minutocyber | RIC 15~21/10/2025

📊 Relatório de Incidentes Cibernéticos
📄 relatório completo
🚨 alertas em tempo real
🚨 v022/2025 ✅ Principais incidentes e ameaças cibernéticas da semana de 15 a 21 de outubro de 2025. Análises sobre ataques, vulnerabilidades e recomendações para proteger sua organização no cenário digital brasileiro e global.
📝 Sumário Executivo e Destaques da Semana
A semana de 15 a 21 de outubro de 2025 foi marcada por incidentes cibernéticos de grande impacto global e nacional. Destaque para a grave violação da F5 Networks por um ator estado-nação chinês, que resultou no roubo do código-fonte do BIG-IP e na revelação de 45 novas vulnerabilidades. Globalmente, uma interrupção massiva na AWS US-EAST-1 paralisou inúmeros serviços online devido a uma falha de DNS. No Brasil, a Polícia Federal deflagrou a Operação Decrypt contra um grupo de ransomware transnacional, a campanha de ciberespionagem "PassiveNeuron" visou organizações governamentais e financeiras, e um ataque causou uma perda de R$ 26 milhões para a fintech FictorPay.
⚠️ Violação Crítica da F5 Networks
Ator estado-nação chinês (UNC5221) roubou o código-fonte do BIG-IP e informações de vulnerabilidades. A CISA emitiu uma Diretiva de Emergência (ED 26-01) exigindo ação imediata de agências federais.
☁️ Interrupção Massiva da AWS
Uma falha na região US-EAST-1 da AWS causou uma interrupção generalizada em serviços globais, impactando milhões de usuários e empresas.
👮‍♂️ Operações da Polícia Federal no Brasil
A Operação Decrypt resultou na prisão de um membro de um grupo de ransomware, enquanto a Operação Acesso Restrito mirou um grupo que fraudava o sistema RENAJUD do CNJ.
👻 Campanha de Espionagem "PassiveNeuron"
Detalhes de uma campanha APT sofisticada visando infraestruturas críticas no Brasil e em outras regiões.
😈 Ataques de Ransomware de Alto Perfil
A Volkswagen foi alvo de alegações de ataques de dois grupos diferentes (8Base e Qilin), e o grupo RansomHub ultrapassou o LockBit como o mais prolífico.
🐛 Exploração de Zero-Day na Cisco
A campanha "Operation Zero Disco" explorou a vulnerabilidade CVE-2025-20352 para implantar rootkits em dispositivos de rede Cisco.
✅ Oracle Critical Patch Update
A Oracle lançou um pacote massivo com 374 patches, corrigindo 170 CVEs, incluindo uma falha no E-Business Suite ativamente explorada (CVE-2025-61884).
🌴 Incidentes Críticos no Brasil
O Brasil esteve no centro de operações de combate ao cibercrime e foi alvo de campanhas de espionagem sofisticadas, além de registrar perdas financeiras significativas devido a ataques direcionados.
🚓 Operações da Polícia Federal: Decrypt e Acesso Restrito
Em uma demonstração de força contra o crime organizado digital, a Polícia Federal realizou duas operações de grande impacto. Em 17 de outubro, a Operação Decrypt foi deflagrada para cumprir mandados em Minas Gerais e São Paulo, resultando na prisão de um cidadão brasileiro suspeito de integrar uma organização criminosa transnacional especializada em ataques de ransomware. A operação, fruto de cooperação policial internacional, investiga crimes de invasão de dispositivos, extorsão digital e lavagem de dinheiro.
Simultaneamente, a Operação Acesso Restrito teve como alvo um grupo que utilizava ilegalmente contas governamentais para fraudar o sistema RENAJUD, vinculado ao Conselho Nacional de Justiça (CNJ). Os criminosos invadiam o sistema para remover restrições judiciais de veículos, e a PF cumpriu mandados de busca e apreensão em três cidades do Rio Grande do Sul.
🏦 Ataques a Instituições Financeiras e Malwares Bancários
Estatísticas divulgadas na semana indicam que as instituições financeiras no Brasil enfrentam uma média de 1.752 tentativas de ataque por semana. Um relatório apontou que as perdas com ataques digitais no país podem ultrapassar R$ 2,2 trilhões até 2028, impulsionadas por fraudes em pagamentos instantâneos como o Pix. Além disso, foi reportado que um novo malware bancário, apelidado de "Maverick", está se espalhando via WhatsApp para controlar dispositivos, e outra campanha massiva na mesma plataforma teve mais de 62.000 tentativas de infecção bloqueadas nos primeiros dez dias de outubro, evidenciando a escala da ameaça móvel no país.
🕵️ Campanha de Espionagem "PassiveNeuron"
Foi revelada a existência da campanha de ciberespionagem "PassiveNeuron", uma operação de Ameaça Persistente Avançada (APT) que ataca organizações governamentais, financeiras e industriais no Brasil, além de outros países na América Latina, Ásia e África. Descoberta pela Kaspersky, a campanha utiliza implantes inéditos para comprometer servidores Windows com técnicas avançadas de evasão, como injeção de SQL e web shells. As infecções mais recentes, identificadas em agosto de 2025, demonstram a persistência e a sofisticação da ameaça, que foca em infraestruturas críticas.
💸 Fintech FictorPay Perde R$ 26 Milhões
Em 21 de outubro, foi noticiado que a fintech FictorPay sofreu uma perda de R$ 26 milhões devido a um ciberataque. Uma falha em um aplicativo interno permitiu a realização de 280 transações fraudulentas via Pix. O incidente expõe as vulnerabilidades em sistemas de pagamento e as perdas financeiras diretas que podem resultar de brechas de segurança.
🌎 Incidentes na América Latina
A América Latina continua a ser um alvo significativo para o cibercrime, com estatísticas recentes apontando para um aumento alarmante no volume de ataques e uma crescente preocupação com a segurança em setores críticos.
📊 Estatísticas de Ciberataques na Região
Um relatório divulgado na semana revelou que 1 em cada 4 empresas na América Latina sofreu um ciberataque no último ano. Outro estudo, o "Reporte de Ciberseguridad 2025" da Entel, indicou que os incidentes cibernéticos na região cresceram 38% durante 2024, totalizando 4.429 casos reportados. Esses números destacam a crescente vulnerabilidade das organizações latino-americanas frente a um cenário de ameaças em constante evolução.
🛡️ Foco em Setores Críticos e Resposta a Ameaças
O setor automotivo no México foi apontado como um dos que enfrentam ameaças cibernéticas "históricas" à continuidade de seus negócios, refletindo uma tendência global de ataques a indústrias críticas. Em resposta ao aumento de ameaças na Colômbia, a plataforma de mobilidade inDrive anunciou o reforço de suas medidas de segurança para proteger seus usuários e operações.
🚨 Ransomware como Ameaça Persistente
O ransomware continua sendo uma das ameaças mais disruptivas e economicamente prejudiciais na região. Relatórios indicam que a sofisticação e o volume de ataques de ransomware continuam a crescer, com grupos criminosos visando empresas de todos os portes e exigindo resgates em criptomoedas. A tendência acompanha os dados globais, que mostram um aumento de 46% nos ataques de ransomware em 2025.
🤖 Eventos e Inovação em IA e Cibersegurança
Em um contraponto ao cenário de ameaças, o México sediou eventos importantes focados em tecnologia e segurança. O Mexico AI, Cloud & Data Summit 2025 e o AI Fest, durante a Mexico Tech Week, reuniram investidores, líderes de tecnologia e startups para discutir as últimas tendências e fortalecer a posição do país como um hub regional de inovação em IA. A Thales também celebrou 60 anos de presença no México, destacando seu papel na transformação tecnológica do país, inclusive em áreas de segurança.
🚨 Incidentes Globais Relevantes
A semana foi marcada por incidentes que expuseram vulnerabilidades profundas em componentes fundamentais da internet e em gigantes da indústria, desde provedores de cibersegurança até montadoras de automóveis e companhias aéreas.
🔓 F5 Networks: Violação Crítica por Ator Estado-Nação
O incidente de maior gravidade foi a divulgação, em 15 de outubro, de uma violação massiva nos sistemas da F5 Networks, uma das principais empresas de cibersegurança do mundo. A empresa admitiu que um ator estado-nação, posteriormente identificado como o grupo chinês UNC5221, manteve acesso persistente à sua rede por pelo menos 12 meses. Durante esse período, os invasores roubaram o código-fonte do produto BIG-IP e informações sobre 45 vulnerabilidades ainda não divulgadas.
