🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O grupo de hackers patrocinado pelo Estado iraniano conhecido como MuddyWater (também conhecido como Mango Sandstorm, Seedworm e Static Kitten) foi atribuído a um ataque de ransomware no que foi descrito como uma operação de “bandeira falsa”.
Descobriu-se que o ataque, observado pelo Rapid7 no início de 2026, aproveita técnicas de engenharia social por meio do Microsoft Teams para iniciar a sequência de infecção. Embora o incidente inicialmente parecesse consistente com um grupo de ransomware como serviço (RaaS) operando sob a marca Chaos, as evidências apontam para que se tratasse de um ataque direcionado e apoiado pelo Estado que se disfarça de extorsão oportunista.
“A campanha foi caracterizada por uma fase de engenharia social de alto contato conduzida por meio do Microsoft Teams, onde os invasores utilizaram compartilhamento de tela interativo para coletar credenciais e manipular a autenticação multifator (MFA)”, disse Rapid7 em um relatório compartilhado com The Hacker News.
“Uma vez lá dentro, o grupo contornou os fluxos de trabalho tradicionais de ransomware, abrindo mão da criptografia de arquivos em favor da exfiltração de dados e da persistência de longo prazo por meio de ferramentas de gerenciamento remoto como o DWAgent.”
As descobertas indicam que a MuddyWater está tentando turvar os esforços de atribuição, confiando cada vez mais em ferramentas prontas para uso disponíveis no submundo do crime cibernético para conduzir seus ataques. Essa mudança também foi documentada por Ctrl-Alt-Intel, Broadcom, Check Point e JUMPSEC nos últimos meses, destacando o uso de CastleRAT e Tsundere pelo adversário.
Dito isto, esta não é a primeira vez que MuddyWater conduz ataques de ransomware. Em setembro de 2020, o ator da ameaça foi atribuído a uma campanha dirigida a organizações israelenses proeminentes com um carregador chamado PowGoop que implantou uma variante do ransomware Thanos com capacidades destrutivas.
Então, em 2023, a Microsoft revelou que o grupo de hackers se uniu ao DEV-1084, um ator de ameaça conhecido por usar a persona DarkBit, para conduzir ataques destrutivos sob o pretexto de implantação de ransomware. Ainda em outubro de 2025, acredita-se que os invasores tenham usado o ransomware Qilin para atingir um hospital do governo israelense.
“Neste caso, a imagem emergente era que os atacantes eram provavelmente operadores afiliados ao Irão que trabalhavam através do ecossistema criminoso cibernético, usando uma marca de ransomware criminoso e métodos associados ao mercado mais amplo de extorsão, ao mesmo tempo que serviam um objectivo estratégico iraniano”, observou a Check Point em Março.
“O uso do Qilin e a participação no seu programa de afiliados provavelmente servem não apenas como uma camada de cobertura e negação plausível, mas também como um facilitador operacional significativo, especialmente porque os ataques anteriores parecem ter aumentado as medidas de segurança e o monitoramento pelas autoridades israelenses”.
Chaos é um grupo RaaS que surgiu no início de 2025. Conhecido por seu modelo de dupla extorsão, o ator da ameaça anunciou seu programa de afiliados em fóruns de crimes cibernéticos, como RAMP e RehubCom.
Os ataques montados pela gangue do crime eletrônico aproveitam uma combinação de inundação de e-mails e vishing usando o Teams, muitas vezes se passando por pessoal de suporte de TI, para induzir as vítimas a instalar ferramentas de acesso remoto, como o Microsoft Quick Assist, e depois abusar dessa base para se aprofundar no ambiente da vítima e implantar ransomware.
“O grupo também demonstrou extorsão tripla ao ameaçar ataques distribuídos de negação de serviço (DDoS) contra a infraestrutura da vítima”, disse Rapid7. “Esses recursos são supostamente oferecidos a afiliados como parte de serviços agrupados, representando uma característica notável de seu modelo RaaS. Além disso, o Chaos foi observado aproveitando elementos de extorsão quádrupla, incluindo ameaças de contato com clientes ou concorrentes para aumentar a pressão sobre as vítimas”.
No final de março de 2026, o Chaos fez 36 vítimas em seu site de vazamento de dados, a maioria das quais localizadas nos EUA. Construção, manufatura e serviços empresariais são alguns dos setores proeminentes visados pelo grupo.
Na intrusão analisada pelo Rapid7, o agente da ameaça iniciou solicitações de bate-papo externas por meio do Teams para interagir com os funcionários e obter acesso inicial por meio de sessões de compartilhamento de tela, seguidas do uso de contas de usuários comprometidas para realizar reconhecimento, estabelecer persistência usando ferramentas como DWAgent e AnyDesk, mover-se lateralmente e exfiltrar dados. A vítima foi então contatada por e-mail para negociações de resgate.
“Enquanto conectado, o TA [ator da ameaça] executou comandos básicos de descoberta, acessou arquivos relacionados à configuração VPN da vítima e instruiu os usuários a inserir suas credenciais em arquivos de texto criados localmente”, explicou Rapid7. “Em pelo menos um caso, o TA também implantou uma ferramenta de gerenciamento remoto (AnyDesk) para facilitar ainda mais o acesso.”
