Ransomware

Um novo consórcio de cibercriminosos, denominado Scattered LAPSUS$ Hunters (SLH), surgiu a partir da fusão de três grupos notórios: Scattered Spider, ShinyHunters e LAPSUS$. De acordo com a equipe de inteligência de ameaças da Trustwave SpiderLabs, o SLH é descrito como uma “aliança federada” que oferece Extorsão como Serviço (EaaS), herdando características operacionais do ecossistema cibercriminoso conhecido como The Com. O grupo utiliza o Telegram como plataforma de coordenação e identidade pública, mesclando motivação financeira com um estilo hacktivista. Desde sua primeira aparição em agosto de 2025, o SLH tem demonstrado uma notável capacidade de adaptação, reestabelecendo sua presença mesmo após frequentes desmantelamentos. O grupo promove seu modelo EaaS, convidando afiliados a “alugar” sua marca para campanhas de extorsão. Além disso, o SLH está desenvolvendo um ransomware chamado “Sh1nySp1d3r”. As táticas do grupo incluem engenharia social avançada e exploração de vulnerabilidades, como CVE-2025-31324 e CVE-2025-61882, indicando uma possível colaboração com outros operadores de ransomware. A análise sugere que o SLH representa uma reestruturação estratégica de operadores veteranos, sinalizando um novo modelo de ciberextorsão para 2026.

O grupo de ransomware Clop está em atividade com uma nova campanha de exploração, utilizando uma vulnerabilidade zero-day identificada no Oracle E-Business Suite (CVE-2025-61882). Essa falha, detectada em junho de 2025 e confirmada pela Oracle em outubro, permite que atacantes remotos acessem funções críticas de ERP, como compras e logística, sem autorização. Durante a investigação, foram identificados dois IPs de comando e controle, além de mais de 90 servidores ativos em diversos países, com a Alemanha apresentando o maior número de servidores. O Brasil, junto com Panamá e Hong Kong, também está entre os países afetados. A infraestrutura utilizada pelo Clop mostra uma continuidade operacional com campanhas anteriores, indicando uma estratégia de reutilização de infraestrutura para evitar bloqueios geopolíticos. Especialistas em segurança alertam que organizações que utilizam sistemas ERP, como o Oracle EBS, devem implementar monitoramento em nível de rede para essas sub-redes, já que a exploração de software empresarial não corrigido continua a ser uma prioridade para o grupo. A situação é crítica, e ações imediatas são recomendadas para mitigar riscos.

O grupo de ransomware Interlock reivindicou um ataque cibernético ao Departamento de Polícia de Shelbyville, no Kentucky, ocorrido em outubro de 2025. O chefe da polícia, Bruce Gentry, confirmou que a rede de computadores da instituição foi comprometida, resultando na interrupção de suas operações. Interlock alegou ter roubado 208 GB de dados, incluindo gravações de câmeras de segurança, e publicou amostras para corroborar sua afirmação. Até o momento, o departamento não confirmou a veracidade das alegações nem se pagará o resgate exigido. Interlock, que começou a operar em outubro de 2024, já reivindicou 72 ataques, sendo 35 confirmados por organizações-alvo. O grupo também é responsável por outras violações de dados em entidades governamentais. Os ataques de ransomware a entidades governamentais nos EUA têm se tornado cada vez mais frequentes, com 68 incidentes confirmados em 2025, causando interrupções significativas em serviços essenciais. O caso do Departamento de Polícia de Shelbyville destaca a vulnerabilidade das instituições públicas e a necessidade urgente de medidas de segurança cibernética eficazes.

O Relatório de Ameaças Europeu de 2025, da Crowdstrike, revela um aumento alarmante de 13% nos ataques de ransomware na Europa, com o Reino Unido sendo o país mais afetado. Entre setembro de 2024 e agosto de 2025, 1.380 vítimas enfrentaram vazamentos de dados, com 92% delas sofrendo encriptação e roubo de informações. Os setores mais atingidos incluem manufatura, serviços profissionais e tecnologia. Os grupos de ransomware mais ativos foram Akira, LockBit e RansomHub, focando em grandes empresas, uma prática conhecida como ‘big game hunting’. Além disso, o relatório destaca um aumento no uso de ‘violência como serviço’ (VaaS), que envolve ameaças físicas e sequestros, com 17 incidentes relacionados a criptomoedas, sendo a maioria na França. O caso do co-fundador da Ledger, sequestrado em janeiro de 2025, exemplifica essa nova tática. O aumento de ataques de vishing e ClickFix também foi notado, evidenciando a evolução das técnicas de engenharia social utilizadas pelos hackers.

O Departamento do Tesouro dos EUA anunciou sanções contra oito indivíduos e duas entidades ligadas à Coreia do Norte, acusados de lavagem de dinheiro para financiar atividades ilícitas, incluindo cibercrime e fraudes trabalhistas. Segundo John K. Hurley, Subsecretário do Tesouro, hackers patrocinados pelo Estado norte-coreano têm roubado e lavado dinheiro para sustentar o programa de armas nucleares do regime, representando uma ameaça direta à segurança global. Entre os sancionados estão Jang Kuk Chol e Ho Jong Son, que gerenciavam fundos de um banco sancionado anteriormente, e a Korea Mangyongdae Computer Technology Company, que utilizava trabalhadores de TI para ocultar a origem de seus rendimentos. O artigo destaca que, nos últimos três anos, cibercriminosos ligados à Coreia do Norte roubaram mais de US$ 3 bilhões, principalmente em ativos digitais, utilizando malware sofisticado e engenharia social. A atividade criminosa inclui a contratação de programadores estrangeiros para estabelecer parcerias comerciais, com parte da receita sendo enviada de volta à Coreia do Norte. As sanções visam cortar as fontes de receita ilícitas do regime, que utiliza tanto canais tradicionais quanto digitais, como criptomoedas, para financiar suas operações.

Dois ex-profissionais de segurança cibernética, Ryan Clifford Goldberg e Kevin Tyler Martin, foram acusados de liderar uma operação de ransomware sofisticada que visava empresas americanas. Entre maio de 2023 e abril de 2025, eles supostamente utilizaram a variante ALPHV BlackCat para atacar pelo menos cinco grandes corporações em setores como dispositivos médicos e farmacêuticos. As acusações incluem conspiração para extorsão e danos intencionais a computadores protegidos. Os criminosos operavam por meio de um painel na dark web, onde as vítimas podiam negociar pagamentos em criptomoedas. O caso destaca a crescente capacidade das autoridades de rastrear cibercriminosos, mesmo em um ambiente de criptomoedas, e representa um aumento significativo nas ações legais contra operadores de ransomware. Os réus enfrentam penas de até 20 anos de prisão por extorsão e 10 anos por danos a computadores, além de possíveis multas e confisco de ativos relacionados ao esquema de ransomware.

