PacificNews#228: The Rulers of Fortune
Crowdstrike e o panorama de Ameaças na Europa em 2025
O relatório "Panorama de Ameaças na Europa 2025", da CrowdStrike, revelou tendências alarmantes no ciberespaço, posicionando a Europa como a segunda região mais visada do mundo, atrás apenas da América do Norte.
Segundo o estudo, o cenário de ameaças no continente tornou-se mais agressivo e complexo. Organizações criminosas, agentes estatais e grupos hacktivistas intensificaram suas operações, empregando intrusões mais velozes, engenharia social refinada e redes de colaboração criminosa mais robustas.
Um destaque crítico deste ano é a atuação do Scattered Spider. Este grupo emergiu como um dos mais lucrativos de 2025, acumulando milhões através de ransomware. O grupo foi associado a violações de alto perfil em servidores britânicos, com destaque para o comprometimento de dados de grandes varejistas, como a Marks and Spencer.
No âmbito geopolítico, o relatório aponta atores estatais, especificamente Rússia, China, Coreia do Norte e Irã como responsáveis por um volume significativo de ataques contra nações ocidentais. Suas táticas variam desde a ciberespionagem até a interrupção de infraestruturas críticas.
Por fim, uma mudança preocupante: as instituições de ensino tornaram-se o alvo preferencial dos cibercriminosos em 2025. Historicamente visto como um "alvo fácil" devido a protocolos de segurança defasados, o setor educacional é agora a vítima mais frequente na Europa, visado por seus vastos repositórios de dados pessoais sensíveis.
Grupo de Ransomware Akira está alvejando organizações críticas
Agências governamentais europeias e americanas estão fazendo um alerta global: o grupo de ransomware Akira está representando um risco iminente à infraestrutura crítica mundial. Para lembrarmos, o Akira atua como um “ransomware-as-a-service”, ou RaaS, especialmente focado em empresas de médio e pequeno porte. Ocorre que, de acordo com a atividade recente do grupo, tudo indica uma mudança neste paradigma.
Uma força conjunta contando com CISA, HHS, FBI e forças policiais da França, Alemanha, Países Baixos e até mesmo a Europol afirmou que os últimos indicadores de comprometimento (IoC) e suas táticas, técnicas e procedimentos (TTPs) demonstram uma atuação do Akira em setores críticos, como agricultura, manufatura, comércio e saúde.
Além disso, o estudo feito pelos entes governamentais demonstrou como o Akira conseguiu exfiltrar dados da vítima de forma muito rápida, usando uma variedade de novas ferramentas de malware e vulnerabilidades em software que dificilmente eram exploradas por outros atores maliciosos, como, por exemplo, ataques em máquinas virtuais e comprometimento de plataformas de hypervisor.
Historicamente, o Akira já atacou os líderes do mercado de hypervisores ESXi (VMware) e Hyper-V (Microsoft). Mas, em 2025, os atacantes também criptografaram discos de máquinas virtuais de um competidor menor no setor, o Acropolis Hypervisor (AHV) da Nutanix – que presta serviço para mais de 27 mil clientes, como a Marinha americana, aeroporto de Gatwick, em Londres e outras empresas proeminentes de setores críticos.
Além disso, vulnerabilidades como CVE-2024-40711, uma desserialização insegura no Veeam e CVE-2024-40766, controle de acesso impróprio no SonicWall também estão sendo exaustivamente exploradas pelo Akira, junto a ferramentas como o SystemBC, um proxy bot e trojan de acesso remoto, além de utilitários do Windows e driver malicioso StoneStop e PoorTry. Este agente de ameaças continua solto no mundo real e, só em 2025, já coletou mais de 245 milhões de dólares em pagamento de resgate.
Falha no Whatsapp expôs bilhões de números de telefone
Uma falha simples colocou em risco uma grande parcela da população mundial: pesquisadores da Universidade de Viena descobriram que era possível enumerar todos os números registrados no Whatsapp. Para provar isso, eles coletaram 3,5 bilhões de números de telefone, além de milhões de fotos e textos de perfil. A vulnerabilidade, ignorada por anos, permitiu que qualquer pessoa criasse o maior banco de dados de usuários do Whatsapp já visto.
