Os ataques cibernéticos contra aplicativos públicos estão aumentando. Relatório da Cisco – Against Invaders – Notícias de CyberSecurity para humanos.

Os ataques cibernéticos contra aplicativos públicos estão aumentando. Relatório da Cisco – Against Invaders – Notícias de CyberSecurity para humanos.

Os ataques cibernéticos contra aplicativos públicos estão aumentando. Relatório da Cisco - Against Invaders - Notícias de CyberSecurity para humanos.

Redazione RHC:6 novembro 2025 11:22

Milão, 4 de novembro de 2025 – Os ataques cibernéticos que exploram aplicativos acessíveis ao público, como sites ou portais corporativos, para obter acesso a sistemas organizacionais estão aumentando, e phishing ataques realizados por meio de contas corporativas comprometidas também são em ascensão . Ransomware ataques, no entanto , estão em declínio , embora tenham sido detetadas novas variantes perigosas deste tipo de ameaça.

Estes são os dados mais significativos que emergiram do Relatório do Cisco Talos – relativas aos trimestres de julho, agosto e setembro de 2025.

Sobre ataques cibernéticos que exploram aplicativos acessíveis ao público , este método foi utilizado em mais de seis em cada dez incidentes gerenciados pela equipe de resposta a incidentes, acima dos 10% do trimestre anterior . Este aumento acentuado está ligado, em particular, a uma série de ataques contra servidores Microsoft SharePoint instalados localmente, que exploraram falhas de segurança divulgadas em julho.

Ataques de ransomware contabilizado aproximadamente 20% dos incidentes, abaixo dos 50% no trimestre anterior. Apesar do declínio, O ransomware continua sendo uma das ameaças mais difundidas e persistentes para as empresas . Pela primeira vez, a equipe do Cisco Talos abordou novas variantes, como Warlock, Babuk e Kraken, além de famílias estabelecidas, como Qilin e LockBit.

Em um caso, os especialistas atribuíram um ataque com “certeza moderada” a um grupo cibercriminoso ligado à China conhecido como Storm-2603. Um elemento incomum desse ataque foi o uso do Velociraptor, um software de código aberto normalmente usado para análise forense digital, explorado aqui para manter o acesso a sistemas comprometidos – um comportamento nunca antes observado nesse tipo de ataque. Finalmente um aumento na ataques envolvendo o ransomware Qilin tem sido observado, um sinal de que esse grupo está intensificando sua atividade.

Ataques cibernéticos: impacto crescente da cadeia ToolShell e novas vulnerabilidades do SharePoint

Os ataques relacionados ao ToolShell confirmam a importância de as empresas segmentarem adequadamente suas redes e instalarem prontamente atualizações de segurança. No último trimestre, mais de 60% dos incidentes analisados pelo Cisco Talos se originaram de aplicativos acessíveis ao público , como sites ou portais corporativos. Quase quatro em cada dez casos envolveram a atividade do ToolShell, uma técnica que contribuiu significativamente para o crescimento desse tipo de ataque.

A partir de meados de julho de 2025, os cibercriminosos começaram a explorar duas novas vulnerabilidades em servidores locais do Microsoft SharePoint ( identificado como CVE-2025-53770 e CVE-2025-53771 ). Essas falhas, vinculadas a outras já corrigidas pela Microsoft no início de julho, permitem que os invasores executem código remotamente sem exigir credenciais de login válidas.

Phishing de contas comprometidas: uma ameaça em evolução

Como mencionado, os ataques de phishing lançados a partir de Contas corporativas comprometidas continuam a representar uma ameaça real . Os cibercriminosos aproveitam e-mails internos comprometidos para espalhar o ataque dentro da organização ou para parceiros externos.

Os especialistas da Talos observaram que a cadeia ToolShell estava sendo explorada antes mesmo de Aviso oficial da Microsoft , com a maioria dos ataques ocorrendo nos dez dias seguintes. Essa técnica foi encontrada em aproximadamente um terço dos incidentes no trimestre, um aumento em relação ao período anterior. Em muitos casos, foi combinado com phishing: em um dos ataques monitorados, uma conta comprometida do Microsoft 365 foi usada para enviar quase 3.000 e-mails fraudulentos .

Ransomware: Apesar do declínio, a ameaça permanece constante

O ransomware, por outro lado, está diminuindo. No trimestre recém-encerrado, os ataques de ransomware representaram aproximadamente 20% dos incidentes tratados pelo Cisco Talos abaixo a partir de 50% no período anterior. Pela primeira vez, no entanto, a equipe de Resposta a Incidentes do Talos abordou novas variantes, como Warlock, Babuk e Kraken, além de famílias estabelecidas, como Qilin e LockBit.

Velociraptor: uma ferramenta legítima usada em um ataque de ransomware

O Cisco Talos lidou com um ataque de ransomware aatribuído com certeza moderada ao grupo Storm-2603 baseado na China. O ataque afetou severamente a infraestrutura de TI de uma empresa de telecomunicações, incluindo sistemas operacionais críticos. Durante a investigação, os especialistas da Talos descobriram que os cibercriminosos haviam instalado uma versão desatualizada do Velociraptor , uma ferramenta de código aberto comumente usada para análise forense digital e resposta a incidentes, em cinco servidores comprometidos.

O Velociraptor foi usado para manter o acesso aos sistemas mesmo depois que alguns hosts foram isolados – um comportamento nunca antes observado em um ataque de ransomware. A versão usada tinha uma vulnerabilidade de segurança que permitia que os invasores controlassem remotamente os sistemas infectados. Este caso confirma uma tendência já destacada pelo Cisco Talos: Os cibercriminosos estão usando cada vez mais ferramentas legítimas , tanto comercial quanto de código aberto, para tornar os ataques mais eficazes e difíceis de detectar.

A atividade do grupo de ransomware Qilin cresce

O Grupo Qilin , que surgiu pela primeira vez no trimestre anterior, vem intensificando suas operações, como evidenciado pelo crescente número de vazamentos de dados publicados online desde fevereiro de 2025. Os ataques Qilin seguem um padrão bem estabelecido: login inicial com credenciais roubadas, uso de um criptógrafo personalizado para cada vítima e implantação da ferramenta CyberDuck para roubar e transferir dados. A crescente atividade do grupo indica que Qilin continuará sendo uma das principais ameaças de ransomware pelo menos até o final de 2025 .

Administração Pública na mira

Pela primeira vez desde 2021, administração pública foi o setor mais afetado . As entidades públicas são alvos atraentes porque muitas vezes têm orçamentos limitados e usam sistemas de defesa desatualizados. Neste trimestre, os ataques visaram principalmente as autoridades locais, que também operam escolas e unidades de saúde e lidam com dados confidenciais e, portanto, não podem arcar com longos períodos de inatividade. Essas características os tornam atraentes para cibercriminosos com fins lucrativos e motivados por espionagem.

Acesso inicial: aplicativos e phishing entre os principais vetores

Durante o trimestre em análise, o método mais comum de obter acesso inicial aos sistemas corporativos foi por meio do Exploração de aplicações baseadas na Internet , muitas vezes vinculado à atividade do ToolShell. Outros métodos observados incluíram phishing , a utilização de credenciais válidas comprometidas e ataques via Sites maliciosos .

Recomendações do Cisco Talos

No último trimestre, quase um terço dos incidentes envolveu abuso de autenticação multifator (MFA), como fadiga de MFA – solicitações repetidas para induzir erro – ou desvios de controle. Para combater esses ataques, a Talos recomenda habilitando sistemas de detecção de anomalias , como logins de locais incompatíveis e fortalecimento das políticas de MFA. Outra questão crítica que surgiu diz respeito ao registro em log: em muitos casos, a falta de logs completos dificultou as investigações, com problemas frequentes, como logs sendo excluídos, desativados ou retidos por um período muito curto. Cisco Talos Recomenda usando soluções de gerenciamento de eventos e informações de segurança (SIEM) para centralizar e proteger os logs, para que os rastreamentos permaneçam mesmo no caso de comprometimento do sistema. Finalmente, aproximadamente 15% dos ataques exploraram sistemas não corrigidos , incluindo servidores do SharePoint que permaneceram vulneráveis semanas após o lançamento dos patches. Para reduzir as vulnerabilidades e evitar que os invasores se movam lateralmente, é essencial para aplicar atualizações prontamente .

Redação
A equipe editorial da Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias antecipadas sobre segurança cibernética e computação em geral.

Lista degli articoli

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.