Skip to main content
HashnodeConeds NewsConeds News

Command Palette

Search for a command to run...

Ataques no Brasil: Ransomware KillSec, Phishing VoidProxy e o Novo HybridPetya

Published
14 min read
M
Matheus Banhos

Ataques no Brasil: Ransomware KillSec, Phishing VoidProxy e o Novo HybridPetya

Meta descrição: Análise crítica dos recentes ataques KillSec no Brasil, VoidProxy Phishing e Ransomware HybridPetya, com foco no impacto local e recomendações da Coneds.

O cenário da cibersegurança global nunca esteve tão dinâmico e, para os profissionais de TI, CISOs, analistas de segurança e gestores no Brasil, a adaptação não é apenas uma estratégia, mas uma necessidade premente. Nas últimas 72 horas, fomos confrontados com uma série de incidentes que sublinham a persistência e a evolução das ameaças cibernéticas. Desde ataques direcionados à nossa infraestrutura de saúde, passando por sofisticadas operações de Phishing-as-a-Service (PhaaS) que minam a confiança digital, até novas variantes de ransomware capazes de evadir defesas antes robustas, o alerta é máximo. A data de hoje, 16 de setembro de 2025, serve como um lembrete contundente de que a vigilância e a proatividade são os pilares da resiliência cibernética. Este artigo visa dissecar esses incidentes, analisar seu impacto potencial no mercado brasileiro e, mais importante, oferecer diretrizes práticas para fortalecer suas defesas em um ambiente de ameaças cada vez mais complexas e direcionadas. Prepare-se para aprofundar seu conhecimento e proteger sua organização.

⚡ Resumo Executivo

  • Ransomware KillSec no Brasil: Provedor de software de saúde brasileiro MedicSolution sofreu ataque em 8 de setembro de 2025, com exfiltração de 34GB de dados de pacientes de S3 buckets mal configurados.
  • VoidProxy Phishing Service: Nova e sofisticada operação de Phishing-as-a-Service (PhaaS) identificada em 12 de setembro de 2025, capaz de roubar credenciais, códigos MFA e tokens de sessão via técnicas adversary-in-the-middle.
  • HybridPetya Ransomware: Descoberto em 15 de setembro de 2025, esta nova variante de ransomware consegue bypassar o Secure Boot, indicando uma evolução perigosa nas técnicas de persistência e evasão.
  • Ataques à cadeia de suprimentos: A crescente tendência de cibercriminosos explorarem vulnerabilidades em terceiros para atingir múltiplos alvos, como visto no caso da MedicSolution.

Ransomware KillSec e a Exposição de Dados na Saúde Brasileira

Em 15 de setembro de 2025, a comunidade de cibersegurança foi alertada para um grave incidente que afetou o setor de saúde brasileiro. O grupo de ransomware KillSec reivindicou a autoria de um ataque contra a MedicSolution, uma provedora de software crucial para hospitais e clínicas em todo o país. O incidente, ocorrido em 8 de setembro de 2025, resultou na exfiltração de mais de 34GB de dados sensíveis de pacientes, incluindo resultados de exames, raios-X, imagens de pacientes não editadas e registros de menores.

A análise inicial da Resecurity revelou que a causa raiz do ataque foi a exfiltração de dados de AWS S3 buckets mal configurados. Essa vulnerabilidade, embora não seja uma falha de software com um CVE específico, representa uma falha crítica na gestão da postura de segurança em nuvem. A má configuração de buckets S3 é um vetor de ataque conhecido e amplamente explorado por cibercriminosos devido à riqueza de dados frequentemente armazenados neles e à facilidade com que podem ser tornados publicamente acessíveis por engano.

O grupo KillSec, conhecido por sua origem como um conglomerado hacktivista que evoluiu para o cibercrime, tem demonstrado uma crescente preferência por explorações de recursos em nuvem expostos, com um aumento notável de ataques direcionados ao Brasil. Gene Yoo, CEO da Resecurity, apontou que a intensidade da digitalização e as grandes mudanças econômicas no país tornam o Brasil um alvo atraente para esses criminosos. A exploração de falhas em provedores de software, como a MedicSolution, permite que os atacantes comprometam múltiplos alvos de forma eficiente, maximizando o lucro através do roubo de dados em larga escala e demandas de resgate.

O impacto desse incidente vai além da MedicSolution, colocando em risco uma vasta rede de organizações de saúde que utilizam seus serviços em nuvem. Pacientes cujas informações médicas privadas foram hospedadas pela MedicSolution estão agora expostos a riscos de roubo de identidade, fraude financeira e fraude médica. A preocupação é amplificada pelo fato de que muitos pacientes afetados não tinham conhecimento da violação de seus dados, destacando uma lacuna crítica na comunicação de incidentes. Este caso reforça a urgência de as organizações implementarem monitoramento contínuo de ameaças cibernéticas e monitoramento de risco digital, especialmente para detectar ameaças provenientes de terceiros e suas respectivas cadeias de suprimentos.

VoidProxy: A Nova Geração de Phishing-as-a-Service

Nos dias 12 e 15 de setembro de 2025, relatórios de segurança cibernética trouxeram à luz uma nova e perigosa operação de Phishing-as-a-Service (PhaaS) conhecida como VoidProxy. Este serviço emergente utiliza técnicas avançadas de adversary-in-the-middle (AiTM) para orquestrar campanhas de phishing altamente eficazes, visando roubar credenciais, códigos de autenticação multifator (MFA) e tokens de sessão de usuários de plataformas amplamente utilizadas como Microsoft 365 e Google.

O modelo PhaaS como o VoidProxy democratiza o acesso a ferramentas de ataque sofisticadas, permitindo que mesmo criminosos com pouca experiência técnica lancem campanhas em larga escala. A técnica AiTM é particularmente insidiosa porque, ao contrário dos ataques de phishing tradicionais que simplesmente tentam capturar credenciais estáticas, os ataques AiTM atuam como um proxy entre a vítima e o serviço legítimo. Isso permite que os atacantes interceptem e retransmitam comunicações em tempo real, contornando até mesmo a proteção de MFA baseada em códigos ou push notifications. Ao roubar o token de sessão, os cibercriminosos podem obter acesso persistente à conta da vítima sem precisar das credenciais repetidamente.

O foco em Microsoft 365 e Google é estratégico, dado que milhões de empresas e profissionais dependem dessas plataformas para suas operações diárias, tornando-as alvos de alto valor. O comprometimento de contas corporativas através do VoidProxy pode levar a uma série de ataques subsequentes, incluindo comprometimento de e-mail comercial (BEC), exfiltração de dados sensíveis, implantação de ransomware e fraudes financeiras. A rapidez com que o VoidProxy se estabeleceu e sua capacidade de superar mecanismos de segurança existentes demonstram a constante corrida armamentista no espaço cibernético.

Este incidente ressalta a importância crítica de uma estratégia de segurança de identidade robusta que vá além do MFA básico. A conscientização dos usuários sobre os perigos do phishing e a implementação de soluções de MFA resistentes a phishing (como chaves de segurança de hardware FIDO2/WebAuthn) tornam-se indispensáveis. Além disso, as organizações devem investir em monitoramento contínuo de comportamento de usuários e entidades (UEBA) e em soluções de detecção e resposta estendidas (XDR) para identificar e mitigar anomalias que possam indicar o uso de tokens de sessão roubados.

HybridPetya Ransomware: Uma Nova Ameaça que Ignora o Secure Boot

Em 15 de setembro de 2025, pesquisadores de segurança alertaram sobre uma nova e preocupante variante de ransomware, denominada HybridPetya. Este novo vetor de ameaça distingue-se pela sua capacidade de contornar o Secure Boot, uma característica de segurança fundamental em sistemas modernos projetada para garantir que apenas software confiável seja carregado durante o processo de inicialização do sistema.

Historicamente, o Secure Boot tem sido uma linha de defesa eficaz contra bootkits e rootkits, que são tipos de malware que infectam o Master Boot Record (MBR) ou o processo de inicialização do sistema operacional. Ao garantir a integridade do firmware, do carregador de inicialização e dos drivers, o Secure Boot impede que códigos maliciosos se instalem em um nível tão baixo que seriam quase impossíveis de remover. A capacidade do HybridPetya de bypassar essa proteção é um salto significativo na sofisticação do ransomware, indicando que os adversários estão investindo em pesquisa e desenvolvimento para superar as defesas de segurança existentes.

Embora um CVE específico para este bypass não tenha sido amplamente divulgado no momento, a técnica subjacente provavelmente explora vulnerabilidades em implementações de UEFI, falhas na validação de assinaturas de drivers ou métodos de escalonamento de privilégios para desabilitar ou subverter o Secure Boot. Uma vez que o HybridPetya consegue obter o controle no processo de inicialização, ele pode se instalar profundamente no sistema, tornando a detecção e a remediação extremamente desafiadoras. Isso não apenas permite a criptografia de arquivos no disco, mas também pode corromper o sistema de arquivos ou o próprio sistema operacional, causando uma interrupção massiva.

A ameaça do HybridPetya é particularmente grave para empresas que dependem de sistemas operacionais modernos e que consideravam o Secure Boot como uma proteção primária contra esse tipo de ataque. A implicação é que as estratégias de defesa devem ser reavaliadas para incluir camadas adicionais de segurança de endpoint, detecção de anomalias em nível de firmware e mecanismos de recuperação robustos. A simples confiança em proteções baseadas em software pode não ser suficiente quando o ataque visa a própria fundação do sistema.

Este desenvolvimento ressalta a necessidade de uma abordagem de segurança em profundidade, onde a segurança do endpoint, a integridade do boot e a capacidade de recuperação de desastres são continuamente testadas e aprimoradas.

🇧🇷 Impacto no Cenário Brasileiro

O Brasil, com sua economia em rápida digitalização e uma infraestrutura crítica em constante expansão, está particularmente vulnerável às ameaças cibernéticas destacadas. Os incidentes recentes reverberam diretamente em setores vitais, exigindo uma atenção imediata e estratégica.

O ataque do KillSec Ransomware à MedicSolution é um espelho do que pode acontecer em diversos setores críticos no Brasil. O setor de saúde é um alvo preferencial devido à sensibilidade dos dados de pacientes e à urgência em restaurar sistemas, o que aumenta a probabilidade de pagamento de resgates. Além disso, a dependência crescente de provedores de software e serviços em nuvem (como AWS S3) cria uma vasta superfície de ataque na cadeia de suprimentos. No Brasil, onde muitos hospitais e clínicas dependem de sistemas de gestão terceirizados, a falha de segurança em um único elo pode comprometer milhões de registros. A LGPD (Lei Geral de Proteção de Dados) impõe penalidades severas para vazamentos de dados, o que significa que um incidente como o da MedicSolution não acarreta apenas danos reputacionais e operacionais, mas também multas substanciais. A falta de notificação adequada aos pacientes, como observado no incidente, agrava a conformidade com a LGPD.

A proliferação de serviços como o VoidProxy Phishing eleva o risco para todos os setores, mas com especial atenção aos serviços financeiros, governo e educação. Bancos e instituições financeiras no Brasil são constantemente alvos de ataques de phishing. Com a capacidade do VoidProxy de contornar MFA via AiTM, o risco de comprometimento de contas de funcionários com acesso privilegiado (em sistemas ERP, plataformas bancárias e de gestão) aumenta exponencialmente. Isso pode levar a fraudes financeiras diretas, acesso a dados confidenciais de clientes e sistemas internos. No setor governamental, que também tem sido historicamente alvo de ataques de phishing e ransomware, o comprometimento de credenciais pode resultar em vazamento de dados de cidadãos, interrupção de serviços públicos e até mesmo sabotagem.

A emergência do HybridPetya, com sua capacidade de ignorar o Secure Boot, impacta transversalmente todas as empresas que utilizam infraestruturas baseadas em Windows e dependem dessa camada de segurança. Setores de infraestrutura crítica (energia, telecomunicações, transportes), que operam com sistemas legados e modernos, precisam reavaliar a resiliência de seus endpoints. A interrupção causada por um ransomware que ataca o processo de boot pode ser catastrófica, com tempos de recuperação prolongados e custos exorbitantes. As empresas brasileiras, muitas vezes com recursos de segurança limitados em comparação com seus pares globais, precisam estar duplamente atentas a essas ameaças de baixo nível que exigem defesas mais sofisticadas do que as tradicionais. O custo de recuperação para um ataque de ransomware no Brasil já é alto, e a complexidade de um HybridPetya só o eleva.

Em suma, o cenário regulatório brasileiro, com a LGPD e normativas do BACEN (para o setor financeiro), exige que as empresas não apenas reajam a incidentes, mas implementem medidas proativas e robustas de segurança. A interconexão dos sistemas e a dependência da cadeia de suprimentos significam que a segurança de um é a segurança de todos.

🔒 Recomendações Práticas da Coneds

  1. Ação Imediata: Realize uma auditoria completa de todas as configurações de AWS S3 buckets (e outros armazenamentos em nuvem) para garantir que não existam permissões de acesso público indevidas ou excessivas. Revise logs de acesso de S3.
  2. Curto Prazo (1-4 semanas): Implemente e reforce treinamentos de conscientização de segurança específicos sobre ataques de phishing e engenharia social, com foco em campanhas de simulação que utilizem técnicas AiTM para educar os usuários sobre como identificar e relatar tentativas sofisticadas.
  3. Médio Prazo (1-3 meses): Avalie a implementação de soluções de MFA resistentes a phishing (e.g., chaves de segurança de hardware FIDO2/WebAuthn) para todas as contas críticas, especialmente aquelas com acesso a Microsoft 365 e Google Workspace, e revise as políticas de acesso e ciclo de vida de tokens de sessão.
  4. Estratégia Long-term: Desenvolva um plano de resposta a incidentes robusto e testado, incluindo cenários de ransomware que comprometem o processo de boot, garantindo backups imutáveis e segregados, bem como capacidade de recuperação rápida e íntegra dos sistemas operacionais e dados.
  5. Governança: Estabeleça e revise regularmente contratos com fornecedores (terceiros) para incluir requisitos rigorosos de segurança cibernética, cláusulas de auditoria e responsabilidades claras em caso de violação de dados, em conformidade com a LGPD.
  6. Treinamento: Invista em capacitação contínua para equipes de segurança e TI em detecção e resposta a ameaças avançadas, especialmente em segurança de nuvem, análise de malware de baixo nível (como bootkits) e investigação de incidentes de phishing AiTM.
  7. Monitoramento: Implemente soluções de XDR (Extended Detection and Response) e UEBA (User and Entity Behavior Analytics) para detectar anomalias e atividades suspeitas em endpoints, identidades e cargas de trabalho em nuvem, que podem indicar comprometimentos de tokens de sessão ou tentativas de bypass do Secure Boot.

❓ Perguntas Frequentes

P: Como posso saber se minha organização foi afetada pelo ransomware KillSec ou VoidProxy Phishing, mesmo sem um CVE específico?

R: A ausência de um CVE direto não significa segurança. Para KillSec, monitore logs de acesso de seus buckets de armazenamento em nuvem (ex: AWS S3) para atividades incomuns, como downloads massivos de dados ou alterações de permissões. Para VoidProxy Phishing, fique atento a e-mails ou mensagens que, mesmo após a MFA, solicitem novamente credenciais ou tokens. Implemente ferramentas de Threat Intelligence para rastrear indicadores de comprometimento (IoCs) associados a essas campanhas e realize varreduras de segurança em suas plataformas Microsoft 365 e Google Workspace.

P: O Secure Boot não deveria proteger contra ransomware como o HybridPetya?

R: O Secure Boot é uma camada de defesa importante, mas não infalível. Ele garante que apenas software assinado e confiável seja carregado durante a inicialização. O HybridPetya, ao bypassar essa proteção (provavelmente explorando falhas na implementação do UEFI ou na validação de drivers), demonstra que os atacantes estão encontrando maneiras de subverter mecanismos de segurança que antes eram considerados robustos. É crucial complementar o Secure Boot com outras defesas em profundidade, como segurança de endpoint avançada, monitoramento de integridade do sistema e um plano de recuperação de desastres.

P: A Coneds oferece treinamentos específicos sobre como mitigar essas novas ameaças, especialmente no contexto brasileiro da LGPD?

R: Sim, a Coneds é especialista em educação em cibersegurança e oferece treinamentos alinhados às necessidades do mercado brasileiro. Temos cursos aprofundados sobre Segurança em Nuvem (com foco em configurações seguras de AWS, Azure, GCP), Engenharia Social e Phishing Avançado, Análise e Resposta a Ransomware, e Governança, Risco e Compliance (GRC), que abordam detalhadamente a LGPD e outras regulamentações relevantes. Nossos treinamentos são desenhados para equipar profissionais de TI, CISOs e gestores com o conhecimento e as habilidades práticas para enfrentar essas ameaças emergentes.

P: Qual a importância da higiene cibernética básica frente a ataques tão avançados?

R: A higiene cibernética básica continua sendo a fundação inegociável de qualquer estratégia de segurança, mesmo diante de ataques avançados. Patch management rigoroso, políticas de senhas fortes, MFA (mesmo que com resiliência a phishing), segmentação de rede, backups regulares e testados, e o princípio do menor privilégio são essenciais. Muitos ataques avançados ainda exploram falhas básicas na segurança. Ao eliminar as vulnerabilidades mais comuns, as organizações forçam os atacantes a usar métodos mais sofisticados, tornando a detecção mais provável e a prevenção mais eficaz.

Conclusão

Os eventos das últimas 72 horas são um lembrete vívido da complexidade e da imprevisibilidade do cenário de cibersegurança. Desde o impacto direto do KillSec Ransomware no setor de saúde brasileiro, expondo a fragilidade de configurações em nuvem, até a sofisticação do VoidProxy Phishing Service em contornar o MFA, e a perigosa evolução do HybridPetya em subverter o Secure Boot, as ameaças são multifacetadas e exigem uma resposta estratégica e coordenada. Para CISOs, gestores de TI e profissionais de segurança no Brasil, a lição é clara: a segurança não é um destino, mas uma jornada contínua de adaptação e aprimoramento.

Não podemos nos dar ao luxo de sermos complacentes. É imperativo que as organizações reavaliem suas defesas, invistam em tecnologia e, crucialmente, capacitem suas equipes. A engenharia social continua sendo o elo mais fraco, e a superfície de ataque se expande com a adoção da nuvem e a interdependência da cadeia de suprimentos. Proteger-se significa entender profundamente o modus operandi dos atacantes, fortalecer cada camada de segurança – da infraestrutura ao elemento humano – e estar preparado para responder de forma eficaz quando o inevitável ocorrer. A Coneds está comprometida em ser seu parceiro nessa jornada, oferecendo o conhecimento e as ferramentas necessárias para construir uma resiliência cibernética sólida e sustentável.

📚 Aprenda mais: Eleve suas defesas com os cursos especializados da Coneds em Segurança em Nuvem, Resposta a Incidentes e Governança de Cibersegurança. Visite coneds.com.br e explore nosso catálogo completo. 🔗 Fontes:

  • Dark Reading: KillSec Ransomware Hits Brazil's Healthcare Software Provider. Publicado em 15 de setembro de 2025.
  • SC Media: VoidProxy phishing operation targets Microsoft 365, Google accounts. Publicado em 15 de setembro de 2025.
  • SC Media: Microsoft, Google accounts targeted with novel VoidProxy phishing service. Publicado em 12 de setembro de 2025.
  • Dark Reading: 'HybridPetya' Ransomware Bypasses Secure Boot. Publicado em 15 de setembro de 2025.
  • SC Media: What security agencies, regulators, and businesses get wrong about cybersecurity. Publicado em 9 de abril de 2024 (referenciado para contexto sobre engenharia social, mas com menção de notícias de 2025).
#ciberseguran-a#coneds#cyber-attacks#infosec#seguran-a-digital
2 views

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

C

Coneds News

251 posts