Grupos de ransomware juntaram-se recentemente a uma vaga de ataques que explora uma cadeia de vulnerabilidades no Microsoft SharePoint. Esta campanha de exploração já resultou na violação de, pelo menos, 148 organizações em todo o mundo, combinando cibercrime com espionagem patrocinada por estados.
O ransomware 4L4MD4R entra em cena
Investigadores de segurança da Palo Alto Networks' Unit 42 descobriram uma nova variante de ransomware, denominada 4L4MD4R, baseada no código de fonte aberta Mauri870. A deteção ocorreu a 27 de julho, após a análise de um carregador de malware que descarrega e executa o ransomware a partir de um servidor comprometido.
Os ataques começam com a execução de comandos PowerShell maliciosos, desenhados para desativar a monitorização de segurança nos dispositivos visados. A análise da Unit 42 revela que o payload do 4L4MD4R está compactado com UPX e foi escrito em GoLang. Uma vez executado, o ficheiro desencripta uma carga maliciosa em memória, que depois é carregada e executada numa nova thread.
O objetivo final é encriptar os ficheiros no sistema comprometido. Os atacantes exigem um resgate de 0.005 Bitcoin, deixando para trás notas de resgate e listas dos ficheiros encriptados.
Uma campanha de espionagem com raízes na China
A Microsoft e a Google associaram estes ataques, apelidados de "ToolShell", a atores de ameaça baseados na China. A Microsoft identificou três grupos distintos de hackers apoiados pelo estado chinês: Linen Typhoon, Violet Typhoon e Storm-2603.
"A Microsoft observou dois atores estatais chineses, Linen Typhoon e Violet Typhoon, a explorar estas vulnerabilidades em servidores SharePoint expostos à internet", afirmou a empresa. "Adicionalmente, observámos outro ator de ameaça baseado na China, rastreado como Storm-2603, a explorar estas mesmas falhas."
Vítimas de alto perfil e a escala do ataque
A lista de alvos comprometidos nesta campanha é extensa e inclui entidades de alto perfil, como a Administração Nacional de Segurança Nuclear dos EUA, o Departamento de Educação, o Departamento de Receitas da Flórida, a Assembleia Geral de Rhode Island e redes governamentais na Europa e no Médio Oriente.
A empresa de cibersegurança holandesa Eye Security, que detetou inicialmente a exploração das vulnerabilidades, indicou que os atacantes infetaram pelo menos 400 servidores com malware, espalhados pelas redes de, no mínimo, 148 organizações.
A resposta da indústria e as correções da Microsoft
Os ataques exploram as vulnerabilidades CVE-2025-49706 e CVE-2025-49704. Análises da Check Point Research revelaram sinais de exploração que remontam a 7 de julho, visando organizações governamentais, de telecomunicações e de tecnologia na América do Norte e Europa Ocidental.
A Microsoft já lançou as correções para estas falhas nas atualizações do Patch Tuesday de julho de 2025. Além disso, atribuiu dois novos identificadores CVE (CVE-2025-53770 e CVE-2025-53771) para as vulnerabilidades de dia zero que foram usadas para comprometer servidores SharePoint que já se encontravam totalmente atualizados.
Face à gravidade da situação, A Agência de Cibersegurança e Segurança de Infraestruturas (CISA) dos EUA adicionou a vulnerabilidade de execução remota de código CVE-2025-53770 ao seu catálogo de falhas exploradas ativamente, ordenando que as agências federais protegessem os seus sistemas no prazo de 24 horas.
Nenhum comentário
Seja o primeiro!