Resumo semanal reúne ransomware, extorsão em nuvem, botnets e falhas críticas

A semana incluiu extorsão contra a Asahi, abuso de credenciais em ambientes AWS, exploração de dispositivos expostos, execução remota no Oracle E-Business Suite, falha crítica no Redis e novas campanhas de malware.

ComponenteIncidentes envolvendo Qilin, serviços municipais, contas de e-mail corporativas, ambientes AWS, bancos de dados hospedados externamente, contas de clientes, dispositivos expostos, Oracle E-Business Suite, Redis, XWorm RAT e ClayRat.
VetorExtorsão com exfiltração, credential stuffing, credenciais AWS expostas, exploração de RCE e command injection, abuso de motor Lua autenticado no Redis, phishing em Android e comprometimento de contas de e-mail.
ImpactoInterrupção operacional, roubo de dados, acesso não autorizado a contas, tomada de controle de dispositivos, execução remota de código, comprometimento de hosts, exposição de dados pessoais e pressão de extorsão.
PrioridadeValidar exposição externa, revisar credenciais e permissões, aplicar correções disponíveis, bloquear vetores de credential stuffing, caçar criação anômala de identidades e investigar sinais de exfiltração.
ArtefatosCVE-2023-1389, CVE-2024-3721, CVE-2024-12856, CVE-2025-61882, CVE-2025-49844, Ransomware.Wins.Qilin, Worm.Wins.Xworm e RAT.Wins.XWorm.ta.*.
MitigaçãoReduzir exposição de serviços administrativos, exigir autenticação forte, rotacionar chaves afetadas, revisar snapshots e alterações em nuvem, corrigir produtos vulneráveis e monitorar tráfego de exfiltração.
Resumo técnico

A semana concentrou incidentes com impacto direto em operações corporativas, governos locais, ambientes de nuvem, aplicações empresariais e dispositivos conectados à internet. Os casos combinam três padrões principais: extorsão baseada em roubo de dados, exploração de falhas de execução remota de código e abuso de credenciais válidas. Esse conjunto exige resposta coordenada entre segurança de endpoint, identidade, nuvem, rede, aplicações e gestão de vulnerabilidades, porque os vetores citados não dependem de um único controle defensivo.

Os eventos de maior prioridade operacional envolvem o ransomware Qilin contra a Asahi, a atividade do Crimson Collective em contas AWS, a exploração em larga escala pela botnet RondoDox, a falha CVE-2025-61882 no Oracle E-Business Suite e a CVE-2025-49844 no Redis. Também aparecem incidentes de acesso não autorizado a serviços municipais, contas de e-mail de um escritório jurídico, banco de dados de vendas hospedado externamente, contas de clientes da DraftKings, além de campanhas de XWorm RAT e do spyware Android ClayRat.

  • Priorizar ativos expostos à internet com Oracle E-Business Suite, Redis, DVRs, NVRs, CFTV, roteadores e servidores web vulneráveis.
  • Revisar eventos de identidade em AWS, especialmente criação de usuários, chaves de acesso, anexação de AdministratorAccess, alteração de senhas de RDS e criação de snapshots.
  • Investigar autenticações anômalas, exfiltração de dados, abuso de e-mail corporativo e tentativas de credential stuffing contra contas de clientes.
Asahi e ransomware Qilin

O grupo Qilin reivindicou o ataque contra a Asahi, maior cervejaria do Japão, comprometida em 29 de setembro. O incidente incluiu a exfiltração de mais de 9.300 arquivos, totalizando 27 GB de dados. O conjunto citado inclui documentos financeiros, identificações de funcionários, contratos e relatórios internos, o que indica risco simultâneo para operações, privacidade, negociação comercial e exposição de processos internos.

O impacto operacional foi além do vazamento. Seis cervejarias tiveram interrupções, afetando a produção de trinta marcas. Em incidentes desse tipo, a fase de extorsão costuma explorar a combinação entre indisponibilidade, ameaça de publicação e pressão econômica. A resposta deve preservar evidências de endpoint, controladores de domínio, compartilhamentos de arquivos, ferramentas de administração remota, logs de VPN e fluxos de saída, porque a exfiltração confirmada exige reconstrução da cadeia de acesso e validação do volume realmente transferido.

