Incidentes envolveram integrações do Gainsight com Salesforce, vazamentos em provedores europeus, ransomware Akira, botnet IoT, fraudes sazonais e exploração ativa em FortiWeb, Chrome e 7-Zip.
| Componente | Integrações SaaS, sistemas de atendimento, infraestrutura de nuvem, navegadores, compactadores, dispositivos IoT e ambientes corporativos afetados por incidentes distintos. |
| Vetor | Uso indevido de tokens de integração, acesso não autorizado a sistemas de terceiros, ransomware, DDoS UDP distribuído, páginas maliciosas, arquivos ZIP manipulados, requisições autenticadas e fraudes com domínios falsos. |
| Impacto | Exfiltração de dados, interrupção operacional, exposição de identificadores pessoais, execução de código, exclusão de backups em nuvem, sobrecarga de endereço IP público e roubo de credenciais ou dados de pagamento. |
| Prioridade | Revogar credenciais de integração expostas, aplicar atualizações de segurança, revisar telemetria de identidade e rede, validar backups, investigar acessos anômalos e endurecer controles contra abuso de SaaS e endpoints. |
| Versões | Chrome corrigido em 142.0.7444.175 e posterior; CVE-2025-11001 corrigida no 7-Zip 25.00; CVE-2025-58034 tem atualizações para múltiplos ramos 7.x e 8.x do FortiWeb. |
| Artefatos | CVE-2025-58034, CVE-2025-13223, CVE-2025-11001, Akira, Aisuru Turbo, Mirai, SectopRAT, Howling Scorpius, Gainsight, Salesforce, FortiWeb, Chrome V8 e 7-Zip. |
A semana concentrou incidentes em três frentes operacionais distintas: abuso de integrações SaaS e sistemas de terceiros, exploração ativa de vulnerabilidades em componentes amplamente implantados e campanhas criminosas que combinam engenharia social, malware e ransomware. O conjunto de eventos exige leitura separada porque os vetores não apontam para uma única cadeia de ataque. Há casos de tokens revogados preventivamente, acesso indevido a plataformas de atendimento, roubo de dados em provedores de TI, negação de serviço em nuvem pública, execução de código por falhas em navegador e compactador, além de fraudes de varejo e saúde digital baseadas em falsificação de marcas.
A principal ação defensiva é reduzir a janela de abuso de credenciais e integrações. Em ambientes corporativos, isso significa inventariar conectores SaaS com acesso a dados de clientes, revisar tokens ativos, auditar escopos de permissão, correlacionar acessos incomuns com exportações de dados e validar se logs de API estão retidos em prazo suficiente. Em paralelo, equipes de infraestrutura precisam aplicar correções em FortiWeb, Chrome e 7-Zip, analisar exposição de serviços de borda, confirmar que backups não podem ser apagados por identidades comprometidas e verificar se controles DDoS estão preparados para tráfego UDP de grande escala.
O grupo chamado Scattered LAPSUS$ Hunters reivindicou um ataque de cadeia de suprimentos envolvendo a plataforma Gainsight integrada ao Salesforce. A alegação pública envolve comprometimento de dados de 300 organizações, com menção a Verizon, GitLab e Atlassian. A confirmação técnica disponível descreve atividade incomum relacionada às integrações Gainsight e revogação de todos os tokens de acesso ativos como medida preventiva. Não há indicação de vulnerabilidade no núcleo da plataforma Salesforce, o que desloca a investigação para conectores, autorizações delegadas, sessões persistentes e permissões concedidas por aplicativos de terceiros.
O fluxo defensivo deve partir da hipótese de abuso de tokens ou integração autorizada fora do padrão esperado. Organizações que usam Gainsight com Salesforce devem revisar eventos de OAuth, criação e uso de tokens, exportações em massa, chamadas de API com volume anormal e acessos a objetos sensíveis. A mitigação mais direta é revogar credenciais associadas à integração, reautorizar apenas aplicativos necessários, reduzir escopos, revisar contas técnicas e validar se houve consulta ou extração de dados fora de janelas operacionais conhecidas.
- Revisar tokens OAuth e escopos concedidos a integrações Gainsight.
- Correlacionar chamadas de API do Salesforce com exportações, consultas volumosas e horários incomuns.
- Confirmar que a revogação de tokens foi refletida em todos os ambientes e contas técnicas.
A Eurofiber France SAS, unidade francesa do grupo holandês Eurofiber, sofreu acesso não autorizado ao sistema francês de gerenciamento de chamados. O incidente incluiu exfiltração de informações de clientes relacionadas à divisão de nuvem e a submarcas regionais. A reivindicação foi associada ao ator ByteToBreach. O componente exposto é relevante porque plataformas de chamados concentram histórico técnico, contatos, contratos, detalhes de serviços, registros de incidentes e, em alguns casos, anexos com informações de configuração.
Em resposta, a prioridade é tratar o ambiente de atendimento como fonte de dados sensíveis, não apenas como sistema administrativo. Logs de autenticação, mudanças de permissão, criação de usuários, downloads em massa, consultas por cliente e acessos a anexos devem ser analisados. Clientes afetados devem revisar se os dados presentes em chamados poderiam facilitar ataques secundários, como phishing direcionado, tentativa de acesso a portais de suporte, abuso de informações de topologia ou uso de nomes reais de técnicos e contratos em campanhas de engenharia social.
A provedora italiana de TI Almaviva confirmou um ataque cibernético com dados roubados que incluem informações ligadas à Ferrovie dello Stato Italiane, operadora ferroviária nacional da Itália. O vazamento reportado envolve quase 2,3 TB de arquivos sensíveis, incluindo dados de passaporte de passageiros, registros de funcionários de subsidiárias, contratos relacionados à área de defesa e documentos financeiros. A empresa informou que serviços críticos continuam operacionais, o que separa a disponibilidade dos sistemas da confidencialidade dos arquivos exfiltrados.
O risco técnico está na amplitude dos dados vazados e na possibilidade de uso cruzado em fraudes, extorsão e ataques direcionados contra funcionários, fornecedores e passageiros. Organizações com relação contratual ou operacional com Almaviva ou entidades afetadas devem revisar comunicações recebidas, tentativas de redefinição de senha, uso indevido de documentos pessoais e possíveis abordagens com dados internos. Para defesa, a investigação deve mapear repositórios acessados, contas usadas, volumes transferidos, origem das conexões e qualquer compressão ou preparação de arquivos antes da exfiltração.
A LG Energy Solution relatou um ataque de ransomware em uma única instalação no exterior, posteriormente restaurada, com a sede declarada como não afetada. O grupo Akira reivindicou o roubo de 1,7 TB de dados. Mesmo quando a interrupção fica limitada a uma unidade, o volume alegado exige investigação de movimento lateral, caminhos de compartilhamento, credenciais reutilizadas, acesso remoto e segmentação entre a instalação afetada e os demais ambientes corporativos.
A resposta deve verificar se a restauração eliminou apenas o impacto operacional ou se também conteve o vetor inicial. Equipes de DFIR devem procurar criação de contas, uso anômalo de ferramentas administrativas, compressão de diretórios, transferência de grandes volumes, execução de binários desconhecidos e desativação de controles de segurança antes da criptografia. Backups usados na recuperação precisam ser validados quanto à integridade e isolamento, e credenciais presentes no ambiente afetado devem ser rotacionadas se puderam ser acessadas durante a intrusão.
A nuvem Azure enfrentou um ataque distribuído de negação de serviço de 15,72 Tbps, com 3,64 bilhões de pacotes por segundo, contra um endereço IP público na Austrália. O tráfego foi atribuído à botnet IoT Aisuru Turbo, da classe Mirai, com origem em mais de 500 mil IPs. O ataque foi descrito como inundação UDP de alta taxa, característica que pressiona capacidade de rede, mitigação em borda, tabelas de estado em equipamentos intermediários e telemetria de pacotes por segundo, não apenas banda agregada.
A defesa contra esse padrão depende de mitigação próxima à borda, absorção distribuída e regras capazes de distinguir tráfego legítimo de fluxos volumétricos sem depender de inspeção profunda. Organizações expostas por IP público devem validar proteção DDoS habilitada, limites de tráfego, alertas por pps, comunicação com provedores e runbooks para troca de endpoints ou redução controlada de superfície. Em paralelo, a presença de dispositivos IoT comprometidos na própria rede deve ser investigada por tráfego UDP incomum, conexões para destinos variados e comportamento compatível com botnets Mirai.
- Monitorar picos simultâneos de Tbps e pacotes por segundo em serviços expostos.
- Validar políticas de mitigação DDoS para tráfego UDP volumétrico.
- Investigar roteadores, câmeras e dispositivos IoT com tráfego de saída anômalo.
O provedor francês de serviços de seguridade social Pajemploi sofreu vazamento de dados pessoais associados a até 1,2 milhão de empregadores privados que usam serviços de cuidado infantil. As informações expostas incluem nomes completos, locais de nascimento, endereços postais, números de seguridade social, identificadores Pajemploi e de acreditação, além de nomes de instituições bancárias. O impacto principal é a exposição de identificadores estáveis, úteis para fraude de identidade e abordagem personalizada.
A AIPAC, organização política dos Estados Unidos, registrou notificação de vazamento associado a um sistema externo de terceiro. O acesso não autorizado ocorreu entre outubro de 2024 e fevereiro de 2025, afetando 810 pessoas e expondo identificadores pessoais. Não houve reivindicação de ator. Em ambos os casos, a ação defensiva deve incluir revisão de fornecedores, rastreamento de acessos durante o período de exposição, análise de exportações, verificação de notificações regulatórias e monitoramento de tentativas de fraude que usem dados pessoais como elemento de convencimento.
CVE-2025-58034 afeta Fortinet FortiWeb e permite injeção de comando por atacantes autenticados por meio de requisições manipuladas. A falha está sendo explorada ativamente, e há atualizações para múltiplos ramos 7.x e 8.x. O requisito de autenticação não elimina a urgência, porque credenciais válidas podem ser obtidas por phishing, reutilização, vazamentos prévios ou abuso de contas administrativas com escopo amplo. Sistemas FortiWeb expostos ou usados em perímetro devem ser priorizados para atualização e revisão de comandos executados fora do fluxo esperado.
CVE-2025-13223 é uma falha de confusão de tipo no motor V8 do Chrome, classificada como alta severidade e explorada ativamente para execução de código por páginas web manipuladas. A correção está disponível no Chrome 142.0.7444.175 e posterior. CVE-2025-11001 afeta o 7-Zip no Windows, tem pontuação CVSS 7.0, possui prova de conceito pública e permite execução de código ao abusar do tratamento de links simbólicos em arquivos ZIP. A correção foi feita no 7-Zip 25.00. A combinação de exploração ativa, navegador e arquivos compactados exige atualização ampla de estáções, endurecimento de navegação e cautela com anexos recebidos.
- Atualizar FortiWeb afetado por
CVE-2025-58034nos ramos corrigidos. - Atualizar Chrome para
142.0.7444.175ou posterior. - Atualizar 7-Zip para
25.00e investigar abertura de arquivos ZIP não confiáveis.
A atividade fraudulenta ligada à Black Friday inclui domínios recém-criados que imitam marcas conhecidas e lojas falsas voltadas ao roubo de credenciais e dados de pagamento. A proporção reportada indica que cerca de 1 em 11 novos domínios com referência a Black Friday é malicioso, enquanto 1 em 25 domínios que mencionam Amazon, AliExpress ou Alibaba representa ameaça ativa. Exemplos recentes também imitam HOKA e AliExpress. O vetor é social e web, mas o impacto técnico recai sobre identidade, cartões, contas de marketplace e endpoints que acessam páginas fraudulentas.
Outra campanha usa inteligência artificial generativa para simular reguladores de saúde e vender falsos produtos GLP-1 para perda de peso em escala europeia. Os operadores clonam logotipos e endossos de serviços oficiais, adaptam anúncios ao idioma local e exploram escassez de medicamentos e confiança pública. A detecção deve combinar monitoramento de domínios, análise de certificados, identificação de páginas que reutilizam marcas oficiais, telemetria de proxy seguro, denúncias de usuários e bloqueios em gateways de pagamento quando houver evidência de fraude.
Pesquisadores identificaram um RAT que disfarça tráfego de comando e controle como requisições de API de completions de chat para LLM. Os payloads são codificados em Base64 e XOR, e as comunicações não apresentam cabeçalhos padrão esperados nesse tipo de integração. O malware rouba dados de ferramentas de acesso remoto e navegadores, além de implantar um conjunto de proxy em .NET com persistência. O objetivo é misturar tráfego malicioso a padrões de uso cada vez mais comuns em ambientes corporativos que consomem APIs de IA.
A caça deve ir além de permitir ou bloquear domínios de IA por categoria. É necessário observar requisições com formato incompleto, ausência de cabeçalhos esperados, volumes incompatíveis com uso legítimo, payloads codificados, processos incomuns originando conexões e execução de binários .NET relacionados a proxy ou persistência. Dados de navegadores e ferramentas de acesso remoto devem ser tratados como credenciais de alto valor, exigindo rotação quando houver confirmação de execução do RAT.
- Procurar requisições de suposta API de chat sem cabeçalhos esperados.
- Identificar payloads Base64 e XOR em tráfego de saída incomum.
- Auditar processos
.NETpersistentes e coleta de dados de navegadores ou ferramentas remotas.
Uma campanha atribuída a Howling Scorpius usou falsos prompts de CAPTCHA para instalar SectopRAT em uma empresa global de armazenamento de dados e infraestrutura. A intrusão permitiu controle remoto e movimento lateral. Ao longo de 42 dias, os atacantes roubaram quase 1 TB de dados, apagaram backups em nuvem e implantaram ransomware Akira em três redes, interrompendo operações. O fluxo mostra uma progressão clara: engenharia social no acesso inicial, persistência por RAT, expansão interna, exfiltração, sabotagem de recuperação e criptografia final.
A defesa deve tratar prompts de CAPTCHA que levam à execução de comandos, download de binários ou instalação manual como sinal crítico. Em endpoints, devem ser buscados processos iniciados por navegadores, scripts copiados por usuários, conexões persistentes de controle remoto, credenciais usadas fora do padrão e ferramentas que enumeram compartilhamentos. Em nuvem, a exclusão de backups deve gerar alerta imediato e exigir proteção contra remoção por contas comprometidas, retenção imutável e segregação de permissões entre operação diária e administração de recuperação.
- Investigar execução iniciada após páginas de falso CAPTCHA.
- Procurar indicadores de SectopRAT, controle remoto e movimento lateral por 42 dias anteriores à criptografia.
- Revisar exclusões de backups em nuvem e aplicar retenção imutável onde disponível.
A ordem de resposta deve começar por ativos com exploração ativa e credenciais reutilizáveis. FortiWeb, Chrome e 7-Zip devem ser atualizados conforme as versões corrigidas. Integrações SaaS devem passar por revogação seletiva ou global de tokens quando houver suspeita, seguida de reautorização com menor privilégio. Sistemas de terceiros que armazenam chamados, dados pessoais ou documentos sensíveis precisam de revisão de logs, inventário de anexos e comunicação com responsáveis por privacidade e resposta a incidentes.
Para ransomware e intrusões prolongadas, a validação de backups é tão importante quanto a restauração. Backups em nuvem devem ter retenção imutável, segregação de contas e alertas para exclusão em massa. Para DDoS, a capacidade deve ser medida por banda e pacotes por segundo. Para fraudes e malware que imitam tráfego legítimo, controles de DNS, proxy, EDR e identidade precisam ser correlacionados, porque os sinais isolados podem parecer tráfego web comum, uso de API ou navegação de usuário.
- Aplicar correções de segurança em FortiWeb, Chrome e 7-Zip com validação de versão instalada.
- Revogar e recriar tokens de integrações SaaS com escopos mínimos e auditoria de API.
- Habilitar alertas para exportações volumosas, exclusão de backups, tráfego UDP anômalo e requisições de API com formato suspeito.
- Rotacionar credenciais quando houver indício de acesso a navegadores, ferramentas remotas, sistemas de chamados ou repositórios de documentos.
- Revisar runbooks de ransomware, DDoS e vazamento de dados com responsabilidades, contatos e critérios de contenção definidos.
0 Comentários