Um novo grupo de extorsão de dados, conhecido como Helix, está utilizando táticas focadas em identidade, como vishing (phishing por voz), phishing de código de dispositivo e abuso de autenticação multifatorial (MFA) para roubar dados de ambientes SharePoint. O contato inicial é feito por meio de vishing, onde os atacantes se passam por gerentes das vítimas, utilizando nomes ou técnicas de falsificação de ID para parecerem legítimos. O objetivo é enganar os alvos em esquemas de phishing de código de dispositivo para obter acesso às suas contas. Após a invasão, os operadores do Helix registram rapidamente um novo aplicativo de autenticação multifatorial para garantir a persistência, explorando e enumerando o SharePoint antes de exfiltrar arquivos. Os dados roubados são geralmente utilizados para extorquir as organizações vítimas, ameaçando publicá-los a menos que um resgate seja pago. Pesquisadores da ReliaQuest identificaram que o comportamento de exfiltração do SharePoint é a assinatura técnica mais forte do Helix, com uma coleta automatizada que se mostrou consistente em vários incidentes. Para mitigar esses ataques, recomenda-se desativar a autenticação por código de dispositivo sempre que possível e restringir o acesso ao SharePoint a dispositivos gerenciados.
Fonte: https://www.bleepingcomputer.com/news/security/new-helix-vishing-group-emerges-in-sharepoint-data-theft-attacks/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
09/07/2026 • Risco: ALTO
PHISHING
Grupo Helix usa táticas de phishing para extorquir dados do SharePoint
RESUMO EXECUTIVO
O grupo Helix representa uma ameaça significativa, utilizando técnicas de vishing e phishing para acessar dados sensíveis em plataformas como o SharePoint. Com um histórico de ataques a empresas renomadas, a necessidade de ações preventivas e mitigadoras é urgente.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido ao pagamento de resgates e danos à reputação.
Operacional
Extorsão de dados e ameaças de publicação.
Setores vulneráveis
['Setor de saúde', 'Setor automotivo', 'Educação']
📊 INDICADORES CHAVE
54% dos ataques bem-sucedidos são registrados.
Indicador
Apenas 14% dos ataques geram alertas.
Contexto BR
ReliaQuest identificou um IP de exfiltração compartilhado com um endereço do BlackFile.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso e autenticação multifatorial para identificar atividades suspeitas.
2
Desativar a autenticação por código de dispositivo onde possível e restringir o acesso ao SharePoint.
3
Monitorar continuamente tentativas de vishing e novas tentativas de registro de aplicativos de autenticação.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a crescente sofisticação de ataques que utilizam engenharia social, especialmente em plataformas críticas como o SharePoint.
⚖️ COMPLIANCE
Implicações diretas na conformidade com a LGPD, especialmente em relação ao tratamento e proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).