Uma falha na segurança operacional possibilitou que pesquisadores recuperassem dados que o grupo de ransomware INC havia roubado de uma dúzia de organizações nos Estados Unidos. A investigação, conduzida pela empresa Cyber Centaurs, começou após um cliente detectar atividade de criptografia de ransomware em um servidor SQL. O ransomware, uma variante do RainINC, foi executado a partir do diretório PerfLogs, que normalmente é utilizado pelo Windows, mas que os atacantes começaram a usar para armazenar suas ferramentas. Durante a análise, os pesquisadores encontraram vestígios de uma ferramenta de backup legítima chamada Restic, embora esta não tenha sido utilizada na exfiltração de dados. A análise revelou que o grupo de ransomware poderia estar reutilizando a infraestrutura de backup em várias campanhas, o que levantou a hipótese de que dados roubados de outras organizações poderiam ainda estar disponíveis em forma criptografada. Para validar essa teoria, a equipe desenvolveu um processo de enumeração controlada que confirmou a presença de dados criptografados de 12 organizações diferentes em setores como saúde, manufatura e tecnologia. Após a recuperação, os dados foram descriptografados e as cópias preservadas, enquanto a Cyber Centaurs contatou as autoridades para validar a propriedade e orientar sobre os procedimentos adequados.
Fonte: https://www.bleepingcomputer.com/news/security/inc-ransomware-opsec-fail-allowed-data-recovery-for-12-us-orgs/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
22/01/2026 • Risco: ALTO
RANSOMWARE
Falha de segurança permite recuperação de dados de ransomware nos EUA
RESUMO EXECUTIVO
O incidente de ransomware envolvendo o grupo INC destaca a necessidade de vigilância contínua e a implementação de medidas de segurança robustas. A recuperação de dados de 12 organizações diferentes sugere que a infraestrutura de ataque pode ser mais persistente do que se pensava, exigindo atenção especial dos líderes de segurança.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras significativas devido a interrupções e custos de recuperação.
Operacional
Dados de 12 organizações diferentes foram recuperados e descriptografados.
Setores vulneráveis
['Saúde', 'Tecnologia', 'Manufatura']
📊 INDICADORES CHAVE
12 organizações afetadas
Indicador
Diversos setores impactados, incluindo saúde e tecnologia
Contexto BR
Dados criptografados recuperados de um servidor de backup
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de servidores e sistemas para atividades suspeitas, especialmente relacionadas ao uso de ferramentas de backup.
2
Implementar regras de detecção para identificar o uso não autorizado de ferramentas como Restic.
3
Monitorar continuamente a rede para atividades relacionadas a ransomware e exfiltração de dados.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de dados críticos estarem acessíveis a atacantes, mesmo após o pagamento de resgates. A reutilização de infraestrutura de ransomware pode indicar um padrão de ataque mais amplo.
⚖️ COMPLIANCE
Implicações legais e de conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
