minutocyber | RIC 22~28/10/2025

📊 Relatório de Incidentes Cibernéticos
📄 relatório completo
🚨 alertas em tempo real
🚨 v023/2025 ✅ Principais incidentes e ameaças cibernéticas da semana de 22 a 28 de outubro de 2025. Análises sobre ataques, vulnerabilidades e recomendações para proteger sua organização no cenário digital brasileiro e global.
📝 Sumário Executivo e Destaques da Semana
A semana foi marcada pelo ciberataque à Jaguar Land Rover (JLR), o mais caro da história do Reino Unido, com perdas estimadas em £1,9 bilhão e paralisação da produção. No Brasil, destacam-se ataques de ransomware à Bestlog Logistic Solutions pelo grupo NightSpire, o roubo de 546 GB de dados da ONG Gerar, e um megavazamento de 183 milhões de credenciais de e-mail e senha. Globalmente, falhas críticas no Motex LANSCOPE Endpoint Manager (CVE-2025-61932) e no Windows Server Update Services (CVE-2025-59287) exigiram atenção imediata.
💥 Jaguar Land Rover: O Ataque Mais Caro da História do Reino Unido
Um ciberataque paralisou a produção por quase dois meses, custando £1,9 bilhão e sendo classificado como um evento macroeconômico de grande impacto.
🚨 Atividade Intensa de Ransomware no Brasil
O grupo NightSpire atacou a Bestlog, a ONG Gerar sofreu uma violação massiva de dados (546 GB), e o Lampion Stealer continuou ativo com novas técnicas.
🔓 Megavazamento de 183 Milhões de Credenciais
Um enorme conjunto de dados de e-mail e senha foi exposto, afetando milhões de usuários, inclusive no Brasil.
🎯 NoName057(16) Lidera Ataques Hacktivistas
O grupo pró-Rússia foi o mais ativo da semana, com 43 ataques DDoS contra infraestruturas nos EUA e na Europa.
⚠️ Vulnerabilidades Críticas em Exploração Ativa
Falhas críticas no Motex LANSCOPE (CVE-2025-61932) e no WSUS (CVE-2025-59287) representaram riscos significativos para ambientes corporativos.
💔 Ataque de Alto Impacto Social
O grupo Radiant Ransomware atacou uma rede de creches no Reino Unido, roubando dados pessoais de mais de 8.000 crianças.
📈 Aumento de Ataques de Ransomware
Estatísticas indicam que os ataques de ransomware estão aumentando pela primeira vez em três anos, com um aumento de 126% no volume global nos primeiros meses de 2025.
🌴 Incidentes Críticos no Brasil
📊 Estatísticas de Ransomware no Brasil
Um relatório da ESET divulgado na semana trouxe dados alarmantes sobre o impacto do ransomware no país. Segundo o ESET Security Report 2025, 29% das empresas brasileiras sofreram pelo menos um ataque de ransomware no último ano. O relatório também destacou que o volume global de ataques de ransomware cresceu 126% nos primeiros meses de 2025 em comparação com o ano anterior, confirmando que o "ransomware como negócio" é uma indústria em plena expansão e uma ameaça primária para as organizações brasileiras.
🎯 Ataque de Ransomware do Grupo NightSpire à Bestlog
Em 29 de outubro, o grupo de ransomware NightSpire reivindicou a responsabilidade por um ciberataque contra a Bestlog Logistic Solutions, uma empresa líder em logística no Brasil. Os criminosos ameaçaram publicar um vazamento completo de dados sensíveis caso a empresa não entrasse em contato para negociar o resgate. Este incidente destaca a crescente tendência de ataques de ransomware contra setores de infraestrutura crítica, como logística, que podem causar interrupções significativas na cadeia de suprimentos.
🚨 Violação Massiva de Dados da ONG Gerar
Na semana de 27 de outubro, foi reportado que a organização sem fins lucrativos brasileira Gerar sofreu uma violação de dados massiva. Os atacantes alegaram ter roubado aproximadamente 546 GB de dados sensíveis. O incidente expõe a vulnerabilidade de organizações de todos os portes e setores, incluindo ONGs que podem deter informações pessoais de populações vulneráveis.
✉️ Megavazamento de 183 Milhões de Credenciais
Um alerta emitido pelo renomado especialista em segurança Troy Hunt, entre 25 e 28 de outubro, revelou um megavazamento de 183 milhões de endereços de e-mail e senhas. Embora os dados não tenham sido vazados diretamente de grandes provedores, eles foram agregados de múltiplas fontes, provavelmente através de malwares do tipo infostealer. O vazamento inclui um número significativo de contas do Gmail e representa um risco substancial para usuários brasileiros, que podem ter suas credenciais reutilizadas em outros serviços.
