Ransomware

A empresa de cibersegurança ESET revelou a descoberta de um novo ransomware chamado PromptLock, que utiliza inteligência artificial para gerar scripts maliciosos em tempo real. Escrito em Golang, o PromptLock emprega o modelo gpt-oss:20b da OpenAI através da API Ollama para criar scripts em Lua que podem enumerar sistemas de arquivos, inspecionar arquivos-alvo, exfiltrar dados e criptografar informações. Este ransomware é compatível com Windows, Linux e macOS, e é capaz de gerar notas personalizadas para as vítimas, dependendo dos arquivos afetados. Embora ainda não se saiba quem está por trás do malware, a ESET identificou que artefatos do PromptLock foram enviados ao VirusTotal a partir dos Estados Unidos em 25 de agosto de 2025. A natureza do ransomware, que é considerada uma prova de conceito, utiliza o algoritmo de criptografia SPECK de 128 bits. A ESET alerta que a variabilidade dos indicadores de comprometimento (IoCs) torna a detecção mais desafiadora, complicando as tarefas de defesa. O surgimento do PromptLock destaca como a IA pode facilitar a criação de campanhas de malware, mesmo para criminosos com pouca experiência técnica.

O grupo de cibercriminosos conhecido como Storm-0501 tem aprimorado suas táticas para realizar ataques de exfiltração de dados e extorsão, focando em ambientes de nuvem. Ao contrário do ransomware tradicional, que geralmente criptografa arquivos em redes locais, o Storm-0501 utiliza capacidades nativas da nuvem para exfiltrar rapidamente grandes volumes de dados, destruir informações e backups, e exigir resgates, tudo isso sem depender de malware convencional. Desde sua primeira documentação pela Microsoft em 2024, o grupo tem atacado setores como governo, manufatura e transporte nos EUA, mostrando uma evolução para um modelo de ransomware como serviço (RaaS). O acesso inicial é frequentemente facilitado por corretores de acesso, explorando credenciais comprometidas ou vulnerabilidades em servidores expostos. Recentemente, o grupo realizou um ataque a uma grande empresa, utilizando técnicas como DCSync para extrair credenciais do Active Directory e, em seguida, comprometer um servidor de sincronização do Entra Connect. Após a exfiltração de dados, o grupo deletou recursos críticos da Azure, dificultando a recuperação pela vítima. A Microsoft implementou mudanças para mitigar esses ataques, incluindo atualizações no Entra Connect e recomendações para habilitar o Trusted Platform Module (TPM) nos servidores de sincronização.

O Healthcare Services Group (HCSG) confirmou que notificou 624.496 pessoas sobre uma violação de dados ocorrida em outubro de 2024, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados bancários e informações médicas. O grupo de ransomware Underground reivindicou a responsabilidade pelo ataque, alegando ter roubado 1,1 TB de dados, incluindo documentos legais e financeiros confidenciais. A HCSG informou que o acesso não autorizado ocorreu entre 27 de setembro e 3 de outubro de 2024, mas não confirmou se um resgate foi pago. A empresa está oferecendo assistência gratuita de restauração de identidade aos afetados. Embora a HCSG tenha afirmado que o incidente não causou interrupções significativas em suas operações, o ataque destaca a crescente ameaça de ransomware no setor de saúde, onde ataques podem comprometer a segurança e a privacidade dos pacientes. Em 2024, foram registrados 30 ataques a empresas de saúde, comprometendo mais de 196 milhões de registros, com o ataque à HCSG sendo o quarto maior em termos de registros comprometidos.

Um novo método de engenharia social, denominado ClickFix, está sendo utilizado por cibercriminosos para implantar ransomware através de resumos gerados por inteligência artificial (IA). Essa técnica envolve a injeção de comandos maliciosos em elementos HTML, que se tornam invisíveis para os usuários, mas são processados por modelos de IA. Os atacantes escondem instruções em caracteres de largura zero, texto branco sobre fundo branco e fontes minúsculas, fazendo com que os resumos gerados incluam guias passo a passo para a instalação de ransomware. Quando os destinatários confiam nesses resumos, podem executar comandos sem perceber que estão seguindo instruções maliciosas. O ataque reduz a barreira técnica para usuários não especializados, permitindo que eles se tornem vetores de ransomware. Para mitigar esses riscos, recomenda-se a sanitização de atributos CSS invisíveis, filtragem de prompts e reconhecimento de padrões de payload. À medida que as ferramentas de resumo de IA se tornam comuns, essa técnica pode ser rapidamente adotada por criminosos, exigindo uma colaboração entre desenvolvedores de IA e equipes de segurança para prevenir campanhas de ransomware mediadas por IA.

Recentemente, o estúdio de design Nissan Creative Box, parte da rede global de design da montadora japonesa Nissan, foi alvo de um ataque de ransomware que resultou no roubo de mais de 4TB de dados sensíveis. O grupo de hackers Qilin, que se destacou por sua atividade em 2025, afirmou ter copiado mais de 400 mil arquivos, incluindo dados de design 3D, relatórios, fotos e vídeos relacionados a automóveis da Nissan. Os especialistas alertam que a divulgação desses dados pode prejudicar a competitividade da empresa, comparando o roubo a ‘furtar uma invenção de um inventor’. O grupo ameaçou liberar os dados se a Nissan não responder, o que poderia permitir que concorrentes tivessem acesso a informações detalhadas sobre projetos da empresa. Este incidente destaca a crescente ameaça de ransomware, com o Qilin tendo atacado quase 500 organizações no último ano, sendo 401 apenas em 2025. A situação levanta preocupações sobre a segurança de dados em um setor tão inovador e competitivo como o automotivo.

A empresa de recrutamento de TI The Computer Merchant confirmou que notificou 34.127 pessoas sobre uma violação de dados ocorrida em julho de 2024, que comprometeu nomes e números de Seguro Social. O grupo de ransomware Play reivindicou a responsabilidade pelo ataque, alegando ter roubado dados confidenciais, incluindo documentos de clientes, orçamentos, folhas de pagamento e contratos. A empresa não confirmou se pagou o resgate exigido, nem como a violação ocorreu, e levou mais de um ano para notificar algumas das vítimas. Em resposta ao incidente, a The Computer Merchant está oferecendo monitoramento de crédito gratuito e uma apólice de seguro de até US$ 1 milhão. O grupo Play, ativo desde junho de 2022, utiliza um modelo de dupla extorsão, exigindo pagamento tanto para a recuperação de sistemas quanto para evitar a divulgação dos dados roubados. Em 2024, foram registrados 854 ataques de ransomware nos EUA, comprometendo mais de 276,5 milhões de registros, e o Play já reivindicou 20 ataques confirmados em 2025. Este incidente destaca a crescente ameaça de ransomware e a necessidade de medidas de segurança robustas para proteger dados sensíveis.

A Colt Technology Services, uma empresa de telecomunicações do Reino Unido, confirmou que dados sensíveis de seus clientes foram roubados em um recente ataque cibernético. O grupo de ransomware conhecido como Warlock reivindicou a responsabilidade pelo ataque e está leiloando um banco de dados com um milhão de arquivos na dark web por US$ 200.000. A empresa enfrentou interrupções em seus serviços, levando à necessidade de desativar partes de sua infraestrutura. A Colt está atualmente investigando a natureza exata dos dados comprometidos, que, segundo o Warlock, incluem informações financeiras, dados de arquitetura de rede e informações de clientes. A situação representa um risco significativo para os clientes, pois esses dados podem ser utilizados para fraudes, phishing e roubo de identidade. A Colt disponibilizou um canal para que os clientes solicitem uma lista dos arquivos expostos na dark web. Especialistas acreditam que o ataque pode ter sido direcionado a servidores SharePoint da empresa, que têm se mostrado alvos atraentes para hackers. Após o ataque, a Colt implementou medidas de segurança adicionais, como firewalls, para proteger seus servidores.