  • Caçar compactadores, ferramentas de cópia em massa, conexões externas incomuns e picos de leitura em compartilhamentos de arquivos.
  • Revisar contas privilegiadas usadas perto da janela de 29 de setembro e sessões administrativas em servidores de produção.
  • Separar contenção de ransomware de análise de vazamento: criptografia, movimentação lateral e exfiltração podem ter ocorrido em fases distintas.
Serviços municipais de Sugar Land

A cidade de Sugar Land, no Texas, sofreu um ataque cibernético que derrubou serviços municipais on-line, incluindo pagamento de contas, pagamentos de permissões e sistemas de cobrança de utilidades. O incidente afetou o acesso digital de aproximadamente 110.000 moradores, mas não houve indicação de impacto em infraestrutura crítica ou serviços de emergência. Também não foi divulgada evidência de roubo de dados.

Para operações municipais, indisponibilidade de portais públicos pode decorrer de comprometimento de aplicação, infraestrutura de hospedagem, identidade administrativa, provedor terceirizado ou contenção preventiva. Mesmo sem confirmação de exfiltração, a investigação deve correlacionar logs de autenticação, alterações em aplicações, acessos administrativos, eventos de banco de dados e tráfego de saída. A prioridade é restaurar serviços com validação de integridade, evitando reativar componentes que possam manter persistência ou credenciais expostas.

  • Verificar alterações recentes em portais de pagamento, permissões e cobrança.
  • Conferir contas administrativas usadas em janelas fora do padrão.
  • Validar que a restauração dos serviços não reutiliza segredos ou tokens potencialmente comprometidos.
Williams & Connolly e contas de e-mail

O escritório jurídico Williams & Connolly confirmou acesso não autorizado a contas de e-mail pertencentes a um pequeno número de advogados. Não houve evidência divulgada de roubo de dados confidenciais de clientes a partir de bancos de dados centrais, e o escopo conhecido ficou limitado às contas de e-mail afetadas. A atividade foi atribuída a atores suspeitos de vínculo com a China.

Comprometimento de e-mail em escritórios jurídicos tem impacto sensível mesmo quando sistemas centrais não são acessados, porque mensagens podem conter anexos, negociações, metadados de casos, contatos e histórico de comunicação privilegiada. A investigação precisa diferenciar login interativo, abuso de sessão existente, token roubado, regra maliciosa de encaminhamento, delegação indevida e uso de aplicativos OAuth. O limite de atribuição também deve ser tratado com cautela: o dado disponível aponta suspeita, não uma cadeia técnica completa de infraestrutura, malware e comando e controle.

  • Buscar regras de encaminhamento, permissões delegadas, aplicativos OAuth incomuns e downloads massivos de caixas postais.
  • Revisar autenticações por país, ASN, dispositivo, user agent e falhas seguidas de sucesso.
  • Rotacionar credenciais e invalidar sessões das contas afetadas antes de concluir a contenção.
Crimson Collective em ambientes AWS

O grupo Crimson Collective, que havia reivindicado uma intrusão relacionada à Red Hat na semana anterior, passou a mirar ambientes AWS para roubo de dados e extorsão. A cadeia descrita começa com a coleta de credenciais AWS expostas. Em seguida, o grupo cria novos usuários IAM e novas chaves de acesso, anexa a política AdministratorAccess para elevar privilégios e enumera ativos de nuvem.

Depois da enumeração, a atividade inclui redefinição de senhas mestras de RDS, criação de snapshots de volumes EBS e inicialização de instâncias EC2 sob grupos de segurança permissivos. A etapa de pressão usa SES dentro das próprias contas das vítimas para entregar notas de extorsão. Esse fluxo é particularmente danoso porque combina controle administrativo, cópia de dados, alteração de credenciais e uso de serviços legítimos da conta comprometida, reduzindo a dependência de infraestrutura externa.

Houve ainda parceria com Scattered Lapsus$ Hunters para ampliar pressão pós-divulgação, além de reutilização de endereços IP em incidentes, o que ajuda correlação entre casos. A defesa deve tratar qualquer credencial exposta como comprometimento de plano de controle, não apenas como segredo vazado. Isso implica revisar CloudTrail, IAM, RDS, EBS, EC2, SES, políticas anexadas, chaves novas e recursos criados fora do padrão.

  • Eventos críticos: CreateUser, CreateAccessKey, AttachUserPolicy, PutUserPolicy, ModifyDBInstance, CreateSnapshot, RunInstances e uso anômalo de SES.
  • Revisar grupos de segurança permissivos criados ou alterados durante a janela de intrusão.
  • Rotacionar chaves, remover identidades criadas pelo invasor e validar snapshots antes de considerar o ambiente recuperado.
Avnet e banco de dados EMEA

A fabricante de componentes eletrônicos Avnet sofreu uma violação envolvendo acesso não autorizado a um banco de dados interno de vendas da região EMEA hospedado externamente. Um ator afirmou ter roubado 1,3 TB de dados compactados e exigido resgate. A maior parte dos dados foi descrita como ilegível sem ferramentas proprietárias, e a quantidade total de pessoas afetadas não foi determinada.

O caso ressalta risco em bases hospedadas fora do perímetro direto da organização. Mesmo quando os dados exigem ferramentas específicas para leitura, o vazamento pode expor metadados, estruturas de tabelas, nomes de clientes, registros comerciais, arquivos auxiliares ou informações suficientes para engenharia social. A resposta deve mapear o provedor, o mecanismo de autenticação, os logs de acesso, os dumps gerados, a camada de compactação e qualquer conta de integração usada para consultar ou exportar registros.

  • Conferir acessos ao ambiente hospedado externamente e exportações volumosas.
  • Identificar contas de serviço com permissão de leitura ampla.
  • Validar se ferramentas proprietárias, chaves ou instaladores capazes de ler os dados também foram expostos.
DraftKings e credential stuffing

A DraftKings registrou acesso não autorizado a contas de clientes por meio de ataques de credential stuffing. O incidente expôs informações pessoais como nomes, telefones, e-mails, últimos quatro dígitos de cartões de pagamento e outros dados associados às contas. O impacto divulgado ficou abaixo de 30 clientes, e não houve acesso a dados sensíveis.

Credential stuffing depende de reutilização de senhas obtidas em vazamentos anteriores e de automação contra fluxos de login. A defesa precisa combinar limitação de taxa, detecção por reputação de IP, análise de dispositivo, bloqueio por comportamento, autenticação multifator e resposta de conta. Mesmo com baixo número de clientes afetados, os dados expostos podem alimentar phishing direcionado, tentativas de redefinição de senha em outros serviços e fraude assistida por informações parciais de pagamento.

  • Buscar muitas tentativas de login distribuídas com baixa taxa de sucesso e reutilização de user agents.
  • Forçar redefinição de senha nas contas afetadas e invalidar sessões existentes.
  • Avaliar controles de MFA, detecção de automação e proteção contra enumeração de contas.
RondoDox e exploração de dispositivos

A campanha de botnet RondoDox explora 56 vulnerabilidades em mais de 30 tipos de dispositivos, incluindo DVRs, NVRs, câmeras de CFTV e servidores web. A atividade inclui falhas de execução remota de código e command injection, com destaque para CVE-2023-1389, CVE-2024-3721 e CVE-2024-12856. A campanha está ativa desde junho e mistura falhas novas, bugs legados, dispositivos em fim de vida e código de exploração associado ao Pwn2Own.

A técnica de exploração em massa descrita como disparo amplo de exploits tenta maximizar infecções contra dispositivos heterogêneos. Esse modelo aumenta o risco para redes que mantêm equipamentos expostos diretamente à internet, especialmente quando não há atualização do fabricante ou quando interfaces administrativas usam credenciais fracas. Depois de comprometidos, esses dispositivos podem ser usados para controle de rede, proxy, negação de serviço, varredura e novas tentativas de exploração.

