Grupos de ransomware como HELLCAT, Cl0p e vários coletivos de extorsão de dados arquitetaram alguns dos ataques de ransomware mais caros de 2025. O ano viu a paralisação da produção em uma grande empresa automotiva, a exposição de milhões de registros de pacientes em uma grande organização de saúde, abuso em larga escala de OAuth em um CRM em nuvem e uma campanha de zero-day contra um grande fornecedor de software empresarial e nuvem que interrompeu sistemas financeiros e de cadeia de suprimentos essenciais. Além disso, um ataque no final do ano a um distribuidor global de TI demonstrou quão rapidamente o ransomware pode desestabilizar a logística global.
Em todos esses eventos, há um fio comum: os atacantes miraram nas integrações e plataformas das quais as operações dependem, revelando fraquezas sistêmicas que se estendiam por indústrias, desde a automotiva até a de saúde.
Abaixo está um resumo cronológico dos incidentes de ransomware mais consequentes do ano, com base em dados publicamente relatados, análises da indústria e divulgações de organizações afetadas.
1. Um Grande Fabricante Automotivo (Março–Agosto de 2025)
Grupos de ransomware que assumiram a responsabilidade:
- HELLCAT (violação inicial e roubo de dados)
- Scattered Spider, Lapsus$ e ShinyHunters: um coletivo de três grupos de hackers diferentes que trabalharam em uníssono comunicando-se em plataformas online para coordenar seu ataque
Dados estimados roubados: ~350 GB
Indústria: Fabricação automotiva
Em março, o grupo de ransomware HELLCAT hackeou com sucesso um grande fabricante automotivo em duas ondas: a primeira onda viu 700 documentos internos roubados, seguida por uma segunda onda na qual 350 GB de dados sensíveis foram levados. O material roubado incluía credenciais de funcionários, dados de rastreamento, registros de desenvolvimento e código-fonte proprietário.
No final do verão, a situação se agravou. Em 31 de agosto, a empresa interrompeu as operações globais de TI para conter uma violação ativa que paralisou a produção na Índia, Eslováquia, China e Reino Unido. Nos dias que se seguiram, múltiplos grupos de ameaças assumiram publicamente a responsabilidade, criando confusão em torno da atribuição. Um coletivo recém-reformulado—Scattered Spider, Lapsus$ e ShinyHunters—afirmou no Telegram que estava por trás do ataque de 31 de agosto, zombando da empresa e ameaçando novos alvos baseados no Reino Unido. A empresa confirmou mais tarde que dados sensíveis haviam sido roubados e que o ataque forçou uma interrupção prolongada dos sistemas de fabricação e vendas.
A empresa relatou uma queda de 49% no lucro trimestral antes dos impostos, e analistas da indústria estimaram o custo total operacional e de recuperação em aproximadamente $2,5 bilhões, tornando-o “o ataque cibernético mais caro da história do Reino Unido” segundo a BBC.
2. Uma Organização de Saúde Especializada em Cuidados Renais (Agosto de 2025)
Grupo de ransomware: Interlock Ransomware
Dados estimados roubados: PHI de 2,7 milhões de pacientes
Indústria: Saúde
Em agosto, a empresa confirmou que um ataque de ransomware havia comprometido informações de saúde protegidas (PHI) de aproximadamente 2,7 milhões de pacientes, após o roubo de mais de 20 terabytes de dados, incluindo mais de 200 milhões de linhas de registros clínicos e demográficos. As informações roubadas abrangiam históricos de tratamento, detalhes de seguro, números de Seguro Social e outros identificadores de alto risco—categorias que apresentam exposição regulatória, legal e de segurança do paciente significativa.
O ataque interrompeu sistemas clínicos e forçou a empresa a ativar protocolos de contingência em sua rede nacional de centros de diálise. Embora a empresa mantenha que o atendimento ao paciente continuou, as consequências de longo prazo dos registros médicos roubados permanecem severas: os pacientes enfrentam riscos elevados de roubo de identidade e atividades fraudulentas de crédito, enquanto os prestadores de serviços de saúde podem lidar com prescrições falsificadas, históricos médicos corrompidos e problemas de integridade de registros a longo prazo.
