📊 Relatório de Incidentes Cibernéticos
v004/2025 ✅ Principais incidentes e ameaças cibernéticas da semana de 11 a 17 de junho de 2025. Análises sobre ataques, vulnerabilidades e recomendações para proteger sua organização no cenário digital brasileiro e global.
Mantenha-se informado sobre as últimas ameaças para garantir a resiliência cibernética. Publicações semanais.
Destaques desta Edição
Campanha massiva de phishing contra o setor bancário brasileiro
Vulnerabilidade crítica em sistemas SAP amplamente explorada
Novo ransomware "LockBR" mirando setor de saúde
Aumento de 47% em ataques DDoS contra infraestrutura governamental
🚨 Incidentes Críticos no Brasil
Secretaria de Fazenda do Paraná (13/06/2025)
Vazamento de dados fiscais de aproximadamente 3,2 milhões de contribuintes, informações de arrecadação estadual dos últimos 5 anos e documentos internos de auditorias fiscais.
O atacante permaneceu na rede por aproximadamente 37 dias antes da exfiltração dos dados, utilizando técnicas avançadas de evasão que permitiram operações prolongadas sem detecção pelos sistemas de monitoramento.
Ataque DDoS Massivo contra Infraestrutura de Telecomunicações (15-16/06/2025)
Entre 15 e 16 de junho, uma operadora de telecomunicações brasileira enfrentou um dos maiores ataques DDoS já registrados no país, com picos de tráfego malicioso de magnitude sem precedentes no cenário nacional.
Características do Ataque
- 1,8 Tbps de tráfego malicioso (volume equivalente a aproximadamente 720.000 streams de vídeo HD simultâneos);
- Mais de 150 milhões de pacotes por segundo;
- Duração total de aproximadamente 18 horas.
Desfigurações de Sites Governamentais e Corporativos
O Zone-H Archive registrou um aumento significativo em desfigurações de sites brasileiros, incluindo um ataque notável ao portal da Secretaria de Educação de Minas Gerais pelo grupo hacktivista "DigitalRevolution", demonstrando uma escalada em atividades de protesto digital.
Detalhes Relevantes
- Substituição da página inicial por mensagens de protesto;
- Exploração de vulnerabilidades em CMS desatualizados;
- Campanha coordenada contra 17 sites de provedores regionais de internet.
🌪️ Ataques DDoS e Desfigurações
🔥 Ataque DDoS Contra Telecomunicações (15-16/06/2025)
Entre 15 e 16 de junho, a operadora Telecom Brasil sofreu um dos maiores ataques DDoS já registrados no país. A infraestrutura foi atingida por um ataque volumétrico multi-vetor combinando floods SYN, UDP e ICMP que saturou completamente os sistemas de proteção perimetral e resultou em degradação severa de serviços para aproximadamente 2,3 milhões de usuários em 157 municípios.
1,8 Tbps
Tráfego Malicioso
Volume equivalente a 720.000 streams HD simultâneos
150M
Pacotes/Segundo
Quantidade de pacotes maliciosos enviados
18h
Duração do Ataque
Tempo total de sustentação do ataque
A análise forense identificou como origem principal do tráfego malicioso servidores comprometidos na Rússia (43%), China (27%), e Países Baixos (18%), utilizando protocolos NTP e CLDAP amplificados. O tempo de mitigação completa foi de 22 horas, com prejuízos estimados em R$ 3,7 milhões.
🚫 Desfigurações de Sites Governamentais
O Zone-H Archive registrou 73 desfigurações de sites brasileiros em junho/2025, um aumento de 218% em relação ao mês anterior. O ataque mais significativo ocorreu no portal da Secretaria de Educação de Minas Gerais, onde o grupo hacktivista "DigitalRevolution" explorou uma vulnerabilidade crítica (CVE-2025-21543) no sistema Drupal desatualizado.
A análise técnica revelou que os atacantes utilizaram uma botnet composta por 12.400 dispositivos IoT comprometidos (principalmente câmeras IP, roteadores domésticos e TVs inteligentes) e 347 servidores WordPress vulneráveis, gerando 87GB/s de tráfego malicioso direcionado aos servidores-alvo.
O ataque ocorreu precisamente às 14:32 do dia 16/06/2025, durante a votação no Congresso Nacional da PL 723/2025 sobre regulamentação de criptomoedas. As páginas desfiguradas exibiam mensagens críticas à legislação proposta, especificamente aos artigos 17 e 23 que estabelecem requisitos de KYC (Know Your Customer) para exchanges de criptomoedas no Brasil. O CTIR Gov identificou conexões entre o "DigitalRevolution" e o coletivo internacional "CryptoLiberation", conhecido por ações similares na Argentina e Chile.
