minutocyber | RIC 10~16/12/2025

Relatório Semanal de Incidentes Cibernéticos (RIC)
Período de Cobertura: 10 a 16 de Dezembro de 2025

A semana de 10 a 16 de dezembro de 2025 foi marcada por uma intensa atividade de grupos hacktivistas, a exploração contínua de vulnerabilidades críticas em softwares onipresentes e um ataque de ransomware de alto perfil contra o governo brasileiro. Globalmente, a semana registrou 266 ciberataques em 50 países, com o grupo pró-Rússia NoName057(16) mantendo sua posição como o ator mais ativo, responsável por 60 ataques DDoS.
Sumário Executivo
Destaques desta Edição
O incidente mais alarmante da semana foi o ataque de ransomware reivindicado pelo grupo Killsec contra a "República Federativa do Brasil". A violação, descoberta em 15 de dezembro, levanta sérias preocupações sobre a segurança de dados governamentais e a resiliência da infraestrutura digital do país. Este evento, combinado com a contínua atividade do ransomware Qilin na América Latina (com vítimas na Bolívia e Argentina), sublinha a crescente ameaça de extorsão digital na região.
No cenário de vulnerabilidades, a exploração ativa da falha crítica React2Shell (CVSS 10.0) e do nono zero-day da Apple em 2025 demonstra a velocidade com que os cibercriminosos estão operacionalizando novos exploits. A adição de múltiplas vulnerabilidades ao catálogo KEV da CISA, incluindo falhas em produtos Android da Qualcomm, reforça a necessidade de um gerenciamento de patches ágil e baseado em ameaças. A temporada de festas continuou a ser um terreno fértil para fraudes, com o Tesouro dos EUA emitindo seu alerta anual e universidades como a Cornell intensificando suas defesas anti-phishing em resposta ao aumento dos ataques.
Ataque de Ransomware ao Governo Brasileiro
Grupo Killsec reivindica ataque de ransomware e violação de dados contra a "República Federativa do Brasil".
Atividade Hacktivista Intensa
Grupo pró-Rússia NoName057(16) lidera com 60 ataques DDoS em 50 países.
Exploração de Vulnerabilidade Crítica CVSS 10.0
Exploração ativa da falha React2Shell (CVE-2025-55182) em React Server Components.
Nono Zero-Day da Apple em 2025
Apple corrige mais uma vulnerabilidade de corrupção de memória (CVE-2025-14174) explorada ativamente.
Qilin Ativo na América Latina
Grupo de ransomware ataca alvos na Bolívia (Capital + Safi) e Argentina (Ferreteria Scopazzo).
Alerta Conjunto CISA/FBI sobre Akira Ransomware
Agências emitem alerta sobre as táticas e IoCs do grupo Akira.
Fraude de Conformidade Cibernética
Departamento de Justiça dos EUA acusa ex-executivo de fraude eletrônica e governamental relacionada à conformidade de cibersegurança.
Incidentes Críticos
Brasil
O cenário de ameaças no Brasil foi dominado por um ataque de ransomware de alto perfil contra uma entidade governamental, destacando a vulnerabilidade da infraestrutura digital do país.
1. Grupo Killsec Reivindica Ataque de Ransomware contra o Governo Brasileiro
Em 15 de dezembro de 2025, o grupo de ransomware Killsec (também conhecido como Kill Security) reivindicou um ataque contra a "República Federativa do Brasil". O grupo alegou ter violado sistemas governamentais e roubado dados. Embora a extensão e o impacto exato da violação ainda não tenham sido confirmados por fontes oficiais, a reivindicação por si só é um evento significativo. Este incidente levanta sérias preocupações sobre a segurança dos dados mantidos por entidades governamentais e a capacidade dos grupos de ransomware de penetrar em redes supostamente seguras. A natureza do alvo sugere uma motivação que pode ir além do ganho financeiro, possivelmente incluindo objetivos políticos ou de desestabilização.
2. Tendência de Aumento no Roubo de Dados na Indústria
Um relatório divulgado em 16 de dezembro apontou para uma tendência preocupante no setor industrial brasileiro: embora as tentativas de ataques de ransomware com criptografia de dados tenham diminuído, o roubo de dados para fins de extorsão está em alta. Isso indica uma mudança tática por parte dos cibercriminosos, que estão focando na exfiltração de informações sensíveis (propriedade intelectual, dados de clientes, informações financeiras) como principal meio de pressão para o pagamento do resgate. Essa abordagem de "dupla extorsão" é muitas vezes mais eficaz, pois a ameaça de vazamento público de dados pode ser mais prejudicial para a reputação e a conformidade de uma empresa do que a interrupção operacional causada pela criptografia.
3. Brasil em Retrospectiva de Ciberataques de 2025
O Brasil foi destacado em uma retrospectiva da ESET sobre os 10 ciberataques e vazamentos de dados mais marcantes de 2025. A menção do país em um relatório global sobre os principais incidentes do ano reforça sua posição como um dos principais campos de batalha no cenário global de cibersegurança, tanto como alvo quanto como fonte de ataques.
Incidentes na
América Latina
A atividade de ransomware continuou a ser uma ameaça proeminente na América Latina, com grupos conhecidos visando organizações em vários países da região.
1. Qilin Ransomware Ataca Alvos na Bolívia e Argentina
O grupo de ransomware Qilin demonstrou sua presença contínua e seu alcance geográfico ao atacar múltiplas vítimas na América Latina. Na semana, o grupo reivindicou ataques contra:
Capital + Safi (Bolívia): Uma instituição financeira na Bolívia.
Ferreteria Scopazzo (Argentina): Uma empresa de ferragens na Argentina.
Esses ataques, juntamente com outros alvos do Qilin em todo o mundo, mostram que o grupo não se limita a uma única região ou setor. A escolha de uma instituição financeira na Bolívia e de uma empresa comercial na Argentina indica uma abordagem oportunista, visando qualquer organização que pareça vulnerável e capaz de pagar um resgate.
2. Ciberataque à PDVSA na Venezuela
Embora os detalhes sejam politicamente carregados, a petrolífera estatal da Venezuela, PDVSA, denunciou um ciberataque em 15 de dezembro, que segundo a empresa, visava paralisar suas operações. A empresa atribuiu o ataque aos Estados Unidos, uma acusação que não foi respondida. Independentemente da atribuição, o incidente destaca a vulnerabilidade da infraestrutura de energia na região a ciberataques, sejam eles de natureza criminosa ou patrocinada pelo Estado.
Incidentes Globais
Relevantes
A semana foi marcada por ataques a entidades governamentais e a divulgação de violações de dados que afetam milhões de pessoas, muitas vezes com um atraso significativo entre a detecção e a notificação pública.
01
Ataque Cibernético aos Servidores de E-mail do Ministério do Interior da França
Em 12 de dezembro, o Ministro do Interior da França confirmou que os servidores de e-mail do ministério foram alvo de um ciberataque. Embora poucos detalhes tenham sido divulgados sobre a natureza do ataque ou os atores envolvidos, o incidente é significativo devido ao alto perfil do alvo. Um ataque a um ministério governamental levanta preocupações sobre espionagem, roubo de dados sensíveis e a segurança das comunicações do Estado.
02
Violação na Optima Tax Relief por Chaos Ransomware
Foi revelado que a Optima Tax Relief, uma empresa de serviços fiscais, sofreu uma violação de dados em maio de 2025 pelo grupo Chaos ransomware. A notificação tardia, em dezembro, destaca o longo tempo que muitas vezes leva para que as violações sejam totalmente investigadas e divulgadas ao público. A natureza do negócio da Optima Tax Relief sugere que informações financeiras e pessoais altamente sensíveis de seus clientes foram expostas.
03
Violação de Dados "Irleaks" Afeta Bancos Irlandeses
Outro incidente com notificação tardia, a violação de dados apelidada de "Irleaks", foi divulgada publicamente no final de novembro, com esforços de mitigação continuando em dezembro. A violação afetou vários bancos irlandeses, expondo dados de clientes. A investigação está em andamento para determinar a escala total e o impacto da violação.
04
Novo Ataque de Ransomware ao Serviço de Saúde da Irlanda (HSE)
O Health Service Executive (HSE) da Irlanda, que sofreu um dos ataques de ransomware mais disruptivos da história em 2021, confirmou que foi alvo de outro ataque de ransomware esta semana. Embora o impacto deste novo ataque pareça ser menos severo do que o de 2021, o fato de o HSE ter sido alvo novamente destaca a persistência dos grupos de ransomware e a dificuldade de proteger completamente grandes e complexas redes de saúde.
Golpes
A temporada de festas continuou a ser um período de alta atividade para fraudadores, com agências governamentais e empresas emitindo alertas e implementando novas proteções.
1. Tesouro dos EUA Emite Alerta Anual sobre Golpes de Fim de Ano
O Escritório de Cibersegurança e Proteção de Infraestrutura Crítica do Tesouro dos EUA emitiu seu aviso anual ao consumidor sobre golpes de fim de ano. O alerta destaca táticas comuns, como e-mails de phishing disfarçados de notificações de remessa, falsas instituições de caridade e sites de compras fraudulentos. A emissão deste alerta anual sublinha a previsibilidade e a persistência desses golpes sazonais.
2. Fraude de Conformidade Cibernética Leva a Acusações do DOJ
Em um caso notável, o Departamento de Justiça dos EUA (DOJ) acusou um ex-executivo, chamado Hillmer, de fraude eletrônica e fraude governamental relacionada à conformidade de cibersegurança. As acusações alegam que o executivo falsificou a conformidade de sua empresa com os padrões de segurança exigidos para contratos governamentais. Este caso é significativo porque mostra que o DOJ está processando criminalmente não apenas os hackers, but também os executivos que mentem sobre a postura de segurança de suas empresas, especialmente quando fundos do governo estão envolvidos.
3. Universidades Intensificam Defesas Anti-Phishing
Em resposta ao aumento dos ataques de phishing, instituições como a Cornell University estão implementando proteções mais agressivas. Em 15 de dezembro, a universidade ativou recursos avançados do Microsoft A5 Defender para melhor detectar e bloquear e-mails de phishing direcionados a estudantes e funcionários. Esta é uma tendência crescente entre as grandes organizações, que estão investindo em tecnologias de segurança de e-mail mais avançadas para combater a sofisticação crescente dos ataques de phishing.
4. Investigações de Fraude em Larga Escala
A semana também viu o anúncio de várias investigações de fraude em larga escala, incluindo:
Uma revisão direcionada pelo Departamento do Trabalho dos EUA sobre potencial fraude no programa de seguro-desemprego de Minnesota.
Um acordo de US$ 15 milhões pelo Dana-Farber Cancer Institute para resolver alegações de fraude relacionadas a subsídios de pesquisa científica.
Acusações contra um promotor musical em Vermont por uma fraude de US$ 477.000 envolvendo um negócio de trailers de vans campistas.
Esses casos, embora não sejam estritamente ciberataques, muitas vezes envolvem um componente digital e destacam o amplo espectro de atividades fraudulentas que as autoridades estão combatendo.
Grupos de Ameaças Ativos
e Atividades Relevantes
A semana foi marcada pela atividade persistente de grupos hacktivistas e de ransomware, bem como pela descoberta de novas ferramentas e táticas no arsenal dos cibercriminosos.
NoName057(16)
O grupo hacktivista pró-Rússia NoName057(16) foi o ator de ameaça mais ativo da semana, reivindicando a responsabilidade por 60 ataques. Suas operações consistem principalmente em ataques de negação de serviço (DDoS) contra sites de governos e empresas em países que apoiam a Ucrânia. Embora seus ataques raramente causem danos duradouros, eles servem como uma ferramenta constante de perturbação e propaganda.
Qilin
O grupo de ransomware Qilin continuou sua campanha global, com vítimas na América Latina (Bolívia, Argentina), Europa (França, Suécia) e América do Norte (EUA). A ampla distribuição geográfica e a variedade de setores visados (financeiro, varejo, serviços públicos) indicam que o Qilin opera um modelo de Ransomware-as-a-Service (RaaS) altamente eficaz, com afiliados em todo o mundo procurando por alvos vulneráveis.
Killsec
O grupo Killsec ganhou notoriedade esta semana ao reivindicar o ataque de ransomware contra o governo brasileiro. Embora menos conhecido do que grupos como o Qilin ou o LockBit, o Killsec demonstrou a ambição e a capacidade de atingir um alvo de alto perfil. A análise de suas táticas, técnicas e procedimentos (TTPs) será crucial para entender a natureza dessa ameaça emergente.
Akira
O CISA e o FBI emitiram um alerta conjunto sobre o ransomware Akira, detalhando os TTPs do grupo e fornecendo Indicadores de Compromisso (IoCs). O alerta indica que o Akira tem sido particularmente ativo, visando uma ampla gama de empresas e organizações de infraestrutura crítica. O grupo é conhecido por explorar vulnerabilidades em produtos de VPN, como o Cisco VPN, para obter acesso inicial às redes das vítimas.
Chaos Ransomware
O grupo Chaos ransomware, embora não seja um dos operadores de RaaS mais sofisticados, continua a ser uma ameaça, como demonstrado pela violação na Optima Tax Relief. O Chaos é frequentemente associado a ataques menos direcionados e pode ser distribuído através de campanhas de phishing ou pacotes de software maliciosos. Sua persistência mostra que mesmo grupos de ransomware de nível inferior podem causar danos significativos.
Métricas e
Estatísticas
Os dados da semana de 10 a 16 de dezembro de 2025 indicam um alto volume de atividade cibercriminosa, com um foco particular em ataques DDoS e ransomware.
Estatísticas Globais de Ciberataques (Hackmanac)
Atividade de Ransomware (RansomFeed e Fontes Abertas)
Vulnerabilidades e Alertas
Fraude e Golpes
Top Vulnerabilidades,
IoCs e Alertas Ativos
A semana foi crítica em termos de vulnerabilidades, com a exploração ativa de falhas em softwares amplamente utilizados e a divulgação de novos zero-days.
CVE-2025-55182 - React2Shell (CVSS 10.0)
Descrição: Uma vulnerabilidade crítica de Execução Remota de Código (RCE) no protocolo Flight usado pelos React Server Components (RSC). A falha, apelidada de React2Shell, permite que um invasor não autenticado execute código arbitrário no servidor.
Status: Exploração ativa confirmada.
Recomendação: Atualização imediata para as versões corrigidas do React e do Next.js (que também foi afetado por uma falha relacionada, CVE-2025-66478). Devido à gravidade e à exploração ativa, esta é a principal prioridade de patching da semana.
CVE-2025-14174 - Apple iOS/iPadOS/macOS Zero-Day
Descrição: Uma vulnerabilidade de corrupção de memória que pode ser explorada para obter execução de código arbitrário. Este é o nono zero-day que a Apple corrigiu em 2025 que estava sendo explorado ativamente.
Status: Exploração ativa confirmada.
Recomendação: Atualização imediata de todos os iPhones, iPads e Macs para as versões mais recentes do sistema operacional (iOS 17.2, iPadOS 17.2, macOS Sonoma 14.2, etc.).
CVE-2025-48572 e CVE-2025-48633 - Android/Qualcomm Zero-Days
Descrição: Duas vulnerabilidades em componentes da Qualcomm que afetam o sistema operacional Android. Os detalhes técnicos são limitados, mas a sua inclusão no catálogo KEV da CISA indica que são graves e estão sendo exploradas.
Status: Exploração ativa confirmada.
Recomendação: Aplicar as atualizações de segurança do Android de dezembro de 2025 assim que estiverem disponíveis para os dispositivos. A disponibilidade pode variar de acordo com o fabricante.
Alerta CISA/FBI sobre Akira Ransomware
Descrição: As agências emitiram um alerta detalhado sobre o ransomware Akira, fornecendo TTPs e IoCs. O grupo é conhecido por explorar vulnerabilidades em appliances Cisco VPN sem MFA e usar ferramentas como AnyDesk, PCHunter e Mimikatz após o acesso inicial.
IoCs Notáveis: O alerta inclui hashes de arquivos, endereços IP de comando e controle (C2) e nomes de ferramentas comumente usadas pelo grupo.
Recomendação: Revisar o alerta do CISA (AA23-345A), implementar as mitigações recomendadas (especialmente a aplicação de MFA em todos os acessos remotos) e usar os IoCs para procurar por atividades maliciosas na rede.
Alerta CISA sobre GeoServer XXE Flaw
Descrição: A CISA continua a alertar sobre a exploração ativa de uma vulnerabilidade de XML External Entity (XXE) no GeoServer. Esta falha permite que invasores leiam arquivos arbitrários no servidor.
Status: Exploração ativa contínua.
Recomendação: Garantir que todas as instâncias do GeoServer estejam atualizadas para uma versão corrigida.
Tendências
Emergentes
As atividades da semana revelam quatro tendências principais que estão moldando o cenário de ameaças.
1. Ataques de Ransomware a Governos como Ferramenta de Pressão Geopolítica
O ataque do grupo Killsec contra o governo brasileiro, juntamente com a atividade contínua do grupo hacktivista pró-Rússia NoName057(16), sugere uma tendência crescente. Grupos de ransomware e hacktivistas estão cada vez mais visando entidades estatais não apenas por ganhos financeiros, mas como uma forma de exercer pressão geopolítica, criar instabilidade ou como uma extensão de conflitos híbridos. A escolha de alvos governamentais de alto perfil serve para maximizar o impacto psicológico e midiático, transformando o ciberespaço em mais um domínio para a competição entre nações.
