Nos últimos meses, tornou-se evidente uma regra que todo responsável pela segurança deveria ter cravada: quando um ator malicioso combina velocidade, conhecimento técnico e acesso a exploits de dia zero, a margem de resposta é drasticamente reduzida. Um grupo ligado à China, identificado pelas equipes de inteligência como Storm-1175, tem explodido essa combinação para infiltrar redes expostas na Internet e implantar o ransomware conhecido como Medusa. Seu modus operandi baseia-se em movimentos rápidos, encadeamento de vulnerabilidades e uso estratégico de ferramentas legítimas, o que dificulta a detecção e acelera o dano.
Os pesquisadores da Microsoft documentaram como esta banda não se limita a aproveitar falhas já divulgadas: em várias ocasiões tem usado vulnerabilidades de dia zero antes de serem públicas e tem misturado exploits recentes com outros já conhecidos para abrir portas e avançar no ambiente comprometido. O resultado foi intrusões que afectaram com especial intensidade as organizações de saúde, mas também os centros de ensino, os gabinetes profissionais e as instituições financeiras em países como a Austrália, o Reino Unido e os Estados Unidos. Para mais contexto sobre o trabalho da Microsoft nessas pesquisas, convém rever sua seção de segurança: Microsoft Security Blog.
Uma das características que torna perigosos atores como Storm-1175 é a rapidez com que transformam acesso em impacto. Em vários incidentes conseguiram roubar informações e cifrar sistemas em questão de dias; em casos isolados, mesmo em menos de 24 horas desde a porta inicial. Essa cadência exige não apenas adesivos, mas detecção precoce e medidas rapidamente impostas. Entre as vulnerabilidades exploradas pelo grupo desde 2023 incluem-se falhas em servidores de e-mail, plataformas de gestão remota e ferramentas de colaboração, muitos dos quais estão registrados de forma pública em bases como a do NIST (NVD). Para consultar exemplos concretos, por exemplo, a ficha de CVE‐2023‐21529 na NVD: CVE-2023-21529, ou CVE‐2024‐1708 relacionada com soluções de controle remoto: CVE-2024-1708. Além disso, se quiser seguir as vulnerabilidades exploradas de forma maciça e priorizar adesivos, o guia da CISA sobre vulnerabilidades exploradas conhecidas é um recurso útil: CISA – Known Exploited Vulnerabilities Catalog.
Além do leque de falhas técnicas, a tática de Storm‐1175 revela outra tendência preocupante: reutilização de ferramentas legítimas para ocultar atividade maliciosa. Os atacantes costumam apoiar-se em RMM (Remote Monitoring and Management), aplicativos de gerenciamento remoto ou utilitários do sistema - as chamadas LOLBins - para se mover lateralmente e minimizar o ruído. Ferramentas como PowerShell, PsExec, utilitários de gestão remota comerciais e pacotes de implantação foram utilizados tanto para executar comandos legítimos como para propagar cargas maliciosas. Essa mistura complica a identificação do ataque porque o tráfego e as ações encaixam com padrões administrativos válidos.
Na fase de pós-intrusão, a cadeia típica que os analistas têm observado inclui a criação de novas contas para persistência, instalação de web shells, abuso de RMM comercial para se deslocar pela rede, transferência de credenciais com ferramentas como Mimikatz ou frameworks de rede, e a configuração de exclusões em soluções antivírus para evitar que os binários maliciosos sejam bloqueados. Para a ex-filtração de informações, foi relatado o uso de utilitários de arquivamento e sincronização que facilitam empacotar e mover grandes volumes de dados fora da rede. Tudo isso culmina com a ativação de Medusa, que cifra ativos e geralmente acompanhada de demandas de resgate.
Diante deste cenário, há medidas concretas e pragmáticas que, sem ser infalível, subenm de forma notável o custo de operação para os atacantes. A primeira é fechar a janela temporal entre a divulgação de um adesivo e a sua aplicação: não basta conhecer os adesivos, deve colocá-los com prioridade nas superfícies expostas. A segmentação de redes e a limitação do acesso a serviços críticos da Internet ajudam a reduzir o “alcance” de um exploit bem-sucedido. É igualmente importante controlar e auditar o uso de ferramentas de administração remota; se forem usadas, devem estar configuradas com autenticação forte, acesso limitado, e propostas de monitorização específicas. Para aqueles que gerem ambientes empresariais, as recomendações para reforçar a autenticação multifator, limitar privilégios, habilitar telemetria e preparar procedimentos de resposta a incidentes continuam a ser válidas e urgentes.
Há também uma lição organizacional: os atacantes financeiros como Storm-1175 exploram não só vulnerabilidades técnicas, mas processos lentos ou fragmentados. Uma entidade com políticas de adesivos dispersas, sem inventário completo de serviços expostos ou com uso intensivo de soluções de terceiros (RMM, ferramentas de suporte) oferece um terreno muito mais fértil do que uma que tenha controle rigoroso do seu perímetro e visibilidade contínua da sua telemetria. O trabalho é tanto técnico como humano: formar equipes, revisar contratos e dependências externas, e manter playbooks de resposta pode marcar a diferença.
Para aqueles que desejam aprofundar detalhes técnicos e sinais de compromisso que este tipo de campanhas deixa após si, é recomendável combinar fontes de fabricantes de segurança com bases de dados de vulnerabilidades e avisos nacionais. Além do blog da Microsoft acima citado e da base de dados NVD, os avisos de agências como a CISA ou os relatórios de provedores de detecção e resposta oferecem indicadores e propostas de mitigação com exemplos práticos. Por exemplo, a lista de vulnerabilidades exploradas por intervenientes ativos pode ser consultada e transposta com o seu inventário para priorizar ações: NVD – National Vulnerability Database e CISA São bons pontos de partida.
Que uma banda como Storm‐1175 privilegie a rapidez, as cadeias de exploits e o uso de infraestrutura legítima é um lembrete de que a segurança moderna exige ritmo e disciplina. Não se trata apenas de colocar adesivos, mas sim de construir controlos que detectem anomalias no uso de ferramentas administrativas, que restrinjam o movimento lateral e permitam agir em horas, não em semanas. Num mundo onde os atacantes podem aceder a vulnerabilidades antes da sua divulgação pública, a resiliência e a resposta organizada são a melhor defesa.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...