A falta de limitação de requisições na versão web do Whatsapp foi o que possibilitou o ataque: os pesquisadores conseguiram verificar cerca de 100 milhões de números por hora, explorando uma vulnerabilidade já apontada em 2017, mas que nunca foi totalmente corrigida. Países com grande adesão ao aplicativo, como Índia e Brasil, estavam especialmente expostos, com cerca de 60% dos perfis exibindo fotos publicamente.
A Meta foi avisada em abril e corrigiu a brecha apenas em outubro. Em nota, afirmou que apenas dados “já públicos” foram expostos e que não há evidências de abuso por criminosos, acrescentando: “Já estávamos trabalhando em sistemas anti-scraping líderes do setor, e este estudo foi fundamental para testar a resistência e confirmar a eficácia imediata dessas novas defesas”. Os pesquisadores, porém, contestam a narrativa e afirmam que não havia defesas reais contra a coleta massiva de dados.
O problema vai além de uma falha técnica, ele expõe a falta de segurança no uso de números de telefone como identificadores para serviços com bilhões de usuários. O Whatsapp testa agora um sistema de nomes de usuário, visto como alternativa mais segura ao modelo atual. Como resume o pesquisador Aljosha Judmayer: “Se você tem um serviço grande, usado por mais de um terço da população mundial, e este é o mecanismo de descoberta, isso é um problema.”.
Patches & Updates
XWiki: Agentes maliciosos começaram a explorar em massa uma vulnerabilidade crítica do XWiki (CVE-2025-24893 - pontuação CVSS de 9,8) em menos de duas semanas após a descoberta da falha e sua exploração em ambiente real. A falha existe em versões do XWiki anteriores a 15.10.11, 16.4.1 e 16.5.0RC1, nas quais a entrada fornecida pelo usuário para uma função de busca não é devidamente sanitizada, permitindo que atacantes remotos e não autenticados executem código arbitrário por meio de requisições manipuladas ao endpoint de busca.
Google: Uma atualização de segurança emergencial foi lançada para corrigir a sétima vulnerabilidade zero-day do Chrome explorada em ataques neste ano: CVE-2025-13223. Trata-se de uma falha de confusão de tipos no mecanismo JavaScript V8 do Chrome, relatada na semana passada por Clement Lecigne, do Grupo de Análise de Ameaças do Google (Google TAG). O problema foi corrigido com o lançamento das versões 142.0.7444.175/.176 para Windows, 142.0.7444.176 para Mac e 142.0.7444.175 para Linux.
Estados Unidos: Cinco indivíduos se declararam culpados em ajudar um esquema ilícito de geração de receitas pela Coreia do Norte, especialmente através de fraudes em criptomoedas e fraudes trabalhistas no setor de Tecnologia da Informação. Os acusados são quatro americanos e um ucraniano, que usaram identidades próprias e forjadas para que agentes da Coreia do Norte fossem contratados por firmas americanas para trabalho remoto. Os acusados foram o ucraniano Oleksandr Didenko e os americanos Erick Ntekreze, Audricus Pgagnasay, Jason Salazar e Alexander Paul Travis.
Destaques pelo mundo
Cloudflare: Nesta terça-feira, a Cloudflare sofreu um apagão que afetou toda a sua rede global de serviços, com diversos usuários relatando mensagens de “Internal Server Error” ao tentar acessar sites e plataformas online afetadas. A empresa ainda não divulgou a causa do incidente, que está sendo investigado. Vale ressaltar que a Cloudflare conta com uma infraestrutura distribuída entre 330 cidades em 120 países diferentes.
Logitech: A empresa confirmou que sofreu uma violação de dados logo após ser apontada como vítima da recente campanha de hackers e extorsão direcionada a clientes da solução de planejamento de recursos empresariais (ERP) Oracle E-Business Suite (EBS). Acredita-se que um terceiro não autorizado explorou uma vulnerabilidade zero-day em uma plataforma de software de terceiros e copiou determinados dados do sistema de TI interno.
Azure: A Microsoft foi vítima de um ataque massivo de negação de serviço (DDoS) lançado pela botnet Aisuru. O ataque usou uma técnica de UDP flood de mais de 15.72 terabits por segundo, vindos de mais de 500.000 endereços de IP diferentes e alvejando um endereço de IP específico na Austrália. Para você ter uma ideia, o número é o equivalente a 1 milhão de vídeos em 4k simultâneos. A Cloudflare relacionou este incidente a um outro ataque da mesma botnet, responsável por enviar 22.2 terabits de dados por segundo e que foi mitigado em setembro de 2025.
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib, Murilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa
