📊 Relatório de Incidentes Cibernéticos
v012/2025 ✅ Principais incidentes e ameaças cibernéticas da semana de 06 a 12 de agosto de 2025. Análises sobre ataques, vulnerabilidades e recomendações para proteger sua organização no cenário digital brasileiro e global.
📊 Sumário Executivo e Destaques desta Edição
Esta edição do Relatório Semanal de Incidentes Cibernéticos (RIC) apresenta um panorama detalhado dos eventos mais relevantes ocorridos entre 06 e 12 de agosto de 2025. Destacamos a correção crítica de uma vulnerabilidade zero-day no Windows Kerberos que permite compromisso total de domínios Active Directory, ataques sofisticados a infraestruturas críticas governamentais e a continuidade de incidentes em grandes corporações via fornecedores terceiros. A análise a seguir aprofunda-se em cada uma dessas áreas, fornecendo métricas, tendências e recomendações práticas para fortalecer a postura de segurança.
⚠️ Zero-Day Crítico Microsoft
Correção da vulnerabilidade CVE-2025-53779 "BadSuccessor" no Windows Kerberos, permitindo elevação de privilégios e compromisso total de domínios Active Directory com exploração trivial.
🎯 Ataques a Infraestruturas Críticas
Hack confirmado do sistema judicial federal dos EUA explorando falhas de segurança conhecidas há 5 anos, demonstrando persistentes vulnerabilidades em sistemas governamentais legacy.
🚨 Incidentes Corporativos Massivos
Bouygues Telecom confirma violação afetando 6,4 milhões de clientes; Air France-KLM reporta violação via plataforma de terceiros; continuidade de ataques via cadeia de suprimentos.
🛡️ Patch Tuesday Robusto
Microsoft corrige 111 CVEs, sendo 39% relacionadas à elevação de privilégios, indicando foco crescente de atacantes em pós-exploração e movimentação lateral.
📈 Evolução de Ameaças
Nova campanha "Voldemort" usando Google Sheets para C2 e engenharia social sofisticada; grupos ransomware mantêm alta atividade com técnicas avançadas.
⚠️ Vulnerabilidades Críticas Ativas
CISA adiciona 3 vulnerabilidades D-Link ao catálogo KEV por exploração ativa; SAP corrige 15 falhas incluindo 3 críticas no Patch Day de agosto.
🚨 Incidentes Críticos no Brasil
⚠️ Impactos Diretos de Vulnerabilidades Globais
A vulnerabilidade BadSuccessor (CVE-2025-53779) afeta diretamente todas as organizações brasileiras que utilizam Windows Server e Active Directory. Considerando a ampla adoção desses sistemas no setor público e privado brasileiro, a necessidade de aplicação imediata de patches é crítica para evitar compromisso de infraestruturas nacionais.
🛡️ Contextualização com Iniciativas Nacionais
O CERT.br publicou em 01/08/2025 um guia oficial para proteção de PMEs contra ransomware, demonstrando a crescente preocupação nacional com esse tipo de ameaça. Durante a semana analisada, eventos como o Fórum CSIRTs e SECOP 2025 reforçaram o foco governamental em cibersegurança pública.
⚠️ Vulnerabilidades em Sistemas Críticos
Organizações brasileiras usuárias de sistemas SAP NetWeaver precisam aplicar urgentemente as correções relacionadas à CVE-2025-31324, que permite execução remota de código não autenticada e está sendo ativamente explorada.
🚨 Setor Aviação
Subsidiárias brasileiras da Air France-KLM podem ter sido indiretamente afetadas pela violação de dados via plataforma de atendimento, exigindo verificação de sistemas similares no mercado nacional.
🛡️ Necessidade de Preparação
O padrão de ataques a sistemas governamentais (como observado nos EUA) requer revisão urgente da segurança de sistemas públicos brasileiros, especialmente aqueles com falhas conhecidas não corrigidas.
🎯 Incidentes na América Latina
39%
📈 Mais Ataques
A América Latina enfrenta 39% mais ataques cibernéticos que a média global
2.569
🎯 Ataques Semanais
Organizações na região sofrem 2.569 ataques semanais em média
291%
📈 Aumento
Crescimento de vítimas LATAM nomeadas em sites de extorsão de ransomware em 2025
⚠️ Impacto de Vulnerabilidades Globais
As correções do Patch Tuesday da Microsoft e as vulnerabilidades D-Link adicionadas ao catálogo KEV da CISA afetam diretamente a região, que historicamente apresenta latência maior na aplicação de patches de segurança.
🛡️ Preparação para Campanhas Sofisticadas
A campanha Voldemort, que usa engenharia social imitando agências tributárias, representa risco elevado para países da região durante períodos fiscais. Organizações devem implementar controles específicos contra phishing fiscal.
📞 Setor Telecomunicações
O incidente da Bouygues Telecom na França serve como alerta para operadoras latino-americanas, que frequentemente são alvos de ataques massivos devido ao volume de dados pessoais que processam.
🌍 Incidentes Globais Relevantes
🔧 Microsoft Patch Tuesday - Vulnerabilidade BadSuccessor
🔍 CVE: CVE-2025-53779 (CVSS 7.2 - Alto);
📅 Data de Correção: 12 de agosto de 2025;
💻 Tipo: Windows Kerberos Elevation of Privilege - Zero-day;
💥 Impacto: Compromisso total de domínios Active Directory;
🛠️ Exploração: Trivial de implementar, especialmente em Windows Server 2025;
🔢 Total de CVEs: 111 vulnerabilidades corrigidas no ciclo de agosto.
🏛️ Hack do Sistema Judicial Federal dos EUA
📅 Data de Descoberta: Reportado entre 08-12 de agosto de 2025;
🏛️ Sistema Afetado: PACER (Public Access to Court Electronic Records);
🚨 Vulnerabilidade: Falhas de segurança conhecidas desde 2020, não corrigidas;
🔒 Impacto: Acesso a documentos confidenciais, informações de informantes;
🇷🇺 Atribuição: Suspeita de envolvimento russo;
💀 Gravidade: Crítica - exploração de falhas óbvias há 5 anos.
📱 Bouygues Telecom - Violação Massiva
📅 Data do Incidente: 04 de agosto de 2025 (confirmado 06-12 agosto);
📊 Impacto: 6,4 milhões de clientes franceses afetados;
🆔 Dados Comprometidos: Informações pessoais de clientes;
🗣️ Resposta: Comunicação pública com FAQ, investigação em andamento.
✈️ Air France-KLM - Violação via Terceiros
📅 Data de Divulgação: 07 de agosto de 2025;
🔗 Vetor de Ataque: Plataforma externa de atendimento ao cliente;
🆔 Dados Afetados: Informações pessoais de clientes (volume não divulgado);
📝 Status: Notificações aos clientes iniciadas, investigação em curso.
🔍 CISA - Vulnerabilidades D-Link Exploradas Ativamente
📅 Data do Alerta: 05 de agosto de 2025;
🚨 Vulnerabilidades: 3 CVEs D-Link adicionadas ao catálogo KEV;
📸 Dispositivos: Câmeras IP e gravadores de vídeo em rede;
⏳ Prazo para Agências Federais: 26 de agosto de 2025.
🔧 SAP Security Patch Day
📅 Data: 12 de agosto de 2025;
🔢 Total: 15 vulnerabilidades corrigidas;
⚠️ Críticas: 3 vulnerabilidades críticas;
🎯 Destaque: CVE-2025-31324 em NetWeaver sob exploração ativa.
🎯 Grupos de Ameaças Ativos e Atividades Relevantes
🔒 Ransomware-as-a-Service (RaaS)
📈 Qilin: Grupo mais ativo em julho 2025, mantendo alta atividade em agosto;
📉 RansomHub: Declínio relativo mas permanece entre os mais prolíficos;
⚠️ Akira: Continuidade nas operações com foco em exploração de vulnerabilidades SonicWall;
🛡️ BlackSuit: Infraestrutura parcialmente derrubada pelo DOJ durante a semana;
🚨 Chaos: Novo grupo conduzindo campanhas usando ferramentas de gerenciamento remoto.
🌐 APTs e Ameaças Estatais
🎯 Atores Russos: Suspeitos do hack ao sistema judicial federal dos EUA;
⚠️ Volt Typhoon (China): Continuidade em exploração de falhas Versa Director;
📈 APT41: Operação MISSION2025 com atividades continuadas.
⚠️ Volt Typhoon (China): Continuidade em exploração de falhas Versa Director;
📈 APT41: Operação MISSION2025 com atividades continuadas.
💻 Campanhas de Malware Sofisticadas
🎣 Voldemort: Campanha usando Google Sheets para C2, imitando agências tributárias com alta sofisticação em engenharia social.
📊 Métricas e Estatísticas
⚠️ Microsoft Patch Tuesday (12 de agosto de 2025)
⚠️ Total de CVEs: 111 vulnerabilidades corrigidas;
🚨 Críticas: 13 CVEs;
🚨 Importantes: 91 CVEs;
🚨 Moderadas: 7 CVEs;
🔒 Elevação de Privilégios: 44 CVEs (39% do total);
⚠️ Zero-days: 1 vulnerabilidade (CVE-2025-53779).
🚨 Incidentes de Dados Reportados
🎯 Bouygues Telecom: 6,4 milhões de registros;
🎯 Air France-KLM: Volume não divulgado oficialmente;
🎯 Columbia University: 870.000 pessoas afetadas (anunciado 13/08);
🎯 Northwest Radiologists: 350.000 residentes de Washington.
92%
🎯 Ataques Ransomware em Janeiro
92 ataques divulgados apenas em janeiro;
(aumento de 21% YoY).
223
📊 Vítimas nos EUA
223 vítimas identificadas;
(país mais atacado).
65%
🛡️ Infraestrutura Crítica
Aumento significativo de ataques a infraestruturas críticas.
⚠️ Top Vulnerabilidades, IoCs e Alertas Ativos
⚠️ CVE-2025-53779 - BadSuccessor (Microsoft Kerberos)
⚠️ CVSS: 7.2 (Alto) - Zero-day ativo;
⚠️ Tipo: Elevation of Privilege;
🎯 Impacto: Compromisso total de domínio Active Directory;
🎯 Exploração: Ativa e trivial de implementar;
💻 Sistemas Afetados: Windows Server, Active Directory.
🚨 Prioridade: CRÍTICA - PATCH IMEDIATO
⚠️ Vulnerabilidades D-Link (CISA KEV)
⚠️ CVE-2019-10999 (stack-based buffer overflow);
⚠️ CVE-2024-3272 e CVE-2024-3273 (vulnerabilidades críticas em NAS);
⚠️ CVE-2024-10914 (command injection em NAS legacy);
🎯 Status: Exploração ativa confirmada.
🚨 Prioridade: ALTA
⚠️ CVE-2025-31324 (SAP NetWeaver Visual Composer)
⚠️ Tipo: Execução Remota de Código não autenticada;
🎯 Status: Exploração ativa por múltiplos atores;
🎯 Impacto: Compromisso de sistemas SAP críticos.
🚨 Prioridade: CRÍTICA
🎯 IoCs e Assinaturas de Ataque
🎯 Campanha Voldemort
🌐 C2 via Google Sheets (monitorar uso anômalo);
📄 Documentos fiscais falsificados como isca;
🎣 Spear-phishing imitando agências tributárias;
🛡️ Técnicas de evasão multinível.
⚠️ BadSuccessor (CVE-2025-53779)
📊 Eventos Kerberos anômalos (4768, 4769, 4771);
🔒 Criação de contas privilegiadas não autorizadas;
🕵️ Movimentação lateral suspeita em ambientes AD;
⏰ Escalação de privilégios fora de horário comercial.
🎯 Ransomware Chaos
💻 Uso de ferramentas de gerenciamento remoto legítimas;
⚡ Táticas de alta velocidade para maximizar impacto;
🏢 Foco em organizações médio/grande porte.
🚨 Alertas Ativos por Severidade
🚨 URGENTE (24 horas)
- 💻 Aplicar patch CVE-2025-53779 em todos os sistemas Windows/AD;
- 🔒 Auditar e corrigir sistemas SAP NetWeaver (CVE-2025-31324);
- 📡 Inventariar e atualizar dispositivos D-Link vulneráveis.
🚨 ALTO (72 horas)
- 🕵️ Revisar logs SonicWall para atividade anômala (ataques Akira);
- 🛡️ Implementar detecção específica para BadSuccessor;
- 🤝 Verificar plataformas de atendimento de terceiros.
🚨 MÉDIO (1 semana)
- 🕵️ Monitorar uso suspeito de Google Sheets (campanha Voldemort);
- 🔒 Revisar controles de acesso privilegiado;
- 📝 Atualizar procedimentos de resposta a incidentes.
📈 Tendências Emergentes
⚠️ Exploração Acelerada de Componentes Fundamentais
A vulnerabilidade BadSuccessor em Kerberos demonstra como falhas em componentes de autenticação fundamentais podem comprometer organizações inteiras. Tendência crescente de foco em sistemas de identidade e autorização.
💻 Persistência de Vulnerabilidades em Sistemas Legacy
O hack do sistema judicial federal, explorando falhas conhecidas há 5 anos, evidencia o problema crônico de sistemas governamentais e corporativos legacy com déficit de segurança. Necessidade urgente de modernização de infraestruturas críticas.
🎯 Sofisticação em Ataques de Engenharia Social
A campanha Voldemort representa nova geração de ataques que abusam de plataformas legítimas (Google Sheets) para C2 e usam técnicas avançadas de disfarce. Controles tradicionais de perímetro tornam-se menos efetivos.
