Incidentes envolveram dados de funcionários, exfiltração em fabricante de dispositivos médicos, ransomware contra sindicato, falhas em Roundcube, SolarWinds Web Help Desk e Cisco SD-WAN, além de abuso de ferramentas de IA e infecções em WordPress.
| Componente | Ambientes corporativos, portais de suporte, Roundcube Webmail, SolarWinds Web Help Desk, Cisco Catalyst SD-WAN Controller, Claude Code, sites WordPress e operações associadas a Qilin, Medusa, ShinyHunters, Lazarus e GrayCharlie. |
| Vetor | Extorsão com acesso a dados, comprometimento de TI com exfiltração e destruição parcial, ransomware, portal terceirizado de atendimento, configurações maliciosas de projeto, exploração web pós-autenticação e pré-autenticação, abuso de contas de IA e injeção de JavaScript em WordPress. |
| Impacto | Exposição de dados de funcionários e clientes, risco de fraude contra membros de sindicato, interrupção de fluxos de expedição e rotulagem, execução remota de código, roubo de chaves de API, tomada de servidores de help desk e acesso privilegiado em controladores SD-WAN. |
| Prioridade | Aplicar correções para os produtos citados, revisar exposição de interfaces web, auditar contas e chaves de API, verificar exfiltração, preservar telemetria de identidade, endpoint, rede e aplicação, e executar contenção antes de restauração operacional. |
| Vulnerabilidades | CVE-2025-59536, CVE-2025-49113, CVE-2025-68461, CVE-2025-40552, CVE-2025-40554, CVE-2025-40553, CVE-2026-20127, CVE-2022-20775, além de falhas de desserialização em SolarWinds Web Help Desk referenciadas como CVE-2024-28986, CVE-2024-28988, CVE-2025-40536, CVE-2025-40554, CVE-2025-40552 e CVE-2025-26399. |
A semana reuniu incidentes de extorsão, vazamento de dados, ransomware, abuso de plataformas de IA, exploração de aplicações web e comprometimento de sites. Os casos corporativos tiveram impacto direto sobre dados de funcionários, dados de clientes e continuidade operacional. Em Wynn Resorts, o evento confirmado envolveu acesso a dados de funcionários após ameaça de extorsão vinculada a ShinyHunters, sem interrupção declarada das operações. Em UFP Technologies, o comprometimento atingiu partes do ambiente de TI, resultou em exfiltração, afetou fluxos de expedição e rotulagem e incluiu destruição de parte dos dados. No sindicato Transport Workers Union of America Local 100, a inclusão em site de vazamento do grupo Qilin colocou em risco dados pessoais de cerca de 67.000 membros.
O conjunto também incluiu falhas de alto impacto em produtos amplamente expostos. Roundcube Webmail teve duas vulnerabilidades listadas como exploradas em ambiente real: CVE-2025-49113, uma execução remota de código pós-autenticação, e CVE-2025-68461, uma falha de cross-site scripting sem autenticação. SolarWinds Web Help Desk teve uma cadeia de execução remota pré-autenticação descrita pela combinação de desvios de autenticação e desserialização insegura. Cisco Catalyst SD-WAN Controller apareceu com CVE-2026-20127, um desvio de autenticação crítico com CVSS 10, explorado por pelo menos três anos, capaz de permitir login com alto privilégio, inclusão de pares não autorizados e rebaixamento do controlador para exploração de CVE-2022-20775 com obtenção de acesso root.
O incidente em Wynn Resorts foi caracterizado como acesso a dados de funcionários após uma ameaça de extorsão associada a ShinyHunters. O ponto relevante para defesa é que o impacto comunicado não se concentrou em indisponibilidade do negócio, mas em confidencialidade de informações de recursos humanos. Relatos indicam que o conjunto exposto inclui dados de contato e registros de emprego de funcionários atuais e antigos, o que cria superfície para fraude, engenharia social, tentativas de tomada de conta e ataques direcionados contra pessoas com acesso administrativo ou financeiro.
A ausência de interrupção operacional não reduz a prioridade de resposta. Em casos desse tipo, a investigação deve reconstruir o caminho de acesso aos repositórios de RH, identificar contas usadas para consulta ou exportação em massa, medir o volume de registros acessados e correlacionar horários de acesso com autenticação, VPN, SSO, EDR e logs de aplicações internas. Controles de prevenção de perda de dados, trilhas de auditoria de sistemas de RH e registros de armazenamento corporativo são fontes primárias para confirmar se o evento foi apenas leitura, exportação, sincronização externa ou movimentação lateral.
