Grupo Helix usa táticas de phishing para extorquir dados do SharePoint

Um novo grupo de extorsão de dados, conhecido como Helix, está utilizando táticas focadas em identidade, como vishing (phishing por voz), phishing de código de dispositivo e abuso de autenticação multifatorial (MFA) para roubar dados de ambientes SharePoint. O contato inicial é feito por meio de vishing, onde os atacantes se passam por gerentes das vítimas, utilizando nomes ou técnicas de falsificação de ID para parecerem legítimos. O objetivo é enganar os alvos em esquemas de phishing de código de dispositivo para obter acesso às suas contas. Após a invasão, os operadores do Helix registram rapidamente um novo aplicativo de autenticação multifatorial para garantir a persistência, explorando e enumerando o SharePoint antes de exfiltrar arquivos. Os dados roubados são geralmente utilizados para extorquir as organizações vítimas, ameaçando publicá-los a menos que um resgate seja pago. Pesquisadores da ReliaQuest identificaram que o comportamento de exfiltração do SharePoint é a assinatura técnica mais forte do Helix, com uma coleta automatizada que se mostrou consistente em vários incidentes. Para mitigar esses ataques, recomenda-se desativar a autenticação por código de dispositivo sempre que possível e restringir o acesso ao SharePoint a dispositivos gerenciados.

Fonte: https://www.bleepingcomputer.com/news/security/new-helix-vishing-group-emerges-in-sharepoint-data-theft-attacks/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
09/07/2026 • Risco: ALTO
PHISHING

Grupo Helix usa táticas de phishing para extorquir dados do SharePoint

RESUMO EXECUTIVO
O grupo Helix representa uma ameaça significativa, utilizando técnicas de vishing e phishing para acessar dados sensíveis em plataformas como o SharePoint. Com um histórico de ataques a empresas renomadas, a necessidade de ações preventivas e mitigadoras é urgente.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido ao pagamento de resgates e danos à reputação.
Operacional
Extorsão de dados e ameaças de publicação.
Setores vulneráveis
['Setor de saúde', 'Setor automotivo', 'Educação']

📊 INDICADORES CHAVE

54% dos ataques bem-sucedidos são registrados. Indicador
Apenas 14% dos ataques geram alertas. Contexto BR
ReliaQuest identificou um IP de exfiltração compartilhado com um endereço do BlackFile. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e autenticação multifatorial para identificar atividades suspeitas.
2 Desativar a autenticação por código de dispositivo onde possível e restringir o acesso ao SharePoint.
3 Monitorar continuamente tentativas de vishing e novas tentativas de registro de aplicativos de autenticação.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a crescente sofisticação de ataques que utilizam engenharia social, especialmente em plataformas críticas como o SharePoint.

⚖️ COMPLIANCE

Implicações diretas na conformidade com a LGPD, especialmente em relação ao tratamento e proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).