A gravidade da situação levou a CISA a emitir uma Diretiva de Emergência (ED 26-01), obrigando agências federais dos EUA a inventariar e atualizar seus dispositivos F5 até 22 de outubro. O acesso ao código-fonte e a vulnerabilidades zero-day confere aos atacantes uma vantagem técnica sem precedentes para desenvolver exploits direcionados contra milhares de organizações que dependem dos produtos da F5.
⚠️ Interrupção Massiva da Amazon Web Services (AWS)
Em 20 de outubro, uma falha na região US-EAST-1 (Norte da Virgínia) da AWS, a maior e mais importante do provedor de nuvem, causou uma interrupção em cascata que afetou milhões de usuários e uma vasta gama de serviços online. A causa raiz foi identificada como um problema de resolução de DNS e uma falha em um subsistema interno de monitoramento de load balancers. A lista de serviços afetados incluiu Disney+, Snapchat, Roblox, Fortnite, Ring e Airbnb, evidenciando a extrema dependência do ecossistema digital global de um pequeno número de provedores de infraestrutura.
🚗 Volkswagen Alvo de Duplo Ataque de Ransomware
A gigante automotiva Volkswagen se viu na mira de dois grupos de ransomware distintos na mesma semana. O grupo Qilin reivindicou um ataque contra a subsidiária francesa da empresa, alegando ter roubado 150 GB de dados. Poucos dias depois, o grupo 8Base também alegou ter violado a Volkswagen e roubado dados sensíveis. A empresa confirmou que está investigando as alegações, que ilustram a pressão contínua sobre o setor de manufatura.
✈️ Qantas Airways
A companhia aérea australiana foi vítima de uma violação que expôs os dados de mais de 5 milhões de clientes. O ataque, atribuído a um grupo autodenominado "Scattered Lapsus$ Hunters", faz parte de uma campanha de extorsão mais ampla que também afetou a Vietnam Airlines. Os dados foram vazados na dark web entre 11 e 13 de outubro.
🏢 Capita
A empresa britânica de outsourcing foi multada em £14 milhões pelo Information Commissioner's Office (ICO) do Reino Unido. A multa é consequência de uma violação ocorrida em março de 2023 que expôs dados de 6,6 milhões de pessoas. O ICO determinou que a Capita falhou em implementar medidas básicas de segurança e ignorou vulnerabilidades conhecidas.
🚫 Golpes
As campanhas de fraude e phishing continuam a explorar a engenharia social e vulnerabilidades em plataformas amplamente utilizadas, visando desde o roubo de credenciais de redes sociais até a execução de fraudes financeiras em larga escala.
🎣 Phishing com Ofertas de Emprego Falsas
Uma campanha massiva de phishing de credenciais foi identificada utilizando ofertas de emprego falsas de marcas de grande apelo, como KFC e Red Bull. O objetivo dos golpistas, segundo a Sublime Security, era roubar as credenciais de login do Facebook das vítimas, que poderiam ser usadas para ataques subsequentes, roubo de identidade ou venda em mercados clandestinos.
💻 Exploração do Microsoft 365 Direct Send
Atores de ameaças estão explorando ativamente o recurso Direct Send do Microsoft 365 para contornar filtros de segurança de e-mail. A Cisco Talos relatou um aumento na atividade maliciosa que abusa dessa funcionalidade para realizar campanhas de phishing e ataques de Business Email Compromise (BEC). A técnica permite que e-mails maliciosos pareçam mais legítimos e cheguem à caixa de entrada das vítimas, bypassando as defesas tradicionais.
🚨 Operação Silver Shores: Fraude de US$ 30 Milhões Contra Idosos
Em 21 de outubro, autoridades federais dos EUA anunciaram a prisão de 15 pessoas envolvidas em uma organização de fraude transnacional, na chamada Operação Silver Shores. O grupo executava um esquema de telemarketing que visava deliberadamente cidadãos idosos e vulneráveis, resultando em perdas totais de mais de US$ 30 milhões. A operação destaca a persistência de esquemas de fraude em larga escala e a colaboração internacional para combatê-los.
💰 Fraude de Investimentos de US$ 500 Milhões
Em 16 de outubro, o cofundador da firma de investimentos 777 Partners, Joshua Wander, foi acusado pelo FBI de um esquema de fraude de US$ 500 milhões. As acusações incluem conspiração para cometer fraude eletrônica e fraude de valores mobiliários, ilustrando a escala do cibercrime no setor financeiro.
📈 Aumento de Fraudes com Ativos Digitais e em Redes Sociais
Um relatório da North American Securities Administrators Association (NASAA), divulgado em 16 de outubro, revelou que os reguladores estaduais nos EUA conduziram 463 investigações sobre ativos digitais e 175 investigações sobre fraudes em redes sociais em 2025.
Os números apontam para a crescente utilização dessas plataformas para a realização de golpes e esquemas de personificação.
💥 Grupos de Ameaças Ativos e Atividades Relevantes
A semana foi marcada pela intensa atividade de grupos de ransomware, a ascensão de novos líderes no cenário de extorsão e a contínua exploração de vulnerabilidades zero-day por atores sofisticados.
🚗 Qilin e 8Base: Pressão sobre a Volkswagen
O grupo de ransomware Qilin foi o ator de ameaça mais ativo da semana, segundo o Hackmanac. Eles reivindicaram a responsabilidade por um ataque à subsidiária francesa da Volkswagen, alegando o roubo de 150 GB de dados. A atividade do Qilin é sustentada por redes globais de bulletproof hosting, conforme detalhado em um relatório da Resecurity. Simultaneamente, o grupo 8Base também alegou ter atacado a Volkswagen e roubado dados sensíveis, colocando a montadora sob pressão de dois flancos distintos.
📈 RansomHub Supera LockBit em Prolificidade
Uma mudança significativa no ecossistema de ransomware foi observada com o RansomHub ultrapassando o LockBit como o grupo mais prolífico, respondendo por 26,8% da atividade de ataque, de acordo com um relatório da ExtraHop. O LockBit, que dominou o cenário por um longo período, caiu para o segundo lugar com 26,5%, seguido por Darkside (25,7%) e APT41 (24%). Essa mudança indica uma nova dinâmica de poder e a emergência de novos operadores de Ransomware-as-a-Service (RaaS).
🕵️‍♂️ UNC5221: O Ator Estado-Nação por Trás da Violação da F5
O grupo chinês de ciberespionagem UNC5221 foi identificado como o responsável pela violação massiva da F5 Networks. Este ator estado-nação demonstrou extrema sofisticação e paciência, mantendo acesso à rede da F5 por mais de um ano para roubar o código-fonte de um produto de segurança crítico e informações sobre vulnerabilidades zero-day. O grupo é conhecido por usar o malware BRICKSTORM e tem como alvos anteriores empresas de tecnologia, SaaS e serviços jurídicos nos EUA.
🎯 "Operation Zero Disco": Exploração de Zero-Day da Cisco
Uma campanha não atribuída, apelidada de "Operation Zero Disco" pela Trend Micro, explorou ativamente a vulnerabilidade zero-day CVE-2025-20352 em dispositivos de rede Cisco IOS e IOS XE. Os atacantes implantaram rootkits em Linux para obter acesso persistente e não autorizado, utilizando técnicas para se esconderem em sistemas mais antigos e sem proteção EDR. A campanha destaca a contínua ameaça a dispositivos de infraestrutura de rede, que são alvos de alto valor para espionagem e controle.
📊 Métricas e Estatísticas
Os dados da semana revelam um cenário de ameaças em franca expansão, com um aumento notável no número de ataques, no valor dos resgates de ransomware e na pressão sobre setores de infraestrutura crítica.
🚨 Atividade de Ciberataques (Global/América Latina)
276
💥 Ciberataque
276 ciberataques registrados em 45 países.
38%
📈 Crescimento de Incidentes
A região viu um aumento de 38% nos incidentes cibernéticos durante 2024, com 4.429 casos reportados (Entel).