- Revisar acessos recentes a bases de RH, diretórios de funcionários e repositórios com registros de emprego.
- Correlacionar exportações volumosas com sessões de SSO, VPN, dispositivos novos e mudanças de localização.
- Monitorar campanhas de phishing usando dados internos de emprego, cargo, telefone ou relacionamento hierárquico.
A UFP Technologies declarou comprometimento de partes do ambiente de TI, exfiltração de dados, interrupções nos fluxos de expedição e rotulagem, além de apagamento de parte dos dados. Esse padrão combina impacto de confidencialidade, integridade e disponibilidade. Para operadores, o detalhe sobre expedição e rotulagem indica que a resposta precisa ir além de servidores genéricos e incluir sistemas que sustentam logística, identificação de produtos, impressão de etiquetas, integrações com ERP, armazenamento de documentos de produção e estáções usadas em processos operacionais.
A destruição parcial de dados exige preservação cuidadosa antes de restauração. Se backups forem acionados sem delimitação do escopo, há risco de restaurar sistemas ainda acessíveis pelo invasor ou perder evidência sobre a cadeia de ataque. A ordem técnica deve priorizar isolamento de segmentos afetados, coleta de artefatos voláteis em sistemas críticos, verificação de contas privilegiadas, revisão de tarefas agendadas, serviços persistentes e ferramentas administrativas usadas fora de janela normal. Depois disso, a restauração deve validar integridade de dados de expedição, consistência de etiquetas e reconciliação com pedidos e lotes afetados.
- Inventariar servidores, estáções e integrações ligadas a expedição, rotulagem e armazenamento de arquivos operacionais.
- Verificar apagamentos, alterações de metadados e execuções administrativas em horários incompatíveis com operação normal.
- Validar backups offline antes de recolocar sistemas de logística e rotulagem em produção.
O sindicato Transport Workers Union of America Local 100 foi listado pelo grupo Qilin, com risco a dados pessoais de aproximadamente 67.000 membros. Em ransomware com exposição pública, o principal impacto técnico pode ocorrer mesmo sem criptografia confirmada no ambiente da vítima: a publicação ou ameaça de publicação transforma dados cadastrais e funcionais em insumo para fraude, abuso de identidade, phishing e pressão contra a organização. A telemetria deve procurar tanto sinais de execução de ransomware quanto sinais de coleta e compressão de dados antes da exfiltração.
Para entidades sindicais, bases de membros costumam combinar identificação pessoal, meios de contato, vínculos de trabalho, histórico de filiação e informações de benefícios ou representação. Mesmo quando não há detalhes completos sobre os campos exfiltrados, a investigação deve mapear quais sistemas armazenam essas categorias, quais contas têm permissão de exportação e quais integrações movem os dados para portais, ferramentas de comunicação ou provedores externos. A resposta defensiva deve incluir monitoramento de uso indevido dos dados e comunicação orientada a riscos concretos de fraude e personificação.
- Pesquisar criação de arquivos compactados grandes em servidores de arquivos, bancos exportados e diretórios de compartilhamento.
- Revisar conexões de saída incomuns antes da divulgação no site de vazamento.
- Identificar contas com acesso a listas de membros e validar se houve autenticação anômala.
A ManoMano relatou vazamento associado a um portal terceirizado de suporte ao cliente. Os registros expostos incluem nomes, endereços de e-mail, números de telefone e detalhes de chamados. Senhas e dados de pagamento não foram apontados como afetados. O risco técnico se concentra em dados de atendimento que podem revelar contexto de compra, histórico de reclamações, números de pedido, problemas de entrega e linguagem usada por clientes, material útil para phishing com alta credibilidade.
Quando a origem está em um portal de suporte de terceiro, a investigação precisa cobrir logs do provedor e do cliente. Não basta validar o perímetro principal da empresa. É necessário revisar permissões de agentes, integrações por API, tokens de sincronização, regras de exportação, aplicativos conectados e contas de administradores do serviço. A contenção deve confirmar se o acesso indevido foi encerrado no provedor, se credenciais ou chaves de integração foram trocadas e se os dados expostos foram acessados por consulta direta, exportação, API ou automação.
- Auditar acessos administrativos e exportações no portal de atendimento terceirizado.
- Revogar e recriar tokens de API usados para sincronização de chamados e perfis de clientes.
- Monitorar phishing que cite chamados reais, pedidos, suporte ou números de telefone expostos.
