Incidentes envolveram Salesforce terceirizado, ransomware em fornecedores e órgãos públicos, exposição de dados financeiros, falhas em SolarWinds, Cisco e OxygenOS, além de campanhas de espionagem e fraude.
| Componente | Ambientes Salesforce terceirizados, software de RH terceirizado, redes corporativas, sistemas de pagamento, dispositivos Cisco ASA/FTD, SolarWinds Web Help Desk e OnePlus OxygenOS. |
| Vetor | Acesso a plataformas terceirizadas, exploração de falhas não corrigidas, ransomware, spear-phishing, falsos portais de RH, abuso de provedores Android expostos e campanhas contra dispositivos conectados à internet. |
| Impacto | Exposição de dados pessoais, dados financeiros, registros de funcionários, dados de crianças, interrupção operacional, execução remota de código, acesso não autenticado a endpoints restritos e exfiltração silenciosa de mensagens. |
| Prioridade | Corrigir os produtos vulneráveis, revisar integrações de terceiros, caçar sinais de exfiltração e ransomware, validar segmentação, rotacionar credenciais expostas e aumentar monitoramento de identidade, rede, endpoint e aplicações. |
| Vulnerabilidades | CVE-2025-26399, CVE-2025-20333, CVE-2025-20362, CVE-2025-20363 e CVE-2025-10184. |
| Artefatos | MiniJunk, MiniBrowse, BRICKSTORM, BRICKSTEAL, LockBit 5.0, AjaxProxy, ServiceNumberProvider, Windows, Linux e ESXi. |
A semana reuniu incidentes de naturezas diferentes, mas com um padrão operacional claro: atores exploraram dependências externas, superfícies expostas e falhas de correção para acessar dados sensíveis ou obter execução em ambientes corporativos. Os casos envolveram montadoras, setor público, jogos, pagamentos, varejo, educação infantil, telecomunicações, defesa, tecnologia, SaaS e dispositivos de borda. A variedade dos alvos reforça que a prioridade defensiva não está limitada ao perímetro próprio; ela inclui fornecedores, aplicações SaaS, sistemas de pagamento, servidores de suporte, dispositivos VPN/firewall e endpoints móveis.
Os impactos confirmados incluem exposição de dados de clientes, funcionários, crianças, informações financeiras, documentos, dados médicos, dados biométricos e interrupções de serviços. Em paralelo, vulnerabilidades críticas em SolarWinds Web Help Desk e Cisco ASA/FTD ampliaram o risco em ativos expostos, enquanto a falha em OnePlus OxygenOS abriu caminho para leitura indevida de SMS/MMS por aplicativos instalados. A cobertura também incluiu atividade de espionagem associada a Nimbus Manticore, domínios fraudulentos relacionados à Copa do Mundo FIFA 2026, ataques com BRICKSTORM e evolução multiplataforma do LockBit 5.0.
A Stellantis sofreu exposição de informações de contato de clientes da América do Norte após acesso não autorizado a uma plataforma de terceiros vinculada ao seu ambiente Salesforce. O dado técnico central é a dependência de uma integração externa: o ataque não é descrito como comprometimento direto de sistemas internos de manufatura ou veículos, mas como abuso de uma plataforma ligada ao fluxo de relacionamento com clientes. O ator ShinyHunters reivindicou a ação e afirmou ter obtido mais de 18 milhões de registros Salesforce, número que deve ser tratado como reivindicação do agente até validação independente.
Para equipes defensivas, o caso exige revisão de permissões de aplicativos conectados ao Salesforce, tokens OAuth, contas de integração, logs de API, exportações em massa e alterações incomuns em objetos com dados de contato. A resposta deve diferenciar dados efetivamente confirmados de dados reivindicados, mas a contenção precisa assumir que listas de clientes podem ser usadas em phishing, engenharia social, fraude de suporte e tentativas de tomada de conta em canais digitais.
- Revisar contas e aplicativos de terceiros com acesso ao Salesforce.
- Procurar exportações volumosas, consultas incomuns e criação de tokens persistentes.
- Preparar detecção de phishing usando marcas automotivas e dados de contato reais.
