O verão de 2025 não foi apenas quente; foi implacável.
O ransomware atingiu hospitais, gigantes do varejo sofreram violações de dados, seguradoras foram atingidas por phishing e atores de estados-nação lançaram campanhas disruptivas.
De carregadores furtivos do PowerShell a explorações de dia zero do SharePoint, os invasores mantiveram os defensores em seus calcanhares.
Este relatório detalha os incidentes de maior impacto da temporada e o que as equipes de segurança precisam fazer antes que a próxima onda chegue.
Summer expõe o crescente risco de ransomware na área da saúde
Os hospitais não podem se dar ao luxo de ficar inativos, e os invasores sabem disso.
Neste verão, os grupos de ransomware visaram a saúde, explorando o valor dos dados do paciente e a urgência do atendimento.
Interlock surge como uma grande ameaça à saúde nos EUA
Um comunicado conjunto de 22 de julho de 2025 da CISA, FBI e HHS destacou Bloqueio como uma grande ameaça ao setor de Saúde e Saúde Pública (HPH). O grupo está ligado a cerca de 14 incidentes somente em 2025, com um terço afetando apenas os profissionais de saúde.
O que diferencia o Interlock é o uso de “Correção de arquivo“, um inicializador do PowerShell que oculta scripts mal-intencionados por trás de caminhos de arquivo chamariz. Ele engana os usuários para que executem cargas úteis por meio do Explorador de Arquivos, ignorando as detecções de segurança típicas.
O ransomware Rhysida teve como alvo outro centro de saúde dos EUA
Em 8 de julho de 2025, o Rhysida O grupo de ransomware supostamente vazou dados confidenciais do Florida Hand Center, incluindo imagens médicas, carteiras de motorista e formulários de seguro.
A clínica, que atende pacientes em Punta Gorda, Port Charlotte e Fort Myers, foi dada apenas sete dias para responder antes da liberação.
Qilin recicla manual do Aranha Dispersa em onda de violações de saúde
Em junho de 2025, Qilin tornou-se o grupo de ransomware mais ativo, registrando 81 vítimas, 52 deles no setor de saúde.
O grupo explorou vulnerabilidades Fortinet não corrigidas (CVE-2024-21762 e CVE-2024-55591) para obter acesso, implantar ransomware e exfiltrar dados confidenciais, como EHRs e registros de seguro.
Para maximizar a pressão, Qilin foi além da criptografia, aproveitando táticas de extorsão com temas legais como um “Ligue para o advogado” e ferramentas de negociação automatizadas para gerar pagamentos mais rápidos.
Grandes marcas violadas na onda de crimes cibernéticos no varejo
O setor de varejo não conseguiu escapar da onda de ataques cibernéticos que varreu o verão de 2025.
Louis Vuitton marca terceiro em um trimestre
Em 2 de julho de 2025, a Louis Vuitton UK sofreu uma violação de dados expondo informações de contato do cliente e histórico de compras, sua terceira violação da marca LVMH em três meses depois da Dior e da LV Korea.
Dias depois, em 10 de julho, a polícia do Reino Unido prendeu quatro suspeitos ligados a ataques de alto perfil à M&S, Co-op e Harrods.
O grupo está supostamente ligado a Aranha Dispersa, um agente de ameaças domésticas conhecido por engenharia social e colaboração com operadores de ransomware como DragonForce, sinalizando o crescente impacto dos cibercriminosos locais nos principais varejistas.
DragonForce chega à rede de varejo americana Belk
Entre 7 e 11 de maio de 2025, do outro lado do Atlântico, Carolina do Norte, a varejista Belk sofreu uma violação de dados.
Força do Dragão reivindicou a responsabilidade, afirmando que exfiltrou 156 GB de dados de clientes e funcionários, incluindo nomes, números de previdência social, e-mails, históricos de pedidos e arquivos de RH, que foram posteriormente postados em seu site de vazamento depois que as negociações de resgate pararam.
O DragonForce, surgido pela primeira vez no final de 2023, opera como um cartel de ransomware como serviço, listando aproximadamente 136 vítimas até março de 2025, muitas das quais estão em organizações de varejo dos EUA e do Reino Unido.
As táticas da Scattered Spider mudaram do varejo para o seguro
O Scattered Spider (UNC3944), um coletivo cibercriminoso nativo de língua inglesa, usou engenharia social centrada em identidade, phishing de voz, fadiga de MFA, representação de help-desk e domínios typosquatted para violar varejistas do Reino Unido (M&S, Co-op, Harrods) em Abril–Maio 2025.
Em meados de junho de 2025, os pesquisadores sinalizaram que a Scattered Spider (UNC3944) havia mudado do varejo para as seguradoras dos EUA.
-
Aflac detectou e conteve acesso não autorizado em 12 de junho de 2025; cliente e funcionário dados pessoais (incluindo SSNs, alegações de saúde) podem ter sido comprometidos.
-
Companhias de seguros de Erie e Filadélfia também relataram interrupções cibernéticas semelhantes no início de meados de junho, resultando em tempo de inatividade operacional.
As invasões corresponderam ao perfil tático conhecido do Scattered Spider, embora nenhum ransomware tenha sido implantado e os sistemas permaneceram operacionais.
Atividade cibernética geopolítica e patrocinada pelo Estado
Nem todas as ameaças cibernéticas neste verão foram sobre dinheiro.
Hackers e hacktivistas de estados-nação também deixaram sua marca, usando o clima geopolítico turbulento para lançar ataques.
-
14 a 17 de junho de 2025: O grupo hacktivista pró-Israel Predatory Sparrow atingiu o Bank Sepah do Irã, interrompendo os serviços bancários, depois destruiu ~ US$ 90 milhões em criptomoedas ao violar o Nobitex e enviar tokens para queimar carteiras.
-
30 de junho de 2025: O Departamento de Segurança Interna dos EUA e a CISA emitiram um alerta conjunto de alerta de iminente Retaliação cibernética iraniana visando infraestrutura crítica nos EUA e na Europa.
Esses incidentes servem como um lembrete gritante de que o conflito cibernético é agora uma extensão da linha de frente da tensão geopolítica, que pode se espalhar muito além das fronteiras e setores.
Principais vulnerabilidades que ganham atenção do público
Várias vulnerabilidades do Microsoft SharePoint foram exploradas neste verão em uma campanha generalizada de espionagem cibernética conhecida como ToolShell.
-
CVE-2025-53770 é uma falha crítica de execução remota de código que permite que invasores não autenticados executem código arbitrário em servidores vulneráveis do SharePoint no local. Os agentes de ameaças o usaram para implantar web shells, roubar credenciais e mover-se lateralmente pelas redes corporativas. A CISA adicionou o bug ao seu KEV catálogo em 20 de julho de 2025.
-
CVE-2025-49704 e CVE-2025-49706 também foram adicionados ao KEV em 22 de julho depois de ser abusado em ataques encadeados. O par permite o desvio de autenticação e a injeção de código, permitindo que os invasores explorem sistemas SharePoint não corrigidos, mesmo que correções anteriores tenham sido aplicadas.
A campanha ToolShell teve como alvo organizações nos EUA, Europa e Oriente Médio, incluindo agências governamentais, empresas de energia e provedores de telecomunicações.
Pesquisadores de segurança dizem que os invasores provavelmente fizeram engenharia reversa das correções do Patch Tuesday de julho da Microsoft para desenvolver o desvio usado no CVE-2025-53770.
O que tirar dos incêndios florestais de verão na segurança cibernética?
De hospitais a gigantes do varejo e seguradoras a estados-nação, a temporada expôs rachaduras até mesmo nos ambientes mais fortificados.
Veja o que as equipes de segurança devem fazer a seguir.
Patch como sua vida depende disso, porque eles fazem em setores críticos.
Comece com entradas CISA KEV e CVEs de alta gravidade, mas não pare por aí. Faça a pergunta mais difícil: Você é o tipo de alvo que os invasores perseguem?
Validar se cada CVE é realmente explorável em seu ambiente.
Concentre-se nas cadeias de exploração, não apenas nas pontuações. É isso que os adversários estão fazendo.
Fortaleça a identidade como seu novo perímetro.
A engenharia social funcionou melhor do que o malware neste verão. Interrompa os ataques de fadiga de MFA, reforce a verificação do suporte técnico e limite o acesso privilegiado.
Treine seus humanos, porque eles eram o ponto de violação.
Scatter Spider e outros não exploraram um CVE; eles exploraram uma pessoa. Execute simulações regulares, atualize cenários de phishing e prepare funções de alto risco para iscas do mundo real.
Fique atento ao que acontece após o acesso inicial.
Agentes de ameaças como Interlock e Qilin não apenas abandonaram o ransomware; eles se moviam lateralmente, preparavam dados e evitavam a detecção. Implemente o monitoramento comportamental para técnicas, como abuso do PowerShell, roubo de credenciais e exfiltração furtiva.
Não ignore os sistemas legados e a infraestrutura negligenciada.
Não ignore os sistemas legados e a infraestrutura negligenciada. A campanha ToolShell explorada servidores SharePoint locais sem patch, muitos executando versões não suportadas ou desatualizadas.
Seja o SharePoint local antigo, dispositivos ou equipamentos legados não monitorados, isole o que você não pode atualizar, monitore o que não pode ser corrigido e substitua o que você ignorou.
Sugerimos fortemente simular os ataques mencionados para testar a eficácia de seus controles de segurança contra ataques cibernéticos da vida real usando a Plataforma de Validação de Segurança Picus.
Você também pode testar suas defesas contra centenas de outros malware e campanhas de exploração, como Medusa, Rhysida e Black Basta, em poucos minutos com um Teste gratuito de 14 dias da plataforma Picus.
Patrocinado e escrito por Segurança Picus.