📊 Relatório de Incidentes Cibernéticos
v014/2025 ✅ Principais incidentes e ameaças cibernéticas da semana de 20 a 26 de agosto de 2025. Análises sobre ataques, vulnerabilidades e recomendações para proteger sua organização no cenário digital brasileiro e global.
📝 Sumário Executivo e Destaques desta Edição
A semana de 20 a 26 de agosto de 2025 foi marcada por intensa atividade cibernética maliciosa global, com exploração de vulnerabilidades críticas e novas táticas de grupos APTs. Este relatório analisa os principais incidentes de segurança cibernética, com foco em eventos no Brasil e América Latina.
🌴 Brasil
🔢 CERT.br registra 269.332 notificações de incidentes (84,43% varreduras);
💰 Operação Predatorius II bloqueia R$ 57 milhões em fraudes;
🤝 Parceria NIC.br e ANPD fortalece proteção de dados.
🌎 Incidentes Globais
🎯 UNC6395 compromete contas Salesforce via tokens OAuth;
🔓 Allianz Life: 2,8 milhões de registros expostos;
🚨 Setor de saúde: 63,5% de aumento em violações (275M+ registros).
🦠 Vulnerabilidades Críticas
🛠️ Microsoft corrige 107 falhas, incluindo zero-day no Kerberos;
⚠️ Citrix NetScaler sob exploração ativa;
🚨 Vulnerabilidade crítica no Git sendo explorada.
🕵🏻 Grupos de Ameaças
⚔️ Charon Ransomware ataca setor público no Oriente Médio;
🕵️♀️ ShinyHunters por trás de múltiplos vazamentos;
💾 Backend do Kimsuky vazado (8.9GB de dados).
🚨 Incidentes Críticos no Brasil
269.332
🔔 Notificações de Incidentes
Registradas pelo CERT.br de Janeiro a Julho de 2025
84,43%
🔎 Varreduras (Scans)
Representam a maioria dos incidentes reportados
28,93%
🇧🇷 Origem Brasileira
O Brasil é a principal origem de varreduras e tentativas de ataque
Outros países de origem incluem Estados Unidos (15,7%), Taiwan (9,7%) e China (7,83%). Ataques de Negação de Serviço (DoS) representam 7,23% dos incidentes, enquanto tentativas de fraude correspondem a 5% do total.
🚨 Operações Policiais e Iniciativas de Segurança
🚫 Desarticulação de Organização Criminosa
Uma organização criminosa especializada em fraudes previdenciárias foi desarticulada pela PF, com a identificação de aproximadamente 100 benefícios concedidos fraudulentamente, resultando em um golpe milionário contra os cofres públicos.
📣 Campanha Educativa da Anatel
A Agência Nacional de Telecomunicações (Anatel) lançou uma campanha educativa nas redes sociais para proteger os consumidores contra chamadas abusivas, visando aumentar a conscientização e a segurança.
🕵️ Operação Predatorius II
A Polícia Federal deflagrou a Operação Predatorius II, focada no combate a fraudes em precatórios contra a Caixa Econômica, totalizando R$ 57 milhões em prejuízos.
🤝 Parcerias e Iniciativas de Segurança no Brasil
🔒 Parceria NIC.br e ANPD
Fortalecimento da proteção de dados no Brasil através da renovação de Acordo de Cooperação entre NIC.br e Autoridade Nacional de Proteção de Dados (ANPD), envolvendo CERT.br, Cetic.br e OBIA. Prevê ações educativas, produção de estudos e troca de conhecimento.
🎓 RNP Abre Seleção para Bolsas
Iniciativa visa projetos de coleta, anonimização e publicação de dados de cibersegurança, contribuindo para o avanço da área no país.
Estas iniciativas demonstram o compromisso das instituições brasileiras com o fortalecimento da segurança cibernética e proteção de dados no país.
🚨 Incidentes Globais Relevantes
💰 Campanha de Roubo de Dados em Salesforce (UNC6395)
Uma campanha generalizada de roubo de dados, rastreada como UNC6395, visou instâncias do Salesforce através de tokens OAuth comprometidos do aplicativo Salesloft Drift. O objetivo principal é a coleta de credenciais, com o ator de ameaça buscando por segredos como chaves de acesso AWS, senhas e tokens relacionados ao Snowflake.
📉 Vazamento de Dados na Allianz Life (Salesforce)
Vazamento de 2.8 milhões de registros sensíveis de parceiros de negócios e clientes da Allianz Life, seguradora dos EUA. Acredita-se que o grupo ShinyHunters esteja por trás do ataque, que obteve acesso a um sistema CRM baseado em nuvem de terceiros (Salesforce) usando engenharia social.
💳 Vazamento de Dados na Connex Credit Union
Aproximadamente 172.000 membros da Connex Credit Union (EUA) foram afetados por exposição de dados financeiros abrangentes, incluindo números de conta, informações de cartão de débito e números de seguro social. Suspeita-se de ligação com a campanha ShinyHunters.
🚨 Outros Incidentes Globais Significativos
💻 Ataque a Servidor da Microsoft
Servidores SharePoint vulneráveis da Microsoft foram alvo de uma operação de ciberespionagem, atingindo cerca de 400 organizações. Hackers chineses são atribuídos à exploração da falha.
🔓 Google Confirma Vazamento de Dados
Google confirmou um vazamento de dados, mas afirmou ter contido o problema.
⚠️ Workday Revela Violação de CRM
Violação de dados de CRM da Workday, com sinais de venda generalizada de dados da Salesforce.
📧 PyPI Desverifica 1.800 E-mails
O PyPI desverificou 1.800 e-mails com domínios expirados para prevenir ataques de supply chain.
👨⚖️ Homem de Oregon Acusado de Operar Serviço DDoS
Ethan J. Foltz foi preso sob suspeita de operar o "Rapper Bot", uma botnet massiva usada para ataques DDoS, responsável por derrubar o Twitter/X em março de 2025.
🏥 Análise de Vazamentos no Setor de Saúde
💥 Impacto Significativo no Setor de Saúde dos EUA
63,5%
📈 Aumento de Incidentes
Crescimento em violações de dados no setor de saúde nos EUA em 2024-2025 em comparação com 2023
700+
🚨 Incidentes Reportados
Número de violações de dados no setor de saúde dos EUA entre 2024-2025
275M+
🔓 Registros Expostos
Total de registros de pacientes expostos em incidentes no setor de saúde dos EUA
Vulnerabilidades relacionadas a senhas são identificadas como o principal vetor de ataque no setor de saúde, destacando a necessidade de medidas de segurança mais robustas para proteção de dados sensíveis de pacientes.
🔒 Atualizações de Segurança e Vulnerabilidades
🩹 Microsoft Patch Tuesday
A Microsoft corrigiu 107 falhas, incluindo 12 críticas e uma zero-day (CVE-2025-53779, CVSS 7.2) no Windows Kerberos, e uma vulnerabilidade de alta gravidade (CVE-2025-53766, CVSS 9.8) no Windows GDI+.
🚨 Vazamento de Dados do Grupo Kimsuky
Dois hackers alegaram ter roubado e vazado publicamente 8.9GB do backend do grupo Kimsuky, expondo suas ferramentas e dados roubados, incluindo logs de phishing de contas de e-mail militares sul-coreanas.
👿 Sequestro de Dados em St. Paul
Cibercriminosos sequestraram 43 GB de dados dos sistemas da prefeitura de St. Paul, EUA, em um incidente de ransomware.
Além destas, o projeto Arch Linux foi alvo de um ataque de negação de serviço distribuído (DDoS) que durou uma semana, e a Operação Serengeti 2.0 da Interpol na África resultou na prisão de mais de 1.200 suspeitos de cibercrime.
⚠️ Vulnerabilidades em Produtos e Sistemas
🛡️ Vulnerabilidades em Produtos Cisco e Fortinet
MS-ISAC emitiu alertos sobre múltiplas vulnerabilidades em produtos Cisco e Fortinet que poderiam permitir a execução arbitrária de código.
🚨 Exploração de Vulnerabilidade Zero-Day no Citrix NetScaler
Uma vulnerabilidade zero-day crítica no Citrix NetScaler ADC e NetScaler Gateway está sendo ativamente explorada, permitindo a execução remota de código.
👾 Vulnerabilidade de Execução Remota de Código no Git
Uma falha de segurança no Git, que permite a gravação arbitrária de arquivos e execução remota de código, está sendo explorada.
🔑 Vulnerabilidade de Clickjacking em Gerenciadores de Senhas
Diversos gerenciadores de sensenhas populares são suscetíveis a ataques de clickjacking.