⛓️ Ataques via Cadeia de Suprimentos Digital
Incidentes Air France-KLM e Bouygues demonstram crescimento de ataques via fornecedores e plataformas de terceiros. Supply chain attacks expandem-se para SaaS e PaaS, exigindo due diligence aprofundada.
🌐 Ransomware Evoluindo para Disrupção Geopolítica
Grupos como BlackSuit visam infraestruturas críticas não apenas para lucro, mas para impacto econômico e geopolítico. Necessidade de coordenação internacional para takedowns (como ação do DOJ).
⏰ Exploração Zero-Day com Tempo Crítico
Redução drástica do tempo entre divulgação e exploração ativa. Grupos ransomware priorizando vulnerabilidades recém-descobertas, exigindo patch management automatizado e emergencial.
🚨 Recomendações Importantes
🛡️ Patch Management Crítico e Emergencial
Aplique imediatamente o patch CVE-2025-53779 (BadSuccessor) em todos os controladores de domínio e sistemas Windows Server. Priorize Windows Server 2025, mais vulnerável à exploração. Implemente monitoramento rigoroso de eventos Kerberos 4768, 4769 e 4771 para detecção de exploração.
💻 Auditoria de Sistemas SAP
Execute auditoria completa de todas as instalações SAP NetWeaver contra CVE-2025-31324. Aplique patches do SAP Security Patch Day de agosto e implemente monitoramento adicional para detecção de tentativas de execução remota de código não autenticada.
🔒 Gestão de Dispositivos de Perímetro
Inventarie todos os dispositivos D-Link na rede e aplique patches para as vulnerabilidades adicionadas ao catálogo CISA KEV. Se patches não estiverem disponíveis, considere isolamento ou substituição de dispositivos críticos.
🤝 Fortalecimento de Integração com Terceiros
Revise rigorosamente todas as plataformas de atendimento ao cliente e integrações SaaS. Implemente controles de acesso mais restritivos, estabeleça SLAs de segurança com penalidades e crie playbooks específicos para resposta a incidentes de terceiros.
🕵️ Detecção e Resposta Avançada
Implemente regras SIEM específicas para detecção de exploração BadSuccessor, movimentação lateral pós-compromisso e uso anômalo de Google Sheets para C2. Configure alertas para criação de contas privilegiadas e escalação de privilégios fora de padrões normais.
🎣 Preparação para Engenharia Social Sofisticada
Treine equipes sobre a campanha Voldemort e táticas de phishing fiscal. Implemente verificação adicional para documentos fiscais recebidos por e-mail e considere soluções de detecção de conteúdo manipulado.
💾 Modernização de Infraestruturas Legacy
Acelere programas de modernização de sistemas críticos, especialmente aqueles com falhas conhecidas não corrigidas. Implemente arquiteturas Zero Trust para reduzir dependência de confiança implícita de rede.
👁️ Monitoramento de Superfície de Ataque
Mantenha inventário completo e atualizado de todos os ativos de TI, incluindo dispositivos de terceiros e integrações. Implemente ferramentas de descoberta automatizada para identificar ativos desconhecidos ou shadow IT.
🆘 Preparação para Resposta a Incidentes
Atualize planos de resposta para cenários de compromisso total de domínio AD. Estabeleça procedimentos de comunicação de crise e crie backups isolados testados regularmente para recuperação rápida.
🧠 Inteligência de Ameaças Proativa
Implemente feeds de threat intelligence automatizados e estabeleça programas de threat hunting focados em técnicas de grupos ransomware ativos. Participe de iniciativas de compartilhamento de IoCs setoriais.
✅ Conformidade e Notificação
Revise procedimentos de notificação a reguladores e clientes para cenários de violação de dados. Assegure adequação às exigências GDPR, LGPD e outras regulamentações aplicáveis, especialmente para incidentes envolvendo terceiros.
📚 Treinamento Continuado
Desenvolva programas de conscientização focados em ameaças emergentes como deepfakes, phishing via plataformas legítimas e manipulação de ferramentas de IA. Realize simulações regulares de engenharia social adaptadas às técnicas mais recentes.
✍🏼 Assine o RIC
Google Docs
Cadastre-se para receber o RIC semanal da minutocyber
Mantenha-se à frente das ameaças digitais com inteligência estratégica semanal. Tenha acesso exclusivo a uma coleção abrangente de relatórios semanais de cibersegurança que mapeiam o cenário de ameaças no Brasil, América Latina e cenário global. Cada edição oferece relatos cronológicos detalhados, identificados por códigos de versão e datas precisas, construídos a partir de mais de 90 fontes de pesquisa especializadas e confiáveis. O que você receberá: 📊 Análises aprofundadas de incidentes e vu
