Boletim reúne vazamentos, ransomware, exploração ativa e malware Linux em ambientes corporativos

A semana concentrou incidentes em energia, saúde, finanças, governo e infraestrutura, além de exploração de CVE-2025-37164, tomada administrativa no plugin Modular DS e atividade de botnet contra HPE OneView.

ComponenteHPE OneView, Microsoft Desktop Window Manager, plugin WordPress Modular DS, protocolo Fast Pair, ambientes Linux em contêineres e Kubernetes, além de plataformas comerciais, hospitalares, governamentais e de terceiros.
VetorAcesso não autorizado a plataformas comerciais, engenharia social contra fornecedor de marketing, ransomware em servidores corporativos, exploração remota de vulnerabilidade e abuso de rotas expostas em plugin WordPress.
ImpactoExposição de dados pessoais e financeiros, interrupção de atendimento hospitalar, comprometimento de servidores, envio de phishing com tema de criptomoedas, execução remota de código e tomada administrativa não autenticada.
PrioridadeAplicar correções para sistemas vulneráveis, atualizar Modular DS para 2.5.2, revisar acessos de terceiros, procurar exploração de CVE-2025-37164 e validar sinais de ransomware, phishing e movimentação lateral.
VersõesHPE OneView versões 5.20 a 10.20 foram associadas à CVE-2025-37164; Modular DS 2.5.1 e anteriores devem ser atualizados para 2.5.2.
ArtefatosForam citados RondoDox, VoidLink, Sicarii, CVE-2025-37164, CVE-2026-20805, CVE-2026-23550 e CVE-2025-36911.
Resumo técnico

A semana combinou incidentes de vazamento, paralisação operacional e exploração de vulnerabilidades críticas em superfícies distintas. Os casos envolveram uma plataforma comercial usada por uma empresa de energia, sistemas hospitalares em campi belgas, servidores de um conglomerado sul-coreano, uma plataforma terceirizada de marketing usada por uma consultoria de investimentos, serviços de venda e reserva de passagens ferroviárias, sistemas de um fornecedor de migração de dados ligado a polícia, possível exposição de registros governamentais na Armênia e uma intrusão persistente em rede de saúde nos Estados Unidos. O padrão comum é a dependência de plataformas intermediárias, fornecedores ou sistemas centrais que concentram dados pessoais, financeiros, médicos ou operacionais.

Também houve exploração ativa e correções emergenciais. A CVE-2025-37164, falha de execução remota de código com pontuação máxima em HPE OneView, foi explorada pela botnet RondoDox a partir de 7 de janeiro e passou a constar no catálogo de vulnerabilidades exploradas conhecidas da CISA. A Microsoft corrigiu em janeiro 114 vulnerabilidades, incluindo a zero-day CVE-2026-20805 no Desktop Window Manager, associada à divulgação de informação. No ecossistema WordPress, a CVE-2026-23550 no plugin Modular DS permitia tomada administrativa sem autenticação por rotas expostas, com exploração ativa iniciada em 13 de janeiro. No campo de dispositivos, a CVE-2025-36911 no protocolo Fast Pair do Google expôs acessórios Bluetooth de áudio a sequestro de conexão, escuta e rastreamento, com correção dependente de firmware dos fabricantes.

Endesa

A Endesa divulgou um vazamento após acesso não autorizado a uma plataforma comercial usada para administrar informações de clientes. O dado técnico relevante é que a intrusão não foi descrita como comprometimento direto de uma conta final de usuário, mas como acesso indevido a um sistema que centraliza dados comerciais. Relatos públicos indicaram que atacantes anunciaram mais de 1 terabyte de dados à venda, incluindo identificadores bancários IBAN, o que eleva o risco de fraude financeira, engenharia social direcionada e tentativa de validação de dados em serviços de terceiros.

A contenção defensiva deve começar pela reconstrução da trilha de autenticação e autorização na plataforma afetada. Operadores precisam revisar contas administrativas, chaves de integração, logs de exportação em massa, consultas anômalas a registros de clientes e transferências para destinos externos. Quando há possível presença de IBAN, a resposta não se limita a notificação: é necessário identificar quais campos foram acessados, se houve consulta sequencial ou exportação por lotes, e quais integrações comerciais tinham permissão para leitura ampliada.

  • Verificar exportações volumosas de cadastro, dados bancários e histórico comercial.
  • Revisar credenciais de contas com permissão de leitura ampla na plataforma comercial.
  • Correlacionar horários de acesso com endereços IP, tokens de sessão e integrações autorizadas.
AZ Monica

O hospital AZ Monica sofreu um ataque cibernético que levou ao desligamento de sistemas de TI nos campi de Deurne e Antuérpia. O impacto operacional foi direto: cirurgias canceladas, capacidade emergencial reduzida, transferência de sete pacientes críticos pela Cruz Vermelha, adiamento de radiologia, imagem e quimioterapia, além de indisponibilidade de prontuários eletrônicos para médicos. Mesmo sem descrição pública do malware ou vetor inicial, a consequência confirma comprometimento de sistemas essenciais para continuidade assistencial.

Em ambientes hospitalares, o desligamento coordenado de TI costuma ser uma medida para impedir propagação, preservar evidências ou isolar segmentos afetados. A prioridade técnica é separar redes clínicas de redes administrativas, validar integridade de sistemas de prontuário, imagem e laboratório, e manter operação manual com cadeia de custódia para registros críticos. Logs de autenticação, controladores de domínio, gateways de VPN, servidores de arquivos e sistemas de agendamento devem ser preservados antes de qualquer reconstrução ampla.

  • Procurar autenticações incomuns em sistemas de prontuário, imagem, radiologia e agendamento.
  • Validar se contas privilegiadas foram usadas fora de horários clínicos normais.
  • Mapear dependências entre campi para evitar religamento de segmentos ainda contaminados.
Kyowon

O conglomerado sul-coreano Kyowon relatou um ataque de ransomware com interrupção de operações e possível exposição de dados de clientes. Autoridades estimaram até 9,6 milhões de contas afetadas e cerca de 600 de 800 servidores comprometidos. A ausência de reivindicação pública por um grupo específico limita a atribuição, mas o volume de servidores impactados sugere alcance lateral significativo ou falha de segmentação suficiente para permitir propagação além de um conjunto isolado de máquinas.

A resposta deve tratar o evento como comprometimento de domínio ou de infraestrutura central até prova contrária. É necessário congelar evidências de controladores de domínio, servidores de backup, hipervisores, consoles de gerenciamento remoto, EDR e sistemas de identidade. A recuperação só deve avançar depois de confirmar que contas de serviço, tarefas agendadas, políticas de grupo, chaves SSH, cofres de segredos e canais de administração não foram usados para persistência.

  • Comparar lista de servidores criptografados com ativos que mantêm credenciais administrativas.
  • Revisar criação recente de contas, elevação de privilégio e alterações em políticas de grupo.
  • Confirmar isolamento dos backups antes de restaurar sistemas de produção.
Betterment e Eurail

A Betterment divulgou violação decorrente de engenharia social contra uma plataforma terceirizada de marketing. O acesso obtido foi usado para enviar e-mails de phishing com tema de criptomoedas. Os dados expostos incluíram nomes, e-mails, endereços postais, telefones e datas de nascimento, enquanto as contas de clientes não foram descritas como comprometidas. O risco principal está na combinação entre dados cadastrais confiáveis e mensagens enviadas por infraestrutura ou identidade associada a comunicações legítimas.

A Eurail comunicou incidente de segurança envolvendo clientes e reservas de assento. Foram relatados dados pessoais, pedidos e detalhes de reserva, com menções a possíveis cópias de documentos de identidade e identificadores bancários em alguns relatos. Viajantes do programa DiscoverEU também podem ter sido afetados. Para ambos os casos, a investigação precisa separar dado acessado, dado exportado e dado usado em fraude, porque a presença de canais de comunicação legítimos ou informações de viagem permite phishing contextual com alto grau de verossimilhança.

  • Auditar campanhas disparadas por plataformas de marketing e listas exportadas.
  • Monitorar tentativas de recuperação de conta usando dados de nascimento, telefone e endereço.
  • Revisar acessos a reservas, documentos anexados e identificadores financeiros em portais de viagem.
Fornecedores e governo

O Departamento de Polícia de Anchorage tratou um incidente de terceiro relacionado à Whitebox Technologies, fornecedora de migração de dados que atende múltiplas agências. A resposta incluiu desabilitar o acesso do fornecedor e remover dados remanescentes dos sistemas do provedor, sem evidência divulgada de uso indevido de dados do departamento. O ponto técnico é a exposição por cadeia operacional: mesmo quando o ambiente principal não é invadido, ferramentas temporárias de migração podem reter cópias, credenciais ou conectores com privilégio excessivo.

Na Armênia, o governo reconheceu uma possível exposição após um ator anunciar oito milhões de registros alegadamente provenientes de sistemas oficiais por 2.500 dólares. Indicações iniciais apontaram possível origem em uma plataforma eletrônica de litígio civil, enquanto as autoridades ainda validavam a alegação. Em bases judiciais, o impacto pode envolver dados pessoais, histórico processual e documentos sensíveis. A resposta técnica exige amostragem controlada para verificar autenticidade, datas, campos, origem de tabela e possível reaproveitamento de dados públicos agregados.

  • Inventariar cópias temporárias criadas por fornecedores durante migração de dados.
  • Revogar conectores e credenciais usados por prestadores após término de projeto ou incidente.
  • Validar amostras de vazamento por estrutura de registros, carimbos de tempo e campos internos.
Central Maine Healthcare

A Central Maine Healthcare informou violação que afetou 145.381 pessoas após intrusos permanecerem na rede entre março e junho de 2025. Os dados comprometidos incluíram informações pessoais, tratamento e seguros. A duração da presença adversária é um ponto crítico para DFIR, porque amplia a janela de coleta, movimentação lateral e acesso a repositórios de documentos clínicos, faturamento e seguradoras. Notificações começaram em janeiro para comunidades afetadas no centro, oeste e litoral médio do Maine.

A investigação precisa reconstruir a linha do tempo do acesso inicial, persistência e exfiltração. Em saúde, dados de tratamento e seguro podem estar distribuídos entre prontuário eletrônico, sistemas de faturamento, anexos escaneados, integrações HL7, repositórios de relatórios e portais de paciente. A revisão deve incluir logs de VPN, identidade, EDR, proxy, DNS, bancos de dados, compartilhamentos SMB e ferramentas de administração remota, com foco em padrões sustentados durante os meses de permanência.

  • Correlacionar acesso a prontuário, faturamento, seguradoras e compartilhamentos clínicos.
  • Preservar eventos de março a junho de 2025 para reconstruir persistência e exfiltração.
  • Revisar contas de serviço e acessos remotos com uso contínuo durante a janela de intrusão.
Exploração e correções

A CVE-2025-37164 em HPE OneView é uma falha de execução remota de código com pontuação CVSS 10.0, afetando versões 5.20 a 10.20. A exploração ativa pela botnet RondoDox começou em 7 de janeiro. Como HPE OneView é usado para gerenciamento de infraestrutura, a exploração bem-sucedida pode colocar o atacante em posição privilegiada para manipular ativos, coletar inventário e pivotar para outros sistemas de administração. Organizações devem priorizar correção, validação de exposição externa e revisão de eventos de processo, autenticação e tráfego incomum no appliance.

