Barracuda full logo

Radar de Ameaças SOC — maio de 2025

Tópicos:
8 mai. 2025
|
Eric Russo

Durante o último mês, as soluções de segurança do Barracuda Managed XDR, a inteligência de ameaças e os analistas do SOC identificaram desenvolvimentos que as organizações devem estar cientes, incluindo:

  • Um aumento de 38% nos ataques direcionados aos serviços VPN do FortiGate Firewall
  • Um aumento de 26% nas tentativas de exfiltração de dados
  • Um aumento de 47% na deteção de malware "empacotado"
  • Avisos de segurança para as vulnerabilidades CrushFTP e Next.js

Um aumento de 38% nos ataques direcionados aos serviços VPN do FortiGate Firewall

O que está por trás disto?

Analistas de ameaças do SOC viram centenas de ataques a tentar explorar as amplamente relatadas vulnerabilidades do FortiGate Firewall nos últimos dois meses, com atores de ameaças a visar túneis VPN mal protegidos para acesso inicial em organizações.

Qual é o risco?

As falhas do FortiGate permitem que os atacantes contornem a autenticação para obter privilégios administrativos completos em dispositivos vulneráveis. Isto pode permitir que os atacantes alterem as definições do firewall, criem contas de administrador maliciosas, acedam a redes internas, entre outras ações. Para a vítima, o ataque pode resultar em violações de dados, danos reputacionais, multas regulatórias e ataques de ransomware, como o recentemente publicado RansomHub ficheiro de caso SOC.

Estou exposto?

  • As organizações podem estar em risco se tiverem firewalls FortiGate em funcionamento, mas ainda não tiverem totalmente atualizado o software conforme recomendado pela Fortinet.
  • Outro fator de risco é a falta de medidas de autenticação multifator (MFA) robustas — e consistentemente aplicadas — especialmente em contas de VPN que são acessíveis externamente.
  • Uma força de trabalho remota ou distribuída pode significar uma maior dependência de serviços de VPN, que são um alvo popular para atacantes. Quanto mais colaboradores, contratantes e outros puderem conectar-se à rede a partir de fora do perímetro principal de segurança, maior será a superfície de ataque para os agentes de ameaças.

Ação a tomar

  • Mantenha os sistemas e software atualizados com as mais recentes atualizações de segurança.
  • Impor a utilização de MFA para acesso VPN — torna mais difícil para os atacantes obter acesso, mesmo que tenham comprometido com sucesso as credenciais de utilizador, por exemplo, através de um phishing ou ataque de força bruta.
  • Implemente políticas de geofencing ou de acesso condicional para permitir apenas conexões VPN de locais autorizados onde a sua organização realiza negócios.
  • Instale defesas abrangentes e em camadas com visibilidade integrada e ampliada.
  • Barracuda Managed XDR funcionalidades como inteligência de ameaças, Resposta Automática a Ameaças, e a integração de soluções mais amplas, como XDR Server Security, XDR Network Security e XDR Cloud Security, proporcionam proteção abrangente e podem reduzir drasticamente o tempo de permanência.

Um aumento de 26% em tentativas de exfiltração de dados

O que está por trás disto?

No último mês, os analistas de ameaças do SOC observaram um aumento de 26% nas atividades de exfiltração de dados à medida que os atores de ameaças se concentram cada vez mais em roubar dados sensíveis ou confidenciais em vez de os encriptar, extorquindo dinheiro das vítimas para evitar o vazamento ou a venda das informações.

Qual é o risco?

  • A remoção de dados sensíveis pode significar a perda de propriedade intelectual valiosa e vantagem competitiva, impacto financeiro, danos reputacionais, violações de dados, multas regulatórias e mais.
  • A exfiltração de dados é frequentemente implementada utilizando medidas avançadas e furtivas, como compressão, esteganografia (ocultação de conteúdo em ficheiros de texto, áudio, vídeo ou imagem), tunelização (uso de um canal privado sobre uma rede pública) ou movimentação de dados de forma discreta e lenta para utilizar largura de banda mínima e parecer tráfego normal. Estas ações podem dificultar a deteção de transferências de dados não autorizadas por parte das ferramentas de segurança tradicionais.
  • A exfiltração de dados também pode ser realizada por pessoas internas, como empregados ou contratantes, que possam ter acesso legítimo a informações sensíveis.
  • Ataques de phishing e engenharia social podem enganar funcionários desatentos a apoiar inadvertidamente a exfiltração de dados ao partilhar ou mover ficheiros confidenciais, por exemplo.
  • Os atacantes também podem usar backdoors que instalaram ou explorar vulnerabilidades para contornar defesas e exfiltrar dados sem serem detetados.

Estou exposto?

  • Proteção de rede fraca e configurações de segurança mal configuradas — especialmente para ativos baseados na nuvem — podem facilitar a saída de informações da rede por parte dos atacantes.
  • A falta de um inventário atualizado de ferramentas e aplicações pode ser um risco também. Os atacantes muitas vezes instalam ou utilizam ferramentas legítimas para mover dados através e para fora da rede. É importante saber quais aplicações e ferramentas estão a ser utilizadas pelos funcionários, para que estão a usar as ferramentas e se existem anomalias.
  • As falhas de software não corrigidas são um alvo principal para atacantes que procuram instalar ferramentas maliciosas, como portas traseiras.
  • A falta de formação em sensibilização para a segurança para os colaboradores pode significar que é mais provável que caiam em esquemas de phishing e partilhem informações sensíveis ou confidenciais quando solicitados.

Ação a tomar

  • Implemente controlos rigorosos para limitar o acesso a dados sensíveis.
  • Defina controlos adicionais para monitorizar e controlar as transferências de dados para dentro e fora da empresa.
  • Educar os funcionários sobre como identificar phishing e proteger dados sensíveis.
  • Segmentar redes e implementar medidas de segurança de confiança zero para limitar a capacidade de intrusos indesejados de aceder aos seus dados mais sensíveis.
  • A Segurança de Endpoint XDR e a Segurança de Rede XDR podem proteger sistemas ao detetar e mitigar atividade anómala associada a atacantes que tentam mover dados para fora da rede.

Um aumento de 47% na deteção de malware "empacotado"

O que está por trás disto?

Os analistas de ameaças do SOC identificaram um uso crescente de malware “packed” — código malicioso que foi comprimido ou encriptado para evitar deteção. Os exemplos vistos pelos analistas do SOC eram ficheiros executáveis ou binários empacotados com UPX (Ultimate Packer for eXecutables).

Qual é o risco?

Embora o número total de deteções seja relativamente baixo, os analistas de ameaças do SOC esperam que o uso de malware empacotado aumente.

  • Isto é impulsionado pela ampla disponibilidade de ferramentas de embalagem automatizadas que facilitam a criação de código malicioso oculto, mesmo para atacantes menos experientes.
  • Ataques de ransomware muitas vezes envolviam malware empacotado para manter a carga útil de encriptação final oculta até estar pronta para ser executada.
  • As ferramentas de segurança tradicionais podem ter dificuldades em detectar malware empacotado, uma vez que o código malicioso é mantido oculto.

Estou exposto?

  • Uma força de trabalho remota ou distribuída dependente de VPNs e ativos significativos baseados na nuvem pode aumentar o número de potenciais pontos de acesso vulneráveis e subprotegidos que os atacantes podem visar.

Ação a tomar

  • Implemente proteção avançada de endpoints, como Barracuda Managed XDR Cloud Security.
  • Mantenha os sistemas e software atualizados com as mais recentes atualizações de segurança.
  • Implemente MFA para acesso VPN — isso dificulta o acesso por parte de atacantes, mesmo que tenham conseguido comprometer as credenciais de um utilizador, por exemplo, através de um ataque de phishing ou de força bruta.
  • Verifique continuamente e corrija as configurações incorretas nas definições dos serviços em nuvem.
  • Utilize a segmentação de rede para limitar o acesso a áreas sensíveis da rede.
  • Implemente defesas abrangentes e em camadas com visibilidade integrada e ampliada.

Outras atividades de ameaça atuais a ter em atenção

Vulnerabilidade crítica no CrushFTP

CrushFTP é um sistema de transferência de ficheiros multiplataforma, concebido tanto para utilizadores domésticos como para organizações. Em abril, foi reportada uma vulnerabilidade crítica que permite que atacantes contornem a autenticação e acedam ao servidor de transferência de ficheiros sem credenciais, onde podem potencialmente manipular ficheiros, exfiltrar dados e interromper serviços. Um exploit de prova de conceito foi publicado antes que a vulnerabilidade fosse amplamente corrigida. Os atores de ameaça rapidamente aproveitaram a oportunidade — e analistas de ameaças de SOC e outros viram a vulnerabilidade ser explorada em campo por atacantes.

Ação a tomar

Atualize o CrushFTP imediatamente para uma versão corrigida, e verifique a sua configuração do CrushFTP, incluindo senhas, permissões de utilizador e direitos de acesso ao servidor.

Para mais informações

Aviso de Ameaça de Cibersegurança da Barracuda: Vulnerabilidade crítica do CrushFTP

Vulnerabilidade crítica no Next.js

Next.js é uma framework para construir aplicações web e websites rápidos e amigáveis ao utilizador. A vulnerabilidade crítica recentemente reportada permite aos atacantes contornar verificações de autorização no "middleware" do Next.js — código que controla o acesso a certas partes de uma aplicação. A exploração bem-sucedida do bug dá aos atacantes acesso a áreas restritas de uma aplicação web sem as devidas permissões, permitindo-lhes manipular dados, alterar configurações ou comprometer a integridade da aplicação.

Ação a tomar

Atualize o Next.js e todas as suas dependências para a última versão e implemente controlos robustos de acesso e autenticação.

Para mais informações

Aviso de Ameaça de Cibersegurança Barracuda: Vulnerabilidade crítica no Next.js

Como o Barracuda Managed XDR pode ajudar a sua organização

Barracuda Managed XDR oferece proteção avançada contra as ameaças identificadas neste relatório, combinando tecnologia de ponta com supervisão especializada do SOC. Com inteligência de ameaças em tempo real, respostas automatizadas e uma equipa SOC disponível 24/7/365, Barracuda Managed XDR garante proteção abrangente e proativa em toda a sua rede, nuvem, email, servidores e endpoints, dando-lhe a confiança para se manter à frente das ameaças em evolução.

Para mais informações sobre como podemos ajudar, por favor entre em contacto com Barracuda Managed XDR

Agende a sua demonstração do Managed XDR
Eric Russo

Eric Russo é Diretor de Segurança Defensiva do SOC na Barracuda.

Artigos Relacionados:
Coming soon: Your chance to take on the hacker’s role
Coming soon: Your chance to take on the hacker’s role
 Defense wins championships: What sports teach us about cybersecurity
Defense wins championships: What sports teach us about cybersecurity
 Barracuda Managed XDR: Saving time, empowering users and fighting AI with AI
Barracuda Managed XDR: Saving time, empowering users and fighting AI with AI
 Radar de Ameaças do SOC — Outubro de 2025
Radar de Ameaças do SOC — Outubro de 2025

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.