O Eskudo News retorna com mais uma edição, trazendo os principais acontecimentos do último mês nos temas de cibersegurança, inteligência artificial, nuvem e inovação digital. Esta edição resume os fatos mais relevantes que impactam diretamente empresas, governos e profissionais da área.
DATA: 13/10/2025
Onda de exploits ao Oracle E-Business Suite acende alerta global
Relatos de GTIG/Mandiant e vítimas indicam cadeia de ataques iniciada em agosto e evoluída para extorsões em massa
NOTÍCIA:
A ofensiva contra o Oracle E‑Business Suite transformou um assunto de nicho em crise de gestão de risco empresarial. Informações colhidas por equipes do Google Threat Intelligence Group e da Mandiant apontam que atores experientes vêm explorando, desde 9 de agosto, uma combinação de exposição indevida de serviços de aplicação, credenciais fracas e integrações legadas. O tema rompeu a bolha técnica no início de outubro, quando organizações começaram a relatar contatos diretos de extorsão e quando a Oracle orientou clientes sobre mitigação e atualização. A correlação com listagens em sites de vazamento reforça que o caso deixou de ser preliminar e que há exploração real em ambientes produtivos.
O E‑Business Suite ocupa posição central em processos contábeis, fiscais, de compras, de manufatura e de recursos humanos. Quando este núcleo sofre manipulação ou queda de disponibilidade, a interrupção se espalha rapidamente para sistemas satélites que dependem de dados consistentes. A natureza transacional do ERP gera dependências temporais, como fechamento de período e conciliações, o que torna o tempo de resposta um fator crítico para evitar reprocessos amplos. Em termos de confidencialidade, o valor monetário do que está dentro do ERP é superior ao de repositórios isolados, pois o invasor acessa contexto organizado, com relacionamentos entre fornecedores, contratos e itens de estoque.
Do ponto de vista de técnica ofensiva, os operadores aplicam reconhecimento metódico para localizar módulos publicados além do necessário, avaliam a presença de contas de serviço com privilégios elevados e realizam pivôs entre a camada de aplicação e a base de dados. Jobs de integração, como exportações em lote, servem de transporte silencioso para exfiltração. Ambientes com conectores antigos para folha de pagamento e para emissão fiscal costumam manter segredos armazenados fora de cofres e sem rotação periódica. A soma desses fatores aumenta a probabilidade de persistência sem alertas ruidosos, o que explica a distância entre o primeiro acesso e a etapa de extorsão.
A discussão sobre impacto precisa ser ampliada para além do sigilo. A manipulação da integridade de lançamentos contábeis afeta auditorias, covenants e obrigações fiscais. A degradação de disponibilidade interfere em faturamento e em recebimento e altera a previsibilidade de caixa. Em setores industriais, a perda de confiança nas ordens de produção pode levar a paradas preventivas enquanto se revalida o plano mestre. Em mercados regulados, a presença de dados pessoais no ERP aciona gatilhos de comunicação às autoridades, com possíveis multas, e exige um processo de notificação transparente para preservar a confiança de clientes, fornecedores e colaboradores.
A resposta técnica recomendável parte de inventário e topologia. É necessário mapear versões, módulos publicados, integrações ativas, rotas de origem e de destino e perfis com poderes administrativos. O passo seguinte envolve aplicar os mitigadores emitidos pela Oracle, implementar autenticação multifator para administração, reforçar o isolamento do application tier e restringir a publicação de serviços para o estritamente necessário. Auditorias de permissões na base de dados costumam revelar roles herdados e contas técnicas com privilégios superiores aos exigidos. A coleta de telemetria deve incluir logs do próprio ERP, do banco e do sistema operacional, com correlação para concurrent jobs que operam fora do padrão de volume ou de horário.
Em governança, o ERP precisa ser reconhecido como zona de missão crítica com políticas de patch aceleradas, controle estrito de mudanças e trilhas de auditoria imutáveis. A separação de deveres entre negócios, TI e segurança reduz o risco de alterações não supervisionadas em cadastros sensíveis e em integrações. A criação de um runbook de crise específico para ERP ajuda a reduzir improvisos quando a pressão é maior. Exercícios de mesa que simulem perda de integridade e exfiltração oferecem oportunidade para alinhar jurídico, finanças e comunicação. A métrica de sucesso não é apenas tempo até aplicar o patch, mas também a cobertura de integrações e a eliminação de acessos administrativos permanentes.
FONTE: The Hacker News — https://thehackernews.com/ | Reuters — https://www.reuters.com/
DATA: 13/10/2025
Harvard investiga vazamento após exploração do zero-day da Oracle
Universidade aparece no site do Cl0p. Indícios ligam o caso ao ecossistema do E‑Business Suite
NOTÍCIA:
A presença de Harvard em um site de vazamentos operado por um grupo criminal tradicionalmente ligado a extorsões acendeu um alerta em instituições acadêmicas. A universidade confirmou a abertura de investigação e a ativação de procedimentos de resposta a incidentes que incluem notificação a autoridades. O que torna o episódio relevante para além do noticiário é a provável conexão com a exploração do Oracle E‑Business Suite, que passou a afetar organizações de múltiplos setores. Universidades que conciliam pesquisa de ponta e operações administrativas complexas tendem a operar integrações antigas entre ERPs, bancos de dados científicos e diretórios legados. Esse ecossistema, embora necessário, cria pontos de ataque pouco visíveis.
Em ambientes acadêmicos a diversidade de sistemas e de perfis de acesso é elevada. Professores e pesquisadores demandam liberdade para instalar softwares e para testar bibliotecas, enquanto áreas administrativas exigem previsibilidade para executar folha, bolsas e compras. Em muitos casos, serviços do ERP permanecem publicados para fora do campus por conveniência operacional. Quando um atacante obtém credenciais de uma conta técnica com privilégios maiores que o necessário, a superfície interna se torna navegável. Integrações que não passaram por revisão de segurança nos últimos anos costumam manter segredos fora de cofres e logs inconsistentes, o que dificulta a reconstrução da linha do tempo do ataque.
O risco específico para uma universidade inclui a exposição de dados pessoais de estudantes e de colaboradores, a perda de propriedade intelectual e a possibilidade de acesso a pesquisas com cláusulas de confidencialidade. A presença do nome em um site de extorsão costuma ser o primeiro passo de uma estratégia que alterna pressão pública e negociação privada. Em paralelo, há impacto para parceiros de pesquisa e para agências de fomento que esperam controles sólidos sobre dados sensíveis. A reputação acadêmica, construída ao longo de décadas, pode sofrer erosão quando o incidente é percebido como resultado de descuido estrutural e não como um evento isolado.
A resposta imediata requer isolamento de integrações suspeitas, rotação de segredos, revisão de políticas de publicação e coleta ampliada de logs. É prudente criar zonas de alto sigilo para grupos de pesquisa que manejam dados críticos e exigir o uso de cofres para todos os segredos de integração. A autenticação multifator deve ser obrigatória em qualquer acesso administrativo. Auditorias de permissão precisam abranger o banco de dados do ERP e também os diretórios que fazem a mediação de identidade. Investigadores devem buscar indicadores de exfiltração volumétrica e de criação de contas de persistência.
Do ponto de vista de governança, convém revisar acordos com patrocinadores de pesquisa e com parceiros internacionais para assegurar que as cláusulas de notificação e de proteção de dados sejam atendidas. A comunicação com a comunidade universitária deve ser clara e precisa, evitando subestimar o problema ou gerar pânico desnecessário. O episódio oferece uma oportunidade para consolidar inventário, atualizar a visão de superfície exposta e instituir um ciclo contínuo de avaliação de integrações. A coordenação entre reitoria, CIO e CISO precisa sair do papel e orientar decisões orçamentárias que fortaleçam a resiliência a médio prazo.
FONTE: BleepingComputer — https://www.bleepingcomputer.com/
DATA: 08/10/2025
Hackers alegam roubo de 5,5 milhões de registros do suporte do Discord
Empresa rejeita pagamento e investiga a extensão do incidente no ambiente Zendesk
NOTÍCIA:
A alegação de que uma base com 5,5 milhões de usuários foi extraída do ambiente de suporte do Discord elevou a atenção para um ponto frágil. Ambientes de atendimento concentram dados pessoais, históricos de conversas e documentos que descrevem problemas técnicos com riqueza de detalhes. Essa combinação é extremamente valiosa para operadores que buscam ataques de engenharia social de alta precisão. Mesmo quando o provedor de suporte mantém políticas rígidas, a diversidade de integrações e de automações cria rotas indiretas para coleta de informações.
A empresa afirmou que não aceitará pagar extorsão e que conduz uma investigação para delimitar o escopo. Enquanto o processo avança, a recomendação a organizações que mantêm relacionamento com o Discord é pragmática. Revisar a higiene de tokens de bots, limitar permissões ao mínimo necessário e avaliar o que é anexado a tickets. Muitas vezes, trechos de logs e capturas de tela incluem segredos inadvertidos. Ao mesmo tempo, é fundamental revisar a retenção de dados e estabelecer critérios de expurgo que evitem a acumulação desnecessária de informações sensíveis.
Para o usuário corporativo, o risco transborda a plataforma social. Comunidades de desenvolvimento integram bots a repositórios e a pipelines de automação. Uma conta sequestrada por meio do roubo de tokens abre caminho para alterações silenciosas em webhooks e para a distribuição de binários adulterados. O desenho de permissões precisa ser revisto com regularidade e acompanhado por registros de auditoria que permitam rastrear ações administrativas. Políticas de autenticação com fatores resistentes a phishing reduzem o sucesso de ataques que tentam capturar apenas senhas.
O episódio também reabre a discussão sobre due diligence no relacionamento com provedores de atendimento. É importante conhecer a postura de segurança do fornecedor, a localização dos dados e os processos de resposta a incidentes. Cláusulas contratuais que preveem notificação tempestiva e auditorias periódicas ajudam a equilibrar expectativas. Em última instância, o cliente é quem responde pelo impacto em seus usuários, o que torna imprescindível assumir protagonismo nas decisões sobre proteção e retenção de dados.
FONTE: BleepingComputer — https://www.bleepingcomputer.com/
DATA: 10/10/2025
FBI apreende domínio do BreachForums usado para extorsões ligadas a integrações Salesforce
Golpe nos canais de divulgação criminal cria janela de resposta para vítimas que negociavam sob pressão pública
NOTÍCIA:
A apreensão de um domínio do BreachForums pelo FBI atingiu a vitrine onde operadores de roubo e de extorsão exibiam bases obtidas em campanhas explorando integrações com Salesforce. A existência de um palco público com grande audiência serve como multiplicador de pressão. Quando o domínio é derrubado, a engrenagem perde eficiência e os criminosos são forçados a migrar para ambientes menos confiáveis. A mudança não elimina a ameaça, mas reduz o alcance imediato e confere tempo às vítimas para reorganizar a resposta.
Foros dessa natureza funcionam como intermediários entre quem rouba e quem compra, além de abrigar as estratégias de chantagem. Ao perder um endereço consolidado, grupos precisam reconstituir credibilidade, reconstruir reputação e reativar a rede de espelhos. Esse ciclo consome energia e cria uma janela para que empresas explorem medidas de desindexação, contestação de fake leaks e articulação com autoridades. O efeito costuma ser temporário, porém representa um lembrete de que ações coordenadas de polícia e de provedores podem impor custo real ao crime online.
Para as vítimas que enfrentavam publicações graduais, o momento é propício para revisar a estratégia de comunicação, acelerar revogações de tokens e adotar medidas técnicas que interrompam a exploração original. O monitoramento de menções de marca, que já deveria existir em tempos normais, precisa ser reforçado com alertas de novos domínios e de canais que tentem capitalizar sobre a audiência perdida do fórum. A pressão de curto prazo diminui, mas o planejamento de médio prazo deve considerar que a estrutura criminosa tende a se reacomodar e voltar a operar com vigor.
Em termos de governança, o episódio fortalece o argumento a favor de catálogos vivos de integrações SaaS, de auditorias periódicas de permissões e de métricas de revogação de credenciais expostas. Os conselhos de administração cobram evidências de controle sobre dependências externas, e incidentes que envolvem CRM e dados de clientes têm impacto direto em receita e reputação. Inserir esse aprendizado em políticas e em contratos ajuda a elevar a resiliência setorial.
FONTE: BleepingComputer — https://www.bleepingcomputer.com/
DATA: 11/10/2025
Apple eleva teto do bug bounty para até US$ 2 milhões
Mudança válida a partir de novembro amplia competitividade do programa e pressiona o mercado cinza
NOTÍCIA:
A decisão da Apple de elevar o pagamento máximo em seu programa de recompensas para US$ 2 milhões coloca a empresa entre as que mais pagam por achados de alto impacto. A política responde a uma dinâmica de mercado em que pesquisadores talentosos são cortejados por corretoras privadas e por compradores de zero‑day que oferecem cifras elevadas por exclusividade. Ao tornar o programa público mais atraente, a companhia cria incentivo legítimo para que vulnerabilidades sejam relatadas sob disclosure responsável.
A medida vem acompanhada de ajustes de escopo que valorizam classes de falhas críticas. Execução remota de código, bypass de sandbox e comprometimento da Secure Enclave entram na lista de prioridades, o que tende a atrair perfis de pesquisa que exigem tempo e investimento. O anúncio repercute no ecossistema iOS e macOS porque encurta o tempo entre descoberta e correção. Em ambientes corporativos, a mudança deve refletir em menor janela de exploração e em ciclos de atualização mais previsíveis.
Para equipes de TI que gerenciam BYOD e parque misto de dispositivos Apple, o principal efeito prático é a redução do risco residual associado a vulnerabilidades de alto impacto. Ainda assim, o ganho só se materializa quando políticas de atualização são seguidas. Inventário atualizado, janelas de patch curtas e comunicação didática com usuários finais compõem a tríade que sustenta esse benefício. Para provedores de MSS, faz sentido medir a latência entre o lançamento de um update crítico e a sua implantação em escala.
A conversa sobre bug bounty extrapola a Apple e toca a avaliação de fornecedores em geral. A maturidade de um programa de recompensas é um indicador de disciplina técnica e de abertura à comunidade. Em processos de due diligence, vale observar não apenas os valores prometidos, mas também a experiência de pesquisadores com triagem, com comunicação e com pagamentos. Transparência sobre métricas como tempo de repro e payout médio reforça a confiança do ecossistema.
FONTE: TecMundo — https://www.tecmundo.com.br/
DATA: 07/10/2025
Microsoft alerta para vulnerabilidade no Unity que impacta Android e Windows
Falha com potencial de execução remota e de elevação de privilégios demanda inventário de versões e correções rápidas
NOTÍCIA:
O alerta que liga o motor Unity a riscos distintos em Android e em Windows chamou atenção pela ubiquidade desse componente. O Unity está presente em jogos, em aplicações educacionais, em catálogos interativos e em projetos corporativos que exigem visualização 3D. A dependência de runtimes embutidos em aplicações torna a atualização um trabalho de fôlego para equipes que precisam conciliar compatibilidade e segurança. A situação se complica em Android, onde a distribuição de atualizações enfrenta barreiras de loja e de fabricante.
Do ponto de vista técnico, engines cruzam uma fronteira simbólica. Deixaram de ser apenas bibliotecas de interface e passaram a compor a superfície crítica de execução. O encadeamento de permissões permissivas, de módulos de carregamento e de políticas relaxadas de EDR cria janelas para a exploração. Em Windows, a elevação de privilégios altera o equilíbrio de defesa, pois libera o atacante para manipular políticas e apagar rastros. Em Android, a execução remota agrava o risco quando os usuários se acostumam a conceder permissões sem leitura atenta.
A resposta recomendável começa com inventário que associe aplicações a versões de runtime. Sem esse mapa, a correção vira tentativa e erro. Em seguida, equipes devem forçar a atualização de builds e introduzir controles como WDAC e AppLocker para restringir o carregamento de binários não autorizados. A validação por telemetria precisa confirmar que as novas versões estão efetivamente em uso e que as tentativas de exploração perderam eficácia. Em ambientes com aplicações internas, convém criar um ciclo de recompilação e de publicação que facilite a aplicação de patches futuros.
Em governança, times de arquitetura devem formalizar a classificação de motores e de engines como componentes críticos. Essa decisão puxa consigo a exigência de SBoM, de políticas de ciclo de vida e de gates de segurança em pipelines de CI e de CD. O objetivo é que a próxima vulnerabilidade nessa classe de componentes encontre a casa organizada para responder com rapidez e com previsibilidade.
FONTE: TecMundo — https://www.tecmundo.com.br/
DATA: 09/10/2025
Shuyal Stealer captura tokens de sessão em navegadores e mira contas do Discord
Malware amplia escopo para perfis financeiros e sociais e reforça a necessidade de políticas de navegação estritas
NOTÍCIA:
Os ladrões de credenciais evoluíram para explorar a conveniência da permanência de sessão em navegadores modernos. O Shuyal Stealer, identificado por equipes de pesquisa, focaliza a coleta de cookies e de tokens que permitem assumir identidades sem passar por autenticação completa. O alvo preferencial envolve contas do Discord e, por extensão, integrações de bots que têm acesso a repositórios e a pipelines. O efeito colateral em empresas ocorre quando um token obtido no contexto pessoal abre portas em serviços de trabalho que compartilham a mesma sessão.
A entrega do stealer costuma ocorrer por meio de phishing que instala loaders, por instaladores adulterados que circulam em fóruns e por downloads de supostos cracks. Uma vez em execução, a amostra injeta código em processos confiáveis e cria mecanismos de persistência que restabelecem a comunicação com o comando e controle após reinicializações. A evasão se apoia em empacotadores e em técnicas de ofuscação que atrasam a detecção por antivírus tradicionais. O cenário exige abordagens que considerem comportamento, e não apenas assinaturas.
Para organizações, a lista de recomendações inclui restrição de extensões, validação de integridade dos navegadores, implementação de políticas que separem perfis pessoais e corporativos e detecção de exfiltração de cookies e de tokens. A invalidação rápida de sessões suspeitas pode cortar cadeias de ataque antes que atinjam sistemas de maior valor. A conscientização dos usuários precisa abordar este vetor de forma explícita, mostrando como um clique em ambiente pessoal pode comprometer ativos de trabalho.
O caso reforça a importância de autenticação multifator resistente a phishing e de práticas de higiene de credenciais. Em ambientes com SSO, convém revisar a política de permanência de sessão e a exposição de tokens a extensões. Para provedores de MSS, faz sentido oferecer módulos específicos de caça a stealers, com telemetria voltada à movimentação de credenciais e à comunicação de C2.
FONTE: TecMundo — https://www.tecmundo.com.br/
DATA: 10/10/2025
Spyware disfarçado de WhatsApp e TikTok captura SMS, fotos e controle do dispositivo
Campanha com centenas de variantes circula em lojas alternativas e reforça a necessidade de políticas de BYOD maduras
NOTÍCIA:
A circulação de aplicativos que imitam WhatsApp e TikTok em lojas alternativas e em sites de terceiros demonstra como a engenharia social contorna defesas técnicas. Usuários buscam atalhos para obter recursos indisponíveis nas versões oficiais e acabam concedendo permissões amplas a pacotes que escondem funcionalidades de espionagem. A coleta de SMS, o acesso à câmera e a leitura de dados sensíveis compõem um arsenal que atende tanto à curiosidade criminosa quanto a objetivos de fraude e de chantagem.
A campanha mapeada por analistas indica que há mais de seiscentas variantes, o que dificulta a criação de assinaturas duradouras. Servidores de comando e controle trocam de endereço com rapidez, e a comunicação é ofuscada por técnicas simples e eficazes. Em muitos países, o hábito do sideloading está arraigado. Em ambiente corporativo, a tolerância a dispositivos pessoais sem administração centralizada amplia a superfície de risco, pois credenciais de e‑mail e de ferramentas de colaboração circulam nos mesmos aparelhos.
A resposta empresarial envolve instituir MDM, bloquear fontes desconhecidas, exigir versões mínimas de sistema e validar integridade da ROM. Políticas claras de instalação e de remoção de aplicativos reduzem conflitos trabalhistas e protegem a organização. O treinamento de colaboradores precisa ir além de slogans e apresentar sinais práticos de aplicativos falsos, como pedidos desnecessários de permissão e comportamento anômalo de consumo de bateria e de rede.
No plano regulatório, empresas sujeitas à LGPD devem prever procedimentos para lidar com incidentes que envolvem dispositivos pessoais usados para trabalho. A construção de um plano de resposta móvel, com wipe seletivo e revogação de acessos, prepara o terreno para decisões rápidas quando a janela é curta. A mensagem geral é que mobilidade livre só é segura quando há trilhos claros para o uso.
FONTE: TecMundo — https://www.tecmundo.com.br/
DATA: 09/10/2025
CISA expande catálogo KEV e publica alertas ICS críticos para Rockwell, Cisco e Hitachi
Operadores industriais precisam priorizar correções e fortalecer a segmentação entre TI e TO
NOTÍCIA:
A inclusão de novas falhas no catálogo Known Exploited Vulnerabilities e a divulgação de alertas para sistemas de controle industrial dão a tônica do momento para quem opera ambientes de automação. A presença no KEV significa que a vulnerabilidade está sendo explorada no mundo real. Em ambientes industriais, onde a disponibilidade é inegociável, o desafio é conciliar a necessidade de corrigir com a exigência de continuidade de produção. A decisão de postergar patches por receio de paradas se transformou em risco evidente.
Os avisos que envolvem produtos da Rockwell Automation, integrações com Cisco e componentes da Hitachi Energy revelam um padrão conhecido. Há interfaces de engenharia expostas indevidamente, serviços sem autenticação robusta e credenciais reaproveitadas por integradores e por times internos. A falta histórica de telemetria em TO dificulta a percepção de intrusões, o que dá vantagem ao atacante que se move de forma silenciosa. A proximidade de redes de TI com redes de TO cria caminhos curtos para pivôs.
O roteiro de resposta começa com mapeamento de ativos, segmentação entre domínios e revisão de acessos remotos. O uso de jump servers devidamente auditados reduz o risco de credenciais circularem sem controle. A aplicação de patches orientada por criticidade e por presença no KEV permite atacar primeiro o que tem maior probabilidade de exploração. Em paralelo, playbooks do SOC precisam incorporar protocolos industriais à telemetria. Sem essa visão, alertas relevantes não chegam.
Como lição de governança, a adoção de frameworks como a IEC 62443 e de contratos de integradores que exijam práticas mínimas de segurança eleva a maturidade. Planos de continuidade devem considerar a perda temporária de componentes de automação e prever procedimentos para retomada segura. A coordenação com times de qualidade e de segurança do trabalho evita que a pressa por corrigir introduza novos riscos físicos.
FONTE: CISA KEV — https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA ICS — https://www.cisa.gov/news-events/ics
DATA: 08/10/2025
CISOs assumem protagonismo na adoção de IA nas empresas
Shadow AI, governança de dados e MLOps seguro entram no radar de conselhos e de comitês executivos
NOTÍCIA:
A velocidade de adoção de IA generativa superou a da migração para nuvem e surpreendeu estruturas de governança. Em muitas empresas, funcionários já utilizam ferramentas de IA para tarefas de rotina sem treinamento formal e sem diretrizes sobre o que pode e o que não pode ser compartilhado. O resultado é um risco crescente de exposição de dados sensíveis e de violação de contratos. A entrada do CISO no centro dessa conversa sinaliza a busca por trilhos que permitam colher benefícios sem sacrificar a segurança.
Os guardrails mais efetivos começam por classificação de dados e por definição de ambientes de treino e de inferência com isolamento adequado. Controles nativos de DLP e de logging, combinados a políticas de prompts que proíbem a inserção de segredos, criam um arcabouço mínimo para o uso responsável. O MLOps seguro adiciona disciplina à gestão de modelos, dos registries e das integrações com serviços externos. Sem essa base, é fácil perder o rastro do que é executado e de onde moram as cópias de dados.
Do ponto de vista de negócio, a promessa de produtividade precisa conviver com auditoria e com prestação de contas. Conselhos pedem evidências de que decisões tomadas com apoio de IA são explicáveis e rastreáveis. Para fornecedores, cresce a pressão por apresentar material técnico que comprove práticas de segurança. A tendência é que contratos passem a exigir SBoM de modelos, relatórios de testes e trilhas de auditoria.
Programas de conscientização devem ser atualizados para contemplar abuso de assistentes e engenharia social aperfeiçoada por IA. A mensagem aos colaboradores deve ser direta. O fato de um assistente responder com fluidez não o torna confiável para receber qualquer conteúdo. A cultura de segurança precisa acompanhar o ritmo da inovação para não virar contrapeso que apenas diz não.
FONTE: The Wall Street Journal — https://www.wsj.com/
DATA: 08/10/2025
Ransomware mira grandes alvos e prolonga interrupções em operações críticas
Automação de correções, backups imutáveis e identidade resistente a phishing reduzem o tempo de recuperação
NOTÍCIA:
Relatórios recentes indicam que grupos de ransomware intensificaram as investidas contra grandes organizações. A preferência por alvos com operação extensa em manufatura, logística e serviços ocorre porque a interrupção gera perdas financeiras em cascata. A tática de criptografar parcialmente e vazar dados de forma escalonada multiplica a pressão por acordos rápidos. O poder de barganha do atacante cresce quando a empresa não consegue estimar com precisão a extensão do dano e o tempo de restauração.
As cadeias de ataque mais comuns combinam exploração de falhas conhecidas que permanecem sem correção com o uso de credenciais vazadas e a presença de acessos remotos expostos ao público. O movimento lateral silencioso se apoia em abuso de Active Directory, em acesso remoto via RDP e em ferramentas legítimas de administração. A mistura de ferramentas de uso cotidiano com intenções maliciosas dificulta a separação do que é normal e do que é intrusão.
A receita de resiliência envolve prioridades claras. Correções guiadas por presença em catálogos de exploração ativa encurtam a janela de oportunidade do atacante. Backups imutáveis com testes regulares de restauração evitam a dependência total de negociação. A segmentação de rede limita o raio de explosão quando um segmento é comprometido. EDRs com capacidade de contenção automática ajudam a deter movimentos laterais antes que a criptografia em massa seja disparada.
No plano organizacional, exercícios de simulação com participação de jurídico, comunicação e finanças reduzem a ansiedade das primeiras horas e melhoram a tomada de decisão. Métricas de RPO e de RTO precisam refletir a realidade operacional e não expectativas idealizadas. Contratos de MSS com resposta vinte e quatro por sete e com papéis definidos antecipadamente aceleram a execução quando cada minuto conta.
FONTE: Bloomberg — https://www.bloomberg.com/
DATA: 08/10/2025
Brasil no alvo de campanha que manipula buscas e explora infraestrutura Microsoft
SEO malicioso combinado a kits de phishing aumenta o risco de sequestro de contas em empresas brasileiras
NOTÍCIA:
Reportagens descrevem uma operação atribuída a atores chineses que manipula resultados de busca para induzir usuários a clicar em páginas maliciosas. O uso de infraestrutura em nuvem com marca reconhecida confere aparência de legitimidade às hospedagens. O objetivo é capturar credenciais sensíveis e abrir caminho para acessos persistentes. O Brasil aparece entre os alvos, o que exige atenção redobrada de equipes locais que convivem com BYOD e com alto grau de autonomia dos usuários.
A técnica é eficiente por explorar um hábito arraigado. Muitas pessoas acessam serviços digitando o nome no buscador e clicando no primeiro resultado visível. Quando o atacante domina a narrativa e compra posicionamento, o desvio de tráfego acontece em silêncio. Em um segundo momento, os kits de phishing replicam telas oficiais com precisão e pedem autenticação multifator de forma fraudulenta.
As medidas de mitigação começam com educação direcionada que ensine a verificar domínios e a desconfiar de páginas patrocinadas. Adoção de MFA resistente a phishing reduz o valor de credenciais capturadas, e inspeção de conteúdo por proxy seguro ajuda a interceptar páginas enganosas. Em paralelo, é preciso monitorar anomalias de login e de criação de regras em caixas de e‑mail, que são sinais típicos de comprometimento de conta.
No campo regulatório, organizações que tratam dados pessoais devem avaliar a necessidade de comunicar incidentes à autoridade nacional. A publicação transparente de orientações e a atualização de políticas internas diminuem a chance de repetição do problema. Ao mesmo tempo, contratos com provedores de anúncios e de hospedagem podem trazer cláusulas de resposta que desestimulem o abuso.
FONTE: TecMundo — https://www.tecmundo.com.br/
DATA: 08/10/2025
Educação sob ataque com déficit de especialistas, legados e crescimento de IA ofensiva
MFA, segmentação, backups imutáveis e MSS 24 por 7 compõem a base realista de resiliência para escolas e universidades
NOTÍCIA:
O aumento da criminalidade digital sobre instituições de ensino reflete um descompasso entre a digitalização acelerada e os investimentos em segurança. A expansão de plataformas de ensino e de gestão acadêmica não veio acompanhada de pessoal qualificado na mesma proporção. Sistemas legados convivem com novas aplicações em uma rede que precisa acomodar laboratórios, bibliotecas, residências estudantis e edifícios administrativos. O resultado é uma superfície extensa e porosa.
A popularização de ferramentas de IA entre atacantes elevou o poder de personalização de golpes de engenharia social. Phishing com textos verossímeis e com timing ajustado a calendários acadêmicos tem taxa de sucesso maior que campanhas genéricas. Em paralelo, ambientes com políticas permissivas para instalação de software tendem a acumular vulnerabilidades e a abrigar versões antigas que já não recebem correções.
A reação possível com recursos realistas passa por fundamentos. Implementar MFA de forma universal, segmentar redes, garantir backups imutáveis com testes regulares e adotar políticas de menor privilégio para pesquisadores que manipulam dados sensíveis. A contratação de MSS com SOC vinte e quatro por sete preenche uma lacuna comum em equipes enxutas e prepara o terreno para resposta coordenada quando o incidente ocorrer.
Governança exige que reitorias e conselhos tratem segurança como infraestrutura essencial. Sem orçamento continuado, qualquer avanço será episódico. Programas de conscientização precisam incorporar a temática da IA, não apenas para prevenir golpes, mas também para guiar o uso responsável de assistentes em atividades acadêmicas.
FONTE: TecMundo — https://www.tecmundo.com.br/
DATA: 10/10/2025
Para acompanhar todo lançamento do Eskudo News, nos siga no Linkedin do Eskudo e também no da 2R Datatel!