A Volvo Group North America confirmou exposição de dados pessoais de funcionários após ataque de ransomware contra a Miljödata, fornecedora terceirizada de software de RH. As informações expostas incluem nomes e números de Social Security. O grupo DataCarry reivindicou responsabilidade e publicou os dados roubados. O vetor relevante é a cadeia de fornecimento de RH: um fornecedor com dados de empregados se tornou o ponto de comprometimento, afetando uma organização cliente sem que o ataque precise se originar dentro da rede corporativa da vítima.
A ação defensiva deve combinar resposta jurídica, notificação, proteção contra fraude e caça técnica nos caminhos de integração entre RH, identidade e folha de pagamento. Mesmo quando o fornecedor é a origem do incidente, credenciais, dados cadastrais e documentos de funcionários podem alimentar campanhas de phishing interno, abertura fraudulenta de contas, alteração de dados bancários e tentativas de recuperação de senha baseadas em informações pessoais.
- Mapear integrações entre o fornecedor de RH, diretórios corporativos e sistemas financeiros.
- Revisar acessos administrativos concedidos ao fornecedor.
- Monitorar tentativas de fraude envolvendo funcionários afetados.
O condado de Union, em Ohio, sofreu ransomware com roubo de dados sensíveis após invasores acessarem a rede do condado entre 6 de maio e 18 de maio de 2025. O incidente afetou 45.487 pessoas e incluiu nomes, números de Social Security, carteiras de motorista, passaportes, detalhes de contas financeiras, informações médicas e dados de impressão digital. A janela de acesso de 12 dias indica oportunidade para movimentação lateral, coleta seletiva, compactação e exfiltração antes da fase de extorsão ou criptografia.
Para ambientes públicos, esse tipo de conjunto de dados tem alto valor porque combina identidade civil, financeiro, saúde e biometria. A resposta deve incluir análise de logs de autenticação, endpoints, servidores de arquivos, VPN, RDP, ferramentas administrativas, criação de contas e transferência de dados. Dados biométricos exigem tratamento especial porque não podem ser rotacionados como senhas; por isso, controles de uso futuro e alertas contra fraude devem ser priorizados.
- Reconstruir a linha do tempo entre 6 de maio e 18 de maio de 2025.
- Identificar sistemas que armazenavam documentos, dados médicos e impressões digitais.
- Verificar staging de arquivos e tráfego de saída incomum.
A Boyd Gaming, operadora de cassinos com sede em Las Vegas, teve dados de funcionários roubados de seu sistema interno de TI. A empresa informou que as operações de negócio e sistemas voltados a clientes não foram impactados, mas dados sensíveis de empregados foram comprometidos. Não há, no material analisado para está reportagem, detalhamento confirmado sobre volume, tipos específicos de campos ou técnica inicial de acesso.
O caso deve ser tratado como incidente de exposição interna com foco em identidade e recursos humanos. A ausência de impacto operacional não elimina risco de fraude, extorsão dirigida ou phishing contra funcionários. A investigação precisa verificar se houve acesso a diretórios corporativos, compartilhamentos de arquivos, sistemas de RH, repositórios de documentos e caixas de e-mail administrativas, além de confirmar se o atacante obteve credenciais reutilizáveis.
- Validar escopo real dos dados de funcionários acessados.
- Revisar autenticações administrativas e acessos a compartilhamentos internos.
- Monitorar campanhas direcionadas a empregados da organização.
A Lotte Card, quinta maior emissora de cartões da Coreia do Sul, sofreu vazamento de dados de aproximadamente 3 milhões de clientes. As informações expostas incluem números de identificação, contatos e dados financeiros sensíveis, como números de cartão e códigos de verificação. O incidente envolveu cerca de 2.700 arquivos, dos quais apenas 56% estavam criptografados, e foi associado a uma falha não corrigida em um servidor de pagamentos.
O impacto é crítico porque combina dados cadastrais e elementos de cartão em um mesmo conjunto. A presença de arquivos não criptografados aumenta a probabilidade de uso direto em fraude, principalmente se os dados financeiros estiverem completos ou correlacionáveis. A resposta deve priorizar correção do servidor vulnerável, identificação dos arquivos acessados, avaliação de exposição de códigos de verificação, comunicação a clientes, bloqueio ou reemissão conforme risco e busca por consultas anômalas no sistema de pagamentos.
- Corrigir a falha no servidor de pagamentos afetado.
- Determinar quais dos 2.700 arquivos foram acessados ou extraídos.
- Revisar política de criptografia para dados de cartão e códigos de verificação.