A empresa já incorria em $13,5 milhões em custos diretos relacionados à investigação, remediação e interrupção operacional, um valor que exclui perdas por interrupção de negócios e possíveis penalidades regulatórias. O incidente também desencadeou múltiplas ações coletivas (Reid v. Davita Inc., e Jenkins et al v. DaVita), com os demandantes alegando uso indevido de dados roubados e salvaguardas inadequadas. Juntos, esses fatores intensificaram o escrutínio sobre a cibersegurança na saúde, particularmente para prestadores cujos serviços são essenciais para a sobrevivência do paciente.
3. Uma Plataforma de Dados Baseada em Nuvem (Setembro–Outubro de 2025)
Grupo de ransomware: ShinyHunters (afiliado ao ecossistema Scattered Spider / Lapsus$)
Dados estimados roubados: Quase 1 bilhão de registros de clientes em inquilinos afetados ~800 organizações
Indústria: Cloud CRM / SaaS
No início do outono, um conjunto coordenado de ataques varreu organizações que utilizavam um ecossistema de Cloud CRM bem conhecido. Os atacantes não invadiram a empresa em si; em vez disso, eles se moveram pelo terreno circundante—campanhas de vishing que convenceram funcionários a instalar uma versão maliciosa do Data Loader da empresa, e uma operação paralela que abusou de tokens OAuth roubados vinculados a uma das integrações Drift da empresa. Uma campanha atingiu 39 empresas, enquanto a atividade baseada em OAuth alcançou 760 organizações.
O grupo—operando sob nomes como Scattered Lapsus$ Hunters e ShinyHunters—afirma ter levado quase 1 bilhão de registros de clientes, incluindo grandes volumes de PII e dados de negócios vinculados ao CRM. A empresa declarou que sua plataforma não foi comprometida e que nenhuma falha em sua tecnologia central esteve envolvida.
Para os inquilinos afetados, as consequências foram medidas em milhões de dólares por organização, impulsionadas por investigações forenses, notificações a clientes e a pressão sobre os relacionamentos com os clientes. Os atacantes também experimentaram novas táticas de pressão, oferecendo aos assinantes do Telegram $10 em Bitcoin para enviar e-mails a executivos e exigir pagamento—uma tentativa incomum de ampliar o esforço de extorsão.
A campanha mostra como os atacantes se movem lateralmente identificando caminhos, integrações e ferramentas de terceiros em vez das próprias plataformas SaaS. Eles buscam acesso por portas dos fundos, onde a segurança pode não ser tão rigorosa.
4. Um Grande Fornecedor de Software Empresarial e Nuvem (Final de 2025)
Grupo de ransomware: Cl0p (com atividade vinculada aos Scattered Lapsus$ Hunters)
Dados estimados roubados: Grandes volumes de dados de ERP em várias empresas
Indústria: ERP empresarial / multi-indústria
No final de 2025, Cl0p começou a explorar CVE‑2025‑61882, uma falha de execução remota de código em um componente de Integração do BI Publisher de um grande fornecedor de software empresarial e nuvem. O bug permitiu acesso não autenticado via HTTP, dando aos atacantes um caminho direto para o motor de Processamento Concorrente da empresa. O Grupo de Inteligência de Ameaças do Google e a Mandiant observaram a exploração em 2 de outubro; a empresa emitiu um aviso e um patch em 4 de outubro. Uma segunda falha do EBS, CVE‑2025‑61884, foi corrigida dias depois.
Pesquisadores descobriram que os atacantes encadearam cinco fraquezas separadas—algumas recém-descobertas, outras corrigidas anteriormente no ano—para obter acesso pré-autenticação. Um proof-of-concept publicado pelos Scattered Lapsus$ Hunters confirmou o caminho de exploração, permitindo que múltiplos grupos de ameaças o adotassem. Uma vez dentro, Cl0p implantou um script malicioso, server.py, que atuou como um canal de comando e controle para roubo de dados e movimento lateral.
A campanha atingiu organizações nos setores de mídia, aviação, educação superior e industrial, incluindo The Washington Post, Universidade de Harvard, Envoy Air, Schneider Electric e Emerson. As vítimas receberam e-mails de extorsão—frequentemente enviados de contas de e-mail empresarial comprometidas—oferecendo “evidências” de dados de ERP roubados e instruções para pagamento.
Muitas organizações perceberam que haviam sido comprometidas apenas quando atores vinculados ao Cl0p iniciaram e-mails de extorsão referenciando dados retirados da plataforma do fornecedor de software empresarial e nuvem. Análises do Google e da Mandiant mostram que o framework de implante em múltiplas etapas dos atacantes permitiu que eles alcançassem componentes de aplicação mais profundos, incluindo BI Publisher e Processamento Concorrente—áreas que o fornecedor alerta que podem expor registros comerciais sensíveis quando acessados sem autorização.
O incidente mostrou quão rapidamente os atores de ameaça podem escalar privilégios uma vez que serviços de ERP acessíveis remotamente são expostos, permitindo interação com dados financeiros e operacionais dos quais as empresas dependem para funções diárias.
5. Um Distribuidor Global de Tecnologia (Final de 2025)
Grupo de ransomware: SafePay (ligado à atividade derivada do LockBit)
Dados estimados roubados: Dados operacionais, logísticos e relacionados a fornecedores (escopo ainda em revisão)
Indústria: Distribuição e logística global
No início de julho, um dos maiores distribuidores de tecnologia do mundo foi atingido por um ataque de ransomware que os forçou a desligar sistemas centrais em sua rede global. Os funcionários viram pela primeira vez pop-ups de nota de resgate em 3 de julho, pouco antes que os sistemas de processamento de pedidos, sites e as plataformas Xvantage e Impulse da empresa começassem a falhar. SafePay—um grupo de extorsão em rápido crescimento ligado a mais de 220 vítimas anteriores—mais tarde assumiu a responsabilidade. Relatos iniciais indicaram que os atacantes provavelmente entraram através da VPN GlobalProtect da empresa usando credenciais vazadas ou fracas, em vez de uma falha de software.
A interrupção paralisou o processamento de pedidos em todo o mundo por vários dias. Com os sistemas de atendimento fora do ar, clientes e parceiros revendedores enfrentaram acúmulos, remessas atrasadas e visibilidade limitada sobre o estoque. Fabricantes e prestadores de serviços que dependiam dos cronogramas de distribuição do provedor tiveram que mudar para distribuidores de backup ou reduzir o estoque de reserva para manter as operações em movimento. Embora a nota de resgate da SafePay afirmasse roubo de dados, não houve evidências iniciais de vazamento de registros de clientes, fornecedores ou funcionários, e a empresa continuou investigando o escopo de qualquer exposição.
O distribuidor global de TI respondeu isolando os sistemas afetados, desligando sua VPN e envolvendo equipes externas de resposta a incidentes. A empresa emitiu atualizações públicas regulares, forneceu soluções alternativas para fazer pedidos por telefone ou e-mail e estabeleceu canais de escalonamento para solicitações urgentes. A recuperação progrediu em etapas: os sites retornaram em 7 de julho, o processamento parcial de pedidos foi retomado em 8 de julho e as operações globais completas foram restauradas até 9 de julho.
Mais de 42.000 informações pessoais de clientes foram comprometidas, incluindo números de seguridade social, datas de nascimento, registros de emprego e nomes.
Embora a empresa nunca tenha divulgado um relatório formal, os custos estimados ficaram na faixa de milhões baixos a médios, impulsionados pela restauração do sistema, suporte a parceiros e o impacto operacional criado pela interrupção. Mesmo sem confirmação de exposição de dados em larga escala, o evento mostrou quão rapidamente uma intrusão de ransomware pode se espalhar por uma cadeia de suprimentos global quando as plataformas centrais de um distribuidor ficam offline.
O Que Esses Ataques Revelam Sobre Campanhas Modernas de Ransomware
Por Que Vários Grupos Reivindicam o Mesmo Ataque
Grupos de ransomware frequentemente competem por atenção, credibilidade e influência. Quando um incidente afeta um alvo de alta visibilidade (seja um grande fabricante de automóveis, uma organização de saúde especializada em cuidados renais, uma plataforma de dados baseada em nuvem, um grande provedor de software empresarial e nuvem ou um distribuidor global de tecnologia), vários grupos podem reivindicar responsabilidade. Alguns fazem isso para inflar suas reputações, outros para confundir investigadores, e alguns para pressionar as vítimas a pagarem rapidamente. Tudo faz parte da estratégia de extorsão.
Por Que as Empresas Divulgam Tão Pouco, Tão Lento
As organizações raramente têm uma visão completa de um ataque nas primeiras horas ou até dias. A exposição legal, obrigações regulatórias e o risco de divulgar informações imprecisas moldam como e quando se comunicam. Muitas empresas compartilham apenas o que podem verificar, o que muitas vezes significa detalhes limitados durante o evento e declarações cuidadosamente redigidas posteriormente. Isso cria lacunas na compreensão pública, mas reflete a realidade da resposta a incidentes: as equipes ainda estão descobrindo o que aconteceu enquanto o mundo pede respostas.
Dito isso, as corporações têm a obrigação de manter a transparência quando PHI e outros dados sensíveis de clientes foram comprometidos. As notícias não deveriam levar semanas ou meses para serem divulgadas. Empresas nos setores de saúde, SLED e serviços financeiros, especificamente, são mantidas a um padrão mais elevado por essa razão: o tipo de informação que elas possuem é especialmente vulnerável e precisa ser protegida com a melhor proteção disponível.
O Que Poderia Ter Prevenido Essas Quebras
Lacunas Arquitetônicas Que Deram Espaço aos Atacantes
Em todos os cinco incidentes, os pontos de entrada diferiram—credenciais de VPN em um distribuidor global de tecnologia, um zero-day em um grande provedor de software empresarial e nuvem, abuso de integração em um Cloud CRM, e comprometimento baseado em identidade em uma empresa de saúde especializada em cuidados renais. Mas uma vez dentro, os atacantes tiveram sucesso pelos mesmos motivos:
- Confiança implícita excessiva entre sistemas
- Backup caminhos que poderiam ser acessados ou manipulados
- Armazenamentos de dados que poderiam ser modificados ou exfiltrados
- Ambientes onde o movimento lateral era possível muito antes da detecção
Essas fraquezas transformaram pontos de apoio em quebras em larga escala.
Elementos Que Teriam Limitado o Raio de Explosão
Uma abordagem arquitetônica diferente teria mudado a trajetória de cada ataque.
- Princípios de Acesso Zero teriam encerrado o uso indevido de credenciais e os pontos de entrada da camada de integração que deram aos atacantes seu ponto de apoio.
- Segmentação entre software de backup e armazenamento de backup teria cortado os caminhos de controle dos quais os atacantes dependem, impedindo-os de alcançar ou alterar os backups mesmo após a violação dos sistemas primários.
- Zero-trust Resiliência de dados teria restringido o movimento lateral e contido a intrusão em seu ponto de entrada inicial.
- Imutabilidade Absoluta teria garantido que mesmo se os atacantes alcançassem os sistemas centrais, não pudessem alterar ou criptografar os dados dos quais as organizações dependem para se recuperar.
Essas estratégias são a diferença entre uma violação que se torna uma crise operacional de meses e uma que termina no ponto de entrada. Para entender como é um ataque de ransomware e como se preparar para ele, baixe nosso Guia de Sobrevivência ao Ransomware.
Interessado em tornar sua empresa à prova de ransomware? Fale com um de nossos Engenheiros de Vendas e agende uma demonstração hoje.