O grupo de ransomware Qilin reivindicou a responsabilidade por um ataque cibernético à Inotiv, uma empresa de pesquisa farmacêutica conhecida por testes em animais, ocorrido em agosto de 2025. Em um comunicado à SEC, a Inotiv informou que partes de seus sistemas foram criptografadas, resultando em interrupções no acesso a redes e aplicações internas. Qilin alegou ter roubado 176 GB de dados durante o ataque e publicou imagens de documentos que afirma serem da Inotiv. A empresa não confirmou as alegações do grupo, e detalhes sobre o valor do resgate ou como os atacantes conseguiram acesso à rede ainda não foram divulgados. O ataque pode ter consequências severas, incluindo a possibilidade de rescisões contratuais e multas que podem ultrapassar centenas de milhões de dólares, afetando gravemente a reputação da Inotiv. O incidente é parte de uma tendência crescente de ataques de ransomware, especialmente em empresas de saúde nos EUA, onde já foram registrados vários ataques que comprometeram milhões de registros. A Inotiv continua a restaurar seus sistemas e investigar o alcance do ataque.

Um novo grupo de ransomware, chamado Crypto24, tem se destacado por sua habilidade em contornar soluções antivírus e sistemas de detecção de endpoint (EDR). De acordo com um relatório da Trend Micro, o Crypto24 utiliza ferramentas administrativas legítimas e malwares personalizados para realizar ataques direcionados a grandes organizações, especialmente nos setores financeiro, manufatura, entretenimento e tecnologia. O ataque começa com a infiltração nos sistemas-alvo, onde os atacantes criam contas administrativas e utilizam comandos nativos do Windows para estabelecer pontos de entrada persistentes. Uma das características mais preocupantes do Crypto24 é sua capacidade de ‘cegar’ soluções de segurança, utilizando uma versão modificada da ferramenta RealBlindingEDR para desativar mecanismos de detecção de quase 30 fornecedores de segurança. O grupo não apenas criptografa dados, mas também exfiltra informações críticas, utilizando um keylogger disfarçado para capturar dados sensíveis. A exfiltração é realizada através do Google Drive, o que reduz a suspeita. Para se proteger, as organizações devem adotar o princípio de privilégio mínimo, monitorar o uso de ferramentas de acesso remoto e implementar detecções comportamentais.

A Microsoft Threat Intelligence revelou uma campanha de malware sofisticada, onde criminosos cibernéticos disfarçam um software malicioso como a popular aplicação de desktop ChatGPT para implantar ransomware em diversos setores ao redor do mundo. O malware, denominado PipeMagic, combina engenharia social com capacidades técnicas avançadas, visando organizações nos setores de TI, financeiro e imobiliário, especialmente nos Estados Unidos, Europa, América do Sul e Oriente Médio.

O PipeMagic explora uma vulnerabilidade crítica do Windows (CVE-2025-29824) para obter privilégios elevados. Os atacantes utilizam a ferramenta certutil para baixar arquivos MSBuild maliciosos de sites legítimos previamente comprometidos. Esses arquivos parecem ser a aplicação ChatGPT, mas contêm código malicioso que ativa o PipeMagic diretamente na memória, dificultando a detecção.

Pesquisadores de cibersegurança revelaram a exploração de uma vulnerabilidade corrigida no Microsoft Windows, identificada como CVE-2025-29824, por agentes de ameaça para implantar o malware PipeMagic em ataques de ransomware RansomExx. Essa falha, que afeta o Windows Common Log File System (CLFS), foi abordada pela Microsoft em abril de 2025. O PipeMagic, que atua como uma backdoor, foi documentado pela primeira vez em 2022, visando empresas industriais no Sudeste Asiático. Os ataques utilizam também a CVE-2017-0144, uma falha de execução remota no Windows SMB, para infiltrar a infraestrutura das vítimas. Em 2025, os ataques se concentraram na Arábia Saudita e no Brasil, utilizando um arquivo do Microsoft Help Index como carregador para injetar código malicioso. O PipeMagic é um malware modular que permite comunicação assíncrona e execução de comandos em sistemas comprometidos. A detecção contínua do PipeMagic em ataques indica que os desenvolvedores estão aprimorando suas funcionalidades, aumentando o risco para organizações em várias regiões, incluindo o Brasil.

Pesquisadores de segurança descobriram uma campanha de ataque sofisticada em que atores de ameaças estão explorando Arquivos de Índice de Ajuda da Microsoft (.mshi) como um novo mecanismo de entrega para o backdoor PipeMagic. Essa campanha culmina na exploração da vulnerabilidade crítica CVE-2025-29824, que foi corrigida pela Microsoft em abril de 2025. Os atacantes utilizam um arquivo chamado ‘metafile.mshi’, que contém código C# ofuscado, para executar um payload malicioso através do utilitário MSBuild da Microsoft. Após a execução, o malware explora a vulnerabilidade CVE-2025-29824, que permite elevação de privilégios, e injeta cargas em processos do sistema, como winlogon.exe, para extrair credenciais. O ataque resulta na implantação de ransomware, com arquivos criptografados recebendo extensões aleatórias e notas de resgate sendo deixadas nos sistemas comprometidos. A Microsoft atribui essa atividade ao grupo de ameaças Storm-2460, que continua a adaptar suas táticas e a expandir seus métodos de entrega para evitar detecções.

O Paquistão enfrenta uma grave ameaça cibernética com o ransomware Blue Locker, que atacou severamente a infraestrutura crítica do país, especialmente o setor de petróleo e gás. O ataque, que ocorreu em 6 de agosto de 2025, levou o Pakistan Petroleum Limited (PPL) a ativar protocolos internos de segurança. A natureza sofisticada do ransomware, que utiliza algoritmos de criptografia AES e RSA, sugere um envolvimento de atores estatais, especialmente considerando o timing próximo ao Dia da Independência do Paquistão. O malware opera através de um loader baseado em PowerShell, desativando defesas de segurança e aplicando extensões específicas aos arquivos criptografados. Além disso, emprega táticas de dupla extorsão, ameaçando vazar dados sensíveis se o resgate não for pago. A equipe nacional de resposta a emergências cibernéticas (NCERT) emitiu um alerta para 39 ministérios, destacando a falta de políticas estruturadas de cibersegurança e a necessidade urgente de medidas proativas. As recomendações incluem autenticação multifatorial e segmentação de rede, além de alertas sobre o perigo de downloads de fontes não verificadas. Este incidente expõe vulnerabilidades significativas na infraestrutura de TI do governo paquistanês e ressalta a necessidade de fortalecer as capacidades de cibersegurança nacional.

A gangue de ransomware Interlock reivindicou a responsabilidade por um ataque cibernético ao governo local de Box Elder County, em Utah, ocorrido em 6 de agosto de 2025. O ataque resultou em interrupções em alguns serviços do condado, embora os processos eleitorais não tenham sido afetados. A Interlock afirma ter roubado 4,5 TB de dados, totalizando cerca de 2,1 milhões de arquivos, e publicou amostras desses documentos em seu site de vazamento. Até o momento, Box Elder County não confirmou a veracidade das alegações da gangue, e não se sabe se um resgate foi pago ou como os atacantes conseguiram invadir a rede do condado. A investigação sobre o incidente ainda está em andamento. A Interlock, que começou a operar em outubro de 2024, já reivindicou 25 ataques confirmados, afetando quase 2,6 milhões de registros. Os ataques de ransomware a entidades governamentais nos EUA têm aumentado, com 47 incidentes confirmados apenas neste ano. Esses ataques não apenas sequestram dados, mas também podem causar paralisações prolongadas e riscos de fraude para os cidadãos.

O Departamento do Tesouro dos EUA renovou sanções contra a plataforma de câmbio de criptomoedas russa Garantex, acusada de facilitar atividades de ransomware e outros crimes cibernéticos, processando mais de US$ 100 milhões em transações ilícitas desde 2019. As sanções também foram estendidas ao sucessor da Garantex, Grinex, e a três de seus executivos. O Tesouro destacou que o uso de ativos digitais para lavagem de dinheiro e ataques de ransomware representa uma ameaça à segurança nacional e prejudica a reputação de provedores legítimos de serviços de ativos virtuais. Garantex já havia sido sancionada em abril de 2022 por facilitar transações de mercados darknet. Após a apreensão do site da Garantex em março de 2025, a plataforma rebranded como Grinex, continuando a processar transações ilícitas. O Tesouro também anunciou recompensas por informações que levem à prisão de executivos da Garantex. Além disso, o Departamento de Justiça dos EUA revelou a apreensão de mais de US$ 2,8 milhões em criptomoedas relacionadas a atividades de ransomware, destacando a importância de ações coordenadas contra redes criminosas.