A rede Circle K em Hong Kong sofreu um ataque que interrompeu redes em quase 400 lojas. O incidente paralisou pagamentos eletrônicos, e-mail e sistemas de fidelidade. A informação disponível não confirma comprometimento de dados pessoais, portanto a análise defensiva deve separar indisponibilidade operacional de vazamento confirmado. Mesmo assim, a queda simultânea de pagamentos, mensagens e fidelidade sugere impacto em serviços centrais usados pelas lojas.
A prioridade técnica é restaurar serviços com evidência preservada, segmentar ambientes de loja, verificar terminais de pagamento, revisar conectividade com sistemas centrais e caçar indícios de malware, credenciais abusadas ou sabotagem de infraestrutura. Ambientes de varejo devem validar que sistemas de ponto de venda e pagamentos eletrônicos não foram usados como canal de persistência ou movimentação para plataformas de fidelidade.
- Isolar sistemas de loja afetados antes de restaurar conectividade plena.
- Verificar logs de pagamentos eletrônicos, e-mail e fidelidade.
- Confirmar se houve ou não acesso a dados pessoais.
A rede de educação infantil Kido, com 18 unidades em Londres e no exterior, foi comprometida pelo grupo Radiant. Os atacantes afirmaram ter roubado dados de cerca de 8.000 crianças e funcionários, incluindo nomes, fotos, endereços, contatos e notas de proteção. Como prova de posse, o grupo publicou perfis de 10 crianças enquanto exigia resgate. A investigação envolve a Metropolitan Police e reguladores de dados do Reino Unido, sem prisões informadas no momento do relato.
Este incidente tem gravidade elevada pela natureza dos dados. Registros de crianças, fotos, endereços e notas de proteção criam risco de exposição física, assédio, engenharia social contra familiares e dano contínuo, mesmo sem credenciais técnicas. A resposta deve reduzir a disponibilidade pública do material, preservar evidências, coordenar comunicação com responsáveis, revisar controles de acesso a sistemas educacionais e verificar se contas de funcionários foram usadas para coletar dados em massa.
- Identificar contas usadas para acessar registros de crianças e funcionários.
- Remover ou solicitar remoção de perfis publicados pelos atacantes.
- Revisar permissões sobre notas de proteção e dados sensíveis de menores.
Foi liberada correção para CVE-2025-26399, uma vulnerabilidade crítica de execução remota de código sem autenticação no SolarWinds Web Help Desk até a versão 12.8.7. A causa técnica descrita é desserialização insegura no componente AjaxProxy. A falha é relevante porque permite que um atacante acione execução de código remotamente sem credenciais, desde que consiga alcançar a superfície vulnerável do Web Help Desk.
O histórico aumenta a urgência: a correção é apresentada como a terceira após CVE-2024-28986 e CVE-2024-28988, falhas que já haviam sido exploradas para execução de comandos por meio de bypasses de correções anteriores. Operadores devem tratar instâncias expostas como candidatas a comprometimento, aplicar a versão corrigida, revisar logs de requisições ao AjaxProxy, procurar processos filhos incomuns, comandos executados pelo serviço e arquivos gravados fora do fluxo normal da aplicação.
- Atualizar SolarWinds Web Help Desk afetado até 12.8.7.
- Investigar acessos anômalos ao componente
AjaxProxy. - Caçar execução de comandos, web shells e persistência no servidor.
A Cisco corrigiu duas falhas zero-day exploradas ativamente em ASA e FTD. CVE-2025-20333 permite execução remota de código autenticada, enquanto CVE-2025-20362 permite acesso não autenticado a endpoints restritos. Também há uma falha crítica relacionada, CVE-2025-20363, que permite execução remota de código sem autenticação. Campanhas amplas estão atingindo dispositivos expostos, o que torna firewalls e appliances de borda prioridade imediata de correção e verificação.
Dispositivos ASA e FTD frequentemente concentram VPN, inspeção de tráfego e controle de acesso. Um comprometimento nesse ponto pode expor sessões, políticas, credenciais administrativas, rotas internas e tráfego de usuários remotos. A mitigação deve incluir aplicação de correções, revisão de configuração, limitação de interfaces administrativas expostas, verificação de contas locais, análise de alterações em políticas e busca por acessos incomuns a endpoints restritos.
- Aplicar correções para
CVE-2025-20333,CVE-2025-20362eCVE-2025-20363. - Restringir administração a redes confiáveis e revisar VPN.
- Auditar contas, políticas e acessos recentes em dispositivos ASA/FTD.
CVE-2025-10184 afeta o OnePlus OxygenOS e permite que qualquer aplicativo instalado leia dados e metadados de SMS/MMS sem a permissão READ_SMS e sem interação do usuário. A falha decorre de provedores de telefonia expostos indevidamente com acesso irrestrito de leitura e escrita. O contexto técnico inclui uma injeção SQL cega no método update do ServiceNumberProvider, o que amplia o risco de abuso por aplicativos locais maliciosos.
O impacto real é a exfiltração silenciosa de mensagens e o bypass efetivo de MFA baseado em SMS. A pré-condição é que o atacante consiga instalar ou induzir a instalação de um aplicativo no aparelho vulnerável. Para defesa, organizações que aceitam BYOD ou gerenciam frotas Android devem identificar dispositivos OnePlus afetados, restringir SMS como fator de autenticação para contas críticas, revisar sinais de aplicativos suspeitos e orientar atualização assim que a correção estiver disponível.
- Inventariar dispositivos OnePlus com OxygenOS em uso corporativo.
- Reduzir dependência de MFA por SMS em contas sensíveis.
- Procurar aplicativos instalados fora de lojas confiáveis ou com comportamento anômalo.
A campanha atribuída ao ator iraniano Nimbus Manticore tem como alvos setores europeus de defesa e telecomunicações. A cadeia começa com spear-phishing e falsos portais de RH, estratégia que explora confiança em processos de recrutamento para induzir interação inicial. Após o acesso, a operação usa carregamento lateral de DLL e malware ofuscado, incluindo MiniJunk e MiniBrowse.
Os artefatos usam assinaturas válidas e técnicas de evasão, características compatíveis com uma operação de espionagem mais persistente do que criminalidade oportunista. A caça deve priorizar execução de DLLs fora de diretórios esperados, binários assinados executando cargas incomuns, acessos a portais de RH falsificados, anexos ou links recebidos por áreas de recrutamento e telemetria de endpoint que indique carregamento lateral seguido de comunicação externa.
- Inspecionar processos que carregam DLLs de caminhos graváveis por usuário.
- Correlacionar e-mails de recrutamento com downloads e execuções subsequentes.
- Monitorar uso de binários assinados com comportamento incompatível.
Mais de 4.300 domínios foram registrados antes da Copa do Mundo FIFA 2026, imitando FIFA, cidades-sede e marcas do evento. O pico ocorreu em agosto e setembro de 2025. Os domínios se concentram em registradores como GoDaddy e Namecheap e usam configurações DNS sincronizadas e modelos semelhantes, apontando para preparação de campanhas de golpe com ingressos falsos, transmissões fraudulentas e mercadorias inexistentes.
A ameaça é principalmente de fraude e phishing, com alto potencial de escala por explorar busca orgânica, anúncios, redes sociais e mensagens diretas. Equipes de proteção de marca e segurança devem monitorar registros similares, certificados TLS recém-emitidos, padrões de DNS repetidos, páginas de pagamento falsas e formulários que coletam dados pessoais ou cartões. A ação defensiva inclui takedown, bloqueio preventivo em DNS seguro e alertas a usuários.
- Monitorar domínios que combinam FIFA, 2026 e nomes de cidades-sede.
- Bloquear páginas com venda falsa de ingressos, streams e produtos.
- Correlacionar infraestrutura por registrador, DNS e templates de página.
Ataques contínuos com BRICKSTORM atingem setores jurídico, tecnológico e SaaS nos Estados Unidos, com objetivo de espionagem e desenvolvimento de zero-days. A atividade inclui backdoors proxy escritos em Go, roubo de credenciais por BRICKSTEAL e comprometimento de VMware. O foco em SaaS e tecnologia indica interesse em ambientes com acesso a clientes, código, identidade federada e infraestrutura de virtualização.
A defesa deve tratar VMware como superfície crítica, não apenas como camada operacional. Comprometimento nesse nível pode permitir acesso a máquinas virtuais, credenciais administrativas e tráfego interno. A caça deve procurar binários Go incomuns, processos proxy persistentes, conexões externas de hosts de virtualização, uso anômalo de contas privilegiadas e sinais de coleta de credenciais em sistemas que integram identidade corporativa e plataformas SaaS.
