{"id":22468,"date":"2025-06-14T18:27:09","date_gmt":"2025-06-14T21:27:09","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=22468"},"modified":"2025-06-14T18:27:10","modified_gmt":"2025-06-14T21:27:10","slug":"ransomware-exploram-vulnerabilidades-nao-corrigidas-no-simplehelp","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/06\/diversos\/ransomware-exploram-vulnerabilidades-nao-corrigidas-no-simplehelp\/","title":{"rendered":"Ransomware exploram vulnerabilidades n\u00e3o corrigidas no SimpleHelp"},"content":{"rendered":"\n<p data-start=\"0\" data-end=\"111\"><strong data-start=\"0\" data-end=\"111\">Gangues de ransomware exploram vulnerabilidades n\u00e3o corrigidas no SimpleHelp para ataques de dupla extors\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"113\" data-end=\"644\">As amea\u00e7as cibern\u00e9ticas seguem evoluindo em 2025, com destaque para uma nova onda de ataques envolvendo o uso de falhas n\u00e3o corrigidas na ferramenta de gerenciamento remoto SimpleHelp. A Ag\u00eancia de Seguran\u00e7a Cibern\u00e9tica e de Infraestrutura dos Estados Unidos (CISA) emitiu recentemente um alerta revelando que grupos de ransomware est\u00e3o explorando vulnerabilidades conhecidas em vers\u00f5es antigas do SimpleHelp para comprometer organiza\u00e7\u00f5es, em especial clientes de um provedor de software de cobran\u00e7a de utilidades n\u00e3o identificado.<\/p>\n<p data-start=\"113\" data-end=\"644\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"646\" data-end=\"1141\">Segundo a CISA, esse tipo de ataque se intensificou desde janeiro de 2025, revelando uma tend\u00eancia alarmante: a explora\u00e7\u00e3o de ferramentas leg\u00edtimas de administra\u00e7\u00e3o remota como vetor de ataque. O SimpleHelp, amplamente utilizado por empresas de suporte t\u00e9cnico e provedores de servi\u00e7os gerenciados (MSPs), apresentou falhas graves que possibilitam vazamento de informa\u00e7\u00f5es, escalonamento de privil\u00e9gios e execu\u00e7\u00e3o remota de c\u00f3digo listadas como CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728.<\/p>\n<p data-start=\"646\" data-end=\"1141\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"1143\" data-end=\"1550\">Grupos como o DragonForce j\u00e1 v\u00eam utilizando essas vulnerabilidades para invadir sistemas e, a partir deles, mover-se lateralmente at\u00e9 outros alvos conectados. A empresa Sophos relatou recentemente que um MSP teve sua inst\u00e2ncia do SimpleHelp comprometida por um desses grupos, que posteriormente utilizou o acesso obtido para invadir clientes subsequentes, demonstrando o efeito cascata desse tipo de ataque.<\/p>\n<p data-start=\"1143\" data-end=\"1550\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"1552\" data-end=\"1914\">A t\u00e1tica aplicada \u00e9 a de dupla extors\u00e3o: os criminosos criptografam os dados e, antes disso, exfiltram informa\u00e7\u00f5es sens\u00edveis, amea\u00e7ando divulg\u00e1-las caso o resgate n\u00e3o seja pago. Vers\u00f5es 5.5.7 ou anteriores do SimpleHelp est\u00e3o entre as mais afetadas, e a recomenda\u00e7\u00e3o da CISA \u00e9 clara: servidores expostos \u00e0 internet devem ser imediatamente atualizados e isolados.<\/p>\n<p data-start=\"1552\" data-end=\"1914\">\u00a0<\/p>\n<p data-start=\"1916\" data-end=\"1956\"><strong>Recomenda\u00e7\u00f5es da CISA para mitiga\u00e7\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"1958\" data-end=\"2133\">A ag\u00eancia publicou uma s\u00e9rie de a\u00e7\u00f5es que devem ser implementadas com urg\u00eancia por empresas que utilizam o SimpleHelp, especialmente aquelas que prestam servi\u00e7os a terceiros:<\/p>\n<ul data-start=\"2135\" data-end=\"2733\">\n<li data-start=\"2135\" data-end=\"2257\">\n<p style=\"text-align: justify;\" data-start=\"2137\" data-end=\"2257\"><strong data-start=\"2137\" data-end=\"2167\">Identifica\u00e7\u00e3o e isolamento<\/strong> de servidores SimpleHelp expostos \u00e0 internet, com atualiza\u00e7\u00e3o para a vers\u00e3o mais recente.