  • Inventariar DVRs, NVRs, CFTV, roteadores e servidores web acessíveis externamente.
  • Bloquear administração pela internet e restringir acesso por VPN ou redes de gerenciamento.
  • Procurar processos desconhecidos, conexões de saída persistentes, mudanças em inicialização e tráfego de varredura.
Oracle E-Business Suite e CVE-2025-61882

A falha CVE-2025-61882 no Oracle E-Business Suite permite execução remota de código sem autenticação por meio do componente de integração do BI Publisher. O vetor informado é uma única requisição HTTP de baixa complexidade contra aplicações EBS expostas à internet. O impacto prático inclui roubo de dados e uso em campanhas de extorsão por Cl0p e outros atores.

A ausência de autenticação na exploração eleva a prioridade de correção, porque um serviço publicado pode ser alcançado sem credenciais válidas. A análise defensiva deve identificar instâncias EBS expostas, revisar logs HTTP do componente afetado, procurar requisições incomuns próximas ao BI Publisher, validar criação ou modificação de arquivos no servidor de aplicação e verificar consultas anômalas a dados empresariais. Sistemas EBS frequentemente concentram processos financeiros, compras, recursos humanos e operação, o que amplia o impacto de uma execução remota.

  • Aplicar a correção disponibilizada para CVE-2025-61882 conforme a matriz de versões do ambiente.
  • Remover exposição direta à internet quando não for estritamente necessária.
  • Investigar requisições HTTP anômalas, processos filhos inesperados e acesso incomum a dados do EBS.
Redis e CVE-2025-49844

O Redis corrigiu a CVE-2025-49844, uma falha crítica de use-after-free no motor Lua, habilitado por padrão. A exploração exige autenticação, mas permite escapar do sandbox e comprometer completamente o host. Entre os efeitos citados estão reverse shells, roubo de credenciais, movimentação lateral e instalação de malware. A falha já vem sendo abusada por botnets e ransomware.

O risco é agravado pela exposição de servidores Redis na internet. Entre aproximadamente 330 mil instâncias expostas, ao menos 60 mil não exigiriam autenticação. Mesmo quando a falha requer usuário autenticado, ausência de senha, credenciais fracas ou segredos vazados transformam o requisito em barreira insuficiente. A resposta deve combinar atualização, autenticação obrigatória, segmentação de rede, revisão de comandos Lua, análise de processos filhos e busca por alterações no sistema operacional.

  • Atualizar instâncias vulneráveis e confirmar a versão efetivamente carregada após reinício controlado.
  • Exigir autenticação forte, remover exposição pública e limitar acesso por rede confiável.
  • Procurar uso anômalo de EVAL, conexões reversas, arquivos gravados pelo processo do Redis e execução de comandos no host.
Riscos de dados em GenAI

A análise global de ameaças de setembro de 2025 indicou estabilização temporária no volume geral de ataques, enquanto ransomware e riscos de dados associados a ferramentas de GenAI aumentaram. Um em cada 54 prompts de GenAI originados em redes empresariais apresentou alto risco de exposição de dados sensíveis. O problema atingiu 91% das organizações que usam ferramentas de GenAI regularmente.

O risco técnico está no conteúdo enviado a serviços de GenAI, não apenas no serviço em si. Prompts podem carregar segredos, trechos de código proprietário, dados pessoais, documentos internos, logs, consultas, chaves, mensagens de clientes ou detalhes de incidentes. Controles defensivos precisam atuar antes do envio, com classificação de dados, bloqueio de padrões sensíveis, políticas por grupo de usuário, registro auditável e orientação de uso para fluxos de engenharia, suporte, jurídico e segurança.

  • Monitorar prompts com chaves, tokens, dados pessoais, relatórios internos e código proprietário.
  • Aplicar políticas diferentes para dados públicos, internos, confidenciais e regulados.
  • Validar integrações corporativas de GenAI quanto a retenção, auditoria, escopo de acesso e controles de saída.
XWorm RAT com plugins e ransomware

O XWorm RAT voltou a aparecer com 35 plugins e um módulo de ransomware atualizado. As novas versões incluem recursos para criptografia de arquivos, alteração de papel de parede e criação de notas de resgate. Também há plugins voltados ao roubo de dados de navegadores, e-mail, aplicativos de mensagens, FTP e carteiras de criptomoedas.

A combinação de RAT modular com capacidade de ransomware amplia o impacto de uma infecção inicial. O operador pode iniciar com coleta de credenciais e reconhecimento, depois expandir para roubo financeiro, acesso a comunicações, movimentação lateral e criptografia. A defesa deve tratar a presença de XWorm RAT como comprometimento interativo, exigindo isolamento de endpoint, coleta de memória quando possível, revisão de persistência, invalidação de credenciais usadas no host e análise de tráfego para infraestrutura de comando e controle.

  • Caçar binários e scripts associados a Worm.Wins.Xworm e RAT.Wins.XWorm.ta.*.
  • Revisar persistência em inicialização, tarefas agendadas, diretórios de usuário e chaves de registro.
  • Rotacionar credenciais de navegador, e-mail, FTP, mensagens e carteiras acessadas no host comprometido.
ClayRat contra usuários Android

A campanha de spyware Android ClayRat imita aplicativos como WhatsApp, TikTok e YouTube para atingir usuários russos por sites de phishing e canais do Telegram. O malware usa instalação baseada em sessão para contornar restrições do Android 13 ou superior, atua como dropper para payloads criptografados e assume a função de manipulador de SMS.

Depois da instalação, o spyware exfiltra mensagens SMS, registros de chamadas, informações do dispositivo e fotos. A campanha também se autopropaga por SMS para contatos, o que transforma dispositivos infectados em canais de disseminação. A contenção exige remoção do aplicativo malicioso, revogação de permissões, revisão do manipulador padrão de SMS, análise de pacotes instalados fora da loja oficial e orientação para não instalar APKs recebidos por links em mensagens ou canais não verificados.

  • Procurar aplicativos falsos usando nomes e ícones de WhatsApp, TikTok ou YouTube fora de lojas oficiais.
  • Verificar qual aplicativo está configurado como manipulador padrão de SMS.
  • Investigar envio anômalo de SMS para contatos, permissões excessivas e payloads criptografados baixados após a instalação.
Mitigação consolidada

A resposta deve começar por exposição externa e identidade. Ativos com Oracle E-Business Suite, Redis, equipamentos de rede, DVRs, NVRs, CFTV e servidores web precisam de inventário, correção e redução de superfície. Em paralelo, ambientes AWS devem passar por revisão de chaves, usuários IAM, políticas administrativas, snapshots, bancos RDS, instâncias EC2, grupos de segurança e uso de SES. Esse conjunto cobre os vetores com maior probabilidade de gerar execução remota, roubo de dados e extorsão.

Para incidentes de conta e malware, a prioridade é invalidar sessões, rotacionar credenciais, remover persistência e preservar telemetria. Ataques de credential stuffing exigem controles de autenticação e automação; comprometimento de e-mail exige revisão de regras, OAuth e delegações; RATs e spywares exigem isolamento e análise de endpoint. Em todos os casos, a validação final deve confirmar que não há credenciais ativas do invasor, serviços expostos desnecessariamente, snapshots indevidos, regras de rede permissivas ou sinais de exfiltração ainda em andamento.

  • Aplicar correções para CVE-2025-61882, CVE-2025-49844, CVE-2023-1389, CVE-2024-3721 e CVE-2024-12856 quando os produtos afetados estiverem presentes.
  • Remover exposição direta de serviços administrativos e impor autenticação forte em Redis, painéis de dispositivos e aplicações empresariais.
  • Rotacionar chaves AWS, credenciais de e-mail, senhas de contas afetadas e segredos usados por integrações hospedadas externamente.
  • Centralizar logs de CloudTrail, aplicações web, endpoint, e-mail, autenticação, DNS e proxy para reconstruir as fases de acesso, enumeração, exfiltração e extorsão.