Ransomware

O grupo de ransomware Qilin se destacou no cenário de cibersegurança em julho de 2025, com 73 vítimas relatadas, representando 17% dos incidentes de ransomware do mês. Este é o terceiro mês em quatro que a organização criminosa, ligada à Rússia, lidera as estatísticas globais, aproveitando a desarticulação do grupo RansomHub. No total, julho registrou 423 vítimas de ransomware, marcando um aumento contínuo após três meses de queda, embora os números ainda estejam abaixo do pico de fevereiro, que teve 854 ataques.

Um novo relatório de inteligência sobre ameaças revela que cibercriminosos estão utilizando táticas de personalização em campanhas de phishing para disseminar malware de forma mais eficaz. Entre o terceiro trimestre de 2023 e o terceiro trimestre de 2024, as campanhas de phishing se tornaram mais sofisticadas, utilizando informações específicas dos destinatários para criar uma ilusão de autenticidade. Os temas mais comuns incluem assistência de viagem, que representou 36,78% dos e-mails maliciosos, e finanças, com 21,90%. O malware Vidar Stealer, que coleta dados sensíveis como credenciais de login e informações bancárias, é frequentemente utilizado nessas campanhas. Além disso, o PikaBot e o jRAT são exemplos de malwares que têm se destacado, com técnicas avançadas para evitar detecções. A análise também aponta que a maioria dos incidentes de ransomware no segundo trimestre de 2025 teve origem em compromissos de acesso remoto ou ataques de phishing. Essa personalização transforma tentativas genéricas de phishing em campanhas de engenharia social direcionadas, aumentando significativamente as chances de infecções bem-sucedidas e comprometimento organizacional.

A empresa de cibersegurança Profero identificou uma nova e preocupante tendência em seus casos de resposta a incidentes: assistentes de codificação baseados em inteligência artificial (IA) estão se tornando involuntariamente atacantes cibernéticos. Esses incidentes, que agora representam a categoria de resposta a emergências de crescimento mais rápido da empresa, ocorrem quando desenvolvedores, sob pressão, fornecem instruções vagas a assistentes de IA e concedem permissões excessivas. O resultado pode ser desastroso, como demonstrado em casos como o ‘Massacre do MongoDB’, onde 1,2 milhão de registros foram deletados de um banco de dados de uma empresa de FinTech. A Profero recomenda medidas preventivas imediatas, como auditoria de permissões de IA e revisão humana obrigatória para códigos gerados por IA. A crescente integração de ferramentas de IA nos fluxos de trabalho de desenvolvimento exige que as organizações equilibrem ganhos de produtividade com medidas de segurança robustas. O artigo destaca a necessidade de padrões da indústria e melhores ferramentas de detecção para lidar com os danos relacionados à IA, enfatizando que as organizações devem agir proativamente para evitar que suas ferramentas úteis se tornem pesadelos de segurança.

O cenário da cibersegurança evoluiu significativamente desde o surgimento de vírus como o ‘Love Bug’ em 2001, transformando-se em um setor criminoso lucrativo. Para enfrentar essa nova realidade, líderes em cibersegurança, como CISOs e administradores de TI, precisam adotar estratégias proativas que não apenas respondam a ameaças, mas as previnam. O conceito de ‘segurança por padrão’ é fundamental, envolvendo a configuração de sistemas para bloquear riscos desde o início. Medidas como a exigência de autenticação multifator (MFA) em contas remotas e a abordagem de ’negar por padrão’ para aplicativos são essenciais. Essa última estratégia impede que softwares não autorizados sejam executados, reduzindo a superfície de ataque. Além disso, ajustes simples nas configurações, como desabilitar macros do Office e desativar protocolos obsoletos, podem fechar lacunas de segurança significativas. A implementação de controles rigorosos sobre o comportamento de aplicativos e a monitorização contínua são igualmente cruciais. A adoção de uma mentalidade de segurança por padrão não só minimiza riscos, mas também fortalece a resiliência organizacional contra ameaças em constante evolução.

O Brasil se destaca como o país mais atacado da América Latina em cibersegurança, com mais de 514 mil incidentes registrados no segundo semestre de 2024, segundo o Relatório de Inteligência de Ameaças DDoS da Netscout. Este número representa mais da metade dos 1,06 milhão de ataques ocorridos na região, um aumento de quase 30% em relação ao semestre anterior. Os ataques mais comuns incluem negação de serviço distribuído (DDoS) e ransomware, frequentemente exigindo resgates em criptomoedas. A crescente sofisticação dos ataques, impulsionada pelo uso de inteligência artificial, permite que criminosos automatizem campanhas e simulem comportamentos de usuários reais, tornando as defesas tradicionais insuficientes. O Brasil também é um dos cinco países mais atacados e emissores de ciberataques globalmente, com setores como telecomunicações e provedores de infraestrutura sendo os mais visados. Para enfrentar essa ameaça, a Netscout propõe soluções que utilizam IA para detectar anomalias e mitigar riscos, enfatizando a importância de um monitoramento contínuo e da colaboração entre empresas. O cenário atual exige que as organizações não apenas invistam em prevenção, mas também se preparem para responder a ataques inevitáveis.