2. Exploração Rápida de Vulnerabilidades em Frameworks de Desenvolvimento
A exploração quase imediata da vulnerabilidade React2Shell (CVSS 10.0) destaca uma tendência preocupante. Os invasores estão monitorando de perto os frameworks de desenvolvimento de software (como React, Angular, etc.) e são capazes de desenvolver e implantar exploits em questão de dias, se não horas, após a divulgação pública. Isso comprime drasticamente a janela de tempo para os defensores aplicarem patches e coloca uma pressão imensa sobre as equipes de DevSecOps para manterem a visibilidade e o controle sobre as dependências de software.
3. A "Longa Cauda" da Divulgação de Violações
A divulgação de violações que ocorreram meses antes, como o caso da Optima Tax Relief que foi violada em maio, mas só divulgou o incidente em dezembro, continua a ser uma tendência. Isso complica a resposta a incidentes e a gestão de risco, pois os dados roubados podem estar circulando e sendo abusados na dark web por um longo período antes que as vítimas e os indivíduos afetados sejam notificados. Essa "longa cauda" de divulgação cria um desafio de atribuição e aumenta o risco de fraudes secundárias.
4. Responsabilização Criminal por Fraude de Conformidade
O caso do Departamento de Justiça dos EUA contra o executivo Hillmer por fraude de conformidade de cibersegurança pode ser o início de uma nova e significativa tendência. Os reguladores e as autoridades policiais estão começando a responsabilizar criminalmente não apenas os hackers, mas também os líderes empresariais que deturpam a postura de segurança de suas organizações, especialmente em contratos governamentais ou setores regulamentados. Isso aumenta significativamente as apostas para os CISOs e os conselhos de administração, que agora enfrentam não apenas consequências financeiras e de reputação, mas também potenciais acusações criminais por falhas de conformidade.
Recomendações
Importantes
Com base nas tendências e incidentes da semana, as seguintes recomendações são de alta prioridade para CISOs e líderes de segurança.
1. Priorizar o Gerenciamento de Patches com Base em Ameaças em Tempo Real
Ação: Implementar um programa de gerenciamento de vulnerabilidades que priorize o patching com base em evidências de exploração ativa (como o catálogo KEV da CISA), em vez de apenas na pontuação CVSS. A exploração ativa de falhas como React2Shell e os múltiplos zero-days da Apple e do Android significa que a velocidade do patching para vulnerabilidades exploradas é mais crítica do que nunca.
Justificativa: A janela entre a divulgação e a exploração em massa está diminuindo. Um programa de patching baseado em ameaças permite que as organizações concentrem seus recursos limitados nas vulnerabilidades que representam o risco mais imediato e real para a organização.
2. Fortalecer a Resiliência contra Ataques de Extorsão de Dados
Ação: Assumir que uma violação de dados ocorrerá e focar em estratégias para mitigar o impacto de um ataque de extorsão. Isso inclui a segmentação robusta da rede para limitar o movimento lateral, a criptografia de dados em repouso e em trânsito, e a implementação de um plano de resposta a incidentes bem testado que inclua comunicação de crise e estratégias legais para lidar com um vazamento de dados.
Justificativa: A tendência de aumento no roubo de dados para extorsão, como visto no Brasil, mostra que a prevenção da criptografia por si só não é mais suficiente. A resiliência agora deve incluir a capacidade de sobreviver e operar mesmo que dados sensíveis sejam roubados e ameaçados de vazamento.
3. Aumentar o Escrutínio sobre a Segurança da Cadeia de Suprimentos de Software
Ação: Implementar ferramentas e processos para criar e manter um Software Bill of Materials (SBOM) para todas as aplicações críticas. Realizar análises de composição de software (SCA) para identificar e rastrear vulnerabilidades em bibliotecas e frameworks de terceiros, como o React.
Justificativa: A vulnerabilidade React2Shell é um lembrete gritante de que o risco não reside apenas no código que você escreve, mas em toda a cadeia de suprimentos de software. Sem visibilidade das dependências, as organizações ficam cegas para vulnerabilidades críticas em seus próprios sistemas.
4. Preparar-se para a Responsabilização de Executivos por Falhas de Segurança
Ação: Garantir que a comunicação sobre a postura de segurança e a conformidade com o conselho de administração e as entidades reguladoras seja precisa, transparente e baseada em evidências. Os CISOs devem manter registros detalhados das avaliações de risco, decisões de mitigação e quaisquer lacunas de segurança conhecidas, e comunicá-los claramente à liderança.
Justificativa: O caso de fraude de conformidade do DOJ estabelece um novo precedente. A liderança sênior e os conselhos de administração não podem mais alegar ignorância sobre as falhas de segurança. A documentação e a comunicação precisas são agora uma defesa legal crucial contra a responsabilidade pessoal e corporativa.