🎣 Atividade Contínua do Lampion Stealer
Grupos cibercriminosos brasileiros continuam a refinar suas táticas. Foi reportado em 30 de outubro que o grupo por trás do Lampion Stealer, um malware de longa data focado no roubo de credenciais bancárias, incorporou técnicas inovadoras de engenharia social, como o "ClickFix Attack", para enganar suas vítimas. A persistência e evolução de malwares locais como o Lampion demonstram a maturidade do cenário de ameaças nacional.
🌎 Incidentes na América Latina
Embora os incidentes de maior destaque tenham se concentrado em outras regiões, a América Latina continua sendo um campo fértil para o cibercrime, com estatísticas que apontam para uma alta prevalência de ataques e uma crescente necessidade de fortalecimento das defesas cibernéticas.
⚠️ Prevalência de Ataques e Percepção de Risco
Relatórios recentes indicam que a percepção de risco na região ainda não acompanha a realidade das ameaças. Embora o número de ataques continue a crescer, muitas empresas ainda não implementaram medidas de segurança básicas. O relatório da ESET, por exemplo, que apontou que 29% das empresas brasileiras sofreram ataques de ransomware, reflete uma tendência regional de alta exposição a este tipo de ameaça.
💰 Foco em Malwares Bancários e Fraudes Financeiras
A região, e em particular o Brasil, continua a ser um epicentro para o desenvolvimento e a disseminação de malwares bancários sofisticados. A atividade do Lampion Stealer é um exemplo de uma ameaça persistente que evolui constantemente para contornar as defesas. A popularidade de sistemas de pagamento instantâneo, como o Pix no Brasil, também cria novas oportunidades para fraudes e ataques direcionados.
🤝 Necessidade de Cooperação e Fortalecimento Institucional
A assinatura da Convenção da ONU contra o Cibercrime por 72 nações, incluindo vários países da América Latina, representa um passo importante para a harmonização das leis e o fortalecimento da cooperação internacional no combate ao cibercrime. A implementação efetiva desta convenção será crucial para que a região possa responder de forma mais eficaz às ameaças transnacionais.
🌎 Incidentes Globais Relevantes
A semana foi dominada por um incidente de proporções macroeconômicas que afetou a indústria automotiva britânica, além de ataques de alto impacto social e a contínua atividade de grupos hacktivistas.
💰 Jaguar Land Rover: O Ciberataque Mais Caro da História do Reino Unido
O ciberataque contra a Jaguar Land Rover (JLR), cujos detalhes foram consolidados na semana, foi classificado como o mais economicamente danoso da história do Reino Unido. O incidente, que começou no final de agosto e forçou um desligamento completo dos sistemas de TI em 1º de setembro, resultou em uma paralisação da produção global que se estendeu por quase dois meses.
🕵️‍♂️ Grupo Responsável: O ataque foi atribuído ao grupo Scattered Lapsus$ Hunters, uma colaboração que inclui o notório coletivo Scattered Spider.
🔗 Impacto na Cadeia de Suprimentos: O ataque afetou não apenas os 33.000 funcionários da JLR, mas também os 104.000 trabalhadores em sua vasta cadeia de suprimentos, com empresas enfrentando até seis meses de dificuldades de crédito.
£1.9B
💸 Custo Estimado
US$ 2,5 bilhões, classificado como um evento macroeconômico de "Categoria 3"
70
📉 Anos de Recorde
A produção de carros da JLR em setembro atingiu o nível mais baixo em 70 anos
80%
📉 Queda nas Vendas
As vendas para a União Europeia caíram quase 80% em setembro comparado ao ano anterior
104K
🧑‍🏭 Trabalhadores Afetados
Além dos 33.000 funcionários da JLR, 104.000 trabalhadores na cadeia de suprimentos foram impactados
👶 Ataque de Ransomware à Rede de Creches Kido
Em um ataque de alto impacto social, o grupo de ransomware Radiant hackeou a rede de creches Kido Nursery Chain no Reino Unido. Os criminosos alegaram ter roubado dados pessoais de mais de 8.000 crianças, incluindo nomes e fotos. O incidente destaca a crueldade e a falta de escrúpulos dos grupos de ransomware, que não hesitam em usar os dados de crianças como forma de extorsão.
🏢 Violação de Dados da Toys "R" Us Canada
Em 27 de outubro, foi revelado que a Toys "R" Us Canada sofreu uma violação de dados que resultou no vazamento de registros de clientes na dark web. O número de clientes afetados não foi divulgado, mas o incidente se soma a uma longa lista de varejistas que foram alvo de ataques em 2025.
🏢 Conduent Business Services: Violação de 10 Milhões de Registros
Foi divulgado um alerta sobre uma violação de dados na Conduent Business Services, que comprometeu mais de 10 milhões de registros. O acesso não autorizado à rede da empresa ocorreu entre outubro de 2024 e janeiro de 2025, mas a notificação pública só ocorreu agora, destacando os longos períodos de tempo que podem decorrer entre uma violação e sua descoberta e divulgação.
💸 Golpes
Os golpes da semana continuaram a explorar tanto a tecnologia quanto a psicologia humana, com um foco particular em fraudes de criptomoedas e o abuso de informações pessoais vazadas em massa.
🏧 Golpes de Criptomoedas via ATMs em Washington D.C.
Uma nova modalidade de golpe foi reportada em Washington D.C., onde criminosos estão usando ATMs de criptomoedas para enganar suas vítimas. Segundo o promotor da cidade, os golpistas convencem as pessoas de que suas contas bancárias estão em risco e que a única maneira de "proteger" seu dinheiro é sacá-lo e depositá-lo em uma carteira de criptomoedas através de um ATM específico. Uma vítima relatou ter perdido milhares de dólares nesse esquema, que explora o medo e a falta de familiaridade com a tecnologia de criptoativos.
🔓 Megavazamento de Credenciais como Combustível para Golpes
O vazamento de 183 milhões de credenciais de e-mail e senha representa um enorme risco para os usuários, pois esses dados servem como matéria-prima para uma infinidade de golpes. Com essas informações, os criminosos podem realizar:
🔑 Ataques de credential stuffing: Tentar usar as senhas vazadas em múltiplos serviços online para obter acesso a outras contas.
🎯 Campanhas de phishing direcionado (spear phishing): Usar os endereços de e-mail para enviar mensagens de phishing altamente personalizadas e convincentes.
💳 Roubo de identidade e fraudes financeiras: Utilizar as informações para abrir contas fraudulentas ou tentar acessar contas bancárias.
⚠️ Fraudes em Geral
Relatórios da semana, como o da polícia de Mountlake Terrace (EUA), continuam a mostrar a fraude como um dos crimes mais comuns reportados pelos cidadãos, abrangendo desde fraudes online até disputas domésticas que escalam para outros crimes. Isso reforça que a engenharia social e a exploração da confiança continuam sendo ferramentas eficazes para os criminosos em todos os níveis.
💥 Grupos de Ameaças Ativos e Atividades Relevantes
A semana foi marcada pela intensa atividade de grupos hacktivistas, a contínua pressão de coletivos de ransomware e a revelação de novos atores no cenário de ameaças.
🚀 NoName057(16): O Ator de Ameaça Mais Ativo da Semana
O grupo hacktivista pró-Rússia NoName057(16) foi o ator de ameaça mais ativo da semana, reivindicando a responsabilidade por 43 ciberataques. O grupo continuou sua campanha de ataques de negação de serviço distribuído (DDoS) contra alvos em países que se opõem à Rússia, com os Estados Unidos sendo o país mais afetado. Apesar de uma operação policial internacional em julho ter tentado desmantelar sua infraestrutura, o grupo demonstrou resiliência e continua a ser uma ameaça persistente, especialmente para setores de infraestrutura crítica na Europa e na América do Norte.
🕵️‍♂️🚗 Scattered Lapsus$ Hunters: O Grupo por Trás do Ataque à JLR
O ataque devastador à Jaguar Land Rover foi atribuído ao Scattered Lapsus$ Hunters, uma aparente colaboração de três coletivos que inclui o notório Scattered Spider. Este grupo é conhecido por suas táticas agressivas e seu foco em grandes corporações. A ligação do Scattered Spider com ataques anteriores a varejistas britânicos como Co-op e Marks and Spencer sugere um padrão de ataques de alto impacto contra a economia do Reino Unido.
📈 Qilin Ransomware: Escalada Rápida
Embora não tenha sido o grupo mais ativo da semana, um relatório destacou a rápida escalada do Qilin ransomware em 2025, com 700 ataques registrados ao longo do ano. O grupo tem como alvo setores críticos e sua atividade aumentou em meio ao recente desmantelamento do RansomHub, sugerindo uma possível migração de afiliados ou uma tentativa de preencher o vácuo de poder.
🌃 NightSpire
Este grupo de ransomware demonstrou seu interesse no mercado brasileiro ao atacar a empresa de logística Bestlog. Sua tática de dupla extorsão (roubo de dados seguido de ameaça de vazamento) é padrão no cenário atual de ransomware.
👧 Radiant
O ataque deste grupo à rede de creches Kido no Reino Unido mostra uma disposição para atacar alvos de alto impacto social, usando a sensibilidade dos dados de crianças como uma alavanca para a extorsão.
🆕 Hezi Rash
Um novo grupo hacktivista nacionalista curdo, com capacidades técnicas crescentes, foi identificado pela Check Point Research.
⚔️ Predatory Sparrow
Acreditado ter ligações com Israel, este grupo esteve envolvido em ataques contra alvos iranianos, como o Bank Sepah, como parte da contínua guerra cibernética entre as duas nações.
📊 Métricas e Estatísticas
Os dados da semana e relatórios recentes confirmam uma tendência de aumento na frequência e no impacto dos ciberataques, especialmente de ransomware, e um crescimento alarmante no volume de dados pessoais expostos.
⚠️ Atividade de Ciberataques
247
📊 Ciberataques Registrados
Em 42 países ao redor do mundo, o país mais afetado foi os Estados Unidos.
43
🎯 Ataques do NoName057(16)
O grupo hacktivista pró-Rússia foi o ator de ameaça mais ativo
🔒 Estatísticas de Ransomware
🔒 Estatísticas de Cibercrime na Índia (Cyberabad)
⚠️ 10 casos de cibercrime foram detectados na semana de 22 a 28 de outubro na região de Cyberabad.
🚨 20 pessoas foram presas em conexão com esses crimes.
🔒 Estatísticas de Violações de Dados
🚨 Top Vulnerabilidades, IoCs e Alertas Ativos
⚠️ A semana foi marcada pela divulgação de vulnerabilidades críticas em softwares amplamente utilizados em ambientes corporativos, com destaque para falhas que permitem execução remota de código e que já estão sendo exploradas ativamente.
💥 CVE-2025-59287: RCE Crítico no Windows Server Update Services (WSUS)
🔥 Severidade: Crítica
💻 Tipo: Execução Remota de Código (RCE) Não Autenticada
📦 Produto: Microsoft Windows Server Update Services (WSUS)
🚨 Descrição: Uma falha crítica no WSUS, um componente fundamental para o gerenciamento de patches em redes Windows, permite que um atacante execute código remotamente sem precisar de autenticação. A ampla utilização do WSUS torna esta vulnerabilidade extremamente perigosa, pois um single exploit bem-sucedido pode comprometer toda a infraestrutura de atualização de uma organização.
📰 Alerta: Divulgado pela Bitdefender em 28 de outubro.
🚨 CVE-2025-61932: Exploração Ativa no Motex LANSCOPE Endpoint Manager
🔥 Severidade: Crítica (CVSS 9.3)
⚠️ Status: Explorada Ativamente na Natureza
🛡️ Produto: Motex LANSCOPE Endpoint Manager
📢 Descrição: A CISA emitiu um alerta sobre a exploração ativa desta vulnerabilidade, que permite a execução remota de código através de credenciais fracas. 💀 Atores de ameaças já estão explorando essa falha para comprometer redes.
🛡️ CVE-2025-12036: Falha de Alta Severidade no Google Chrome
⬆️ Severidade: Alta
🌐 Produto: Google Chrome (Motor JavaScript V8)
🐛 Descrição: Uma falha no motor V8 do Chrome poderia ser explorada para executar código arbitrário simplesmente ao visitar uma página web maliciosa. 🛠️ O Google já lançou uma atualização de segurança para corrigir o problema.
🚩 Indicadores de Comprometimento (IoCs)
👻 NoName057(16): O principal indicador é um volume anormal de tráfego de negação de serviço (DDoS) originado de botnets, visando principalmente sites governamentais, de transporte e financeiros em países da OTAN.
🕷️ Scattered Lapsus$ Hunters / Scattered Spider: Foco em ataques de engenharia social contra funcionários de TI e help desk, uso de técnicas de SIM swapping para contornar MFA e movimentação lateral rápida para exfiltrar dados e implantar ransomware.
💫 Lampion Stealer: Distribuição através de e-mails de phishing com anexos maliciosos (geralmente arquivos .zip ou .msi) que se passam por notas fiscais, boletos ou outras iscas relevantes para o público brasileiro.
🕵️ Exploração de Zero-Day do Chrome Ligada a Spyware Comercial
🚨 Foi revelado que a exploração do primeiro zero-day do Chrome de 2025 está ligada a ferramentas usadas em ataques envolvendo o spyware Dante, da empresa italiana Hacking Team. Isso reforça a tendência preocupante de que ferramentas de vigilância desenvolvidas comercialmente estão sendo usadas em ataques direcionados, borrando a linha entre espionagem governamental e cibercrime.
✅ Recomendações Importantes
Com base nas ameaças e tendências observadas, as seguintes recomendações são cruciais para fortalecer a postura de segurança das organizações e mitigar os riscos de incidentes cibernéticos.
🛡️ Fortalecer a Gestão de Vulnerabilidades em Componentes Críticos
🩹 Priorizar Patches para Sistemas de Gerenciamento: A vulnerabilidade crítica no Windows Server Update Services (WSUS) (CVE-2025-59287) é um lembrete de que os próprios sistemas usados para aplicar patches são alvos de alto valor. A aplicação de correções para o WSUS e outros sistemas de gerenciamento deve ser tratada com a máxima urgência.
🔍 Inventário e Monitoramento de Endpoints: A exploração ativa da falha no Motex LANSCOPE Endpoint Manager (CVE-2025-61932) reforça a necessidade de um inventário completo de todos os softwares de endpoint e a aplicação imediata de patches para vulnerabilidades conhecidas e exploradas.
🌐 Atualização Contínua de Navegadores: A falha no motor V8 do Google Chrome (CVE-2025-12036) deve levar as organizações a aplicarem políticas de atualização automática e compulsória para todos os navegadores corporativos, minimizando a janela de exposição a ataques baseados na web.
🔗 Defesa Contra Ataques à Cadeia de Suprimentos e Impactos Sistêmicos
💪 Resiliência Operacional: O caso da Jaguar Land Rover demonstra que a continuidade dos negócios depende da resiliência cibernética. As organizações, especialmente no setor de manufatura, devem realizar análises de impacto de negócios (BIA) que considerem cenários de paralisação completa da produção devido a ciberataques e desenvolver planos de resposta robustos.
🤝 Due Diligence da Cadeia de Suprimentos: É crucial estender a avaliação de riscos de segurança para toda a cadeia de suprimentos. Avalie a postura de segurança de seus fornecedores críticos e exija a conformidade com padrões de segurança rigorosos.
🚨 Combate ao Ransomware e à Extorsão de Dados
🔐 Proteção de Dados Sensíveis: O ataque à rede de creches Kido e à ONG Gerar no Brasil mostra que nenhum setor está imune e que os dados mais sensíveis podem ser alvo. As organizações devem classificar seus dados e aplicar controles de acesso e criptografia rigorosos para proteger informações pessoais, especialmente de populações vulneráveis.
🕵️‍♂️ Monitoramento da Dark Web: O vazamento de 183 milhões de credenciais e os ataques à Toys "R" Us Canada e Conduent mostram que a dark web é um mercado ativo para dados roubados. As organizações devem investir em serviços de monitoramento da dark web para identificar proativamente se as credenciais de seus funcionários ou dados de clientes estão sendo comercializados.
💥 Mitigação de Ameaças Hacktivistas e de DDoS
🛡️ Serviços de Proteção Anti-DDoS: A atividade persistente do grupo NoName057(16) reforça a necessidade de serviços de proteção contra ataques de negação de serviço distribuído (DDoS), especialmente para organizações em setores politicamente sensíveis ou que operam em países visados por esses grupos.
🧠 Inteligência sobre Atores de Ameaça: Monitore a atividade de grupos hacktivistas para antecipar possíveis alvos e táticas. A inteligência de ameaças pode fornecer alertas antecipados sobre campanhas planejadas.
✍🏼 Assine o RIC
⚠️ Ao assinar o RIC, você também receberá o minutonews, um digest tecnológico semanal. Documentação cuidadosamente elaborada através de mais de 50 fontes de pesquisas.
WhatsApp.com
minutocyber 🔐 RIC 📊
Faça parte da Comunidade e dos Grupos no WhatsApp da minutocyber.
Google Docs
Cadastre-se para receber o RIC semanal da minutocyber
Mantenha-se à frente das ameaças digitais com inteligência estratégica semanal. Tenha acesso exclusivo a uma coleção abrangente de relatórios semanais de cibersegurança que mapeiam o cenário de ameaças no Brasil, América Latina e cenário global. Cada edição oferece relatos cronológicos detalhados, identificados por códigos de versão e datas precisas, construídos a partir de mais de 90 fontes de pesquisa especializadas e confiáveis. O que você receberá: 📊 Análises aprofundadas de incidentes e vu
minutocyber © 2025 por Julio Signorini está licenciado sob CC BY-NC-SA 4.0