<\/p>\n<\/li>\n<li data-start=\"2258\" data-end=\"2354\">\n<p data-start=\"2260\" data-end=\"2354\"><strong data-start=\"2260\" data-end=\"2299\">Notifica\u00e7\u00e3o de clientes e parceiros<\/strong>, com orienta\u00e7\u00f5es para proteger seus pr\u00f3prios sistemas.<\/p>\n<\/li>\n<li data-start=\"2355\" data-end=\"2454\">\n<p style=\"text-align: justify;\" data-start=\"2357\" data-end=\"2454\"><strong data-start=\"2357\" data-end=\"2382\">Ca\u00e7a a amea\u00e7as ativas<\/strong>, buscando indicadores de comprometimento e tr\u00e1fego incomum no ambiente.<\/p>\n<\/li>\n<li data-start=\"2455\" data-end=\"2583\">\n<p style=\"text-align: justify;\" data-start=\"2457\" data-end=\"2583\"><strong data-start=\"2457\" data-end=\"2480\">Desconex\u00e3o imediata<\/strong> de sistemas comprometidos, reinstala\u00e7\u00e3o do sistema operacional e restaura\u00e7\u00e3o a partir de backup limpo.<\/p>\n<\/li>\n<li data-start=\"2584\" data-end=\"2667\">\n<p data-start=\"2586\" data-end=\"2667\"><strong data-start=\"2586\" data-end=\"2632\">Manuten\u00e7\u00e3o de backups offline e peri\u00f3dicos<\/strong>, para garantir recupera\u00e7\u00e3o segura.<\/p>\n<\/li>\n<li data-start=\"2668\" data-end=\"2733\">\n<p data-start=\"2670\" data-end=\"2733\"><strong data-start=\"2670\" data-end=\"2722\">Bloqueio de servi\u00e7os remotos expostos \u00e0 internet<\/strong>, como RDP.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"2735\" data-end=\"2958\">A CISA refor\u00e7a ainda que n\u00e3o recomenda o pagamento de resgates, pois n\u00e3o h\u00e1 garantias de que os arquivos ser\u00e3o restaurados. Al\u00e9m disso, o pagamento pode incentivar novas a\u00e7\u00f5es criminosas e financiar atividades il\u00edcitas.<\/p>\n<p data-start=\"2735\" data-end=\"2958\">\u00a0<\/p>\n<p data-start=\"2965\" data-end=\"3024\"><strong>Ransomware Fog: Novas estrat\u00e9gias e poss\u00edvel espionagem<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"3026\" data-end=\"3331\">Enquanto isso, pesquisadores da Symantec, empresa pertencente \u00e0 Broadcom, relataram um ataque sofisticado do ransomware <em data-start=\"3146\" data-end=\"3151\">Fog<\/em>, direcionado a uma institui\u00e7\u00e3o financeira na \u00c1sia. Essa variante foi detectada pela primeira vez em maio de 2024 e se destaca pelo uso de ferramentas leg\u00edtimas e t\u00e1ticas incomuns.<\/p>\n<p data-start=\"3026\" data-end=\"3331\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"3333\" data-end=\"3652\">Assim como outros grupos, o <em data-start=\"3361\" data-end=\"3366\">Fog<\/em> explora credenciais comprometidas de VPN e falhas em sistemas para ganhar acesso. A infec\u00e7\u00e3o, por\u00e9m, pode come\u00e7ar com arquivos <code data-start=\"3494\" data-end=\"3500\">.LNK<\/code> compactados em arquivos <code data-start=\"3525\" data-end=\"3531\">.ZIP<\/code>, distribu\u00eddos por e-mail phishing. A execu\u00e7\u00e3o do atalho aciona scripts PowerShell que baixam o carregador do ransomware.<\/p>\n<p data-start=\"3654\" data-end=\"3699\">Entre as t\u00e9cnicas avan\u00e7adas utilizadas est\u00e3o:<\/p>\n<ul data-start=\"3700\" data-end=\"4009\">\n<li data-start=\"3700\" data-end=\"3773\">\n<p data-start=\"3702\" data-end=\"3773\"><strong data-start=\"3702\" data-end=\"3747\">Execu\u00e7\u00e3o de c\u00f3digo diretamente na mem\u00f3ria<\/strong>, dificultando a detec\u00e7\u00e3o;<\/p>\n<\/li>\n<li data-start=\"3774\" data-end=\"3817\">\n<p data-start=\"3776\" data-end=\"3817\"><strong data-start=\"3776\" data-end=\"3816\">Desativa\u00e7\u00e3o de solu\u00e7\u00f5es de seguran\u00e7a<\/strong>;<\/p>\n<\/li>\n<li data-start=\"3818\" data-end=\"3910\">\n<p data-start=\"3820\" data-end=\"3910\"><strong data-start=\"3820\" data-end=\"3848\">Persist\u00eancia no ambiente<\/strong>, com cria\u00e7\u00e3o de servi\u00e7os maliciosos dias ap\u00f3s a criptografia;<\/p>\n<\/li>\n<li data-start=\"3911\" data-end=\"4009\">\n<p data-start=\"3913\" data-end=\"4009\"><strong data-start=\"3913\" data-end=\"3941\">Uso de software leg\u00edtimo<\/strong>, como o Syteca (antigo Ekran), para monitoramento dos funcion\u00e1rios.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"4011\" data-end=\"4288\">Al\u00e9m disso, ferramentas de pentest de c\u00f3digo aberto como GC2, Adaptix e Stowaway foram empregadas, esta \u00faltima, conhecida por ser usada por grupos chineses como o APT41. Arquivos foram compactados com programas como 7-Zip, FreeFileSync e MegaSync para facilitar a exfiltra\u00e7\u00e3o.<\/p>\n<p data-start=\"4011\" data-end=\"4288\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"4290\" data-end=\"4503\">Esse comportamento, incomum em campanhas puramente financeiras, levanta a suspeita de que o verdadeiro objetivo tenha sido <strong data-start=\"4413\" data-end=\"4427\">espionagem<\/strong>, com o ransomware servindo como distra\u00e7\u00e3o ou forma de monetiza\u00e7\u00e3o paralela.<\/p>\n<p data-start=\"4290\" data-end=\"4503\">\u00a0<\/p>\n<p data-start=\"4510\" data-end=\"4580\"><strong>LockBit: Vazamento revela alvo chin\u00eas e reestrutura\u00e7\u00e3o da opera\u00e7\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"4582\" data-end=\"4963\">Outro destaque recente foi o vazamento do painel administrativo do grupo LockBit, uma das maiores opera\u00e7\u00f5es de ransomware como servi\u00e7o (RaaS) do mundo. A an\u00e1lise do painel, feita pela empresa Trellix, revelou que o grupo movimentou cerca de US$ 2,3 milh\u00f5es nos \u00faltimos seis meses e teve a China como um dos principais alvos, ao lado de pa\u00edses como Taiwan, Brasil e Turquia.<\/p>\n<p data-start=\"4582\" data-end=\"4963\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"4965\" data-end=\"5248\">Grupos afiliados como Iofikdis, PiotrBond e JamesCraig foram identificados como respons\u00e1veis pelos ataques ao territ\u00f3rio chin\u00eas, um movimento inusitado, considerando que outros grupos RaaS, como Conti e Black Basta, costumam evitar alvos chineses para evitar repercuss\u00f5es pol\u00edticas.<\/p>\n<p data-start=\"4965\" data-end=\"5248\">\u00a0<\/p>\n<div class=\"separator\" style=\"text-align: center;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgLt6ffbO-50RcuvTyvdc4S5DC29jsCRBachDPkb8k7F2FN1SG8UGJ_3b1_-87mb2hzQAQPd4saR60tBN7Af5s7v9v11XeN2eonp-8HUJUNwkJZvw_wV9gW4nmVfp8F9nFryZfBc3bH-Uq7ylcBL4mi7oiLigefs48rCuZBo8_su5q5JWkJqmjCYK-vEfKg\/s728-rw-e365\/database.jpg\" class=\"gallery_colorbox\"><img loading=\"lazy\" decoding=\"async\" class=\"loaded\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgLt6ffbO-50RcuvTyvdc4S5DC29jsCRBachDPkb8k7F2FN1SG8UGJ_3b1_-87mb2hzQAQPd4saR60tBN7Af5s7v9v11XeN2eonp-8HUJUNwkJZvw_wV9gW4nmVfp8F9nFryZfBc3bH-Uq7ylcBL4mi7oiLigefs48rCuZBo8_su5q5JWkJqmjCYK-vEfKg\/s728-rw-e365\/database.jpg\"  alt=\"\" width=\"595\" height=\"255\" border=\"0\" data-original-height=\"514\" data-original-width=\"1200\" \/><\/a><\/div>\n<p data-start=\"4965\" data-end=\"5248\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"5250\" data-end=\"5568\">Ap\u00f3s o vazamento, o LockBit ofereceu recompensa em dinheiro por informa\u00e7\u00f5es sobre o autor da divulga\u00e7\u00e3o, conhecido apenas como \u201cxoxo from Prague\u201d. O incidente tamb\u00e9m coincidiu com a descontinua\u00e7\u00e3o repentina do grupo RansomHub, o que levou ex-afiliados como BaleyBeach e GuillaumeAtkinson a migrarem para o LockBit.<\/p>\n<p data-start=\"5250\" data-end=\"5568\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"5570\" data-end=\"5706\">Atualmente, o grupo est\u00e1 trabalhando na vers\u00e3o 5.0 do seu ransomware, enquanto busca manter sua influ\u00eancia no ecossistema do cibercrime. Segundo o pesquisador Jambul Tologonov, \u201co vazamento mostra a realidade menos glamourosa e mais ca\u00f3tica dessas opera\u00e7\u00f5es: embora lucrativas, est\u00e3o longe de ser t\u00e3o organizadas e infal\u00edveis como aparentam.\u201d<\/p>\n<p data-start=\"5570\" data-end=\"5706\">\u00a0<\/p>\n<p data-start=\"5920\" data-end=\"5933\"><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"5935\" data-end=\"6293\">O cen\u00e1rio atual evidencia uma clara sofistica\u00e7\u00e3o das t\u00e1ticas de ransomware, com grupos utilizando falhas em softwares leg\u00edtimos, ferramentas de seguran\u00e7a corporativa e estrat\u00e9gias avan\u00e7adas para comprometer redes inteiras. A reutiliza\u00e7\u00e3o de ferramentas leg\u00edtimas e o uso de ransomware como fachada para espionagem marcam uma nova era de amea\u00e7as cibern\u00e9ticas.<\/p>\n<p data-start=\"5935\" data-end=\"6293\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"6295\" data-end=\"6559\">Organiza\u00e7\u00f5es que dependem de ferramentas como o SimpleHelp precisam urgentemente revisar sua postura de seguran\u00e7a, implementar pol\u00edticas de atualiza\u00e7\u00e3o rigorosas, realizar monitoramento constante e treinar suas equipes para lidar com amea\u00e7as em constante evolu\u00e7\u00e3o.<\/p>\n<p data-start=\"6295\" data-end=\"6559\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"6561\" data-end=\"6762\" data-is-last-node=\"\" data-is-only-node=\"\">A neglig\u00eancia em aplicar corre\u00e7\u00f5es de seguran\u00e7a pode custar n\u00e3o apenas dados valiosos, mas tamb\u00e9m a continuidade do neg\u00f3cio. Em 2025, a regra \u00e9 clara: <em data-start=\"6712\" data-end=\"6761\">na ciberseguran\u00e7a, proatividade \u00e9 sobreviv\u00eancia<\/em>.<\/p>\n<p data-start=\"6561\" data-end=\"6762\" data-is-last-node=\"\" data-is-only-node=\"\">\u00a0<\/p>\n<p data-start=\"6561\" data-end=\"6762\" data-is-last-node=\"\" data-is-only-node=\"\">Fonte e imagens: <a href=\"https:\/\/thehackernews.com\/2025\/06\/ransomware-gangs-exploit-unpatched.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2025\/06\/ransomware-gangs-exploit-unpatched.html<\/a><\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>Gangues de ransomware exploram vulnerabilidades n\u00e3o corrigidas no SimpleHelp para ataques de dupla extors\u00e3o As amea\u00e7as cibern\u00e9ticas seguem evoluindo em 2025, com destaque para uma nova onda de ataques envolvendo o uso de falhas n\u00e3o corrigidas na ferramenta de gerenciamento remoto SimpleHelp. A Ag\u00eancia de Seguran\u00e7a Cibern\u00e9tica e de Infraestrutura dos Estados Unidos (CISA) emitiu [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":22474,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[100],"tags":[],"class_list":["post-22468","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diversos"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22468","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=22468"}],"version-history":[{"count":4,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22468\/revisions"}],"predecessor-version":[{"id":22472,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22468\/revisions\/22472"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/22474"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=22468"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=22468"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=22468"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}