Panorama da Segurança - Resumo dos acontecimentos da semana de 14/12/2025 a 20/12/2025

Podemos dizer que a semana foi intensa com campanhas sofisticadas de phishing e credenciais contra Microsoft 365 e VPNs, exploração ativa de zero-days em appliances de e-mail e firewalls, novas falhas críticas (inclusive em UEFI), operações de aplicação da lei contra infraestrutura criminosa, e múltiplos vazamentos e extorsões divulgados no dark web. Vamos ao breve panorama da semana:

Ataques e campanhas maliciosas

Phishing OAuth em Microsoft 365 (surto global): Ataques explorando o fluxo de “device code” do OAuth estão comprometendo contas M365 via engenharia social, e aprovação de dispositivos/consentimentos fora de banda. O método reduz a eficácia de MFA tradicional e demanda políticas de consentimento rigorosas e detecção de anomalias no Oauth

Password spraying contra VPNs corporativas: Campanha automatizada mira múltiplas plataformas, incluindo Cisco SSL VPN e Palo Alto GlobalProtect, tentando credenciais fracas ou reaproveitadas

Clop ransomware contra Gladinet CentreStack: Gangue explora servidores CentreStack expostos para roubo de dados e efetuar extorsão, priorizando exfiltração em vez de criptografia para maximizar pressão sobre vítimas

Atribuição estatal: Autoridades dinamarquesas atribuíram à Rússia ciberataques contra infraestrutura crítica de água

Ação policial contra phishing-as-a-service: Prisões na Nigéria desarticulam o grupo por trás do “Raccoon0365”, plataforma voltada a ataques direcionados contra Microsoft 365, reduzindo parte do ecossistema de commoditização do phishing corporativo

Operação contra lavagem de ransomware: Autoridades apreenderam a exchange cripto E-Note, acusada de facilitar lavagem de mais de US$ 70 milhões em pagamentos de ransomware, sinalizando maior pressão regulatória e policial sobre “mixers” e exchanges duvidosas

Vazamentos e roubos de dados

Universidade de Sydney (exposição de dados): Invasores acessaram um repositório de código online e furtaram arquivos com informações pessoais de funcionários e estudantes

European Vegetarian Union (EVU): alegada venda de base de dados; risco de doxing e fraudes dirigidas a membros

DIF Guadalajara (México): alegado vazamento com código-fonte, ampliando superfícies de ataque por exposição de segredos e lógica interna

Instituto de Biologia de Águas Interiores (Rússia): anúncio de acesso à rede; ameaça a pesquisa e dados científicos

Pentadiet (Itália): cerca de 137 mil usuários comprometidos

Allen Printing (EUA): TridentLocker confirma ataque de ransomware

Qilin: supostas intrusões envolvendo Club Atlético River Plate e outras organizações

The Gentlemen: ataque à Solumek (Colômbia), afetando setor de energia solar

RansomHouse: comprometimento da LawSoft (soluções para aplicação da lei), com sensibilidade extrema dos dados envolvidos

Grandes Vinos (Espanha) e Araneta Group (Filipinas): extorsões com possível impacto operacional e de cadeia de suprimentos

Vulnerabilidades exploradas e recém-descobertas

Cisco AsyncOS (Email Security Appliance) zero-day (exploit ativo): Appliances de e-mail foram comprometidos via falha ainda que não possuía patch de correção

FortiGate (CVE-2025-59718): bypass de autenticação e ataques em curso. Ataques ativos exploram falha crítica de bypass em firewalls FortiGate, além disso, mais de 25 mil dispositivos com FortiCloud SSO aparecem expostos e suscetíveis a abusos remoto

WatchGuard Firebox: Vulnerabilidade de execução remota já em exploração contra Firebox

UEFI (ASUS, Gigabyte, MSI, ASRock): ataque DMA pré-boot. Implementações vulneráveis permitem ataques DMA que burlam proteções de memória no early boot, viabilizando persistência e subversão do OS

SonicWall zero-day (CVE-2025-40602): Falha explorada foi posteriormente corrigida

Motors (WordPress theme): Falha crítica em tema com >20 mil instalações permite que usuários de baixo privilégio assumam controle do site

JumpCloud Windows Agent: Falha permite privilégio local elevado