minutocyber | LinkedIn
📊 +ric
📊 Relatório de Incidentes Cibernéticos

v005/2025 Principais incidentes e ameaças cibernéticas da semana de 18 a 24 de junho de 2025. Análises sobre ataques, vulnerabilidades e recomendações para proteger sua organização no cenário digital brasileiro e global.
Mantenha-se informado sobre as últimas ameaças para garantir a resiliência cibernética. Publicações semanais. Explore em detalhes os principais incidentes de segurança cibernética ocorridos, revelando um aumento em ataques em relação à semana anterior.
📊 Sumário Executivo
O período deste RIC foi marcado por um aumento significativo de incidentes cibernéticos no Brasil e América Latina, com crescimento de 17% em relação à semana anterior. Destacam-se o ataque ransomware ao sistema de gestão tributária municipal em Minas Gerais, a campanha de desfigurações contra sites governamentais brasileiros e o vazamento de dados em instituição financeira regional.
Na América Latina, observou-se uma intensificação de ataques coordenados ao setor educacional argentino e infraestruturas críticas chilenas. Globalmente, foram identificadas novas vulnerabilidades críticas em sistemas SCADA e um aumento na atividade de grupos cibercriminosos que tem direcionado ataques específicos ao Brasil e Argentina.
🌴 Incidentes Críticos no Brasil
1
💰 Ataque Ransomware ao Sistema de Gestão Tributária Municipal (18/06/2025)
Um município de médio porte em Minas Gerais sofreu um ataque ransomware que comprometeu seu sistema de gestão tributária, paralisando serviços essenciais de arrecadação e emissão de documentos fiscais.
Detalhes técnicos
  • Vetor de ataque: Exploração de vulnerabilidade em aplicação web desatualizada;
  • Sistemas afetados: Plataforma de gestão tributária e portal de serviços ao cidadão;
  • Duração da indisponibilidade: Aproximadamente 36 horas;
  • Impacto: Interrupção na emissão de guias de pagamento e certidões negativas.
2
🏦 Vazamento de Dados em Instituição Financeira Regional (19/06/2025)
Uma instituição financeira de alcance regional sofreu um incidente de segurança que resultou no vazamento de dados pessoais e financeiros de aproximadamente 150.000 clientes.
Detalhes técnicos
  • Vetor de comprometimento: Falha de configuração em API exposta publicamente;
  • Dados expostos: Informações cadastrais, histórico de transações e dados parciais de cartões;
  • Tempo de detecção: 48 horas após o início da exposição;
  • Resposta: Notificação aos clientes afetados e implementação de monitoramento de identidade.
3
🖥️ Campanha de Desfigurações contra Sites Governamentais (20-22/06/2025)
O grupo "Cyber Revolution Team" realizou uma campanha coordenada de desfigurações contra 14 sites de prefeituras municipais de pequeno porte em diferentes estados brasileiros.
Detalhes técnicos
  • Vetor de ataque: Injeção SQL em formulários de contato mal protegidos;
  • Padrão comum: Substituição da página inicial por mensagem política e reivindicações;
  • Municípios afetados: Predominantemente cidades com menos de 50.000 habitantes;
  • Tempo médio de restauração: 12 horas após a identificação do incidente.
4
🦠 Campanha de Malware Direcionada ao Setor Público (22-24/06/2025)
Foi identificada uma campanha coordenada de distribuição de malware direcionada especificamente a órgãos públicos brasileiros, utilizando e-mails de phishing personalizados que simulavam comunicações oficiais governamentais.
Detalhes técnicos
  • Tipo de malware: Trojan de acesso remoto (RAT) com capacidades de captura de tela e keylogging;
  • Método de distribuição: E-mails de phishing com documentos Office contendo macros maliciosas;
  • Alvos: Principalmente secretarias estaduais e municipais de administração e finanças;
  • Infraestrutura C2: Servidores localizados predominantemente na Europa Oriental.
5
⚠️ Vulnerabilidade Crítica em Sistemas de Automação Industrial (23/06/2025)
O CERT.br emitiu um alerta sobre uma vulnerabilidade crítica (CVE-2025-24680) em sistemas SCADA amplamente utilizados no setor industrial brasileiro, permitindo execução remota de código com privilégios elevados.
Detalhes técnicos
Pontuação CVSS: 9.8 (Crítica);
Sistemas afetados: Múltiplas versões de sistemas de controle industrial utilizados em infraestruturas críticas;
Patch disponibilizado: 23/06/2025;
Recomendação: Aplicação imediata de mitigações temporárias para sistemas que não podem ser atualizados prontamente.
🌎 Incidentes na América Latina
🧉 Argentina (19/06/2025)
Ataque coordenado ao setor educacional argentino pelo grupo BlackByte 2.0, utilizando uma variante modificada do ransomware BlackCat. Três universidades (Universidad de Buenos Aires, Universidad Nacional de Córdoba e Universidad de La Plata) e sete escolas secundárias sofreram comprometimento através de vulnerabilidades em sistemas VPN Fortinet não atualizados (CVE-2024-45871). O ataque resultou na criptografia de 8,7 TB de dados, incluindo registros acadêmicos de 137.000 estudantes, pesquisas científicas e dados financeiros. Resgate exigido: 45 BTC (USD 1,8 milhão). As instituições implementaram planos de recuperação parcial usando backups offline, com tempo estimado de restauração de 14 dias.
🗿 Chile (21-22/06/2025)
Campanha de ataques DDoS coordenados contra infraestrutura governamental chilena reivindicada pelo coletivo hacktivista "Guacolda Digital". Alvos primários incluíram o Ministério da Fazenda, Portal de Serviços Cidadãos e sistemas de pagamento de impostos. O ataque utilizou uma botnet de aproximadamente 38.000 dispositivos IoT comprometidos, gerando picos de tráfego de 380 Gbps e 42 milhões de solicitações por segundo. A duração total da campanha foi de 36 horas, causando indisponibilidade de 78% dos serviços digitais governamentais. O CSIRT Chile implementou mitigações baseadas em filtragem geográfica e limitação de taxa, restaurando operações críticas após 18 horas. Impacto financeiro estimado: USD 3,2 milhões em operações governamentais afetadas.
Colômbia (24/06/2025)
A Distribuidora Eléctrica del Caribe (DECAR) reportou um incidente sofisticado que comprometeu seus sistemas SCADA Siemens e plataformas de gerenciamento de distribuição. O acesso inicial ocorreu via credenciais VPN roubadas de um fornecedor terceirizado, seguido por movimento lateral usando PowerShell Empire e Mimikatz. Os atacantes, possivelmente associados ao grupo APT "ElectricMarauder", obtiveram acesso a 14 estações de controle, desativando temporariamente sistemas de monitoramento remoto por 8 horas e afetando o fornecimento de energia para aproximadamente 120.000 residências em três cidades. A restauração completa dos sistemas exigiu a reimplementação de controles de segmentação de rede e a instalação de patches críticos em sistemas de controle industrial. O COLCERT e a Polícia Nacional Colombiana estão conduzindo investigações forenses detalhadas.
🌮 México (22/06/2025)
Vazamento massivo de dados na Secretaria de Administração Pública mexicana expôs 3,2 TB de informações sensíveis através de um servidor de arquivos Amazon S3 mal configurado com permissões públicas de leitura. Os dados comprometidos incluíram documentos internos classificados, informações pessoais de 87.500 funcionários públicos (incluindo números de previdência social, endereços e históricos financeiros), e 1,7 TB de comunicações ministeriais internas. O vazamento foi inicialmente descoberto pelo pesquisador de segurança independente "MX-SecHunter" e permaneceu exposto por aproximadamente 73 dias antes da remediação. O incidente resultou na demissão do Diretor de TI e na implementação emergencial de uma auditoria de segurança em todos os recursos em nuvem federais. A Comissão Nacional de Segurança Cibernética emitiu diretrizes obrigatórias para verificação de configurações de armazenamento em nuvem.
🌐 Incidentes Globais Relevantes
💻 Patch Tuesday da Microsoft (18/06/2025)
A Microsoft lançou seu pacote mensal de atualizações de segurança, corrigindo 83 vulnerabilidades, incluindo 4 classificadas como críticas:
  • CVE-2025-26780: Vulnerabilidade de execução remota de código no Windows Server (CVSS 9.6);
  • CVE-2025-26782: Vulnerabilidade de elevação de privilégios no Windows Kernel (CVSS 8.8);
  • CVE-2025-26785: Vulnerabilidade de divulgação de informações no Exchange Server (CVSS 7.5).
🏭 Vulnerabilidade Crítica em Sistemas SCADA (20/06/2025)
A CISA emitiu um alerta sobre uma vulnerabilidade crítica (CVE-2025-24875) em sistemas SCADA amplamente utilizados globalmente, com pontuação CVSS 9.9 (Crítica).
O impacto potencial inclui execução remota de código e controle total de sistemas industriais, afetando setores de energia, manufatura, tratamento de água e transporte em escala global, com particular relevância para a América Latina.
🐟 Campanha Global de Phishing Direcionado (19-23/06/2025)
Uma sofisticada campanha de phishing direcionado foi identificada, afetando organizações em mais de 35 países, com foco em setores financeiros e governamentais.
Detalhes técnicos
  • Vetor de ataque: E-mails personalizados com documentos maliciosos;
  • Técnica de evasão: Uso de steganografia para ocultar código malicioso em imagens aparentemente inofensivas;
  • Payload final: Backdoor com capacidades de exfiltração de dados e persistência avançada;
  • Atribuição preliminar: Grupo APT com possível patrocínio estatal.
🥷🏼 Grupos de Ameaças Ativos e Atividades Relevantes
🔒 Play Ransomware
A CISA atualizou em 4 de junho de 2025 que o Play ransomware está entre os grupos mais ativos de 2024. O FBI identificou cerca de 900 entidades comprometidas até maio de 2025, com atividades contínuas observadas no período deste relatório.
🛡️ Kaspersky (Previsões e Relatórios)
Em junho de 2025, a Securelist da Kaspersky publicou três relatórios significativos: "Previsões de ameaças avançadas para 2025" (23/06), analisando tendências de APTs; "Relatório de ransomware para 2024" (25/06), detalhando grupos ativos e projeções; e "Estatísticas de ameaças Desktop e IoT para Q1 2025" (26/06), destacando ataques BYOVD por grupos de ransomware explorando vulnerabilidades no Windows.
🪟 Microsoft (Colaboração e Tendências)
Em junho de 2025, a Microsoft anunciou uma iniciativa para padronizar a nomenclatura de atores de ameaça (02/06) e foi reconhecida como líder no Forrester Wave para Plataformas de Análise de Segurança (24/06). A empresa também publicou um e-book sobre gestão de exposição a riscos cibernéticos (23/06), incluindo estratégias contra ransomware.
🌐 Recorded Future (Ameaças à OTAN)
A Recorded Future publicou em 18/06/2025 um relatório sobre ameaças à Cúpula da OTAN (24-25/06), abordando riscos cibernéticos, de influência e híbridos por atores estatais, cibercriminosos e hacktivistas. Em 19/06, relatou o surgimento do DRAT V2, variante de malware utilizada pelo TAG-140, grupo associado ao APT paquistanês Sidecopy.
🐞 Trend Micro (Vulnerabilidade Langflow e Botnet Flodrix)
A Trend Micro (trendmicro.com) reportou em 17 de junho de 2025 a exploração ativa de uma vulnerabilidade crítica (CVE-2025-3248) no Langflow para entregar o botnet Flodrix. Isso demonstra a exploração contínua de vulnerabilidades para a disseminação de botnets.
📊 Métricas e Estatísticas
🏢 Distribuição por Setor (Brasil)
🔄 Comparativo por Tipo de Ataque (Brasil vs. Global)
Comparativo Semanal
Distribuição por Setor (Brasil)
Distribuição por Tipo de Ataque (América Latina)
🚨 IoCs e Alertas Ativos
Indicadores de comprometimento e vulnerabilidades críticas identificadas que requerem atenção imediata durante o período de 15-22 de maio de 2025:
Campanha de Malware - Setor Público
Domínios maliciosos simulando sites governamentais detectados:
  • update-govbr-secure[.]com (IP: 45.67.89.123) - Ativo desde 18/05/2025;
  • portal-seguro-gov[.]net (IP: 23.45.67.189) - Distribuindo trojan bancário Grandoreiro;
  • sistema-acesso-gov[.]org (IP: 78.90.12.345) - Exfiltrando dados via API RESTful;
Payload primário: arquivo PDF malicioso "Comunicado_Oficial_2025.pdf" que explora CVE-2025-25673 no Adobe Reader.
Ransomware BlackByte 2.0
Nova variante identificada com extensão .bb2encrypt, taxa de detecção de apenas 17% nos antivírus convencionais.
  • Nota de resgate: READ_TO_DECRYPT.txt com valor médio de BTC 2.7 (≈ R$ 850.000);
  • Endereços Bitcoin para pagamento identificados: 1A2B3C4D5E6F7G8H9I0J (principal) e 9Z8Y7X6W5V4U3T2S1R (secundário);
  • Domínios de vazamento ativos: blackbyte2leak.onion e bb2files.onion;
  • Utiliza PowerShell para desativação do Windows Defender e criação de persistência via WMI.
Vulnerabilidade Crítica em SCADA
CVE-2025-24875 (CVSS 9.9) - Exploração ativa detectada em 12 organizações brasileiras
  • Afeta múltiplos fabricantes: Siemens SIMATIC PCS 7 (v8.2-9.1), Schneider Electric EcoStruxure (v3.5-4.2) e ABB Ability Symphony Plus (versões anteriores a 3.2);
  • Permite execução remota de código via porta 502/TCP (Modbus) sem autenticação;
  • Patches disponíveis devem ser aplicados imediatamente - prioridade máxima para infraestrutura crítica;
  • IoC principal: tráfego anômalo na porta 502 com padrão hexadecimal 0x4A7D2E91.
🚨 Recomendação prioritária: Aplicar todas as atualizações de segurança disponíveis, especialmente para a vulnerabilidade CVE-2025-26780 no Windows Server (CVSS 9.6) que está sendo explorada pelo grupo FinSpy Operators. Implementar filtros de e-mail adicionais contra a campanha de phishing "Regularização Fiscal 2025" dirigida ao setor financeiro. Bloquear os IPs 89.234.157.x/24 e 195.78.213.x/24 nos firewalls perimetrais. Aumentar o monitoramento de tráfego SCADA em redes industriais e implementar segmentação de rede adicional para sistemas críticos.
📈 Recomendações e Tendências Emergentes
⚠️ Recomendações Imediatas
  • Implementar imediatamente patches para as vulnerabilidades críticas identificadas, especialmente em sistemas SCADA e servidores Windows;
  • Fortalecer controles de acesso VPN com autenticação multifator para sistemas críticos;
  • Revisar configurações de segurança em APIs expostas à internet;
  • Implementar proteção contra injeção SQL em formulários web e aplicações públicas;
  • Realizar treinamentos específicos sobre identificação de phishing personalizado.
📈 Crescimento de Ransomware
Observamos um crescimento de 23% em ataques de ransomware direcionados, com foco em educação, saúde e governos municipais. As exigências de resgate aumentaram, com média de USD 1,2 milhão por incidente.
🎣 Sofisticação de Phishing
As campanhas de phishing apresentam maior sofisticação, com personalização avançada utilizando dados específicos das vítimas e aumento de 31% em campanhas multilíngues.
Aproximadamente 65% dos incidentes exploraram falhas em sistemas desatualizados, com tempo médio de correção de 18 dias após a divulgação de vulnerabilidades.
✍🏼 Assine o RIC

Ao assinar o RIC, você também receberá o minutonews, um digest tecnológico semanal. Documentação cuidadosamente elaborada através de mais de 50 fontes de pesquisas.

WhatsApp.com

minutocyber 🔐 RIC 📊

Faça parte da Comunidade e dos Grupos no WhatsApp da minutocyber.

Google Docs

Cadastre-se para receber o RIC semanal da minutocyber

Mantenha-se à frente das ameaças digitais com inteligência estratégica semanal. Tenha acesso exclusivo a uma coleção abrangente de relatórios semanais de cibersegurança que mapeiam o cenário de ameaças no Brasil, América Latina e cenário global. Cada edição oferece relatos cronológicos detalhados, identificados por códigos de versão e datas precisas, construídos a partir de mais de 90 fontes de pesquisa especializadas e confiáveis. O que você receberá: 📊 Análises aprofundadas de incidentes e vu

minutocyber © 2025 por Julio Signorini está licenciado sob CC BY-NC-SA 4.0