O grupo de cibercriminosos conhecido como Velvet Tempest, também identificado como DEV-0504, tem utilizado a técnica ClickFix e utilitários legítimos do Windows para implantar o malware DonutLoader e o backdoor CastleRAT. Pesquisadores da MalBeacon monitoraram as atividades do grupo em um ambiente simulado de uma organização sem fins lucrativos nos EUA, onde foram observadas ações como reconhecimento do Active Directory e coleta de credenciais armazenadas no Chrome. A invasão inicial ocorreu através de uma campanha de malvertising que direcionou as vítimas a inserir um comando ofuscado no diálogo de execução do Windows. Este comando ativou uma cadeia de comandos que buscou os primeiros carregadores de malware. Embora o Velvet Tempest seja conhecido por ataques de dupla extorsão, nesta intrusão específica não foi implantado o ransomware Termite, que já afetou vítimas de alto perfil. A técnica ClickFix tem sido adotada por outros grupos de ransomware, evidenciando uma tendência crescente de uso de engenharia social em ataques cibernéticos.
Fonte: https://www.bleepingcomputer.com/news/security/termite-ransomware-breaches-linked-to-clickfix-castlerat-attacks/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
07/03/2026 • Risco: ALTO
RANSOMWARE
Grupo Velvet Tempest usa técnicas avançadas para implantar malware
RESUMO EXECUTIVO
O grupo Velvet Tempest está utilizando técnicas avançadas de ataque, como a ClickFix, para implantar malware em sistemas. A observação de suas atividades em um ambiente simulado destaca a necessidade de vigilância e mitigação de riscos, especialmente em setores vulneráveis no Brasil. A conformidade com a LGPD pode ser comprometida em caso de vazamento de dados.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras significativas devido a ataques de ransomware.
Operacional
Uso de técnicas de engenharia social e coleta de credenciais.
Setores vulneráveis
['Setor de saúde', 'Organizações sem fins lucrativos', 'Setor financeiro']
📊 INDICADORES CHAVE
Mais de 3.000 endpoints comprometidos.
Indicador
Mais de 2.500 usuários afetados.
Contexto BR
Grupo ativo por pelo menos cinco anos.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso e atividades suspeitas em sistemas críticos.
2
Implementar filtros de segurança para bloquear malvertising e comandos ofuscados.
3
Monitorar continuamente atividades de rede e tentativas de acesso não autorizado.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a evolução das técnicas de ataque e a possibilidade de compromissos de dados sensíveis.
⚖️ COMPLIANCE
Implicações legais e de conformidade com a LGPD em caso de vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