🕵️ Grupos de Ameaças Ativos
💀 Charon Ransomware
Este grupo de ransomware, com similaridades a operações ligadas à China (Earth Baxia), tem como alvo o setor público e a aviação no Oriente Médio. Utiliza táticas de APT, como DLL side-loading, injeção de processo, evasão de EDR, criptografia parcial, desativação de ferramentas de segurança via BYOVD, notas de resgate específicas para a vítima, propagação via compartilhamentos de rede e exclusão de backups.
💸 ShinyHunters
Este grupo é suspeito de estar por trás do vazamento de dados da Allianz Life (Salesforce), que expôs 2.8 milhões de registros, e também da Connex Credit Union, afetando 172.000 membros. Eles utilizam engenharia social para obter acesso não autorizado a sistemas.
🇰🇵 Kimsuky (Coreia do Norte)
Grupo de hackers patrocinado pelo estado norte-coreano, teve seu backend vazado por hackers éticos, expondo 8.9GB de dados, incluindo logs de phishing de contas de e-mail militares sul-coreanas e código-fonte da plataforma de e-mail do Ministério das Relações Exteriores da Coreia do Sul.
🕵️♀️ Outros Grupos de Ameaças e Campanhas
💻 UNC6395
Campanha de roubo de dados que visa instâncias do Salesforce através de tokens OAuth comprometidos do aplicativo Saleslift Drift.
☁️ MURKY PANDA
Identificada como uma ameaça de relacionamento confiável na nuvem.
🕷️ COOKIE SPIDER
Grupo associado ao malware SHAMOS, que foi efetivamente prevenido pela plataforma Falcon da CrowdStrike.
💰 Criminosos Financeiramente Motivados
Explorando táticas de engenharia social para roubo de dados.
🚀 Campanhas Ativas
🛠️ Atores de Ameaça Utilizando SDKs Maliciosos
Observou-se o uso indevido de SDKs para venda de largura de banda, indicando novas táticas de ataque.
🎣 Campanha de Phishing ZipLine
Uma campanha de phishing altamente sofisticada, com foco em empresas nos EUA.
🤖 Operadores do Rapper Bot
Ethan J. Foltz foi acusado de operar o "Rapper Bot", uma botnet massiva usada para ataques DDoS.
🛡️ Recomendações Importantes
🩹 Aplicação Urgente de Patches e Atualizações
Priorizar a aplicação de patches de segurança para vulnerabilidades críticas, especialmente as zero-day, em sistemas operacionais (Windows), softwares (Zoom, Microsoft Office) e plataformas (SAP NetWeaver, Citrix NetScaler, Git). Manter todos os sistemas e aplicativos atualizados é fundamental para mitigar riscos.
🔒 Fortalecimento da Autenticação e Gestão de Credenciais
Implementar autenticação multifator (MFA) e soluções de gestão de acesso privilegiado (PAM) para proteger contas e sistemas contra roubo de credenciais. Revisar e fortalecer políticas de senhas, e considerar o uso de biometria como um fator adicional de segurança.
💡 Conscientização e Treinamento Contínuo
Educar usuários e funcionários sobre táticas de engenharia social, phishing, clickjacking e outras ameaças cibernéticas. Treinamentos regulares podem ajudar a identificar e evitar ataques, especialmente aqueles que visam a coleta de credenciais.
👁️ Monitoramento Ativo e Detecção de Ameaças
Implementar e aprimorar soluções de monitoramento de rede e endpoint (EDR) para detectar atividades anômalas e indicadores de comprometimento (IoCs) em tempo real. Isso inclui monitorar o tráfego de rede, logs de sistemas e atividades de usuários.
✍🏼 Assine o RIC
Google Docs
Cadastre-se para receber o RIC semanal da minutocyber
Mantenha-se à frente das ameaças digitais com inteligência estratégica semanal. Tenha acesso exclusivo a uma coleção abrangente de relatórios semanais de cibersegurança que mapeiam o cenário de ameaças no Brasil, América Latina e cenário global. Cada edição oferece relatos cronológicos detalhados, identificados por códigos de versão e datas precisas, construídos a partir de mais de 90 fontes de pesquisa especializadas e confiáveis. O que você receberá: 📊 Análises aprofundadas de incidentes e vu
