Grupo Storm-0249 muda táticas para ataques de ransomware

BR Defense Center (By River de Morais e Silva)
ransomware

O grupo de cibercriminosos conhecido como Storm-0249 está mudando sua abordagem, deixando de ser apenas um corretor de acesso inicial para adotar táticas mais sofisticadas, como spoofing de domínio, side-loading de DLL e execução de PowerShell sem arquivo, visando facilitar ataques de ransomware. Segundo um relatório da ReliaQuest, essas técnicas permitem que o grupo contorne defesas, infiltre redes e opere de forma indetectável, o que representa uma preocupação significativa para as equipes de segurança. O Storm-0249, que já foi identificado pela Microsoft como um corretor de acesso inicial, tem colaborado com outros grupos de ransomware, como o Storm-0501, vendendo acesso a redes corporativas. Recentemente, o grupo utilizou uma campanha de phishing com temas relacionados a impostos para infectar usuários nos EUA. Uma das táticas mais recentes envolve o uso de engenharia social para induzir as vítimas a executar comandos maliciosos, utilizando o utilitário legítimo “curl.exe” para baixar scripts PowerShell de domínios falsificados que imitam a Microsoft. Isso resulta na execução de pacotes MSI maliciosos com privilégios de sistema, permitindo que o grupo mantenha comunicação com servidores de comando e controle de forma furtiva. A mudança para ataques mais precisos, que exploram a confiança em processos assinados, aumenta o risco de ataques de ransomware direcionados, especialmente em um cenário onde grupos como LockBit e ALPHV utilizam identificadores de sistema únicos para criptografar dados de forma eficaz.

Fonte: https://thehackernews.com/2025/12/storm-0249-escalates-ransomware-attacks.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
09/12/2025 • Risco: ALTO
RANSOMWARE

Grupo Storm-0249 muda táticas para ataques de ransomware

RESUMO EXECUTIVO
O grupo Storm-0249 está adotando táticas mais sofisticadas para facilitar ataques de ransomware, utilizando engenharia social e técnicas de side-loading. Isso representa um risco elevado para organizações que utilizam soluções de segurança comuns, como as da SentinelOne, e pode ter implicações sérias em termos de conformidade e segurança de dados.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido a ataques de ransomware bem-sucedidos.
Operacional
Execução de malware com privilégios de sistema e comunicação com servidores C2.
Setores vulneráveis
['Setor financeiro', 'Setor de tecnologia', 'Setor de saúde']

📊 INDICADORES CHAVE

Storm-0249 foi destacado pela Microsoft em setembro de 2024. Indicador
Campanha de phishing focada em usuários dos EUA antes da temporada de declaração de impostos. Contexto BR
Uso de técnicas de side-loading para manter atividades indetectadas. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e atividades suspeitas em sistemas que utilizam SentinelOne.
2 Implementar monitoramento de atividades de PowerShell e restringir o uso de ferramentas administrativas não autorizadas.
3 Monitorar continuamente a comunicação com servidores C2 e a execução de processos relacionados a segurança.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a evolução das táticas de ransomware, que agora utilizam métodos mais furtivos e direcionados, aumentando o risco de compromissos de segurança.

⚖️ COMPLIANCE

Implicações para a conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).