A gangue de ransomware Interlock reivindicou um ataque cibernético contra o governo local do Condado de Box Elder, em Utah, ocorrido em 6 de agosto de 2025. O ataque resultou em interrupções em alguns serviços do condado, embora os processos eleitorais não tenham sido afetados. A Interlock afirma ter roubado 4,5 TB de dados, totalizando cerca de 2,1 milhões de arquivos, e publicou amostras de documentos supostamente roubados em seu site de vazamento. Até o momento, o condado não confirmou a veracidade das alegações da gangue, e não se sabe se um resgate foi pago ou como os atacantes conseguiram acessar a rede do condado. A investigação sobre o incidente ainda está em andamento. Interlock, que começou a operar em outubro de 2024, já reivindicou 25 ataques confirmados, afetando quase 2,6 milhões de registros. Este ataque é parte de uma tendência crescente de ataques de ransomware a entidades governamentais nos Estados Unidos, com 47 incidentes confirmados apenas neste ano. Os ataques de ransomware podem resultar em roubo de dados e bloqueio de sistemas, forçando as organizações a pagar resgates para restaurar o acesso e evitar a divulgação de dados sensíveis.

Uma nova plataforma de ransomware como serviço chamada Global Group está utilizando chatbots de inteligência artificial para automatizar as negociações de resgate com suas vítimas. Desde sua criação em junho de 2025, o grupo já comprometeu pelo menos 17 organizações em países como Estados Unidos, Reino Unido, Austrália e Brasil, exigindo pagamentos que podem chegar a US$ 1 milhão. Essa inovação permite que os cibercriminosos mantenham várias negociações simultaneamente, sem a necessidade de intervenção humana constante, aumentando a eficiência das operações de extorsão. O sistema de IA analisa arquivos criptografados para verificar compromissos e adapta o tom das mensagens de acordo com o perfil da vítima, intensificando a pressão psicológica. O Global Group tem como alvos preferenciais organizações de alto valor nos setores de saúde, automotivo e industrial, e seu painel de negociações na deep web permite que afiliados de diversas nacionalidades conduzam as negociações. Além disso, o modelo de negócio do grupo é agressivo, oferecendo 85% dos valores arrecadados com resgates para seus afiliados, atraindo operadores experientes. Apesar da sofisticação aparente, análises técnicas indicam que o Global Group é uma rebranding de grupos anteriores, mantendo vulnerabilidades conhecidas. Essa transformação no cibercrime representa um desafio significativo para profissionais de segurança digital, que agora enfrentam negociadores artificiais programados para maximizar a pressão e acelerar os pagamentos.

Levantamentos realizados por agências federais dos Estados Unidos resultaram no desmantelamento da operação de ransomware BlackSuit, que atacou mais de 450 organizações em todo o país. A ação, coordenada pela Investigação de Segurança Interna (HSI) em colaboração com parceiros internacionais, mirou o grupo sucessor do Royal ransomware, conhecido por suas táticas de dupla extorsão. Durante a operação, servidores, domínios e ativos digitais usados pelo grupo foram apreendidos, evidenciando uma cooperação internacional sem precedentes no combate a ameaças de ransomware. O BlackSuit utiliza métodos de dupla extorsão, criptografando sistemas críticos das vítimas e ameaçando divulgar dados roubados, o que aumenta significativamente a pressão sobre as organizações para o pagamento de resgates. Desde 2022, esses grupos comprometeram setores vitais, como saúde, educação e energia, causando perdas financeiras superiores a $370 milhões. A operação envolveu a colaboração de várias agências dos EUA e de países como Reino Unido, Alemanha e Canadá, demonstrando capacidades avançadas de aplicação da lei em operações cibernéticas. O caso está sendo processado pelo Escritório do Promotor dos EUA para o Distrito Oriental da Virgínia, com esforços contínuos para responsabilizar os envolvidos nas campanhas do Royal e BlackSuit, marcando um importante avanço na luta contra operações de ransomware que ameaçam a infraestrutura digital global.

A equipe de descoberta e pesquisa de vulnerabilidades da Cisco Talos anunciou a revelação de 12 falhas de segurança em três plataformas de software: WWBN AVideo, MedDream PACS Premium e Eclipse ThreadX FileX. Essas vulnerabilidades expõem riscos significativos em setores como streaming de vídeo, imagem médica e sistemas embarcados.