1/4
🏢 Prevalência de Ataques
1 em cada 4 empresas na América Latina sofreu um ciberataque no último ano.
1.752
🏦 Ataques a Instituições Financeiras no Brasil
As instituições financeiras brasileiras enfrentam uma média de 1.752 tentativas de ataque por semana.
💰 Estatísticas de Ransomware
Relatórios divulgados na semana pintam um quadro preocupante sobre a economia do ransomware em 2025:
🚨 Top Vulnerabilidades, IoCs e Alertas Ativos
A semana foi marcada pela divulgação de um grande volume de vulnerabilidades críticas por parte da Oracle, a exploração ativa de falhas em produtos da Cisco e a resposta da CISA a múltiplas ameaças, incluindo a grave violação da F5.
🛡️ Oracle Critical Patch Update - Outubro de 2025
Em 21 de outubro, a Oracle lançou seu último Critical Patch Update (CPU) trimestral do ano, um pacote massivo contendo 374 novos patches de segurança que corrigem 170 CVEs. O destaque foi a correção de 40 vulnerabilidades críticas em 12 produtos diferentes. Entre elas está a CVE-2025-61884, uma falha de Server-Side Request Forgery (SSRF) no Oracle E-Business Suite, que a CISA confirmou estar sendo ativamente explorada.
💥 Exploração de Zero-Day da Cisco (CVE-2025-20352)
A campanha "Operation Zero Disco" explorou ativamente a vulnerabilidade CVE-2025-20352, uma falha de estouro de pilha no subsistema SNMP do software Cisco IOS e IOS XE. A falha, explorada como um zero-day, permite a execução remota de código e foi usada para implantar rootkits em dispositivos de rede, garantindo acesso persistente aos invasores.
🔍 CISA Adiciona 5 Novas Vulnerabilidades ao Catálogo KEV
Em 20 de outubro, a CISA adicionou cinco novas vulnerabilidades ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências federais dos EUA apliquem as correções até 10 de novembro. A lista inclui falhas em produtos da Apple, Kentico, Microsoft e a já mencionada falha no Oracle E-Business Suite.
🚨 Indicadores de Comprometimento (IoCs) - Operation Zero Disco
🐞 Vulnerabilidade Primária
CVE-2025-20352 (Cisco IOS/XE SNMP).
🐛 Vulnerabilidade Secundária
Variante da CVE-2017-3881 (Telnet) para acesso à memória.
🕵️ TTPs
Exploração da falha SNMP para RCE, implantação de rootkit em Linux, uso de hooks na memória do processo IOSd, bypass de autenticação AAA, ocultação de configuração e logs.
🔑 Artefato Notável
A senha universal implantada pelo rootkit contém a palavra "disco".
⚠️ Alerta de Emergência da CISA: Diretiva ED 26-01 (F5 Networks)
O alerta mais crítico da semana foi a Diretiva de Emergência ED 26-01, emitida em resposta à violação da F5. A diretiva reconhece a ameaça iminente representada pelo roubo do código-fonte do BIG-IP e de informações de vulnerabilidades. Ela exige que as agências federais tomem ações imediatas:
📋 Inventariar todos os produtos F5 BIG-IP;
🌐 Verificar se as interfaces de gerenciamento estão expostas à internet pública;
⚙️ Aplicar as novas atualizações da F5 até 22 de outubro de 2025;
📄 Submeter um relatório de conformidade à CISA até 29 de outubro.
🎯 Tendências Emergentes
A análise dos incidentes recentes revela um cenário de ameaças cada vez mais sofisticado. As tendências incluem ataques direcionados à infraestrutura de segurança, fragilidade da nuvem centralizada, exploração acelerada de zero-days e uma dinâmica volátil no ecossistema de ransomware.
🔗 Cadeia de Suprimentos de Confiança
A violação da F5 Networks destaca como atacar fornecedores de segurança mina a confiança e oferece uma "chave mestra" para múltiplos alvos. Espera-se mais ataques a auditores e empresas de resposta a incidentes.
☁️ Nuvem Centralizada Frágil
A interrupção da AWS na US-EAST-1 reforça a vulnerabilidade de depender de poucos provedores hiperescala. Falhas em uma única região podem gerar impacto global, exigindo reavaliação das estratégias multinuvem.
⚡ Exploração de Zero-Days Acelerada
Campanhas como "Operation Zero Disco" (Cisco) e falhas no Oracle E-Business Suite demonstram que atores de ameaça estão mais rápidos em explorar vulnerabilidades zero-day em infraestruturas críticas, como roteadores e servidores.
🔄 Ransomware em Mutação
A ascensão do RansomHub, superando o LockBit, revela a fluidez do mercado de Ransomware-as-a-Service (RaaS). Afiliados migram para plataformas com melhores condições, acelerando a inovação tática e dificultando o desmantelamento.
🎯 Ataques Múltiplos e Coordenados
O caso da Volkswagen, supostamente atacada por dois grupos de ransomware (Qilin e 8Base) simultaneamente, sugere uma nova tática de pressão. Alvos de alto valor podem enfrentar ataques multivetoriais, aumentando a complexidade da defesa.
📝 Recomendações Importantes
Com base nas ameaças e tendências observadas no relatório, as seguintes recomendações são cruciais para fortalecer a postura de segurança das organizações e mitigar os riscos de incidentes cibernéticos.
🔗 Reavaliar a Confiança na Cadeia de Suprimentos de Segurança
Zero Trust para Fornecedores: Adote uma mentalidade de "confiança zero" para seus fornecedores de segurança, questionando e validando suas práticas.
Monitoramento de Dispositivos de Segurança: Monitore firewalls, WAFs e balanceadores de carga como endpoints críticos, buscando atividades anômalas e acessos não autorizados.
Diversificação de Fornecedores: Considere a diversificação para componentes de segurança essenciais para evitar um ponto único de falha.
☁️ Fortalecer a Resiliência da Infraestrutura de Rede e Nuvem
Gerenciamento Agressivo de Patches: Priorize a aplicação de patches em dispositivos de rede, como roteadores e switches, com a mesma urgência que servidores.
Segregação e Limitação de Acesso: Limite estritamente o acesso às interfaces de gerenciamento e segmente redes para conter movimentos laterais.
Planejamento para Interrupções de Nuvem: Teste planos de continuidade e avalie arquiteturas multirregionais/multinuvem para serviços críticos.
🛡️ Defesa Proativa Contra Ransomware e Extorsão
Backups Imutáveis e Testados: Garanta que os backups sejam imutáveis, armazenados offline e que os procedimentos de restauração sejam testados regularmente.
Inteligência de Ameaças: Monitore ativamente novos grupos de ransomware e suas TTPs para ajustar proativamente os controles de segurança.
Plano de Resposta a Incidentes: Mantenha um plano de resposta a incidentes de ransomware bem definido e ensaiado, incluindo contenção e recuperação.
🎯 Combate à Engenharia Social e Fraudes
Conscientização Contínua: Realize treinamentos de conscientização sobre segurança usando exemplos de golpes recentes para educar os funcionários.
Segurança de E-mail em Camadas: Implemente defesas robustas para e-mails, incluindo análise de comportamento, sandboxing e proteção contra BEC.
Proteção de Populações Vulneráveis: Adicione camadas de verificação e conscientização para proteger populações mais suscetíveis a fraudes direcionadas.
✍🏼 Assine o RIC
Ao assinar o RIC, você também receberá o minutonews, um digest tecnológico semanal. Documentação cuidadosamente elaborada através de mais de 50 fontes de pesquisas.
WhatsApp.com
minutocyber 🔐 RIC 📊
Faça parte da Comunidade e dos Grupos no WhatsApp da minutocyber.
Google Docs
Cadastre-se para receber o RIC semanal da minutocyber
Mantenha-se à frente das ameaças digitais com inteligência estratégica semanal. Tenha acesso exclusivo a uma coleção abrangente de relatórios semanais de cibersegurança que mapeiam o cenário de ameaças no Brasil, América Latina e cenário global. Cada edição oferece relatos cronológicos detalhados, identificados por códigos de versão e datas precisas, construídos a partir de mais de 90 fontes de pesquisa especializadas e confiáveis. O que você receberá: 📊 Análises aprofundadas de incidentes e vu
minutocyber © 2025 por Julio Signorini está licenciado sob CC BY-NC-SA 4.0