Foram descritas vulnerabilidades críticas em Claude Code que permitiam execução remota de código e roubo de credenciais de API por meio de configurações maliciosas de projeto. A correção incluiu CVE-2025-59536. O cenário é relevante para engenharia e AppSec porque o vetor depende de confiança em artefatos de projeto. Um repositório ou diretório preparado pelo atacante pode carregar parâmetros capazes de desviar o comportamento da ferramenta, executar código no ambiente do usuário e capturar chaves usadas para acesso à plataforma.
O roubo de chaves de API amplia o impacto para Workspaces compartilhados, com possibilidade de acesso a arquivos e adulteração. A resposta deve tratar está classe de falha como comprometimento de credenciais de desenvolvimento, não apenas como bug local. Equipes devem revisar projetos abertos com a ferramenta antes da atualização, rotação de chaves, permissões associadas a Workspaces e atividade de leitura, modificação ou criação de arquivos. Separar chaves por ambiente, reduzir escopo de permissões e impedir uso de credenciais pessoais em automações compartilhadas reduz o raio de impacto.
Também houve alerta sobre atividade coordenada de destilação atribuída a empresas de IA sediadas na China, incluindo DeepSeek, MiniMax e Moonshot. Contas fraudulentas teriam gerado milhões de interações para extrair raciocínio, código e fluxos de agentes com a finalidade de treinar modelos concorrentes. Em paralelo, foi relatada tentativa de uso malicioso de modelos em operação de influência vinculada a autoridade policial chinesa e direcionada ao primeiro-ministro do Japão. A evidência disponível aponta abuso de contas e workflows, não comprometimento de infraestrutura dos clientes.
- Atualizar Claude Code e bloquear execução de configurações de projeto não confiáveis em ambientes sensíveis.
- Rotacionar chaves de API expostas ou usadas em projetos abertos antes da correção.
- Auditar Workspaces compartilhados para acessos, leitura de arquivos e modificações fora do padrão esperado.
Roundcube Webmail permanece uma superfície relevante porque costuma estar exposto à internet e integrado a ambientes de hospedagem, incluindo cPanel. A falha CVE-2025-49113 exige autenticação e permite execução remota de código; isso torna contas de e-mail comprometidas um ponto de partida para execução no servidor. A falha CVE-2025-68461 é um cross-site scripting sem autenticação, o que permite exploração por requisições ou conteúdo que atinja usuários e sessões do webmail. A defesa deve cruzar tentativas de login, sessões válidas, requisições anômalas e criação ou alteração de filtros, preferências e plugins.
Em SolarWinds Web Help Desk, a cadeia pré-autenticação combina os desvios CVE-2025-40552 e CVE-2025-40554 com a execução remota por desserialização CVE-2025-40553. O impacto técnico é tomada de servidores de help desk expostos sem credenciais. Como essas plataformas concentram chamados, anexos, inventário, dados de usuários e credenciais operacionais em descrições de tickets, o servidor comprometido pode funcionar como ponte para movimentação lateral. Organizações com instâncias locais devem priorizar correção, restrição de exposição e análise de logs HTTP, criação de contas, execução de processos filhos e alterações em configurações da aplicação.
O caso Cisco Catalyst SD-WAN Controller é mais grave pelo histórico de exploração prolongada e pelo nível de privilégio envolvido. CVE-2026-20127 permite desvio de autenticação com acesso privilegiado. A partir daí, atacantes podem adicionar pares não autorizados e rebaixar controladores para explorar CVE-2022-20775 em busca de acesso root. A mitigação precisa combinar atualização, verificação de integridade da malha SD-WAN, revisão de peers, validação de versões e caça a eventos administrativos incompatíveis com mudanças planejadas.
- Localizar Roundcube exposto, confirmar versão corrigida e revisar logs de autenticação e requisições suspeitas.
- Restringir SolarWinds Web Help Desk à rede administrativa e investigar processos inesperados no servidor.
- Auditar controladores Cisco SD-WAN para peers não autorizados, alterações de versão e logins privilegiados anômalos.
A atividade ligada ao Lazarus usando Medusa ransomware em intrusões recentes mostra sobreposição entre operações atribuídas a Estado e ecossistemas de ransomware como serviço. Os eventos citados incluem uma entidade no Oriente Médio e tentativa de acesso em uma organização de saúde dos Estados Unidos. Medusa mantém atividade em site de vazamento, o que reforça o risco de dupla extorsão. A atribuição a Lazarus deve ser tratada com cautela operacional: ela orienta hipóteses de TTPs e priorização, mas a resposta deve se apoiar em evidência local de endpoint, identidade, rede e movimentação lateral.
