A União Europeia impôs sanções a três grupos de hackers e dois indivíduos por ataques cibernéticos contra seus estados-membros, marcando uma ação significativa na aplicação de medidas geopolíticas contra ameaças persistentes. As sanções visam o contratante iraniano Emennet Pasargad, ligado ao IRGC, pelos ataques à revista Charlie Hebdo, aos Jogos Olímpicos de Paris 2024 e a um serviço de SMS sueco, além de interferência na eleição presidencial dos EUA de 2020. Dois contratantes chineses também foram sancionados: o Integrity Technology Group, por operar o botnet Raptor Train para o APT Flax Typhoon, e a Anxun Information Technology (i-SOON), por campanhas de espionagem. Ambos os grupos já haviam sido alvo de sanções pelo Tesouro dos EUA em 2025, evidenciando uma resposta coordenada do Ocidente.
Incidentes e Vulnerabilidades Críticas
Um bug crítico no portal britânico Companies House permitia que qualquer usuário autenticado visualizasse e editasse os dados de registro de qualquer empresa, explorando uma falha de navegação no fluxo “File for another company”. O serviço foi desativado para correção. Enquanto isso, ataques de ransomware continuam a impactar infraestruturas críticas, como o Departamento do Xerife de DeKalb, Tennessee, e a cidade holandesa de Epe, este último via ataque ClickFix. Incidentes de exposição de dados também foram reportados, incluindo bancos de dados de chatbots da Sears e uma violação por phishing na Intuitive, fabricante de robôs cirúrgicos.
Evolução do Ecossistema de Ransomware e Malware
O relatório da Mandiant sobre 2025 destaca tendências preocupantes no ecossistema de ransomware: 33% dos incidentes iniciaram pela exploração de vulnerabilidades (principalmente em VPNs e firewalls), 77% envolveram exfiltração de dados (aumento de 20% em relação a 2024) e 43% visaram infraestrutura de virtualização. A família REDBIKE foi a mais prevalente. Novas ameaças emergiram, como o botnet Katana, que infectou mais de 30.000 dispositivos Android TV via portas de debug expostas, e o infostealer Spark, distribuído por mods falsos de Minecraft. O malware GoPix, que ataca o sistema de pagamento Pix brasileiro, opera fileless e realiza ataques MitM locais.
Campanhas de APT e Novas Técnicas de Ataque
Operações de espionagem continuam ativas. Um diretório aberto expôs kits de exploração, código-fonte de C2 e logs do APT28 (Rússia). O grupo DPRK FAMOUS CHOLLIMA implantou o novo RAT PylangGhost via pacotes npm. Pesquisadores também documentaram o abuso do framework Android LSPosed para fraudes bancárias, permitindo que transações fraudulentas pareçam originar do dispositivo legítimo do usuário. Na frente de pesquisa ofensiva, foi descoberto o ataque “CursorJack”, que abusa de deep links (cursor://) para execução de código, e o “Poisoned Typeface”, que esconde prompts maliciosos de IA em fontes da web personalizadas.
Contexto Geopolítico e Medidas de Política
O conflito geopolítico continua a influenciar o cenário de ameaças. Ataques aéreos dos EUA e Israel mataram Seyed Yahya Hosseiny Panjaki, alto funcionário de cibernética iraniano e líder do grupo Handala. Relatórios indicam que operações de influência chinesas estão promovendo narrativas iranianas. No âmbito regulatório, o Canadá propôs o Projeto de Lei C-22 para expandir os poderes de acesso legal para identificação e localização de suspeitos, enquanto a Bélgica lançou o projeto “Phish Nemo” para compartilhar uma base de dados de sites de phishing com operadoras.
“In a third of incidents, the initial access vector was confirmed or suspected exploitation of vulnerabilities, most often in common VPNs and firewalls.” – Google Mandiant, Ransomware Ecosystem Evolution Report 2025.
Lições Técnicas e Prioridades de Defesa
Os eventos da semana reforçam a necessidade de uma postura de defesa proativa e baseada em contexto. As principais ações incluem:
- Gestão Agressiva de Vulnerabilidades: Priorizar a correção de falhas em VPNs, firewalls e servidores FTP (como o Wing FTP), vetores de entrada predominantes para ransomware.
- Proteção de Dispositivos IoT/OT: Assegurar que dispositivos como Android TV e infraestrutura de virtualização não tenham portas ou serviços expostas desnecessariamente.
- Defesa Contra Engenharia Social: Reforçar treinamentos contra phishing (incluindo iscas de suporte técnico sofisticadas, como a que quase enganou Matt Mullenweg) e ataques ClickFix.
- Monitoramento da Cadeia de Suprimentos de Software: Auditar pacotes de código aberto (npm, PyPI) e SDKs de terceiros em busca de comportamentos maliciosos ou backdoors.
- Resposta a Sanções e Inteligência: Utilizar listas de entidades sancionadas (como Emennet, Integrity, i-SOON) para enriquecer processos de threat hunting e análise de indicadores de comprometimento (IOCs).
A convergência entre ações estatais sancionadoras, a evolução técnica de grupos criminosos e a exploração persistente de vulnerabilidades conhecidas cria um ambiente operacional complexo. A defesa eficaz requer não apenas vigilância técnica contínua, mas também a integração de inteligência geopolítica e de ameaças para priorizar esforços onde o risco é mais tangível e iminente.
Análise baseada no Risky Bulletin (18/03/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário