Um grupo de hackers sediado na China está a explorar ativamente uma falha de segurança crítica, do tipo "zero-day", em servidores Microsoft SharePoint para distribuir um novo ransomware denominado Warlock. A ameaça, que explora a cadeia de vulnerabilidades conhecida como ToolShell, já comprometeu centenas de organizações a nível mundial, incluindo agências governamentais.
Um novo ataque em larga escala
Os investigadores da Microsoft, que monitorizam o grupo de hackers sob o nome Storm-2603, associam estes atores a anteriores ataques com o ransomware Lockbit. Num relatório publicado na quarta-feira, a gigante tecnológica confirmou a nova campanha. "A partir de 18 de julho de 2025, a Microsoft observou o grupo Storm-2603 a implementar ransomware usando estas vulnerabilidades", afirma o comunicado.
O grupo Storm-2603 é classificado com um nível de confiança moderado como sendo originário da China, embora a Microsoft ainda não tenha estabelecido ligações diretas a outros grupos de ameaças chineses conhecidos. Outros grupos apoiados pelo estado chinês, como o Linen Typhoon e o Violet Typhoon, também foram associados a estes ataques.
Como funciona o ataque
Após obterem o acesso inicial aos servidores SharePoint vulneráveis, os atacantes utilizam ferramentas de hacking conhecidas, como o Mimikatz, para extrair credenciais em texto simples da memória do sistema. Com estas credenciais, conseguem mover-se lateralmente dentro da rede da vítima.
Para se espalharem, utilizam ferramentas como o PsExec e o Impacket, executando comandos remotamente e modificando políticas de grupo (GPOs) para forçar a instalação do ransomware Warlock em todos os sistemas comprometidos da rede, maximizando o dano.
A dimensão do problema já é global
A primeira deteção dos ataques foi feita pela empresa de cibersegurança holandesa Eye Security, que identificou a exploração das vulnerabilidades CVE-2025-49706 e CVE-2025-49704. Desde então, o número de vítimas cresceu exponencialmente. Segundo a empresa, pelo menos 400 servidores já foram infetados e 148 organizações foram comprometidas em todo o mundo.
A gravidade da situação levou a CISA, a agência de cibersegurança dos EUA, a adicionar outra falha relacionada (CVE-2025-53770) ao seu catálogo de vulnerabilidades ativamente exploradas, ordenando às agências federais que protegessem os seus sistemas no prazo de um dia.
No entanto, o aviso chegou tarde para alguns. O Departamento de Energia dos EUA confirmou que as redes da sua Administração Nacional de Segurança Nuclear foram invadidas. Segundo um relatório da Bloomberg, a lista de vítimas inclui também o Departamento de Educação dos EUA, a Assembleia Geral de Rhode Island, o Departamento de Receitas da Flórida e redes governamentais em várias nações na Europa e no Médio Oriente.
Microsoft apela à atualização imediata
A Microsoft já lançou as atualizações de segurança necessárias para corrigir estas falhas nos servidores SharePoint on-premises. A recomendação da empresa é clara e urgente: "Os clientes devem aplicar imediatamente as atualizações de segurança do SharePoint Server e seguir as orientações detalhadas de mitigação no nosso blog", alertou a equipa de resposta de segurança da Microsoft.
Nenhum comentário
Seja o primeiro!