicOS 7.0.1-5035 e anteriores foram descritos como afetados por CVE-2024-40766 |
A semana reuniu incidentes de ransomware, vazamentos de dados, abuso de cadeia de suprimentos de desenvolvimento, exposição de APIs e correções de vulnerabilidades em produtos corporativos. O padrão dominante foi a combinação de acesso inicial contra sistemas expostos ou fornecedores, seguida de exfiltração e pressão pública por operadores de extorsão. Os casos atingiram governo, crédito, saúde, transporte, varejo, serviços digitais e ambientes de engenharia, com impactos que variam de exposição de dados pessoais a risco de execução de código em máquinas de desenvolvedores.
Para equipes defensivas, a leitura operacional é que a superfície crítica não está concentrada em um único vetor. Há risco em appliances migrados sem redefinição de credenciais, em APIs sem controle de autorização por objeto, em extensões de marketplace consumidas por desenvolvedores, em bancos com material de autenticação e em Docker APIs acessíveis pela rede. A resposta deve combinar correção, revisão de acesso, validação de fornecedores, telemetria de endpoint e busca por sinais de exfiltração.
O Ministério da Economia e Finanças do Panamá sofreu um ataque de ransomware com roubo de mais de 1,5 TB de dados. O material descrito inclui e-mails, documentos financeiros e detalhes de orçamento, o que torna o incidente sensível para operações fiscais, planejamento institucional e comunicações internas. A reivindicação foi atribuída ao grupo INC Ransom, que opera no modelo de extorsão apoiada por vazamento de dados.
O impacto técnico não se limita à indisponibilidade típica de ransomware. A exfiltração de documentos orçamentários e financeiros cria risco de exposição de processos internos, contas, fornecedores, cronogramas e fluxos administrativos. Em ambientes governamentais, esse tipo de dado também pode apoiar engenharia social, fraude documental e novas tentativas de intrusão contra equipes que apareçam nas comunicações vazadas.
- Ativo afetado: sistemas e repositórios documentais do MEF do Panamá
- Dado confirmado: mais de 1,5 TB de arquivos roubados
- Grupo reivindicante:
INC Ransom
O Centro Nacional de Informação de Crédito do Vietnã teve dados sensíveis furtados e divulgados, com registros ligados a grandes instituições financeiras vietnamitas. Os dados expostos incluem informações pessoalmente identificáveis, detalhes de contato e identificadores de pagamento. A reivindicação foi associada ao ator ShinyHunters, conhecido por operações voltadas à coleta e monetização de grandes bases de dados.
O risco operacional está na combinação de identidade civil, relacionamento financeiro e identificadores usados em pagamentos. Mesmo sem detalhes públicos sobre o volume total de registros, esse tipo de exposição tende a ampliar tentativas de fraude, recuperação indevida de contas, golpes direcionados e enriquecimento de bases criminosas. Instituições que consumiam ou integravam dados do centro precisam revisar acessos, rotas de transferência e qualquer autenticação de API envolvida no compartilhamento.
- Ativo afetado: dados vinculados a instituições financeiras vietnamitas
- Dados citados: contatos, informações pessoais e identificadores de pagamento
- Ator reivindicante:
ShinyHunters
A empresa norte-americana Lovesac informou acesso não autorizado a sistemas internos entre 12 de fevereiro de 2025 e 3 de março de 2025. A exposição incluiu nomes completos e outras informações pessoais não detalhadas. Posteriormente, o grupo RansomHub reivindicou o incidente e ameaçou publicar os dados roubados caso o resgate não fosse pago.
A janela de comprometimento indica permanência suficiente para coleta e preparação de dados antes da extorsão. Para resposta, a prioridade é reconstruir a linha do tempo de autenticações, acessos administrativos, movimentação lateral e transferências externas durante o período informado. Como o conjunto de dados pessoais não foi totalmente especificado, a avaliação de impacto precisa tratar sistemas de RH, atendimento, CRM e bases de clientes como escopo inicial até que a origem exata seja delimitada.
- Período informado: 12 de fevereiro de 2025 a 3 de março de 2025
- Dados citados: nomes completos e outras informações pessoais não especificadas
- Grupo reivindicante:
RansomHub
O New York Blood Center confirmou ransomware com roubo de dados de pacientes e funcionários. Os dados citados incluem nomes, informações de saúde, números de Seguro Social, documentos de identificação emitidos pelo governo e detalhes de contas financeiras. O incidente afetou milhares de pessoas, incluindo mais de 10 mil indivíduos no Texas.
O setor de saúde exige resposta com dupla prioridade: contenção técnica e avaliação regulatória do dado exposto. Informações de saúde combinadas a documentos oficiais e contas financeiras elevam o risco de fraude de identidade e golpes direcionados. No ambiente técnico, a investigação deve buscar origem do acesso, contas usadas para coleta de dados, artefatos de compactação, ferramentas de administração remota e qualquer tráfego de saída incompatível com o padrão do ambiente clínico e administrativo.
- Dados citados: informações de saúde, documentos oficiais, Seguro Social e contas financeiras
- População afetada: milhares de pessoas, com mais de 10 mil no Texas
- Tipo de incidente: ransomware com exfiltração
A plataforma Plex sofreu violação em um banco de dados que armazenava dados de autenticação de clientes. As informações expostas incluem endereços de e-mail, nomes de usuário e senhas armazenadas de forma segura com hash. O incidente foi descrito como limitado a um subconjunto de clientes, sem envolvimento de dados de cartão de pagamento e sem número público de usuários afetados.
Embora senhas em hash reduzam o risco em comparação com senhas em texto claro, a exposição ainda exige redefinição preventiva quando houver possibilidade de reutilização em outros serviços. Operadores devem observar tentativas de login por preenchimento de credenciais após o incidente, principalmente contra contas que compartilham e-mail com outros serviços. A ausência de dados de pagamento reduz uma categoria de impacto, mas não elimina risco de tomada de conta.
- Dados citados: e-mails, nomes de usuário e senhas com hash
- Dados não afetados: cartões de pagamento
- Ação defensiva: forçar rotação de senha e monitorar autenticações anômalas
A operadora ferroviária britânica London North Eastern Railway revelou violação envolvendo um fornecedor terceirizado comprometido. O acesso indevido expôs detalhes de contato de clientes e informações sobre viagens anteriores. A empresa informou que dados bancários, cartões de pagamento e senhas não foram afetados, e que vendas de passagens e operações ferroviárias permaneceram funcionando.
O caso reforça o risco de fornecedores com acesso a dados operacionais ou históricos de clientes. Mesmo sem impacto em pagamentos ou senhas, informações de contato associadas a deslocamentos podem apoiar phishing contextualizado e golpes com referência a viagens reais. A resposta deve validar segregação de dados no fornecedor, logs de consulta, exportações realizadas e notificações para clientes com instruções claras sobre comunicações fraudulentas.
- Vetor: fornecedor terceirizado comprometido
- Dados citados: contato de clientes e viagens anteriores
- Serviços preservados: venda de passagens e operação ferroviária
O aplicativo brasileiro de relacionamento Sapphos sofreu violação por meio de uma vulnerabilidade de referência direta insegura a objeto em sua API, conhecida como IDOR. Aproximadamente 17 mil usuários foram afetados, com exposição de informações pessoais. O ponto técnico central é falha de autorização por recurso: a API permite acesso a objeto de outro usuário quando o identificador é manipulado e a autorização não é revalidada no servidor.
Esse tipo de falha costuma ocorrer quando o backend confia em identificadores previsíveis, parâmetros de rota ou chaves de objeto sem verificar se o usuário autenticado tem permissão sobre o registro solicitado. A correção exige controle de acesso no lado servidor para cada requisição, testes negativos automatizados e revisão de endpoints que aceitam IDs de usuário, perfil, conversa, imagem ou qualquer entidade vinculada a conta.
- Componente: API do aplicativo Sapphos
- Vetor:
IDORpor autorização insuficiente em objetos - Volume citado: cerca de 17 mil usuários
O ciclo de atualização de setembro de 2025 da Microsoft corrigiu 81 vulnerabilidades, incluindo duas falhas divulgadas publicamente. A primeira, CVE-2025-55234, afeta o Windows SMB Server e permite elevação de privilégio por ataques de relay. A segunda, CVE-2024-21907, envolve risco de negação de serviço em Newtonsoft.Json com impacto no SQL Server por tratamento inadequado de condições excepcionais.
A falha de SMB exige atenção porque relay em ambientes Windows costuma depender de autenticação de rede, exposição de serviços e configurações que permitam encaminhar ou reutilizar tentativas de autenticação. A mitigação operacional envolve aplicar as atualizações, revisar controles contra relay, validar segmentação de rede e observar autenticações SMB inesperadas entre estáções, servidores e serviços. Para o caso envolvendo Newtonsoft.Json, a prioridade é atualizar componentes afetados e monitorar falhas de serviço em instâncias SQL Server expostas a entradas não confiáveis.
- Total corrigido: 81 vulnerabilidades
- Falhas públicas:
CVE-2025-55234eCVE-2024-21907 - Componentes: Windows SMB Server,
Newtonsoft.Jsone SQL Server
CVE-2024-40766 é uma falha crítica de controle de acesso impróprio em appliances SonicWall SSL VPN das gerações 5 a 7, com SonicOS 7.0.1-5035 e versões anteriores. A vulnerabilidade recebeu pontuação CVSS 9.3 e permite contornar controles de acesso; em alguns cenários, também pode provocar queda de firewalls. A exploração ativa foi associada a incidentes envolvendo operadores do ransomware Akira.
Um detalhe operacional relevante é a relação com configurações migradas sem redefinição de credenciais. Ambientes que moveram configurações antigas para novos appliances, mas mantiveram credenciais ou estados de acesso, devem ser tratados como prioridade de investigação. A resposta precisa incluir atualização do firmware, redefinição de credenciais, invalidação de sessões, revisão de contas locais e análise de acessos VPN anteriores à correção.
- Componente: SonicWall SSL VPN Gen 5 a 7
- Versões citadas: SonicOS
7.0.1-5035e anteriores - Exploração: ativa, com incidentes ligados a
Akira
Uma vulnerabilidade no editor Cursor AI permite execução arbitrária de código por meio de .vscode/tasks.json ao abrir um repositório com Workspace Trust desativado. O vetor é relevante para equipes de engenharia porque o ataque pode ser embalado como projeto, prova de conceito ou dependência de desenvolvimento aparentemente legítima, executando tarefas definidas no repositório durante o fluxo de trabalho do usuário.
O impacto inclui comprometimento de estáções de desenvolvimento, coleta de credenciais, roubo de chaves de API e movimentação para pipelines ou repositórios. A defesa deve tratar repositórios recebidos de terceiros como conteúdo ativo, revisar arquivos de configuração de IDE antes de abrir, manter Workspace Trust habilitado quando disponível e monitorar processos filhos iniciados pelo editor, especialmente shells, gerenciadores de pacotes, clientes cloud e comandos de exfiltração.
- Arquivo de interesse:
.vscode/tasks.json - Condição: abertura de repositório com
Workspace Trustdesativado - Impacto: execução arbitrária de código no ambiente do desenvolvedor
O grupo de extorsão Yurei foi identificado usando ransomware de código aberto escrito em Go para dupla extorsão, com criptografia de arquivos e roubo de dados. O malware mantém falhas operacionais relevantes, como remoção incompleta de Windows Shadow Copies, e reutiliza comandos PowerShell para alteração de papel de parede. Artefatos de código conectam a atividade a famílias anteriores, incluindo SatanLockv2, e há indícios vinculando a operação ao Marrocos.
Para defesa, a presença de um ransomware baseado em código aberto muda o perfil de detecção: variantes podem reaproveitar lógica conhecida com pequenas alterações de empacotamento, nomes de arquivo e infraestrutura. A busca deve focar criação de processos PowerShell para alteração visual pós-criptografia, tentativas de apagar cópias de sombra, enumeração de arquivos em massa, escrita acelerada de extensões novas e conexões de saída antes da fase de criptografia.
- Linguagem: Go
- Tática: dupla extorsão com roubo e criptografia
- Artefatos relacionados:
SatanLockv2e comandos PowerShell de papel de parede
A campanha atribuída ao grupo WhiteCobra distribuiu 24 extensões VSIX maliciosas em marketplaces de VS Code, Cursor e Windsurf. As extensões usavam marcas falsas e manipulação de downloads para atrair instalação por desenvolvedores. Em Windows, a cadeia entregava LummaStealer; em macOS, foi observado malware não identificado pelo nome no material disponível.
O vetor é uma cadeia de suprimentos de desenvolvimento, pois o pacote malicioso roda no contexto de ferramentas usadas para acessar código, terminais, repositórios e segredos locais. Credenciais em arquivos de ambiente, tokens de Git, chaves cloud, carteiras de criptomoeda e sessões de navegador são alvos plausíveis para um infostealer como LummaStealer. Equipes devem inventariar extensões instaladas, bloquear publicadores não aprovados e revisar estáções que instalaram extensões com branding inconsistente ou histórico de downloads artificial.
- Quantidade citada: 24 extensões VSIX maliciosas
- Alvos: VS Code, Cursor e Windsurf
- Carga em Windows:
LummaStealer
Pesquisadores observaram em agosto de 2025 uma nova variante de malware mirando Docker APIs expostas. A amostra foi vista por honeypots e apresentou capacidades ampliadas de infecção. A versão bloqueia acesso externo à API e implanta um binário que contém ferramentas usadas anteriormente, agora com funcionalidade mais abrangente.
A exposição de Docker API permite que um atacante crie contêineres, monte volumes, execute binários, acesse o host dependendo da configuração e instale mecanismos de persistência. O bloqueio de acesso externo à API após a infecção pode servir para impedir concorrentes, reduzir interferência e consolidar controle. A resposta deve começar por remover exposição direta da API, exigir autenticação e TLS quando o acesso remoto for necessário, auditar contêineres recentes e comparar imagens, comandos de inicialização e volumes montados com o estado esperado.
- Vetor: Docker API exposta
- Observação: campanha vista em honeypots em agosto de 2025
- Comportamento: bloqueio de acesso externo à API e implantação de binário
A caça deve separar cada vetor por plano de controle. Em identidade, procure autenticações VPN fora do padrão, sessões de fornecedor em horários incomuns, falhas seguidas de sucesso e contas que não deveriam acessar dados sensíveis. Em endpoint, priorize execução de PowerShell associada a ransomware, processos filhos de editores de código, criação de arquivos em massa, compactadores acionados antes de tráfego externo e binários novos em hosts Docker.
Em aplicações e APIs, revise requisições com alteração sequencial de identificadores, respostas 200 para objetos que pertencem a usuários diferentes, aumento anormal de leituras por conta e exportações volumosas. Em repositórios e estáções de desenvolvimento, valide instalação de extensões VSIX recentes, arquivos .vscode/tasks.json em projetos clonados, tokens em variáveis de ambiente e acessos a carteiras ou chaves locais após abertura de repositórios não confiáveis.
- Picos de leitura ou exportação em bases com dados pessoais, financeiros ou de saúde
- Processos
powershell.exe, shells ou gerenciadores de pacote iniciados por VS Code, Cursor ou Windsurf - Acessos SMB incomuns compatíveis com relay ou movimentação lateral
- Contêineres criados recentemente com volumes sensíveis montados no host
- Consultas de API com enumeração de IDs e ausência de negação por autorização
A ordem de resposta deve começar pelos ativos com exploração ativa ou execução direta de código: atualizar SonicWall SSL VPN afetado por CVE-2024-40766, redefinir credenciais após migrações, aplicar o pacote de correções da Microsoft, revisar exposição de Docker API e manter Workspace Trust habilitado em fluxos de engenharia. Em paralelo, remova extensões VSIX suspeitas, bloqueie publicadores desconhecidos e force rotação de tokens em estáções que possam ter executado LummaStealer.
Para incidentes de dados, a mitigação exige validação de escopo antes de comunicação final. As equipes devem identificar tabelas, buckets, compartilhamentos, caixas de e-mail e repositórios acessados, estimar volume real, correlacionar exfiltração com logs de rede e preservar evidências. Quando houver senhas em hash, a rotação deve ser acompanhada de proteção contra preenchimento de credenciais. Quando houver dados de saúde, financeiros ou documentos oficiais, monitore fraude e reforce verificação de identidade em canais de atendimento.
- Aplicar correções para
CVE-2025-55234,CVE-2024-21907eCVE-2024-40766quando os componentes estiverem presentes - Redefinir credenciais e invalidar sessões em VPNs SonicWall migradas ou expostas
- Bloquear Docker API exposta à internet e auditar contêineres, imagens, volumes e comandos recentes
- Revisar
.vscode/tasks.jsonantes de abrir repositórios não confiáveis e restringir tarefas automáticas - Inventariar extensões VSIX instaladas e remover pacotes com publicador, nome ou branding inconsistente
- Procurar sinais de exfiltração antes de criptografia em casos de ransomware e preservar logs para DFIR
0 Comentários