Um novo coletivo cibercriminoso, formado por grupos como Scattered Spider, LAPSUS$ e ShinyHunters, tem se destacado por sua atividade no Telegram, onde já criou 16 canais desde agosto de 2025. O grupo, denominado Scattered LAPSUS$ Hunters (SLH), tem se envolvido em ataques de extorsão de dados, visando empresas que utilizam plataformas como Salesforce. O SLH oferece um serviço de extorsão como serviço (EaaS), permitindo que afiliados se unam para exigir pagamentos em troca do uso de sua marca. Além disso, o grupo tem se posicionado como uma entidade organizada, utilizando uma estrutura administrativa que confere legitimidade a suas operações. As atividades incluem campanhas de pressão contra executivos de alto escalão e a promoção de uma nova família de ransomware chamada Sh1nySp1d3r, que pode rivalizar com grupos estabelecidos como LockBit. A análise da Trustwave sugere que o SLH combina motivações financeiras com elementos de hacktivismo, utilizando técnicas de engenharia social e desenvolvimento de exploits para realizar suas operações. O uso do Telegram como plataforma central para coordenação e visibilidade reflete uma estratégia de comunicação eficaz entre os membros do grupo.

Os ataques de ransomware aumentaram 25% em outubro de 2025, totalizando 684 incidentes, o terceiro maior número mensal do ano. O setor industrial continua sendo o mais atacado, com 19% dos casos, mas o setor de saúde registrou um aumento alarmante de 115%, passando de 26 para 56 ataques. O grupo de ransomware Qilin destacou-se como o mais ativo, reivindicando 186 vítimas em outubro. Dos 684 ataques, 47 foram confirmados, sendo 27 em empresas, 10 em entidades governamentais e 3 em empresas de saúde. Os dados indicam que mais de 162 TB de dados foram supostamente roubados em 315 casos. Os Estados Unidos lideraram o número de ataques, com 374 incidentes, seguidos por aumentos significativos na Austrália e no Japão. O cenário é preocupante, especialmente para o setor de saúde, que já contabiliza 104 ataques confirmados em 2025, o que levanta questões sobre a segurança de dados sensíveis e conformidade com a LGPD.

O ransomware é um software malicioso que bloqueia o acesso a sistemas ou criptografa dados até que um resgate seja pago. Este tipo de ataque cibernético é uma das ameaças mais comuns e prejudiciais no cenário digital, afetando indivíduos, empresas e infraestruturas críticas em todo o mundo. Os ataques geralmente começam com a infiltração do malware por meio de e-mails de phishing, downloads maliciosos ou exploração de vulnerabilidades de software. Uma vez ativado, o ransomware utiliza algoritmos criptográficos para tornar os arquivos inacessíveis, exigindo pagamento, frequentemente em criptomoedas como Bitcoin, para fornecer a chave de descriptografia.

Três indivíduos foram acusados de invadir redes de cinco empresas nos EUA utilizando o ransomware BlackCat, também conhecido como ALPHV, entre maio e novembro de 2023. Os acusados, Ryan Clifford Goldberg, Kevin Tyler Martin e um co-conspirador não identificado, teriam atacado uma empresa de dispositivos médicos na Flórida, uma farmacêutica em Maryland, um consultório médico na Califórnia, uma empresa de engenharia na Califórnia e um fabricante de drones na Virgínia. Os ataques resultaram em extorsões, com a empresa de dispositivos médicos pagando cerca de 1,27 milhão de dólares em criptomoeda, embora os outros ataques não tenham gerado pagamentos. Os acusados foram identificados como negociadores de ameaças de ransomware e um gerente de resposta a incidentes em empresas de cibersegurança. As acusações incluem conspiração para interferir no comércio interestadual por extorsão e danos intencionais a computadores protegidos, com penas que podem chegar a 50 anos de prisão. O caso destaca a crescente ameaça do ransomware e a necessidade de vigilância constante na segurança cibernética.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma vulnerabilidade crítica no kernel do Linux, identificada como CVE-2024-1086. Essa falha, que se localiza no componente netfilter, permite que atacantes que já tenham acesso inicial a um sistema Linux elevem seus privilégios a nível root, concedendo controle total sobre a máquina comprometida. A vulnerabilidade é classificada como ‘use-after-free’, uma condição que ocorre quando um programa continua a usar um ponteiro de memória após a memória ter sido liberada, possibilitando a execução de código arbitrário. A exploração dessa falha tem sido utilizada em campanhas de ransomware, permitindo que operadores de ransomware criptografem arquivos em sistemas inteiros e realizem operações de exfiltração de dados. A CISA recomenda que todas as organizações realizem um inventário de seus sistemas Linux, priorizem a aplicação de patches e implementem controles compensatórios onde a correção imediata não for viável. A gravidade da situação exige atenção imediata de administradores de rede e defensores de sistemas, especialmente em ambientes empresariais e de infraestrutura crítica que dependem de sistemas baseados em Linux.

O grupo de ransomware Akira anunciou em 29 de outubro de 2025 que conseguiu invadir os sistemas do Apache OpenOffice, exfiltrando 23 gigabytes de dados corporativos sensíveis. Conhecido por suas táticas de dupla extorsão, o grupo ameaçou divulgar as informações caso um resgate não fosse pago. O Apache OpenOffice, uma ferramenta de produtividade de código aberto amplamente utilizada, não teve seus servidores de download comprometidos, garantindo a segurança das instalações dos usuários até o momento. Os dados supostamente roubados incluem registros pessoais de funcionários, como endereços, números de telefone, datas de nascimento, além de informações financeiras e documentos confidenciais internos. A Apache Software Foundation ainda não confirmou a violação, levantando dúvidas sobre a autenticidade dos dados. O incidente destaca os riscos crescentes enfrentados por organizações de software de código aberto, que frequentemente operam com recursos limitados de cibersegurança. A situação é um alerta para a necessidade de maior investimento em segurança cibernética para proteger infraestruturas digitais críticas.

O Berkeley Research Group (BRG) notificou 6.083 indivíduos sobre uma violação de dados ocorrida em fevereiro de 2025, que comprometeu informações sensíveis, incluindo números de Seguro Social, dados financeiros, informações médicas e identificações emitidas pelo governo. A violação foi resultado de um ataque de ransomware perpetrado pelo grupo Chaos, que exigiu um resgate não divulgado. O ataque ocorreu entre 28 de fevereiro e 2 de março de 2025, quando um ator não autorizado acessou brevemente os sistemas da BRG. O Departamento de Justiça dos EUA confirmou que a violação afetou sobreviventes de abusos sexuais por clérigos católicos. Para mitigar os danos, a BRG está oferecendo 24 meses de monitoramento de identidade gratuito através da Kroll. O grupo Chaos, ativo desde 2021, utiliza táticas de download automático e phishing, aplicando um esquema de dupla extorsão, onde exige pagamento tanto para destruir dados roubados quanto para restaurar sistemas infectados. Até agora, foram registrados 400 ataques de ransomware nos EUA em 2025, comprometendo 15,3 milhões de registros.

Nos primeiros nove meses de 2025, foram registrados 180 ataques cibernéticos no setor educacional, um aumento de 6% em relação ao mesmo período de 2024. Apesar desse crescimento, os últimos dois trimestres de 2025 mostraram uma diminuição significativa nos ataques, marcando a primeira queda desde o início do ano. Até agora, 63 ataques foram confirmados, resultando em 227.214 registros de dados comprometidos. Os ataques frequentemente causaram interrupções nas atividades escolares, com um impacto médio de 2,6 TB de dados roubados por ataque. Os grupos de ransomware mais ativos incluem Qilin, Fog e Interlock, sendo este último responsável pela maioria dos ataques confirmados. Os Estados Unidos lideram em número de ataques, seguidos pelo Reino Unido e França, que viu um aumento significativo nos incidentes. As demandas de resgate variam, com uma média de $444.400, e alguns casos extremos chegando a $1,5 milhão. A situação exige atenção especial dos líderes de segurança, especialmente em relação à proteção de dados e conformidade com a LGPD.

O grupo de ransomware Devman reivindicou um ataque cibernético ao Family Health West, um hospital e rede de clínicas médicas no Colorado, que resultou na paralisação de todos os sistemas eletrônicos da instituição. Embora a Family Health West tenha afirmado que não há evidências de perda ou criptografia de dados, o Devman alegou ter roubado 120 GB de informações e exigiu um resgate de $700.000, ameaçando divulgar os dados se a quantia não for paga em quatro dias. Este ataque marca a primeira vez que o Devman ataca uma empresa de saúde e também é seu primeiro alvo nos Estados Unidos. O grupo, que opera um modelo de ransomware como serviço, já atacou 41 organizações, com um resgate médio de $4,4 milhões. Em 2025, foram registrados 71 ataques de ransomware em instituições de saúde dos EUA, comprometendo mais de 7,5 milhões de registros. Os ataques a hospitais podem colocar em risco a saúde e a segurança dos pacientes, levando a interrupções nos serviços e à necessidade de recorrer a métodos manuais de atendimento.

Um estudo da Coveware revelou que apenas 23% das empresas vítimas de ataques de ransomware pagaram os resgates exigidos no terceiro trimestre de 2025, a menor taxa já registrada. Essa queda reflete uma mudança significativa na postura das organizações, que estão investindo mais em defesas contra ataques cibernéticos em vez de ceder às exigências dos criminosos. A média dos valores pagos também caiu drasticamente, com uma redução de 66% em relação ao trimestre anterior, totalizando US$ 376 mil. A evolução dos ataques de ransomware, que agora frequentemente incluem a exfiltração de dados, tem levado as empresas a reconsiderarem suas estratégias de pagamento. Especialistas apontam que cada pagamento evitado limita os recursos dos cibercriminosos, dificultando suas operações. Além disso, a conscientização sobre os riscos e a pressão regulatória têm contribuído para essa resistência crescente. As empresas estão adotando medidas de segurança mais robustas, como autenticação multifator e treinamento de funcionários, para prevenir ataques. A tendência é que os grupos de ransomware se tornem mais seletivos em seus alvos, focando em grandes corporações que possam pagar resgates elevados, enquanto tentam adaptar suas táticas para se manterem lucrativos.

O ator de ameaças conhecido como zeta88 está promovendo um novo programa de ransomware como serviço (RaaS) chamado Gentlemen’s, que visa ambientes empresariais em sistemas operacionais Windows, Linux e ESXi. Este RaaS se destaca por sua arquitetura modular e compatível com múltiplas plataformas, utilizando linguagens como Go e C para otimização de desempenho. O ransomware implementa chaves efêmeras por arquivo, dificultando a recuperação de dados e aumentando a complexidade da descriptografia. Além disso, o malware possui recursos avançados de segurança operacional, como modos de execução silenciosa e técnicas anti-forense para evitar detecções. O modelo econômico do programa permite que afiliados recebam 90% dos pagamentos de resgate, enquanto os operadores retêm apenas 10%, refletindo uma tendência crescente em operações de ransomware. A operação exclui alvos na Rússia e em países da CEI, focando em empresas da América do Norte, Europa e APAC. Para se proteger contra essa ameaça emergente, as organizações devem priorizar a implementação de soluções de EDR, segmentação de rede e fortalecimento da infraestrutura de backup.

O grupo de ransomware Qilin reivindicou a responsabilidade por uma violação de dados que afetou a MedImpact Healthcare, uma gestora de benefícios farmacêuticos, no início de outubro de 2025. Em um comunicado, a MedImpact confirmou a detecção de ransomware em seus sistemas e informou que está trabalhando para restaurar os sistemas afetados em um novo ambiente seguro. Embora a empresa não tenha especificado quais dados foram comprometidos, Qilin alegou ter roubado 160 GB de informações, incluindo documentos de sua subsidiária Elixir Solutions. A MedImpact não confirmou a veracidade da alegação do grupo. O ataque é parte de uma tendência crescente de ataques de ransomware no setor de saúde dos EUA, que já registrou 12 incidentes confirmados em 2025, comprometendo cerca de 5,5 milhões de registros. O grupo Qilin, ativo desde 2022, é conhecido por sua abordagem de ransomware como serviço, onde afiliados pagam para usar seu malware. Este incidente destaca a vulnerabilidade das empresas de saúde e a necessidade de medidas robustas de cibersegurança.

O grupo de ransomware Akira assumiu a responsabilidade por uma violação de dados na BK Technologies, fabricante de dispositivos de comunicação sem fio, ocorrida em 20 de setembro de 2025. A empresa confirmou que um acesso não autorizado a seus sistemas foi realizado, resultando no roubo de 25 GB de dados, incluindo informações de funcionários, documentos contábeis e contratos confidenciais. Embora a Akira tenha listado a BK Technologies em seu site de vazamento de dados, a empresa ainda não confirmou a extensão dos dados comprometidos ou se pagará um resgate. O relatório da SEC indica que, após o incidente, alguns sistemas não críticos sofreram interrupções menores, mas a empresa acredita que o acesso não autorizado foi contido. Akira, que surgiu em março de 2023, já reivindicou 559 ataques de ransomware, afetando diversos setores, incluindo manufatura e saúde. O aumento de ataques a fabricantes nos EUA, como evidenciado por 50 incidentes confirmados em 2025, destaca a crescente ameaça de ransomware, que pode causar interrupções significativas nas operações e riscos de conformidade, especialmente em relação à LGPD no Brasil.

O grupo de ransomware conhecido como Qilin, também chamado de Agenda, Gold Feather e Water Galura, tem se mostrado extremamente ativo, reivindicando mais de 40 vítimas por mês desde o início de 2025, exceto em janeiro. Em junho, o número de casos postados em seu site de vazamento de dados atingiu 100. A operação de ransomware como serviço (RaaS) é responsável por 84 vítimas em agosto e setembro. Os ataques têm como alvo principalmente os setores de manufatura, serviços profissionais e científicos, e comércio atacadista, afetando países como EUA, Canadá, Reino Unido, França e Alemanha. Os atacantes utilizam credenciais administrativas vazadas para obter acesso inicial, seguido de conexões RDP e reconhecimento do sistema. Ferramentas como Mimikatz e Cyberduck são empregadas para coletar credenciais e transferir dados. O ransomware Qilin, por sua vez, criptografa arquivos e apaga cópias de sombra do Windows. Além disso, uma variante do ransomware para Linux foi descoberta, demonstrando a capacidade de afetar sistemas Windows e Linux simultaneamente. Os ataques também exploram ferramentas legítimas para contornar barreiras de segurança, destacando a necessidade de vigilância constante e medidas de mitigação eficazes.

O grupo de ransomware Agenda, também conhecido como Qilin, lançou uma nova variante que utiliza um ransomware baseado em Linux, capaz de operar em sistemas Windows. Essa abordagem representa uma escalada significativa nas operações de ataque multi-plataforma do grupo. Os atacantes empregaram ferramentas legítimas de TI, como Splashtop Remote e WinSCP, para entregar um payload Linux, contornando sistemas de segurança centrados em Windows. A campanha se aproveita de ferramentas de gerenciamento remoto e de transferência de arquivos para implantar ransomware em ambientes híbridos de forma discreta. Além disso, o grupo realizou uma coleta direcionada de credenciais contra a infraestrutura de backup da Veeam, desativando a recuperação e roubando tokens de backup antes de implantar o ransomware. A variante híbrida demonstrou consciência do hipervisor, detectando ambientes VMware ESXi e Nutanix AHV, e utilizou técnicas de Bring Your Own Vulnerable Driver (BYOVD) para neutralizar ferramentas de antivírus. Com mais de 700 organizações comprometidas em 62 países, incluindo setores críticos como manufatura, finanças e saúde, especialistas alertam as empresas a reforçarem os controles de acesso e monitorarem o uso de credenciais. A Trend Vision One™ já detecta e bloqueia os indicadores de comprometimento identificados.

O grupo de ransomware Qilin, baseado na Rússia, alcançou um marco alarmante ao reivindicar seu 700º ataque em 2025, superando o total de vítimas do ano anterior do grupo RansomHub. Desde sua aparição em 2022, Qilin ganhou notoriedade em 2023 e, em 2024, registrou 179 vítimas, número que quadruplicou neste ano. O modelo de negócios Ransomware-as-a-Service (RaaS) tem impulsionado sua atividade, especialmente após o desaparecimento do RansomHub, que levou seus afiliados a se unirem ao Qilin. Os principais alvos incluem setores críticos como manufatura, finanças, varejo, saúde e agências governamentais, onde a criptografia de sistemas e o roubo de dados podem causar grandes interrupções. Até agora, Qilin já comprometeu 788.377 registros e roubou 116 TB de dados. Os Estados Unidos são o país mais afetado, seguido por França, Canadá e Coreia do Sul. O aumento de ataques no setor educacional, com um crescimento de 420% em relação ao ano anterior, é particularmente preocupante, assim como os ataques a entidades governamentais, que subiram 344%. O impacto financeiro e a conformidade com a LGPD são preocupações significativas para as organizações brasileiras.

O grupo de ransomware Genesis reivindicou ataques a nove empresas nos Estados Unidos, incluindo Healthy Living Market & Café e River City Eye Care, que já relataram vazamentos de dados. O ataque a Healthy Living, ocorrido em setembro de 2025, comprometeu informações sensíveis como nomes, números de Seguro Social, dados de depósitos diretos e registros médicos. Já o ataque a River City Eye Care expôs nomes, números de telefone, datas de nascimento e informações de identificação de alguns pacientes. Genesis afirma ter roubado 400 GB de dados da Healthy Living e 200 GB da River City Eye. Embora as empresas não tenham confirmado as alegações do grupo, a situação destaca a crescente ameaça de ransomware nos EUA, com 381 ataques confirmados em 2025 até agora, afetando mais de 15,2 milhões de registros. O valor médio do resgate exigido é de aproximadamente $984,600. A falta de ofertas de monitoramento de crédito ou proteção contra roubo de identidade para as vítimas é uma preocupação adicional. O aumento de ataques de ransomware, especialmente em setores críticos como saúde e alimentação, levanta questões sobre a segurança cibernética e a proteção de dados pessoais.

Um novo e sofisticado kit de ferramentas de ransomware, chamado Monolock, foi identificado em fóruns da dark web, gerando preocupação nas comunidades de cibersegurança. Este ransomware é projetado para campanhas de ataque rápidas e automatizadas, apresentando capacidades técnicas avançadas. O Monolock oferece um pacote completo para operações de ransomware, incluindo módulos para automação de comando e controle, escalonamento de privilégios e técnicas de evasão persistente. Além disso, possui ferramentas para deletar cópias de sombra em sistemas-alvo, dificultando estratégias comuns de recuperação de desastres. O kit também conta com recursos anti-análise que evitam a execução em ambientes de segurança. Os operadores do Monolock estão recrutando afiliados com experiência em implantação de malware, oferecendo um programa de afiliados que inclui taxas de registro e uma divisão de lucros. A emergência do Monolock se alinha com a tendência de ransomware como serviço (RaaS), permitindo que grupos criminosos menores tenham acesso a ferramentas avançadas. Especialistas em segurança recomendam que as organizações monitorem indicadores de comprometimento relacionados ao Monolock e mantenham backups offline para se protegerem contra essa nova ameaça.

O Grupo Volkswagen confirmou que está investigando alegações do grupo de ransomware 8Base, que afirma ter roubado e vazado dados sensíveis da montadora alemã. Embora a empresa assegure que sua infraestrutura de TI principal permanece segura, a natureza vaga da resposta gerou preocupações sobre uma possível violação de dados de terceiros. O grupo 8Base, conhecido por suas táticas de extorsão dupla, alegou ter exfiltrado arquivos confidenciais em 23 de setembro de 2024, ameaçando divulgar os dados até 26 de setembro. Embora o prazo inicial tenha passado sem vazamentos, 8Base listou as informações roubadas em sua plataforma na dark web. Os dados comprometidos incluem faturas, documentos contábeis, arquivos pessoais de funcionários e contratos de trabalho. Se confirmada, essa violação pode expor informações financeiras e pessoais sensíveis em operações globais da Volkswagen, afetando marcas renomadas como Audi e Porsche. Especialistas em cibersegurança destacam a necessidade urgente de aprimorar a gestão de riscos de terceiros, uma vez que ataques modernos frequentemente exploram vulnerabilidades em parceiros da cadeia de suprimentos.

A Microsoft anunciou a revogação de mais de 200 certificados utilizados pelo grupo de cibercriminosos conhecido como Vanilla Tempest, que assina fraudulentamente binários maliciosos em ataques de ransomware. Esses certificados foram empregados em arquivos de instalação falsos do Microsoft Teams para entregar o backdoor Oyster e, por fim, implantar o ransomware Rhysida. A atividade foi detectada no final de setembro de 2025, e a Microsoft já atualizou suas soluções de segurança para sinalizar as assinaturas associadas a esses arquivos maliciosos. O grupo Vanilla Tempest, que opera desde julho de 2022, é conhecido por distribuir diversas variantes de ransomware, incluindo BlackCat e Quantum Locker. O backdoor Oyster é frequentemente disseminado por meio de instaladores trojanizados de softwares populares, utilizando domínios maliciosos que imitam sites legítimos. A Microsoft alerta que os usuários são frequentemente direcionados a esses sites por meio de técnicas de SEO, que manipulam resultados de busca. Para se proteger, é recomendado baixar softwares apenas de fontes verificadas e evitar clicar em links suspeitos.

O grupo de ransomware Qilin, conhecido por seu modelo de ransomware como serviço (RaaS), intensificou suas operações globais utilizando provedores de hospedagem à prova de balas (BPH) para ocultar suas atividades. De acordo com a Resecurity, a infraestrutura do Qilin abrange várias jurisdições, incluindo Rússia, Hong Kong, Chipre e Emirados Árabes Unidos, permitindo que o grupo evite a aplicação da lei e mantenha suas operações a longo prazo. Recentemente, o Qilin atacou o Asahi Group Holdings, a maior fabricante de bebidas do Japão, paralisando a produção em 30 fábricas. O grupo, que surgiu em meados de 2022, utiliza um modelo avançado de RaaS, onde seus afiliados executam ataques e retêm 80-85% do resgate. A infraestrutura do Qilin é sustentada por provedores de BPH que operam sem identificação de clientes, permitindo que dados roubados e servidores de comando e controle sejam hospedados de forma anônima. Até outubro de 2025, o Qilin já havia reivindicado mais de 50 novas vítimas, incluindo agências governamentais e cooperativas elétricas nos EUA. A dependência de redes BPH fantasmas demonstra como a infraestrutura de hospedagem anonimizada permite que grupos de ransomware prosperem fora do alcance da lei internacional.

Nos primeiros nove meses de 2025, pesquisadores da Comparitech registraram 276 ataques a organizações governamentais, um aumento de 41% em relação ao mesmo período de 2024. Desses, 147 ataques foram confirmados, com uma expectativa de que esse número cresça à medida que mais incidentes sejam verificados. Apesar do aumento geral, o número de ataques de ransomware a agências governamentais tem diminuído a cada trimestre desde o primeiro trimestre de 2025. No entanto, as empresas de serviços públicos não experimentaram essa mesma queda, com 10 ataques confirmados, sendo cinco deles nos últimos três meses. O ataque ao Lakehaven Water & Sewer District em setembro, reivindicado pelo grupo Qilin, exemplifica o impacto que esses incidentes podem ter nos serviços essenciais. Os ataques a organizações governamentais são frequentemente amplamente divulgados, o que aumenta a notoriedade dos grupos atacantes. O relatório também destaca que o grupo Qilin foi responsável pelo maior número de ataques confirmados, com 19 incidentes, e que os Estados Unidos lideram em termos de ataques, seguidos por Brasil e Canadá. O impacto financeiro médio das demandas de resgate foi de aproximadamente $1,95 milhão, com um aumento significativo nas exigências em alguns casos.

A Microsoft anunciou a interrupção de uma campanha sofisticada de ciberataques liderada pelo grupo Vanilla Tempest, também conhecido como VICE SPIDER e Vice Society. A ação envolveu a revogação de mais de 200 certificados de assinatura de código obtidos fraudulentamente. A campanha, que começou em setembro de 2025, utilizou arquivos de instalação falsificados do Microsoft Teams para implantar um backdoor chamado Oyster e, posteriormente, o ransomware Rhysida. Os atacantes criaram sites que se passavam por portais oficiais de download do Teams, utilizando técnicas de SEO para atrair vítimas. Após a execução do instalador falso, o backdoor Oyster permitia acesso persistente aos sistemas comprometidos. A Microsoft agiu rapidamente para revogar os certificados, invalidando as chaves usadas nos arquivos de instalação e atualizando o Microsoft Defender para detectar as ameaças associadas. A ação ressalta a importância da gestão robusta de certificados e do compartilhamento de inteligência em tempo real, ajudando a proteger clientes globalmente e a estabelecer um precedente para a colaboração entre autoridades certificadoras e a comunidade de cibersegurança.

O grupo de ransomware Interlock reivindicou um ataque cibernético às escolas públicas de Kearney, em Nebraska, ocorrido na última sexta-feira. O ataque resultou no roubo de 354 GB de dados, incluindo informações pessoais e financeiras de alunos e seus familiares. Embora a escola tenha restaurado seus sistemas até segunda-feira, a veracidade das alegações do grupo não foi confirmada. A diretora de comunicações da escola, Tori Stofferson, afirmou que a investigação ainda está em andamento e que não houve solicitação de resgate. O superintendente, Dr. Jason Mundorf, mencionou que servidores de câmeras e de telefonia foram comprometidos, mas não se sabe se dados pessoais foram acessados. O Interlock é um grupo que começou a operar em outubro de 2024 e já reivindicou 32 ataques confirmados, sendo 11 direcionados a instituições educacionais. Os ataques de ransomware têm se tornado comuns nas escolas dos EUA, com 38 incidentes confirmados em 2025, comprometendo 184 mil registros. O impacto desses ataques pode ser severo, afetando operações diárias e expondo dados sensíveis a fraudes.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou a vulnerabilidade CVE-2025-6264 ao seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), alertando que operadores de ransomware estão explorando uma falha de permissões padrão no Velociraptor, uma ferramenta de forense de endpoints da Rapid7. Essa vulnerabilidade permite a execução de comandos arbitrários e a possível tomada de controle do endpoint, desde que o atacante já tenha acesso suficiente para coletar artefatos. A falha está relacionada a configurações de permissões incorretas, que podem ser utilizadas em estágios de movimento lateral em ataques de ransomware, onde os operadores convertem acessos limitados em controle total. A CISA recomenda que as organizações remedeiem a vulnerabilidade até 4 de novembro de 2025, aplicando as mitig ações do fornecedor e seguindo as diretrizes de BOD 22-01 para serviços em nuvem. A exploração ativa dessa vulnerabilidade foi observada em várias campanhas de ransomware, elevando a urgência para defensores do setor público e privado. As equipes de segurança devem verificar as permissões de implantação do Velociraptor, reforçar credenciais e aumentar a telemetria para detectar usos anômalos.

Um grande fabricante sofreu um ataque de ransomware devastador após a obtenção de credenciais VPN roubadas. O grupo cibercriminoso Ignoble Scorpius utilizou um ataque de phishing por voz para enganar um funcionário, que forneceu suas informações de login em um site falso. Com essas credenciais, os atacantes conseguiram acesso à rede e rapidamente elevaram seus privilégios, realizando um ataque DCSync para coletar credenciais administrativas adicionais.

Os invasores se moveram lateralmente pela rede, utilizando ferramentas como Advanced IP Scanner para mapear servidores valiosos e instalaram um Trojan de acesso remoto para garantir acesso contínuo. Eles comprometeram um segundo controlador de domínio, extraindo mais de 400 GB de dados sensíveis antes de implantar o ransomware BlackSuit, que criptografou centenas de máquinas virtuais, paralisando as operações da empresa.

No final de semana, o grupo de ransomware Obscura reivindicou um ataque cibernético ocorrido em setembro de 2025 contra Michigan City, Indiana. Em 9 de outubro de 2025, autoridades da cidade confirmaram que um ataque comprometeu dados municipais e interrompeu o acesso online e telefônico dos funcionários. Obscura afirmou ter roubado 450 GB de dados e que o prazo para pagamento do resgate já havia expirado. Embora a cidade não tenha confirmado a reivindicação do grupo, a situação está sob investigação policial, limitando as informações disponíveis ao público. O ataque é o primeiro reconhecido por Obscura, que também alegou ter atacado uma entidade governamental na Alemanha e uma loja de suprimentos na Irlanda. Os ataques de ransomware em entidades governamentais dos EUA têm aumentado, com 64 incidentes confirmados em 2025 até agora. Esses ataques podem resultar em perda de dados, interrupções em serviços essenciais e riscos de fraude para os cidadãos. A cidade de Michigan City, que abriga mais de 32.000 pessoas, está focada em restaurar seus sistemas de forma segura.

No final de semana, a SimonMed Imaging confirmou que 1.275.669 pessoas foram afetadas por uma violação de dados em janeiro de 2025, atribuída ao grupo de ransomware Medusa, que exigiu um resgate de US$ 1 milhão. Este incidente se torna a segunda maior violação de dados do ano no setor de saúde e a sexta em todos os setores. A SimonMed foi alertada por um de seus fornecedores sobre um incidente de segurança em 27 de janeiro, e, após uma revisão, identificou atividades suspeitas em sua rede no dia seguinte. Os dados comprometidos incluem informações pessoais e médicas, como nomes, endereços, números de registro médico e informações de seguro de saúde. Medusa reivindicou a responsabilidade pelo ataque e listou a SimonMed em seu site, exigindo o resgate. Até agora, 140 ataques confirmados do grupo resultaram na violação de mais de 4,5 milhões de registros, com um foco crescente em organizações de saúde. Em 2025, já foram registrados 65 ataques a provedores de saúde nos EUA, totalizando mais de 7,5 milhões de registros comprometidos. O ataque à SimonMed é o maior até agora, superando outros incidentes significativos no setor de saúde.

O cenário de cibersegurança continua a se deteriorar, com ataques cada vez mais sofisticados e coordenados. Um dos principais incidentes recentes envolve a exploração de uma falha crítica no Oracle E-Business Suite, afetando diversas organizações desde agosto de 2025. A falha, identificada como CVE-2025-61882, possui uma pontuação CVSS de 9.8 e foi utilizada por grupos como o Cl0p para exfiltrar dados sensíveis. Além disso, o grupo Storm-1175 explorou uma vulnerabilidade no GoAnywhere MFT, resultando em ataques em setores variados, como transporte e educação.

Recentemente, o grupo de ameaças Storm-2603, associado a ataques de ransomware, tem utilizado o Velociraptor, uma ferramenta de resposta a incidentes de código aberto, para comprometer sistemas. Os atacantes exploraram vulnerabilidades do SharePoint, conhecidas como ToolShell, para obter acesso inicial e implantar uma versão desatualizada do Velociraptor, que possui uma vulnerabilidade de escalonamento de privilégios (CVE-2025-6264). Durante os ataques, que ocorreram em agosto de 2025, os invasores tentaram criar contas de administrador de domínio e se mover lateralmente dentro da rede comprometida, utilizando ferramentas como Smbexec para executar programas remotamente. Além disso, modificaram objetos de política de grupo do Active Directory e desativaram a proteção em tempo real para evitar detecções. Este é o primeiro caso em que o Storm-2603 foi vinculado ao uso do ransomware Babuk, além dos já conhecidos Warlock e LockBit. A análise sugere que o grupo possui características de atores patrocinados por estados-nação, devido à sua organização e práticas de desenvolvimento sofisticadas. As implicações para a segurança cibernética são significativas, especialmente considerando a possibilidade de que esses métodos possam ser replicados em ambientes corporativos no Brasil.

O grupo de ransomware Qilin reivindicou um ataque cibernético ao Uvalde Consolidated Independent School District, ocorrido entre 15 e 18 de setembro de 2025. Durante o ataque, as escolas do distrito foram fechadas devido à interrupção de serviços essenciais, como telefonia, ar-condicionado e câmeras de segurança. Embora o distrito tenha afirmado que não houve acesso não autorizado a dados sensíveis, Qilin alegou ter roubado informações pessoais de funcionários e alunos, além de dados financeiros. Para corroborar sua afirmação, o grupo publicou imagens de documentos que afirmam ter sido extraídos dos servidores do distrito. Até o momento, o Uvalde CISD não confirmou a veracidade das alegações do grupo. O Qilin é um grupo de ransomware que opera um modelo de ransomware como serviço, permitindo que afiliados utilizem seu malware para realizar ataques. Em 2025, foram confirmados 106 ataques atribuídos ao Qilin, com o grupo já tendo atacado diversas instituições educacionais nos Estados Unidos. Os ataques de ransomware têm se tornado cada vez mais comuns no setor educacional, com 34 incidentes confirmados em 2025, impactando operações diárias e colocando em risco a segurança de dados de alunos e funcionários.

Desde julho de 2025, operadores do ransomware Akira têm explorado dispositivos SonicWall SSL VPN, utilizando uma vulnerabilidade conhecida (CVE-2024-40766) que afeta versões do SonicOS. Essa falha, que foi divulgada e corrigida em agosto de 2024, permite acesso inadequado e tem sido utilizada para comprometer redes empresariais em diversos setores. A campanha inclui técnicas avançadas de coleta de credenciais e exfiltração de dados, com um ataque documentado em agosto de 2025 que resultou na transferência de aproximadamente 2 GB de dados sensíveis. Os atacantes utilizaram métodos sofisticados, como a técnica ‘UnPAC the hash’, para escalar privilégios dentro da rede. A Darktrace, empresa de segurança, conseguiu conter o ataque, mas a exploração contínua da vulnerabilidade destaca a importância de práticas de gerenciamento de patches atualizadas, especialmente para dispositivos que oferecem acesso remoto. O incidente ressalta a necessidade de vigilância constante e resposta rápida a ameaças cibernéticas, especialmente em um cenário onde a segurança de dados é crítica.

Em julho de 2025, Coös County Family Health Services confirmou que 40.185 pessoas tiveram seus dados comprometidos em um ataque cibernético. O grupo de ransomware Run Some Wares reivindicou a responsabilidade pelo ataque em agosto. A investigação revelou que, em 9 de julho, houve acesso não autorizado aos servidores, onde dados sensíveis, como datas de nascimento, informações de contato, números de Seguro Social e dados médicos, podem ter sido visualizados ou copiados. Embora Coös County não tenha confirmado a natureza do ataque, a organização está oferecendo monitoramento de crédito gratuito por 12 meses aos afetados. Este incidente se insere em um contexto mais amplo, onde o setor de saúde dos EUA já registrou 63 ataques confirmados em 2025, resultando em mais de 6,2 milhões de registros expostos. O ataque em Coös County é um exemplo claro do impacto devastador que os ataques de ransomware podem ter sobre instituições de saúde, tanto em termos de tempo de inatividade quanto na violação de dados. A situação é alarmante, especialmente considerando que o setor de saúde é um alvo frequente para esses tipos de ataques.

Um relatório recente do Google Threat Intelligence Group (GTIG) e da Mandiant revelou que dezenas de organizações podem ter sido impactadas pela exploração de uma falha de segurança zero-day no software Oracle E-Business Suite (EBS), identificada como CVE-2025-61882, com uma pontuação CVSS de 9.8. Desde 9 de agosto de 2025, a atividade maliciosa, associada ao grupo de ransomware Cl0p, utilizou múltiplas vulnerabilidades para invadir redes-alvo e exfiltrar dados sensíveis. A campanha de ataques começou em 29 de setembro de 2025, com um envio em massa de e-mails fraudulentos a executivos de empresas, alegando que suas aplicações Oracle EBS haviam sido comprometidas. Os atacantes exigiam resgates em troca de não vazamento das informações roubadas. A Oracle já lançou patches para corrigir a vulnerabilidade. Os ataques foram realizados utilizando técnicas como Server-Side Request Forgery (SSRF) e injeção de código, permitindo a execução remota de comandos. A complexidade e o investimento na campanha indicam um planejamento cuidadoso por parte dos atacantes, que podem estar associados ao grupo FIN11, conhecido por suas táticas de extorsão.

Pesquisadores da Cisco Talos confirmaram que operadores de ransomware estão explorando a ferramenta de resposta a incidentes e forense digital (DFIR) Velociraptor em ataques cibernéticos sofisticados. A atividade foi atribuída ao grupo de ameaças Storm-2603, suspeito de operar a partir da China, que ganhou notoriedade por explorar vulnerabilidades do SharePoint. Em agosto de 2025, o grupo lançou um ataque que utilizou várias variantes de ransomware, como Warlock, LockBit e Babuk, para criptografar máquinas virtuais VMware ESXi e servidores Windows.

A Strategic Retail Partners (SRP) confirmou que notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em fevereiro de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, identificações emitidas pelo estado e informações financeiras. O ataque foi reivindicado pelo grupo de ransomware Medusa, que alegou ter roubado 1,35 TB de dados e exigiu um resgate de 1,2 milhão de dólares. Após uma segunda invasão em março, Medusa exigiu um resgate adicional de 1 milhão de dólares, afirmando que a SRP não havia melhorado sua segurança. A empresa ofereceu 12 meses de monitoramento de crédito gratuito para as vítimas. O ataque à SRP é o primeiro do grupo direcionado a uma empresa de varejo, que já havia atacado outras organizações em setores diversos. A pesquisa da Comparitech registrou 17 ataques confirmados de ransomware a varejistas nos EUA em 2025, comprometendo mais de 110 mil registros. Os ataques de ransomware podem causar interrupções significativas nas operações comerciais, além de expor dados pessoais a riscos de fraude.

Nos primeiros nove meses de 2025, foram registrados 293 ataques de ransomware em hospitais e clínicas, além de 130 ataques a empresas do setor de saúde, como fabricantes de produtos médicos e provedores de tecnologia. Embora os ataques a prestadores de serviços de saúde tenham se mantido estáveis em relação a 2024, os ataques a empresas do setor aumentaram em 30%. O aumento da conscientização sobre a ameaça de ransomware, impulsionado por ataques de alto perfil, pode ter levado as organizações a melhorar suas defesas. Além disso, as empresas de saúde lidam com múltiplos prestadores, o que aumenta a vulnerabilidade a ataques. Os dados revelam que 7,4 milhões de registros foram comprometidos em ataques confirmados, com um pedido médio de resgate de cerca de $514.000. Os principais grupos de ransomware identificados foram INC, Qilin e SafePay. Os Estados Unidos lideram em número de ataques, seguidos por Austrália, Alemanha e Reino Unido. O relatório destaca a necessidade urgente de ações de segurança cibernética no setor, especialmente em relação a fornecedores terceirizados, que representam um novo vetor de ataque.

No terceiro trimestre de 2025, a atividade de ransomware atingiu níveis recordes, impulsionada pelo anúncio da plataforma RaaS (Ransomware as a Service) da Scattered Spider e o retorno do LockBit com a versão 5.0, que agora visa explicitamente a infraestrutura crítica. O número de sites ativos de vazamento de dados subiu para 81, com novos grupos emergindo em diversas regiões e setores, apesar do número total de organizações listadas permanecer estável em relação ao segundo trimestre. A Scattered Spider, conhecida por suas táticas de engenharia social, está se preparando para lançar sua plataforma ShinySp1d3r, prometendo uma integração eficiente de exfiltração de dados e criptografia de arquivos. Por outro lado, o LockBit 5.0 permite que seus afiliados ataquem infraestrutura crítica, refletindo uma mudança significativa em sua estratégia após ações de aplicação da lei. O setor de saúde e serviços técnicos viu um aumento nas exposições, enquanto setores como manufatura e construção enfrentaram quedas. A combinação de táticas de extorsão dupla e ataques a sistemas operacionais industriais representa uma ameaça crescente, exigindo que as organizações adotem medidas rigorosas de segurança, como segmentação de rede e monitoramento de sites de vazamento.

Três grupos de ransomware, DragonForce, LockBit e Qilin, anunciaram uma nova aliança estratégica, destacando mudanças significativas no cenário de ameaças cibernéticas. Essa coalizão visa compartilhar técnicas, recursos e infraestrutura, aumentando a eficácia dos ataques. A parceria surge após o retorno do LockBit, que busca restaurar sua reputação após uma operação de repressão em 2024 que resultou na prisão de membros e na perda de infraestrutura. O grupo Qilin, que se tornou o mais ativo nos últimos meses, focou principalmente em organizações da América do Norte, com mais de 200 vítimas apenas no terceiro trimestre de 2025. A nova versão do LockBit, a 5.0, é capaz de atacar sistemas Windows, Linux e ESXi, o que pode aumentar o risco para setores críticos. Além disso, a aliança pode levar a um aumento nos ataques a infraestruturas críticas, ampliando a ameaça a setores antes considerados de baixo risco. O relatório também aponta um aumento nos ataques em países como Egito, Tailândia e Colômbia, sugerindo que os cibercriminosos estão se expandindo para evitar a repressão das autoridades. Com 1.429 incidentes de ransomware registrados no terceiro trimestre de 2025, a situação exige atenção redobrada das empresas, especialmente aquelas em setores vulneráveis.

Hackers estão explorando rapidamente bancos de dados expostos na nuvem e em SaaS utilizando técnicas “sem malware”, abusando de comandos legítimos e configurações inadequadas. As operações automatizadas evoluíram para campanhas de dupla extorsão, com MySQL e PostgreSQL sendo as plataformas mais visadas. Os ataques resultam na criação de notas de resgate em novas tabelas de banco de dados, pressionando as vítimas com ameaças de vazamento ou venda de dados roubados.

O grupo de ransomware Qilin reivindicou a responsabilidade por um ataque cibernético que resultou em uma violação de dados na Asahi Group Holdings, uma importante cervejaria japonesa. O incidente, que foi divulgado pela primeira vez em 29 de setembro de 2025, levou a empresa a suspender pedidos, remessas e serviços ao cliente. A Qilin afirma ter roubado 27 GB de arquivos, incluindo documentos financeiros, orçamentos, contratos e dados pessoais de funcionários. Embora a Asahi esteja investigando a extensão da violação, ainda não confirmou a veracidade das alegações da Qilin nem se pagará um resgate. O grupo Qilin, baseado na Rússia, é conhecido por suas táticas de phishing e opera um modelo de ransomware como serviço, permitindo que afiliados utilizem seu malware para realizar ataques. Este ataque é parte de uma tendência crescente de ataques de ransomware direcionados a fabricantes, que podem causar interrupções significativas nas operações e comprometer dados sensíveis. A Asahi, que possui marcas de cerveja globais, está enfrentando dificuldades operacionais devido a este incidente, que destaca a vulnerabilidade do setor a ataques cibernéticos.

Grupos de ransomware têm utilizado ferramentas de acesso remoto (RATs) legítimas, como AnyDesk e UltraViewer, para estabelecer pontos de acesso furtivos e evitar detecções. Ao abusar de versões gratuitas ou empresariais dessas ferramentas, os atacantes conseguem contornar controles de segurança tradicionais, aproveitando assinaturas digitais confiáveis e canais criptografados para manter a persistência e movimentar-se lateralmente na rede.

Após o acesso inicial, geralmente por meio de força bruta em RDP ou reutilização de credenciais, os operadores exploram serviços RAT pré-instalados. Técnicas como ‘sequestro’ de serviços e instalação silenciosa são comuns, permitindo que os atacantes evitem alertas de segurança. Uma vez que os serviços RAT estão ativos, eles escalam privilégios e manipulam políticas de segurança do Windows para excluir diretórios RAT de varreduras de antivírus.

O ransomware Yurei, identificado pela CYFIRMA em setembro de 2025, apresenta uma nova ameaça para ambientes Windows, utilizando técnicas sofisticadas de criptografia e anti-forense. Escrito em Go, o Yurei adiciona a extensão .Yurei a cada arquivo criptografado, utilizando uma chave/nonce única gerada pelo algoritmo ChaCha20. Antes de iniciar a criptografia, o malware executa comandos PowerShell para eliminar cópias de sombra e backups, dificultando a recuperação de dados. O Yurei se propaga furtivamente por drives removíveis e compartilhamentos SMB, copiando-se como WindowsUpdate.exe e System32_Backup.exe. Após a criptografia, uma nota de resgate é gerada, exigindo pagamento para a recuperação dos arquivos, com ameaças de divulgação de dados caso as exigências não sejam atendidas. A análise revela semelhanças com o projeto de ransomware Prince, mas com melhorias significativas em stealth e eficiência. Para mitigar os impactos do Yurei, as organizações devem implementar políticas de backup imutáveis, regras de EDR para detectar cabeçalhos de arquivos suspeitos e estabelecer planos de contenção rápidos.

O grupo de ransomware Cl0p está explorando uma vulnerabilidade crítica zero-day na Oracle E-Business Suite, identificada como CVE-2025-61882. Essa falha, localizada no componente de Integração do Business Intelligence Publisher, permite a execução remota de código sem autenticação, com uma pontuação máxima de 9.8 no CVSS, possibilitando a total comprometimento do sistema. A vulnerabilidade afeta versões amplamente utilizadas da Oracle EBS, entre 12.2.3 e 12.2.14, que são essenciais para operações empresariais como gestão de pedidos e finanças. A Oracle já lançou atualizações de segurança, mas as organizações precisam aplicar primeiro o Critical Patch Update de outubro de 2023. O Cl0p, ativo desde 2019, tem um histórico de exploração de zero-days e, nesta campanha, está focado na exfiltração de dados em vez da criptografia. As empresas devem realizar um inventário imediato dos endpoints expostos, confirmar a instalação das atualizações e monitorar logs e tráfego de rede para sinais de comprometimento. A situação é crítica, e a falta de ação pode resultar em sérias interrupções operacionais e vazamentos de dados.