No WWBN AVideo, versão 14.4, foram identificadas sete vulnerabilidades, incluindo cinco falhas de execução de scripts entre sites (XSS) e duas que podem ser combinadas para execução remota de código. A primeira, CVE-2025-25214, trata de uma condição de corrida na funcionalidade de descompactação, enquanto a segunda, CVE-2025-48732, explora uma lista negra incompleta em configurações do .htaccess.

O grupo de ransomware SafePay anunciou ter realizado um ataque ao distrito escolar Ridgefield Public Schools, em Connecticut, estabelecendo um prazo de pouco mais de dois dias para o pagamento do resgate, ameaçando divulgar 90 GB de dados caso suas exigências não fossem atendidas. A escola confirmou que sofreu o ataque em 24 de julho de 2025, informando que suas ferramentas de cibersegurança detectaram tentativas de execução de um vírus de criptografia na rede de computadores. Após identificar essa atividade, a rede foi desconectada para investigar o incidente. Neste momento, a restauração dos sistemas está em andamento, e a escola espera que os professores possam acessar seus e-mails novamente esta semana. Embora RPS tenha confirmado a exigência de um resgate, não divulgou o valor pedido nem se o pagamento foi efetuado. O fato de SafePay ter listado o distrito escolar em seu site sugere que as negociações falharam. O SafePay, que começou a adicionar vítimas ao seu site de vazamento de dados em novembro de 2024, já registrou 278 ataques, sendo 35 confirmados. O ataque a Ridgefield é o sexto a uma instituição educacional realizada pelo grupo. Em 2025, foram registrados 26 ataques confirmados ao setor educacional dos EUA, refletindo um aumento nas ameaças às escolas, faculdades e universidades. O ataque à Ridgefield exemplifica como esses incidentes visam causar desordem, forçando as instituições a pagarem resgates para recuperar o acesso aos seus sistemas.

O grupo de ransomware PEAR reivindicou a responsabilidade por uma violação de dados ocorrida em junho de 2025 na Think Big Health Care Solutions, uma empresa de gestão de saúde da Flórida. A violação comprometeu uma vasta gama de informações pessoais, incluindo nomes, números de Seguro Social, números de identificação fiscal, endereços, dados bancários e informações médicas. A PEAR afirma ter roubado 60 GB de dados e publicou imagens que supostamente contêm documentos da Think Big para corroborar sua alegação. Em seu site de vazamento de dados, a gangue afirmou que a administração da Think Big se recusou a negociar, deixando os dados disponíveis publicamente. A Think Big ainda não confirmou a alegação da PEAR e não divulgou quantas pessoas foram notificadas sobre a violação nem o valor exigido como resgate. A empresa emitiu um aviso aos afetados, informando que uma investigação forense está em andamento após a descoberta de atividades suspeitas em uma conta de e-mail de funcionário. Para os afetados, a Think Big está oferecendo monitoramento de crédito e proteção contra roubo de identidade por meio da Haystack ID. A PEAR, que se apresenta como um novo grupo de ransomware, já fez outras 17 reivindicações de ataques em 2025, focando em extorquir dados sem criptografá-los, o que difere da maioria dos grupos de ransomware. Ataques desse tipo em empresas de saúde nos EUA podem causar interrupções significativas e riscos à saúde e segurança dos pacientes.

A Pakistan Petroleum Limited (PPL), empresa de exploração de petróleo e gás, confirmou ter enfrentado um ataque de ransomware que afetou partes de sua infraestrutura de TI. O incidente foi detectado em 6 de agosto de 2025, mas, segundo a empresa, foi rapidamente contido, sem comprometimento de sistemas críticos ou dados sensíveis. Em um comunicado enviado à Bolsa de Valores do Paquistão (PSX), a PPL informou que ativou imediatamente seus protocolos internos de cibersegurança após identificar a intrusão. Até o momento, nenhum grupo de ransomware assumiu a responsabilidade pelo ataque. Este incidente ocorre em um contexto mais amplo de ataques cibernéticos, com outras empresas e setores também lidando com violações de dados. Por exemplo, recentemente, a Air France e a KLM alertaram seus clientes sobre uma violação de dados em uma plataforma externa, enquanto a Bouygues Telecom enfrentou uma exposição significativa de dados, marcando o segundo grande incidente envolvendo operadoras de telecomunicações francesas em um mês. Além disso, o estado de Ohio implementou uma lei exigindo que governos locais aprovem formalmente pagamentos de resgates relacionados a ataques cibernéticos. Esses eventos ressaltam a crescente preocupação com a segurança cibernética em todo o mundo e a necessidade de medidas preventivas mais robustas para proteger informações críticas.