A Microsoft corrigiu 114 vulnerabilidades no pacote mensal de janeiro, incluindo a CVE-2026-20805 no Desktop Window Manager, explorada ativamente e associada à divulgação de informação. Também foi corrigida a CVE-2026-23550 no plugin WordPress Modular DS, de severidade máxima, explorada desde 13 de janeiro e capaz de permitir tomada administrativa sem autenticação por rotas expostas. A ação imediata para WordPress é atualizar para 2.5.2 quando estiver em 2.5.1 ou anterior, além de revisar criação de administradores, alteração de opções, instalação de plugins, webshells e requisições anômalas às rotas do plugin.

  • Aplicar correções de HPE OneView em versões 5.20 a 10.20 e buscar exploração desde 7 de janeiro.
  • Atualizar Modular DS para 2.5.2 e auditar administradores criados recentemente.
  • Implantar correções mensais da Microsoft e priorizar estáções e servidores com exposição a dados sensíveis.
Malware e inteligência de ameaças

VoidLink foi descrito como um framework Linux nativo de nuvem, composto por carregadores, implantes, rootkits e mais de 30 plugins modulares para persistência em contêineres e Kubernetes. As capacidades citadas incluem roubo de credenciais, movimentação lateral e comunicação encoberta. A atividade aparenta associação chinesa, mas não há confirmação pública de infecções reais, o que limita conclusões operacionais sobre vítimas e prevalência. Mesmo assim, a arquitetura descrita indica foco em ambientes onde credenciais de serviço, tokens de cluster, imagens de contêiner e nós Kubernetes podem dar continuidade ao acesso.

A operação Sicarii, apresentada como ransomware como serviço surgido no fim de 2025, usa marcação explícita israelense e judaica, apesar de atividade em russo e domínio limitado de hebraico, sugerindo possível manipulação de identidade. O malware evita sistemas israelenses por geofencing, rouba dados e credenciais, faz varredura de rede e tenta exploração contra Fortinet. Em paralelo, levantamentos de phishing colocaram Microsoft como a marca mais imitada no quarto trimestre de 2025, com 22% das tentativas, seguida por Google com 13% e Amazon com 9%, além de campanhas imitando Roblox, recuperação de conta Netflix e páginas espanholas do Facebook.

  • Em Kubernetes, procurar criação anômala de pods privilegiados, montagem de hostPath e acesso a secrets.
  • Para Sicarii, revisar varreduras internas, coleta de credenciais e tentativas contra dispositivos Fortinet.
  • Em phishing, correlacionar mensagens de recuperação de conta com autenticações suspeitas e criação de sessões.
Hunting e mitigação

A caça deve ser orientada por superfície. Para vazamentos em plataformas comerciais, fornecedores e portais de reserva, priorize logs de exportação, alterações de permissão, uso de contas privilegiadas e acessos por integrações. Para ransomware, trate contas administrativas, servidores de backup, hipervisores e controladores de domínio como ativos críticos até que a investigação descarte comprometimento. Em saúde, energia e governo, preserve evidências antes de reinstalar sistemas, porque a perda de logs impede confirmar quais dados foram acessados.

A mitigação deve seguir ordem de risco: corrigir componentes explorados, revogar acessos de terceiros, rotacionar credenciais expostas ou possivelmente acessadas, validar integridade de backups, revisar contas criadas durante a janela de incidente e reforçar monitoramento de phishing. Em casos de Fast Pair, a correção depende de firmware dos fabricantes de acessórios, não apenas de atualização do telefone; portanto, inventário de modelos e acompanhamento de atualizações do fornecedor são necessários. Para ambientes Linux e Kubernetes, endureça permissões de contêiner, limite execução privilegiada, audite secrets e monitore alterações em módulos, binários de sistema e comunicações persistentes.

  • Buscar exportações de dados, consultas em massa e autenticações de fornecedores fora do padrão esperado.
  • Rotacionar senhas, tokens, chaves de API e credenciais de serviço associadas a sistemas afetados.
  • Auditar criação de administradores, instalação de plugins, webshells e mudanças em arquivos WordPress.
  • Verificar indicadores comportamentais de ransomware antes de restaurar servidores comprometidos.
  • Revisar clusters Kubernetes em busca de pods privilegiados, secrets acessados e tráfego de comando e controle.