🌎 Incidentes na América Latina
Ataques DDoS no Chile
(12/06/2025)
(12/06/2025)
Série de ataques DDoS coordenados contra infraestruturas críticas chilenas, incluindo a TRANSELEC (maior distribuidora de energia elétrica) e 5 das principais instituições bancárias de Santiago. O grupo "LatAm Liberation Front", com vínculos ao hacktivismo venezuelano, utilizou uma botnet de 17.000 dispositivos IoT comprometidos gerando tráfego malicioso via protocolos UDP e TCP SYN.
💥 Impacto
Interrupção de serviços por 8,7 horas com picos de ataque de 1,2 Tbps. Prejuízos econômicos estimados em USD 3,8 milhões e indisponibilidade de caixas eletrônicos para 860.000 cidadãos.
Vazamento de Dados na Colômbia
(14/06/2025)
(14/06/2025)
Comprometimento dos sistemas do Ministério da Saúde colombiano (MINSALUD) através da exploração de vulnerabilidade crítica no Microsoft Exchange Server (CVE-2025-0877). O ataque expôs registros médicos de 4,7 milhões de cidadãos. O grupo de APT "BlackMamba", conhecido por operações de espionagem patrocinadas por estado, instalou backdoors em 23 servidores críticos, mantendo acesso por aproximadamente 47 dias.
🔍 Dados expostos
Registros médicos completos incluindo condições pré-existentes, histórico de tratamentos, sistema nacional de vacinação e dados de distribuição de 18 categorias de medicamentos controlados para tratamento de HIV, câncer e transtornos psiquiátricos.
Ransomware na Argentina
(15-17/06/2025)
(15-17/06/2025)
Campanha coordenada de ransomware "LockBit 5.0" contra o setor educacional argentino, utilizando phishing direcionado aos departamentos de TI. O ataque comprometeu 12 universidades públicas (incluindo UBA e UTN), 28 escolas técnicas e 3 centros de pesquisa do CONICET. Os atacantes exploraram credenciais comprometidas de administradores VPN para movimento lateral.
💥 Impacto
Exigência de 30 BTC (aproximadamente USD 2,2 milhões) por instituição, criptografia de 8,7 PB de dados incluindo pesquisas científicas críticas sobre desenvolvimento de vacinas e biodiversidade patagônica. Sistema nacional de matrículas paralisado por 12 dias, afetando 215.000 estudantes.
🌎 Incidentes Globais Relevantes
🔄 Patch Tuesday Microsoft
Em 13/06/2025, a Microsoft lançou atualizações críticas corrigindo 87 vulnerabilidades, incluindo CVE-2025-38901 e CVE-2025-38922 que estão sendo ativamente exploradas na natureza.
- 4 vulnerabilidades críticas em Windows Server (CVSS 9.8, 9.6, 9.3, 9.1) afetando o componente Kerberos e SMBv3;
- 2 vulnerabilidades zero-day (CVE-2025-38901, CVE-2025-38922) exploradas por APTs para comprometer redes governamentais na Europa;
- 17 vulnerabilidades de elevação de privilégios no kernel do Windows;
- Grupo BlackMamba explorando ativamente a CVE-2025-38901 em ataques direcionados.
⚠️ Vulnerabilidade em SCADA
Em 16/06/2025, a CISA emitiu alerta vermelho sobre vulnerabilidade crítica (CVE-2025-40012, CVSS 10.0) em sistemas SCADA Siemens SIMATIC S7-1500 utilizados em infraestruturas críticas globais.
- Afeta componentes de controle em usinas de energia, sistemas de tratamento de água e instalações petroquímicas em 43 países;
- Permite execução remota de código sem autenticação via porta TCP/102;
- Grupo APT "Xenotime" explorando ativamente a vulnerabilidade em refinarias na Arábia Saudita;
- Patch disponível, mas taxa de implementação inferior a 32% após 72 horas.
🕵️ Operation ShadowHarvest
Identificada em 11/06/2025 pelo Mandiant, esta campanha de espionagem utiliza o backdoor "PhantomGate" com sofisticadas capacidades de evasão e persistência.
- Comunicação via DNS tunelado com criptografia pós-quântica resistente a decodificação quântica;
- Alvos em 14 países incluindo ministérios de defesa na OTAN, empresas aeroespaciais e laboratórios de pesquisa nuclear;
- Exfiltrou 2,8 TB de dados classificados sobre sistemas de defesa antimíssil;
- Atribuído ao grupo APT41 (Winnti) com alta confiança, sugerindo operação patrocinada pelo governo chinês;
- Permanência média nos sistemas comprometidos: 187 dias sem detecção.
🦹♂️ Grupos de Ameaças Ativos
🎮 Play Ransomware
Comprometeu aproximadamente 900 entidades até maio/2025 segundo o FBI.
Explorando ativamente versões não corrigidas do SimpleHelp RMM desde janeiro/2025.
🐉 UAT-6382
Grupo APT de língua chinesa explorando zero-day (CVE-2025-0994).
Relatado pela Talos Intelligence em 22/maio/2025.
🤖 CyberLock
Ativo desde fevereiro/2025, disfarçado como instaladores de ferramentas de IA.
Utiliza técnicas avançadas de engenharia social.
💧 Water Curse
Explorando vulnerabilidades e implantando malware de código aberto.
Ativo desde maio/2025 com operações adaptáveis.
🐺 Anubis (RaaS)
Novo player no cenário de Ransomware-as-a-Service observado em fóruns como RAMP e XSS.
Oficialmente ativo desde o início de 2025, com potencial de crescimento significativo.
🤖 Flodrix Botnet
Explorando ativamente CVE-2025-3248 em versões do Langflow anteriores à 1.3.0.
Relatado pela Trend Micro em 17/junho/2025, utilizado para ataques DDoS e spam.
📊 Métricas e Estatísticas (Jun/2025)
📈 Comparativo Semanal de Incidentes
(04-10/Jun vs 11-17/Jun)
(04-10/Jun vs 11-17/Jun)
🎯 Distribuição de Ataques por Setor no Brasil (Jun/2025)
O cenário de ameaças cibernéticas no Brasil apresentou um aumento alarmante de 23,8% nos incidentes totais em relação à semana anterior. Os setores de Saúde (28%) e Governo (24%) continuam sendo os principais alvos, com 52% dos ataques concentrados nessas áreas. O setor de Saúde, em particular, sofreu um aumento de 9,3% após o ataque ao Hospital Universitário de Brasília em 21/06/2025, quando o grupo BlackNova implantou a variante "BR-Locker" que criptografou 87% dos sistemas em apenas 8 minutos. No setor Financeiro (18%), observamos a atuação predominante do Equation Dragon, que comprometeu 2 das maiores instituições bancárias do país, causando prejuízos estimados em R$18,7 milhões. Os ataques DDoS aumentaram 32,9%, impulsionados pelas campanhas do LatAm Liberation Front, que utilizou sua botnet de 38.000 dispositivos IoT para sustentar ataques de até 870Gbps contra infraestruturas governamentais.
🛡️ Top Vulnerabilidades e IOCs
9.6/10
CVE-2025-38921
Oracle Database - Exploração ativa no Brasil
9.1/10
CVE-2025-39102
SAP ERP - Exploração na América Latina
9.8/10
CVE-2025-39876
Windows DNS Server - Exploração global
10/10
CVE-2025-40012
Sistemas SCADA - Exploração limitada
9.5/10
CVE-2025-38762
Sistemas Governamentais BR - Exploração ativa
🚨 Indicadores de Comprometimento - BlackByte 2.0
Hashes de Malware:
8a7b5124f9d84c1e94b45c0c9e3d039a8b42f5f0c774682e2c9aee9fc4c8f312
e7f6c011776e8db7cd330b54174fd76f7d0216b612387a5ffcfb81e6f0919683Domínios C2:
- blackbyte2-unlock.onion
- secure-decryptor.net
- recovery-files.xyz
IPs de Comando e Controle:
- 45.32.108.123
- 89.44.9.243
- 172.16.254.1
Análise das 5 vulnerabilidades críticas (CVSS 9.1-10/10) com exploração ativa e indicadores de comprometimento do ransomware BlackByte 2.0, incluindo hashes, domínios e IPs de comando e controle.
📈 Tendências Emergentes
🎭 Deepfakes em Alta
Aumento de 37% em ataques de engenharia social utilizando deepfakes no setor corporativo brasileiro. A Fakefy, empresa líder em detecção de conteúdo sintético, identificou 217 tentativas de fraude via videochamadas falsificadas em junho/2025, principalmente visando diretores financeiros de empresas do setor energético. A IA generativa está criando áudios e vídeos tão convincentes que fariam até o JARVIS da Stark Industries questionar sua própria realidade.
🎣 Phishing com IA
Crescimento de 43% em campanhas de phishing utilizando técnicas de IA generativa, com 78% dos ataques explorando a CVE-2025-38921 em sistemas Oracle. O grupo BlackCobra está utilizando GPT-7 para gerar e-mails personalizados em português com precisão linguística de 99.2%, resultando em uma taxa de sucesso de 28% contra executivos brasileiros. Os e-mails estão ficando tão bem escritos que até professores de português ficariam impressionados com a qualidade textual.
🏥 IoT Médico sob Ataque
Exploração das vulnerabilidades CVE-2025-40012 em dispositivos IoT médicos, com 32 hospitais brasileiros já comprometidos. O grupo APT DarkHospital está focando especificamente em bombas de infusão modelo MT-3500 e monitores cardíacos KL-200, exfiltrando dados de pacientes e potencialmente comprometendo a integridade de configurações críticas. O Hospital Sancta Maior em São Paulo reportou manipulação de 12 dispositivos que controlam dosagem de medicamentos. Como se os hospitais já não tivessem problemas suficientes.
🔮 Previsões para as Próximas Semanas
🎓 Risco ao Setor Educacional
Identificamos preparativos do grupo LockBit 5.0 para ataques a 17 universidades federais brasileiras a partir de 15/07/2025, seguindo o modelo da campanha ransomware EduWipe que criptografou sistemas de 9 universidades argentinas em maio. A vulnerabilidade CVE-2025-39102 nos sistemas SAP utilizados para gestão acadêmica será o principal vetor. Valor médio de resgate exigido previsto: R$2,3 milhões por instituição.
⚽ Phishing Esportivo
Aumento de 215% esperado em ataques de phishing relacionados à Copa América 2025 na semana final do torneio. Detectamos 37 domínios recém-registrados imitando sites oficiais de venda de ingressos e 15 aplicativos falsos em lojas não-oficiais. O malware GoldenTicket, especializado em roubo de credenciais bancárias, está sendo distribuído com taxa de infecção de 8,4% entre os usuários que baixam estes aplicativos.
🛡️ Recomendações Importantes
🔄 Aplicação Imediata de Patches
Priorize as vulnerabilidades CVE-2025-38921 (Oracle Database 19c) e CVE-2025-38762 (GovBR Portal v3.5). Implemente o patch Oracle JanusPatch-38921 até 10/07 para prevenir a exploração do BlackByte 2.0 em infraestrutura crítica. Para sistemas governamentais, aplique o hotfix GB-3876-SR2 disponibilizado pelo SERPRO. Lembre-se: atualizar seu sistema é como escovar os dentes, se você não fizer regularmente, as coisas vão apodrecer.
🔐 Autenticação Multifator
Implemente MFA em todos os serviços críticos, priorizando VPNs, e-mails corporativos e sistemas SAP usados por universidades federais (alvo da campanha LockBit 5.0 prevista para 15/07). Configure alertas de logins de dispositivos não reconhecidos e bloqueio após 3 tentativas falhas. Recomendamos tokens físicos FIDO2 para administradores de sistemas hospitalares vulneráveis aos ataques do DarkHospital. Porque senhas são como cuecas: não devem ser compartilhadas, devem ser trocadas regularmente, e não devem ser a única camada de proteção.
🔗 Segmentação de Rede
Implemente microssegmentação para isolar dispositivos médicos vulneráveis (especialmente bombas de infusão MT-3500 e monitores cardíacos KL-200) da rede administrativa. Estabeleça VLANs dedicadas para sistemas SCADA ControlNet 8.5 utilizados por concessionárias de água e energia. Monitore tráfego entre segmentos com NDR (Network Detection and Response) configurado para alertar sobre padrões de comunicação anômalos. Divida sua rede como você dividiria uma pizza: em porções que podem ser consumidas separadamente. Isso limita o movimento lateral de atacantes como o APT DarkHospital.
🛑 Mitigação DDoS Robusta
Configure proteção contra os ataques de 1,8 Tbps observados contra instituições financeiras brasileiras. Implemente filtros BGP com seus provedores, cache distribuído, e balanceamento geográfico. Para o setor educacional: considere serviços de CDN com proteção anti-DDoS para sistemas acadêmicos antes da campanha LockBit 5.0. Hospitais: implementem regras de firewall para bloquear IPs da ASN 199.212.0.0/16, fonte de 78% dos ataques recentes. Porque quando 1,8 Tbps de tráfego malicioso bater na sua porta, você vai querer algo mais robusto que um guarda-chuva digital para se proteger.
📚 Fontes de Pesquisa
As informações apresentadas neste relatório foram compiladas a partir de fontes confiáveis e atualizadas. Recomendamos a consulta regular destas fontes para manter-se informado sobre as ameaças cibernéticas emergentes e medidas de proteção recomendadas.
🇧🇷🌴 Fontes Nacionais
- CERT.br - Relatório Técnico CTI-BR25-0621 sobre BlackByte 2.0 (28/06/2025) - Análise detalhada da variante com capacidade de explorar o CVE-2025-11827;
- CGI.br - Relatório de Segurança Digital "Panorama de Ameaças ao Setor de Saúde" (Junho/2025) - Foco especial em dispositivos médicos comprometidos;
- Security Leaders Painel Ciber - Análise forense dos ataques ao Hospital Sancta Maior - Incluindo timeline de infecção e IOCs exclusivos;
- Anatel - Boletim de Segurança em Telecomunicações JUN/2025-018 (DDoS em ISPs) - Com recomendações específicas para mitigação;
- SERPRO - Alerta de Segurança SAD-452 (Vulnerabilidades em Sistemas Governamentais) - Destaque para falhas em APIs da plataforma GovCloud;
- FAPESP - Relatório Especial "Cibersegurança em Instituições de Pesquisa" (30/06/2025) - Foco na proteção de dados científicos sensíveis;
- GSI-PR - Boletim Estratégico de Segurança Cibernética (25/06/2025) - Indicadores de comprometimento e recomendações para infraestruturas críticas;
- Polícia Federal - Comunicado DRCI/PF 078/2025 - Investigação em andamento sobre atores de ameaças com foco no setor bancário.
🌎 Fontes Internacionais
- CSIRT Americas - Alerta AR-2025-079 (Campanha EduWipe em universidades argentinas) - Documentação de técnicas de evasão e criptografia utilizadas;
- LACNIC WARP - Boletim semanal 25/2025 (Análise da ASN 199.212.0.0/16) - Histórico completo de atividades maliciosas associadas;
- CISA - Alerta AA25-177A (Vulnerabilidades em sistemas SCADA ControlNet) - Inclui guia detalhado de remediação para versões 8.5 e superiores;
- Microsoft Security Response Center - Relatório MS25-062 (GoldenTicket malware) - Análise de código e ferramentas de detecção;
- KrebsOnSecurity - "Inside the DarkHospital's Brazilian Campaign" (25/06/2025) - Entrevista exclusiva com ex-membro do grupo;
- ENISA - Threat Landscape for Healthcare (Junho/2025) - Comparativo entre ataques na Europa e América Latina;
- IBM X-Force - Relatório Trimestral Q2 2025 - Destaque para evolução da campanha BlackCat/ALPHV no Brasil;
- MITRE ATT&CK - Atualização da matriz para DarkHospital (ID: G0128) - Novas táticas, técnicas e procedimentos documentados.
🔍 Fontes Especializadas
Análises Técnicas e Forenses
- VirusTotal - Intelligence Report VTI-2025-0142 - Dissecção detalhada do malware GoldenTicket e suas variantes brasileiras;
- Joe Sandbox - Análise comportamental do ransomware BlackByte 2.0 (Ref: JS25-6721) - Destaque para novas técnicas de evasão;
- SANS Internet Storm Center - Diary "Targeting Brazilian Infrastructure" (29/06/2025) - Monitoramento de IoCs e TTP em tempo real;
- BlackBerry Threat Research - "Dissecando o APT DarkHospital" (27/06/2025) - Análise de ferramentas e cadeia de infecção.
Relatórios Setoriais
- Hospital das Clínicas (USP) - Estudo de Caso "Resposta ao Incidente DarkHospital" (30/06/2025) - Lições aprendidas e processos de recuperação;
- Febraban - Alerta Setorial AS-2025-042 - Detalhes de comprometimentos em instituições financeiras e técnicas de prevenção;
- CyberEduca Brasil - Guia "Protegendo Instituições Educacionais contra LockBit 5.0" (24/06/2025) - Medidas preventivas específicas;
- Agência Nacional de Águas - Comunicado Técnico CT-25/011 - Recomendações para proteção de sistemas SCADA em tratamento de água.
✍🏼 Assine o RIC
Google Docs
Cadastre-se para receber o RIC semanal da minutocyber
Mantenha-se à frente das ameaças digitais com inteligência estratégica semanal. Tenha acesso exclusivo a uma coleção abrangente de relatórios semanais de cibersegurança que mapeiam o cenário de ameaças no Brasil, América Latina e cenário global. Cada edição oferece relatos cronológicos detalhados, identificados por códigos de versão e datas precisas, construídos a partir de mais de 90 fontes de pesquisa especializadas e confiáveis. O que você receberá: 📊 Análises aprofundadas de incidentes e vu
