Pacific News #238: The Festivus
Ataques cibernéticos, roubos e interrupções: as piores violações de dados de 2025
O balanço anual de cibersegurança do portal TechCrunch, tradicional termômetro das vulnerabilidades digitais globais, confirmou o que especialistas temiam: 2025 foi o ano da ruptura. O relatório, que detalha desde vazamentos massivos de dados até ataques que interromperam cadeias de suprimentos por semanas, revela um cenário onde a sofisticação dos criminosos superou, em diversas frentes, as defesas das maiores potências e corporações do mundo.
O ano começou sob tensão geopolítica. Uma ofensiva orquestrada por agentes chineses atingiu o núcleo financeiro dos Estados Unidos, invadindo o Departamento do Tesouro. A brecha se expandiu para agências federais estratégicas, incluindo o órgão responsável pela custódia do arsenal nuclear americano, explorando uma falha crítica no software Microsoft SharePoint. Contudo, o golpe mais simbólico foi contra o Departamento de Eficiência Governamental (DOGE). A invasão resultou no maior roubo de dados governamentais da história dos EUA, expondo bancos de dados sensíveis e gerando uma crise de confiança institucional sem precedentes.
No Reino Unido, a ameaça digital saltou das telas para as prateleiras. Cibercriminosos paralisaram o setor varejista ao invadir os sistemas da Marks & Spencer e da Co-op, comprometendo 6,5 milhões de registros. O impacto logístico foi imediato: redes desativadas impediram o abastecimento, deixando supermercados com gôndolas vazias. O setor industrial sofreu danos ainda mais profundos. A Jaguar Land Rover (JLR), uma das maiores empregadoras britânicas, viu sua produção estagnar por meses após um ataque em setembro. A paralisia da fabricante de automóveis não foi apenas um prejuízo corporativo, mas um choque direto na economia do país.
A extorsão também ganhou contornos dramáticos com a atuação do grupo de ransomware Clop. Utilizando uma vulnerabilidade de "dia zero" no software E-Business da Oracle que passou meses sem ser detectada pela desenvolvedora, os criminosos obtiveram acesso a registros financeiros e de recursos humanos de gigantes globais. Em uma tática de pressão direta, executivos de alto escalão passaram a receber e-mails contendo suas próprias informações pessoais anexadas, acompanhados de exigências de resgate na casa dos milhões de dólares sob ameaça de exposição pública.
No Oriente, a Coreia do Sul enfrentou um efeito dominó de falhas. Com violações registradas quase mensalmente, o país viu a SK Telecom perder 23 milhões de registros de clientes. Entre ataques atribuídos à Coreia do Norte e um incêndio catastrófico em um data center que destruiu dados governamentais sem backup, a vulnerabilidade sul-coreana atingiu o ápice com a crise em Coupang. A "Amazon da Ásia" sofreu um roubo de dados de 33 milhões de clientes que perdurou por cinco meses. A detecção tardia do crime e a magnitude da exposição forçaram a renúncia imediata do CEO da companhia.
O ecossistema de nuvem também foi abalado através da Salesforce. Embora a gigante de CRM não tenha sido o alvo direto, falhas em empresas parceiras permitiram o roubo de bilhões de registros de clientes armazenados em sua infraestrutura. O incidente arrastou nomes de peso como Google, LinkedIn, Cloudflare e DocuSign para o centro da crise. O encerramento do ano foi marcado pela audácia do grupo Scattered Lapsus$ Hunters, que chegou a publicar um site de vazamento anunciando os dados roubados como mercadoria, consolidando 2025 como um marco da fragilidade na era da hiperconectividade.
Kimwolf: A botnet que se baseia em dispositivos Androids – incluindo sua TV
Pesquisadores de cibersegurança da empresa XLab estudaram um novo exemplar de botnet, que se originava de um domínio curioso: “14emeliaterracewestroxburyma02132[.]su.” Mais curioso ainda é que sua popularidade foi, pouco a pouco, disparando nos rankings globais da Cloudflare, indicando um fato muito simples: trata-se de um domínio usado em uma botnet em escala global.
A Kimwolf, como ficou conhecida esta rede de bots ligada à Aisuru, usa a biblioteca de código-aberto wolfSSL e alveja, principalmente, dispositivos Android de baixa segurança, como TV Boxes. Com o dispositivo infectado, a Kimwolf criptografa dados sensíveis usando XOR, faz uso de DNS sobre TLS para esconder a sua comunicação e permanecer furtivo na rede e autentica a sua conexão com o C2 com assinaturas de curva elíptica digital.
Ao analisar um único domínio do C2 da Kimwolf, pesquisadores observaram que cerca 2.7 milhões de endereços de IP interagiram com ele em três dias, indicando que a escala de infecção total passava de 1.8 milhões de dispositivos. Esse número é apenas estimado, porque a campanha possui diversas versões diferentes, faz uso de múltiplos servidores de C2 e ainda atua com fusos horários distintos.
O código desta botnet se assemelha muito ao utilizado pela família Aisuru, mas foi redesignado para evitar detecções. Sua função principal é fazer proxy de tráfego, além da possibilidade de execução de grandes ataques de DDoS – chegando à casa de incríveis 30 Terabytes por segundo, em seu ápice.
As infecções desta botnet ocorreram em todo o mundo, mas o Brasil é o país com mais dispositivos afetados, segundo os pesquisadores, contando com 14.63% de todos os casos observados. Na sequência, Índia (12.71%), Estados Unidos (9.58%), Argentina (7.19) e África do Sul (3.85%) são os países com maior incidência de dispositivos pertencentes à rede de bots Kimwolf.
Será que o seu TV Box está infectado e integrando uma grande operação de DDoS e você nem sabe?
Nova técnica permite assumir contas do Whatsapp sem o conhecimento do usuário
Um novo tipo de ataque cibernético, chamado Ghost Pairing, vem ganhando força em países como Reino Unido e Estados Unidos e tem como alvo principal usuários do WhatsApp. A técnica, baseada em engenharia social, permite que criminosos assumam o controle da conta da vítima sem que ela perceba, explorando o recurso do WhatsApp Web por meio de QR Codes maliciosos.
Embora o Ghost Pairing tenha origem em falhas de emparelhamento via Bluetooth, a ameaça evoluiu e agora usa o WhatsApp como vetor de ataque. Os criminosos induzem as vítimas a acessar links de phishing, exibem falsas mensagens de suporte ou páginas que imitam o WhatsApp Web, levando-as a escanear um QR Code fraudulento. Ao fazer isso, a vítima acaba vinculando sua conta a um dispositivo controlado pelo atacante.
Uma vez conectado, o invasor pode ler mensagens em tempo real, enviar mensagens em nome da vítima, acessar as mídias compartilhadas e monitorar contatos e horários de conversas. Como o WhatsApp não alerta automaticamente sobre novos dispositivos conectados, o ataque pode permanecer ativo por longos períodos.
Com acesso à conta, é possível monitorar os contatos e hábitos de conversa, aplicar golpes financeiros, disseminar links maliciosos e explorar a confiança entre a vítima e seus contatos para ampliar o alcance do ataque. Especialistas alertam que a ameaça reforça a importância de revisar regularmente os dispositivos conectados ao WhatsApp, desconfiar de QR Codes e mensagens inesperadas e manter atenção constante a tentativas de phishing, medidas essenciais para reduzir os riscos desse tipo de ataque.
Patches & Updates
WatchGuard: Mais de 115 mil dispositivos WatchGuard Firebox permanecem expostos e vulneráveis à falha de segurança CVE-2025-14733, que permite a um atacante remoto a execução remota de código (RCE). Esta vulnerabilidade afeta os dispositivos Firebox que executam o sistema operacional Fireware OS nas versões 11.X, 12.X e 2025.1, 2025.1.2 e 2025.1.3. Atacantes estão explorando a vulnerabilidade em ambientes reais, executando código de forma arbitrária e elevando seus privilégios e um ataque relativamente simples. Atualizem já!
Eurostar: Uma série de vulnerabilidades no chatbot de suporte ao cliente alimentado por inteligência artificial da Eurostar (trem de alta velocidade que liga várias grandes cidades da França, Bélgica, Holanda, Alemanha e Grã-Bretanha) foram descobertas pela Pen Test Partners. Nas palavras do especialista Ross Donald, “o servidor aceitava sem problemas todo o histórico de conversas do cliente, sem qualquer validação”. Isso significava que um atacante poderia alterar as mensagens anteriores e enviá-las de volta para a IA, reescrevendo efetivamente o que o chatbot acreditava já ter acontecido. Essa falha permitia a injeção de prompts, uma técnica que pode fazer com que sistemas de IA revelem instruções internas ou se comportem de maneira imprevisível.
Destaques pelo mundo
Coreia do Sul: Em virtude do crescente aumento de roubo de dados e ataques de personificação, o governo da Coreia do Sul anunciou uma nova exigência às operadoras de telefonia celular: seus clientes deverão passar por um reconhecimento facial no momento da compra de um novo número. O objetivo é reduzir o número de golpes, que tem assolado o gigante asiático nos últimos anos. Para se ter uma ideia, em 2025 dois grandes incidentes cibernéticos aconteceram na Coreia do Sul, afetando cerca de 26 milhões de pessoas – metade da população total do país.
Romênia: Agências de cibersegurança na Romênia confirmaram um grande ataque de ransomware à infraestrutura crítica nacional, onde a Administrația Națională Apele Române, empresa pública que cuida do abastecimento de água no país, teve mais de 1000 sistemas comprometidos pelo ataque cibernético. Os alvos incluem servidores de aplicações, banco de dados, estações de trabalho Windows e até mesmo servidores DNS. O website da companhia também saiu do ar, então as atualizações são recebidas de fontes diversas. Apesar do ataque ser descrito como um ransomware, até o momento nenhum grupo clamou a autoria do ataque. Aliás, a criptografia dos arquivos acontece através do Windows BitLocker, o que sugere que o ataque não usa um payload conhecido de ransomware.
Austrália: A Universidade de Sydney anunciou na quinta-feira que cibercriminosos roubaram informações de aproximadamente 27.500 pessoas de uma de suas bibliotecas de código online. Nesses arquivos, a universidade identificou informações pessoais de funcionários contratados em setembro de 2018, incluindo nomes, endereços, números de telefone, datas de nascimento e detalhes básicos sobre seus cargos. Embora os dados tenham sido acessados e baixados, até o momento não há evidências de que tenham sido usados ou divulgados.
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib, Murilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa
