A Microsoft anunciou a interrupção de uma campanha sofisticada de ciberataques liderada pelo grupo Vanilla Tempest, também conhecido como VICE SPIDER e Vice Society. A ação envolveu a revogação de mais de 200 certificados de assinatura de código obtidos fraudulentamente. A campanha, que começou em setembro de 2025, utilizou arquivos de instalação falsificados do Microsoft Teams para implantar um backdoor chamado Oyster e, posteriormente, o ransomware Rhysida. Os atacantes criaram sites que se passavam por portais oficiais de download do Teams, utilizando técnicas de SEO para atrair vítimas. Após a execução do instalador falso, o backdoor Oyster permitia acesso persistente aos sistemas comprometidos. A Microsoft agiu rapidamente para revogar os certificados, invalidando as chaves usadas nos arquivos de instalação e atualizando o Microsoft Defender para detectar as ameaças associadas. A ação ressalta a importância da gestão robusta de certificados e do compartilhamento de inteligência em tempo real, ajudando a proteger clientes globalmente e a estabelecer um precedente para a colaboração entre autoridades certificadoras e a comunidade de cibersegurança.
Fonte: https://cyberpress.org/microsoft-halts-vanilla-tempest-attack/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
16/10/2025 • Risco: ALTO
RANSOMWARE
Microsoft interrompe ataque Vanilla Tempest ao revogar certificados maliciosos
RESUMO EXECUTIVO
A revogação de certificados maliciosos pela Microsoft é um alerta para a necessidade de vigilância contínua e gestão de certificados. O uso de ransomware como Rhysida e a exfiltração de dados críticos destacam a urgência de ações preventivas e reativas por parte das organizações.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido a extorsão e interrupção de serviços.
Operacional
Comprometimento de sistemas e exfiltração de dados críticos.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Educação']
📊 INDICADORES CHAVE
Mais de 200 certificados de assinatura de código revogados.
Indicador
Implantação do backdoor Oyster desde junho de 2025.
Contexto BR
Mudança para o ransomware Rhysida como principal escolha do grupo.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se o Microsoft Defender Antivirus está atualizado e habilitado.
2
Revogar quaisquer certificados que possam ter sido comprometidos e monitorar sistemas para atividades suspeitas.
3
Monitorar continuamente os sistemas para detecções do backdoor Oyster e do ransomware Rhysida.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas infraestruturas, especialmente aquelas que utilizam Microsoft Teams, dado o uso de certificados fraudulentos.
⚖️ COMPLIANCE
Implicações legais e de compliance relacionadas à LGPD, especialmente em casos de vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
