PacificNews#194: I see fire
Quem foi responsável por ciberataques ao Microsoft SharePoint ToolShell?
A cadeia de exploração “ToolShell” está sendo utilizada em uma campanha global de ciberataques, afetando dezenas de organizações, com foco especial nos setores governamental, de telecomunicações e de software na América do Norte e Europa Ocidental. Atores de ameaça associados ao governo chinês estão sendo ligados aos ataques, que exploram duas vulnerabilidades críticas de dia zero no Microsoft SharePoint, identificadas como CVE-2025-53770 e CVE-2025-53771.
A mais grave das duas falhas, CVE-2025-53770, é uma vulnerabilidade de Execução Remota de Código (RCE) que, devido a uma desserialização insegura de dados, permite que um invasor não autenticado execute comandos arbitrários em um servidor SharePoint vulnerável. A segunda, CVE-2025-53771, é uma falha de spoofing (falsificação) causada por uma validação inadequada de caminhos de diretório. Embora menos crítica isoladamente, ela é um elo essencial na cadeia de ataque, facilitando a exploração da falha principal.
A gravidade desses ataques reside na facilidade de exploração: um servidor SharePoint exposto à internet pode ser comprometido remotamente, sem necessidade de credenciais, interação do usuário ou privilégios especiais. Isso concede aos invasores um ponto de entrada inicial para realizar movimentação lateral na rede, roubar dados sensíveis e comprometer completamente o sistema.
Em um relatório divulgado na terça-feira, a Microsoft confirmou que dois grupos de ameaça patrocinados pelo estado chinês, Linen Typhoon e Violet Typhoon, estão explorando ativamente essas vulnerabilidades. Um terceiro grupo chinês, rastreado como Storm-2603, também foi identificado como parte da campanha. Charles Carmakal, CTO da Mandiant Consulting (Google Cloud), reforçou o alerta: "É fundamental entender que vários agentes estão explorando ativamente essa vulnerabilidade".
É importante notar que essas novas vulnerabilidades são, na verdade, desvios de correções anteriores lançadas no Patch Tuesday de julho. Os ataques de dia zero conseguiram contornar as proteções iniciais, forçando a Microsoft a emitir novos identificadores (CVE-2025-53770 e CVE-2025-53771) e a lançar patches de emergência fora de seu ciclo habitual de atualizações. As correções urgentes estão disponíveis para o SharePoint Subscription Edition, SharePoint 2019 e SharePoint 2016 e devem ser aplicadas imediatamente.
Uma empresa de 158 anos fechou as portas por um ataque cibernético
A empresa KNP, uma transportadora de Northamptonshire, no Reino Unido, em funcionamento há 158 anos, foi vítima de um ataque de ransomware que forçou a companhia a fechar as portas, resultando em mais de 700 pessoas desempregadas como consequência. Através de um ataque de força bruta, os atacantes conseguiram acessar a rede de computadores da organização, criptografar todos os dados e trancar os responsáveis para fora dos sistemas internos da KNP.
O grupo responsável pelo ataque foi o Akira, que deixou a seguinte nota em um dos computadores afetados: “Se você está lendo isso, significa que a infraestrutura interna da sua companhia está completa ou parcialmente morta…Vamos manter as lágrimas e ressentimentos para nós mesmos e tentar ter um diálogo construtivo”. O montante pedido do resgate não foi revelado, mas estima-se que foi na casa de 5 milhões de libras esterlinas – algo próximo à 37 milhões de reais.
Ocorre que a KNP não possuía este montante disponível para pagamento do resgate, o que irritou os ofensores. Assim, todos os dados foram permanentemente perdidos e, consequentemente, a empresa foi às ruínas.
O caso abalou o Reino Unido. O Centro Nacional de Cibersegurança (NCSC) emitiu diversas notas sobre o ocorrido, alegando que seu objetivo é “fazer o Reino Unido o lugar mais seguro para se viver e trabalhar online”, complementando que lidam com um novo ataque cibernético todo dia. Um dos problemas, de acordo com um dos integrantes do NCSC, é que “existem muitos atacantes. Mas não existem muitos de nós [defensores]”. Os dados são escassos, já que as empresas não são obrigadas a reportar ataques ou pagamentos de resgates. Ainda assim, uma pesquisa do governo britânico estima que cerca de 19 mil ataques de ransomware atingiram empresas no Reino Unido no ano passado. Além disso, pesquisas da indústria sugerem que o valor médio do resgate a empresas britânicas atinge o montante de £4 milhões – com ⅓ das empresas pagando este valor.
Para James Babbage, Diretor Geral de Ameaças da NCA, a Agência nacional britânica que luta contra o crime organizado, há uma nova geração de atacantes que está ingressando no crime cibernético. "Eles estão reconhecendo que esse tipo de habilidade pode ser usado para enganar as centrais de suporte de TI e afins para que tenham acesso às empresas.” Babbage também complementa, dizendo que "É preciso haver regras que tornem as empresas muito mais resilientes a atividades criminosas".
Patches & Updates
ToolShell:
Embora a Microsoft tenha lançado correções para o SharePoint no Patch Tuesday de julho, agentes de ameaças desenvolveram uma nova técnica de ataque de dia zero que conseguia contornar essas atualizações. Para responder a essa ameaça, que comprometia servidores considerados "totalmente corrigidos", a Microsoft atribuiu dois novos IDs de CVE durante o fim de semana: CVE-2025-53770 (uma falha de RCE) e CVE-2025-53771 (uma falha de spoofing). Consequentemente, foram lançados patches de emergência para o SharePoint Subscription Edition, SharePoint 2019 e SharePoint 2016 para mitigar essa nova cadeia de exploração.
Ransomware:
Em uma mudança de direção, o governo do Reino Unido está propondo uma lei que proíbe empresas do setor público e de infraestrutura crítica a pagar resgates em ataques de ransomware. Isso significa que o NHS (o serviço de saúde público britânico), escolas e prefeituras, que foram alvos recentes de cibercriminosos, não poderão mais negociar com os atacantes. Por esta lei, o governo poderá exigir que entidades reguladas adotem melhorias específicas de segurança. Se não aplicarem correções contra vulnerabilidades amplamente exploradas, poderão sofrer multas diárias de £100 mil ou 10% do faturamento em caso de invasão digital.
CrushFTP:
No fim de semana, a CrushFTP alertou que atores maliciosos estavam explorando uma vulnerabilidade de dia zero (CVE-2025-54309) em seu software de transferência gerenciada de arquivos para obter acesso administrativo a servidores vulneráveis. A falha é descrita como o manuseio incorreto da validação AS2 quando o recurso de proxy DMZ não é usado, o que permite que invasores remotos obtenham privilégios administrativos via HTTPS. O problema existe em compilações lançadas antes de 1º de julho e foi corrigida em versões recentes do software, embora o vetor de ataque não tenha sido abordado. Segundo a empresa, apenas instâncias que não utilizam uma DMZ na frente do aplicativo correm risco de exploração. As versões 10 do CrushFTP anteriores à 10.8.5 e as versões 11 anteriores à 11.3.4_23 foram afetadas. Patches foram incluídos nas versões 10.8.5_12 e 11.3.4_26 do CrushFTP.
Destaques pelo mundo
África:
Uma Ameaça Persistente Avançada (APT) com possíveis vínculos com o governo chinês está mirando uma fornecedora de serviços de TI que atende administrações públicas na África. O APT41, como é conhecido, é famoso por atacar alvos que se alinhem aos interesses de Pequim, como companhias americanas ou taiwanesas. Segundo pesquisadores da Kaspersky, este APT – ativo desde 2012 – já atacou setores como telecomunicações, energia, educação e saúde em ao menos 42 países, mas, antes desse caso, a atividade do grupo na África era mínima. Os ataques do APT41 ocorrem em meio a um aumento geral do cibercrime na África. Um estudo recente da Interpol apontou que golpes online contra consumidores na região cresceram 30 vezes, enquanto o crime cibernético organizado se expande em países como Gana, Senegal e Nigéria. Analistas atribuem esse avanço ao crescimento tecnológico e à maior conectividade na região.
Exchange:
A maior corretora de criptomoedas da Índia, a CoinDCX, confirmou que uma de suas contas operacionais internas (supostamente usada apenas para provisionamento de liquidez em uma corretora parceira) foi comprometida em uma recente violação de segurança, permitindo que os cibercriminosos roubassem milhões em criptomoedas. O CEO da CoinDCX, Sumit Gupta, garantiu que o incidente não afetou os fundos dos clientes e que todos os ativos permanecem seguros. Segundo o pesquisador de segurança de criptomoedas, ZachXBT, cerca de US$44,2 milhões foram retirados dos cofres da CoinDCX devido ao incidente.
Alaska Airlines:
A empresa de aviação Alaska Airlines paralisou todos os voos mediante um “problema de tecnologia da informação” esta semana. No site da companhia, um banner carregava os dizeres: “Estamos passando por dificuldades técnicas em nossos sistemas de TI. Nos desculpamos pela inconveniência e estamos trabalhando para resolver os problemas”. É importante ressaltar que a Alaska Airlines possui 325 aeronaves em sua frota e, no momento do incidente, apenas 11 estavam no ar. A empresa não detalhou a natureza dos incidentes, mas suspeita-se da participação do grupo Scattered Spider, conhecido por atacar empresas do setor de aviação com ransomware.
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib e Murilo Lopes
Arte: George Lopes e Anselmo Costa