Também foram descritos cinco agrupamentos de ameaças iranianas relevantes ao conflito no Oriente Médio, com TTPs recentes contra alvos na região e nos Estados Unidos. Sem indicadores técnicos detalhados no material disponível, a utilidade defensiva está em revisar controles comuns contra intrusão: exposição externa, credenciais reutilizadas, MFA resistente a phishing, segmentação, coleta de logs e resposta a abuso de ferramentas administrativas. Relatos sobre campanhas de 2025 também mencionaram exploração de Microsoft SharePoint conhecida como ToolShell, phishing adversary-in-the-middle para contornar MFA, operações associadas a Camaro Dragon e COLDRIVER, e mudanças em técnicas de comando e controle observadas na Europa e na Ásia Central.
Em WordPress, a atividade GrayCharlie foi associada à injeção de JavaScript externo para perfilamento de visitantes e entrega de malware por falsas atualizações ou prompts no estilo ClickFix. As infecções foram ligadas a NetSupport, depois Stealc e SectopRAT. O fluxo provável começa no comprometimento do site ou de um componente que permite inserir script em páginas públicas; o visitante é avaliado pelo JavaScript e direcionado a uma etapa de engano que induz execução manual ou instalação. A contenção deve remover o script, identificar o mecanismo de persistência no CMS, atualizar plugins e temas, revisar usuários administradores e procurar arquivos alterados.
- Procurar JavaScript externo desconhecido em temas, plugins, widgets, cabeçalhos e rodapés de WordPress.
- Investigar prompts de falsa atualização ou ClickFix associados a downloads, PowerShell ou instaladores remotos.
- Tratar NetSupport, Stealc e SectopRAT como sinais de comprometimento de endpoint, com isolamento e coleta forense.
A caça deve ser orientada por classe de evento. Para vazamentos e extorsão, os sinais centrais são acesso incomum a repositórios de dados, exportação em massa, compressão, staging e tráfego de saída fora do perfil. Para ransomware, procurar criação de arquivos compactados, execução de ferramentas de administração remota, desativação de proteções, enumeração de domínio, alterações em backups e conexões com infraestrutura de vazamento. Para falhas web, priorizar logs HTTP, erros de aplicação, payloads serializados, criação de arquivos no servidor, execução de processos filhos e contas novas.
Em ambientes de desenvolvimento e IA, telemetria de execução local é essencial. Abertura de projetos não confiáveis, leitura de arquivos de credenciais, chamadas de API a partir de estáções de desenvolvedores e alterações em Workspaces compartilhados devem ser correlacionadas. Em SD-WAN e help desk, os registros administrativos são tão importantes quanto logs de rede: mudanças de versão, inclusão de peers, contas privilegiadas, alteração de políticas e autenticações fora de janela planejada podem indicar exploração mesmo sem malware visível.
- Exportações de dados fora do padrão, compressão de diretórios e conexões de saída volumosas.
- Execução de processos inesperados por serviços web, help desk, webmail ou agentes de suporte.
- Alterações administrativas em controladores SD-WAN, Workspaces, portais de suporte e contas privilegiadas.
A sequência defensiva deve começar pela redução da exposição. Interfaces Roundcube, SolarWinds Web Help Desk, Cisco Catalyst SD-WAN Controller, portais de suporte e painéis administrativos devem ser inventariados, corrigidos e, quando possível, isolados por VPN, allowlist ou rede de administração. Aplicar patches é obrigatório nos casos com exploração citada, mas a atualização não substitui investigação retroativa, principalmente em Cisco SD-WAN, onde a exploração foi descrita como existente por anos, e em SolarWinds Web Help Desk, onde uma cadeia pré-autenticação pode comprometer o servidor antes de qualquer login legítimo.
Depois da contenção, a validação precisa cobrir credenciais, dados e integridade. Chaves de API de IA e desenvolvimento devem ser rotacionadas quando houver exposição possível. Ambientes com vazamento devem identificar campos acessados, titulares afetados e sistemas de origem. Incidentes com apagamento de dados exigem restauração a partir de backups validados e análise para garantir que o atacante não manteve persistência. Sites WordPress devem ser limpos no nível de CMS e sistema de arquivos, com atualização de plugins, temas e credenciais administrativas. Para ransomware e extorsão, preservar evidência antes de reconstruir sistemas é essencial para delimitar exfiltração e evitar reinfecção.
- Aplicar correções para Roundcube, SolarWinds Web Help Desk, Cisco Catalyst SD-WAN Controller e Claude Code.
- Rotacionar chaves de API, credenciais administrativas e tokens de integrações afetadas ou potencialmente expostas.
- Revisar logs históricos, confirmar escopo de exfiltração, validar backups e monitorar uso indevido de dados vazados.
0 Comentários