- Revisar hosts VMware, contas administrativas e conexões externas persistentes.
- Caçar binários Go não autorizados atuando como proxy.
- Investigar sinais associados a
BRICKSTEALe coleta de credenciais.
Variantes do LockBit 5.0 foram analisadas para Windows, Linux e ESXi. As amostras usam ofuscação, reflexão de DLL e opções flexíveis de linha de comando. Todas evitam sistemas russos, randomizam extensões de arquivo, apagam logs de eventos e miram ambientes físicos e virtuais. A variante ESXi tem foco específico em criptografar VMware, o que confirma evolução para ambientes de virtualização usados em datacenters e operações corporativas críticas.
O risco defensivo está na execução multiplataforma e na capacidade de atingir máquinas virtuais em massa. A resposta deve priorizar segmentação de hipervisores, backups imutáveis, bloqueio de credenciais administrativas reutilizadas, telemetria de comandos em ESXi, alerta para limpeza de logs e detecção de renomeação massiva de arquivos. Em Windows, a caça deve observar uso de reflexão de DLL, criação de processos com parâmetros de criptografia e tentativas de apagar logs de eventos.
- Monitorar comandos administrativos e alterações em hosts ESXi.
- Alertar para limpeza de logs de eventos e renomeação massiva de arquivos.
- Validar restauração de backups fora do domínio principal.
Os sinais de caça devem ser organizados por superfície. Em SaaS e Salesforce, priorize exportações incomuns, tokens novos, aplicativos conectados, consultas em massa e alterações de permissões. Em fornecedores de RH e ambientes públicos, foque acessos administrativos, compactação de diretórios, transferências volumosas e autenticações fora de padrão. Em dispositivos de borda, correlacione atualização pendente, acessos a endpoints restritos, mudanças de política e conexões administrativas externas.
Em endpoint e servidores, procure execução de binários assinados com comportamento anômalo, carregamento lateral de DLL, processos Go desconhecidos, web shells, limpeza de logs, criação de contas locais e conexões persistentes para infraestrutura não reconhecida. Em mobile, a telemetria deve identificar aplicativos instalados recentemente em dispositivos OxygenOS, tentativas de acesso a provedores de telefonia e queda de confiança em MFA por SMS para contas sensíveis.
- Exportações volumosas em Salesforce e criação de tokens OAuth incomuns.
- Acesso a
AjaxProxy, processos filhos suspeitos e artefatos de execução remota. - Acessos a endpoints restritos em Cisco ASA/FTD e alterações administrativas.
- Execução de
MiniJunk,MiniBrowse,BRICKSTORM,BRICKSTEALou variantes deLockBit 5.0. - Limpeza de logs, renomeação massiva de arquivos e conexões externas de hosts VMware.
A ordem de resposta deve começar pelos ativos com exploração ativa ou impacto amplo: corrigir Cisco ASA/FTD, SolarWinds Web Help Desk e servidores de pagamento vulneráveis; isolar sistemas com sinais de ransomware; revisar acessos de fornecedores; e reduzir exposição de interfaces administrativas. Em paralelo, organizações afetadas por vazamento devem confirmar o escopo real, preservar evidências, notificar partes necessárias e rotacionar credenciais quando houver risco de reutilização ou exposição indireta.
A validação precisa ir além da instalação de patches. É necessário confirmar se houve exploração antes da correção, procurar persistência, revisar contas criadas ou modificadas, validar integridade de backups, testar restauração e reforçar monitoramento de exfiltração. Para dados pessoais e financeiros, a mitigação inclui controles antifraude, proteção de identidade, bloqueios transacionais e comunicação clara a usuários afetados. Para campanhas de phishing e domínios fraudulentos, a resposta deve combinar bloqueio, takedown e regras de detecção baseadas em infraestrutura.
- Aplicar correções críticas e verificar exploração prévia nos ativos expostos.
- Revisar permissões de fornecedores, contas de integração e tokens persistentes.
- Rotacionar credenciais com risco de exposição e reforçar MFA não baseado em SMS.
- Validar backups imutáveis, restauração e segmentação de hipervisores.
- Criar detecções para exfiltração, ransomware, phishing temático e abuso de SaaS.
0 Comentários