Grupo APT russo COLDRIVER lança nova campanha de malware

BR Defense Center (By River de Morais e Silva)
malware

O grupo de ameaças persistentes avançadas (APT) russo conhecido como COLDRIVER, também chamado de Callisto, Star Blizzard e UNC4057, está por trás de uma nova onda de ataques do tipo ClickFix, que visa entregar duas novas famílias de malware, BAITSWITCH e SIMPLEFIX. Detectada pelo Zscaler ThreatLabz, a campanha multiestágio utiliza BAITSWITCH como um downloader que, por sua vez, instala o backdoor PowerShell SIMPLEFIX. Os ataques têm como alvo uma variedade de setores, especialmente organizações não governamentais e defensores dos direitos humanos, refletindo a estratégia do grupo de focar em membros da sociedade civil conectados à Rússia. A técnica ClickFix, que envolve enganar usuários para executar comandos maliciosos sob a aparência de completar verificações CAPTCHA, continua a ser uma via de infecção eficaz. Além disso, a Kaspersky relatou uma nova campanha de phishing focada em empresas russas, realizada pelo grupo BO Team, que utiliza arquivos RAR protegidos por senha para distribuir backdoors. Outro grupo, Bearlyfy, tem se destacado por ataques de ransomware, inicialmente visando pequenas empresas antes de escalar para alvos maiores. Esses desenvolvimentos ressaltam a crescente sofisticação e a diversidade das ameaças cibernéticas direcionadas à Rússia e seus aliados.

Fonte: https://thehackernews.com/2025/09/new-coldriver-malware-campaign-joins-bo.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
26/09/2025 • Risco: ALTO
MALWARE

Grupo APT russo COLDRIVER lança nova campanha de malware

RESUMO EXECUTIVO
Os ataques do grupo COLDRIVER e suas táticas de ClickFix, que enganam usuários para executar malware, representam uma ameaça significativa para organizações no Brasil, especialmente aquelas que lidam com dados sensíveis. A necessidade de vigilância e resposta rápida é crucial para mitigar riscos.

💼 IMPACTO DE NEGÓCIO

Financeiro
Custos associados a ataques de ransomware e exfiltração de dados podem ser significativos.
Operacional
Exfiltração de dados e controle remoto de sistemas comprometidos.
Setores vulneráveis
['ONGs', 'Setor de tecnologia', 'Consultorias']

📊 INDICADORES CHAVE

Grupo COLDRIVER ativo desde 2019. Indicador
Bearlyfy teve pelo menos 30 vítimas até agosto de 2025. Contexto BR
Ransom exigido em um ataque recente foi de €80,000. Urgência

⚡ AÇÕES IMEDIATAS

1 Revisar logs de acesso e atividades suspeitas em sistemas críticos.
2 Implementar filtros de segurança para bloquear domínios maliciosos conhecidos.
3 Monitorar continuamente atividades de rede e tentativas de acesso não autorizado.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a crescente sofisticação das ameaças e o potencial impacto em suas organizações.

⚖️ COMPLIANCE

Implicações legais relacionadas à LGPD e proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).