O agente da ameaça também foi observado usando RDP para baixar um executável ("ms_upd.exe") de um servidor externo ("172.
Descobriu-se que o ataque, observado pelo Rapid7 no início de 2026, aproveita técnicas de engenharia social por meio do Microsoft Teams para iniciar a sequência de infecção. Embora o incidente inicialmente parecesse consistente com um grupo de ransomware como serviço (RaaS) operando sob a marca Chaos, as evidências apontam para que se tratasse de um ataque direcionado e apoiado pelo Estado que se disfarça de extorsão oportunista.
“A campanha foi caracterizada por uma fase de engenharia social de alto contato conduzida por meio do Microsoft Teams, onde os invasores utilizaram compartilhamento de tela interativo para coletar credenciais e manipular a autenticação multifator (MFA)”, disse Rapid7 em um relatório compartilhado com The Hacker News.
“Uma vez lá dentro, o grupo contornou os fluxos de trabalho tradicionais de ransomware, abrindo mão da criptografia de arquivos em favor da exfiltração de dados e da persistência de longo prazo por meio de ferramentas de gerenciamento remoto como o DWAgent.”
As descobertas indicam que a MuddyWater está tentando turvar os esforços de atribuição, confiando cada vez mais em ferramentas prontas para uso disponíveis no submundo do crime cibernético para conduzir seus ataques. Essa mudança também foi documentada por Ctrl-Alt-Intel, Broadcom, Check Point e JUMPSEC nos últimos meses, destacando o uso de CastleRAT e Tsundere pelo adversário.
Dito isto, esta não é a primeira vez que MuddyWater conduz ataques de ransomware. Em setembro de 2020, o ator da ameaça foi atribuído a uma campanha dirigida a organizações israelenses proeminentes com um carregador chamado PowGoop que implantou uma variante do ransomware Thanos com capacidades destrutivas.
Então, em 2023, a Microsoft revelou que o grupo de hackers se uniu ao DEV-1084, um ator de ameaça conhecido por usar a persona DarkBit, para conduzir ataques destrutivos sob o pretexto de implantação de ransomware. Ainda em outubro de 2025, acredita-se que os invasores tenham usado o ransomware Qilin para atingir um hospital do governo israelense.
“Neste caso, a imagem emergente era que os atacantes eram provavelmente operadores afiliados ao Irão que trabalhavam através do ecossistema criminoso cibernético, usando uma marca de ransomware criminoso e métodos associados ao mercado mais amplo de extorsão, ao mesmo tempo que serviam um objectivo estratégico iraniano”, observou a Check Point em Março.
“O uso do Qilin e a participação no seu programa de afiliados provavelmente servem não apenas como uma camada de cobertura e negação plausível, mas também como um facilitador operacional significativo, especialmente porque os ataques anteriores parecem ter aumentado as medidas de segurança e o monitoramento pelas autoridades israelenses”.
Chaos é um grupo RaaS que surgiu no início de 2025. Conhecido por seu modelo de dupla extorsão, o ator da ameaça anunciou seu programa de afiliados em fóruns de crimes cibernéticos, como RAMP e RehubCom.
Os ataques montados pela gangue do crime eletrônico aproveitam uma combinação de inundação de e-mails e vishing usando o Teams, muitas vezes se passando por pessoal de suporte de TI, para induzir as vítimas a instalar ferramentas de acesso remoto, como o Microsoft Quick Assist, e depois abusar dessa base para se aprofundar no ambiente da vítima e implantar ransomware.
“O grupo também demonstrou extorsão tripla ao ameaçar ataques distribuídos de negação de serviço (DDoS) contra a infraestrutura da vítima”, disse Rapid7. “Esses recursos são supostamente oferecidos a afiliados como parte de serviços agrupados, representando uma característica notável de seu modelo RaaS. Além disso, o Chaos foi observado aproveitando elementos de extorsão quádrupla, incluindo ameaças de contato com clientes ou concorrentes para aumentar a pressão sobre as vítimas”.
No final de março de 2026, o Chaos fez 36 vítimas em seu site de vazamento de dados, a maioria das quais localizadas nos EUA. Construção, manufatura e serviços empresariais são alguns dos setores proeminentes visados pelo grupo.
Na intrusão analisada pelo Rapid7, o agente da ameaça iniciou solicitações de bate-papo externas por meio do Teams para interagir com os funcionários e obter acesso inicial por meio de sessões de compartilhamento de tela, seguidas do uso de contas de usuários comprometidas para realizar reconhecimento, estabelecer persistência usando ferramentas como DWAgent e AnyDesk, mover-se lateralmente e exfiltrar dados. A vítima foi então contatada por e-mail para negociações de resgate.
“Enquanto conectado, o TA [ator da ameaça] executou comandos básicos de descoberta, acessou arquivos relacionados à configuração VPN da vítima e instruiu os usuários a inserir suas credenciais em arquivos de texto criados localmente”, explicou Rapid7. “Em pelo menos um caso, o TA também implantou uma ferramenta de gerenciamento remoto (AnyDesk) para facilitar ainda mais o acesso.”
O agente da ameaça também foi observado usando RDP para baixar um executável ("ms_upd.exe") de um servidor externo ("172.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #muddywater #usa #microsoft #teams #para #roubar #credenciais #em #ataque #de #ransomware #de #bandeira #falsa
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário