_timeline - RunkIntel

# Timeline - Eventos CTI > [!abstract] Registro Cronológico de Inteligência > Esta seção documenta os **eventos mais significativos da cibersegurança** em ordem cronológica - ataques supply chain, exploração de zero-days, operações de espionagem estatal, campanhas de ransomware e crimes financeiros digitais. Cada evento possui nota detalhada com atores, CVEs, técnicas e impacto. > > **27 eventos documentados** | **10 anos indexados** | Cobertura: **2014 a 2026** | Categorias: 8 | Foco regional: LATAM/Brasil --- ## Navegar por Ano | Ano | Eventos | Destaque | |-----|---------|----------| | [[_2026\|2026]] | 6 | Trivy Supply Chain, DarkSword iOS, Wave Android Brasil | | [[_2025\|2025]] | 3 | Bybit Heist, Ivanti Exploitation | | [[_2024\|2024]] | 3 | Change Healthcare, TOTVS/BlackByte | | [[_2023\|2023]] | 3 | MOVEit, Citrix Bleed | | [[_2022\|2022]] | 2 | Conti Leaks, LAPSUS$ | | [[_2021\|2021]] | 2 | Colonial Pipeline, Log4Shell | | [[_2020\|2020]] | 3 | SolarWinds, FireEye | | [[_2019\|2019]] | 2 | Baltimore Ransomware | | [[_2018\|2018]] | 1 | Cambridge Analytica | | [[_2017\|2017]] | 2 | WannaCry, NotPetya | --- ## O que a História nos Ensina Cada evento desta timeline gerou mudanças fundamentais em como defendemos redes. Estas são as lições que moldaram as defesas atuais: | Evento | Ano | Lição Principal | Defesa Resultante | |--------|-----|----------------|-------------------| | WannaCry | 2017 | Patching de emergência salva organizações inteiras | Programas de patch management com SLA por severidade | | NotPetya | 2017 | Supply chain é vetor de destruição massiva | Segmentação de rede + backup offline obrigatório | | SolarWinds | 2020 | Software confiável pode ser o vetor de ataque | Zero trust + verificação de integridade de builds | | Colonial Pipeline | 2021 | Ransomware pode paralisar infraestrutura crítica | Separação IT/OT + planos de continuidade operacional | | Log4Shell | 2021 | Uma dependência pode comprometer a internet inteira | SBOM + monitoramento de dependências transitivas | | Conti Leaks | 2022 | Ransomware opera como empresa organizada | Inteligência sobre grupos RaaS + TTPs específicos | | MOVEit | 2023 | MFT é alvo de alto valor para extorsão em massa | Auditoria de ferramentas de transferência + zero-day readiness | | Citrix Bleed | 2023 | Appliances de borda são o novo perímetro de ataque | Monitoramento contínuo de VPNs e firewalls | | Change Healthcare | 2024 | Um único ponto de falha pode derrubar setor inteiro | Diversificação de fornecedores críticos + DR testado | | Bybit Heist | 2025 | DeFi/cripto são alvos de estado-nação (Lazarus) | Controles de custódia + MFA em hot wallets | | Trivy Supply Chain | 2026 | CI/CD é superfície de ataque crítica | Pin por SHA em GitHub Actions + rotação de secrets | > [!tip] Padrão recorrente > A cada 2-3 anos, um novo vetor de ataque se torna dominante: phishing (2017) - supply chain (2020) - edge devices (2023) - CI/CD (2026). O próximo vetor provavelmente será **AI/LLM pipelines** ou **identidade federada**. --- ## Cronologia Visual Principal ```mermaid timeline title Eventos CTI - 2014 a 2026 section 2014–2016 2014 : Sony Pictures Hack : Lazarus Group destrói infraestrutura 2015 : Industroyer / Apagão Ucraniano : Sandworm ataca grid elétrico 2016 : DNC Hack : APT28 compromete partido americano section 2017 2017-05 : WannaCry (Lazarus) : 200k+ sistemas em 150 países - NHS paralisado 2017-06 : NotPetya (Sandworm) : US$ 10B em danos - wiper, não ransomware section 2018–2019 2018-03 : Cambridge Analytica : 87M usuários Facebook - privacidade como vetor 2019-05 : Baltimore Ransomware : RobbinHood - prefeitura paralisada US$ 18M 2019-12 : TrickBot + Ryuk Hospitais : Primeira morte potencialmente vinculada a ransomware section 2020 2020-07 : Twitter Hack (Bitcoin Scam) : 130 contas VIP - engenharia social pura 2020-12 : FireEye Breach : Descoberta do SolarWinds 2020-12 : SolarWinds Supply Chain (APT29) : 18.000 organizações via Orion trojanizado section 2021 2021-05 : Colonial Pipeline (DarkSide) : US$ 4,4M resgate - escassez de combustível EUA 2021-12 : Log4Shell (CVE-2021-44228) : CVSS 10.0 - bilhões de dispositivos section 2022 2022-02 : Conti Leaks : 60K mensagens - radiografia de um grupo RaaS 2022-03 : LAPSUS$ Microsoft/Nvidia/Samsung : Adolescentes - engenharia social sem zero-day section 2023 2023-01 : Royal Mail LockBit : Correios UK - US$ 80M de resgate recusado 2023-05 : MOVEit Zero-Day (Cl0p) : 2.700+ orgs, 94M+ pessoas - extorsão sem ransomware 2023 : Citrix Bleed (LockBit) : Bypass de MFA global section 2024 2024-02 : Change Healthcare (ALPHV) : US$ 22M pago - exit scam do grupo 2024-09 : TOTVS BlackByte : Maior ERP do Brasil comprometido 2024 : PAN-OS Zero-Day : UTA0218 explora Palo Alto 2024 : FortiJump (CVE-2024-47575) : FortiManager mass exploitation section 2025 2025 : Ivanti Connect Secure : CISA ED 25-01 emitida 2025 : Bybit Heist (Lazarus) : US$ 1,5B em ETH roubados 2025 : Ransomware Brasil recorde Q4 : +50% ataques, 85% via VPN section 2026 2026 : VENON Banking Trojan : Rust, 33 bancos, PIX 2026 : Trivy Supply Chain (Lazarus) : DevSecOps tool comprometida 2026 : Veeam Exploitation (LockBit) : Destruição de backups 2026 : Cisco FMC Zero-Day : CVSS 10.0, CISA KEV 2026 : DarkSword iOS Exploit Chain : 6 zero-days, spyware comercial 2026 : Wave Android Bancária Brasil : 6 famílias malware, PIX e Open Banking ``` --- ## Timelines por Categoria > [!example]- Espionagem e Operações Estatais > ```mermaid > timeline > title Espionagem e Operações Estatais > section Rússia > 2016 : DNC Hack (APT28) > : Interferência eleitoral EUA > 2020 : SolarWinds (APT29) > : 18.000 orgs comprometidas > section Coreia do Norte > 2014 : Sony Pictures (Lazarus) > : Destruição de infraestrutura > 2019 : Operation DreamJob (Lazarus) > : Engenharia social - defesa e aero > 2026 : Trivy Supply Chain (Lazarus) > : Comprometimento de tool DevSecOps > section China (suspeito) > 2025 : Ivanti Exploitation (UNC5337) > : CISA ED 25-01 > section Spyware Comercial > 2026 : DarkSword iOS (UNC6353/PARS Defense) > : 6 zero-days - LATAM e Oriente Médio > ``` > > Grupos estatais priorizam **acesso persistente** a infraestrutura crítica e espionagem de longo prazo. O [[g0032-lazarus-group]] se destaca pela versatilidade - operando tanto em espionagem quanto em crimes financeiros para financiar o regime norte-coreano. O surgimento de novos atores de spyware comercial como a [[PARS Defense]] indica proliferação dessas capacidades além do ecossistema NSO Group/Pegasus. > [!example]- Ransomware e Extorsão > ```mermaid > timeline > title Ransomware e Extorsão > section Pioneiros > 2017 : WannaCry (Lazarus) > : Primeiro worm-ransomware global > 2017 : NotPetya (Sandworm) > : Wiper disfarçado de ransomware > section Municípios e Saúde > 2019 : Baltimore RobbinHood > : US$ 18M - custo 235x o resgate > 2019 : TrickBot + Ryuk Hospitais > : Primeira morte vinculada a ransomware > section Infraestrutura Crítica > 2021 : Colonial Pipeline (DarkSide) > : US$ 4,4M resgate - gasoduto EUA paralisado > 2023 : Royal Mail (LockBit) > : Correios UK - 6 semanas offline > section Extorsão via Zero-Day > 2023 : MOVEit (Cl0p) > : Extorsão pura - sem criptografia > 2024 : Change Healthcare (ALPHV) > : US$ 22M - exit scam do grupo > section Onda 2024–2026 > 2024 : TOTVS (BlackByte) > : Maior ERP do Brasil > 2025 : Ransomware Brasil Q4 > : Recorde - +50% ataques > 2026 : Veeam Exploitation (LockBit) > : Destruição de backups antes do ransomware > 2026 : Cisco FMC (Interlock) > : CVSS 10.0 zero-day ransomware > ``` > > A evolução do ransomware mostra sofisticação crescente: de worms automatizados (WannaCry) para ataques a infraestrutura crítica com impacto físico (Colonial Pipeline), extorsão sem criptografia (Cl0p/MOVEit) e destruição preventiva de backups (Veeam 2026). O Brasil é alvo prioritário desde Q4 2024, com a TOTVS como marco do risco sistêmico nacional. > [!example]- Engenharia Social e Insiders > ```mermaid > timeline > title Engenharia Social como Vetor Principal > section Manipulação de Dados > 2018 : Cambridge Analytica > : 87M usuários sem exploits técnicos > section Comprometimento de Plataformas > 2020 : Twitter Hack > : 130 contas VIP via help desk > section Jovens e Engenharia Social > 2022 : LAPSUS$ Microsoft/Samsung > : Adolescentes recrutam insiders > ``` > > Três dos eventos mais impactantes da timeline não utilizaram nenhuma vulnerabilidade técnica: Cambridge Analytica (APIs legítimas), Twitter Hack (vishing de funcionários) e LAPSUS$ (recrutamento de insiders). O padrão aponta para uma superfície de ataque frequentemente subestimada: **pessoas e processos**, não apenas código. > [!example]- Crimes Financeiros Digitais > ```mermaid > timeline > title Crimes Financeiros - Foco LATAM > section DPRK / Lazarus > 2025 : Bybit Heist > : US$ 1,5B em ETH - recorde histórico > section Cibercrime Brasileiro - Windows > 2026 : VENON Banking Trojan > : Rust + 33 bancos + PIX > section Cibercrime Brasileiro - Mobile > 2026 : Wave Android Bancária > : 6 famílias malware + Open Banking > ``` > > O cenário financeiro digital é dominado por dois perfis: o [[g0032-lazarus-group]] (escala global, crypto) e atores brasileiros de cibercrime focados no sistema bancário nacional via PIX. O [[venon-banking-campaign-2026]] representa uma nova geração com adoção de Rust, enquanto a [[wave-android-bancaria-2026]] eleva o risco mobile com exploração de Open Banking. > [!example]- Supply Chain Attacks > ```mermaid > timeline > title Comprometimento de Cadeia de Suprimentos > section Software Enterprise > 2017 : NotPetya via M.E.Doc (Sandworm) > : Software contábil ucraniano - US$ 10B > 2020 : SolarWinds Orion (APT29) > : Backdoor SUNBURST - 18.000 orgs > section File Transfer > 2023 : MOVEit Transfer (Cl0p) > : Zero-day em MFT - 2.700+ orgs > section ERP e Vendors Críticos > 2024 : TOTVS (BlackByte) > : 50.000 clientes expostos > section Open-Source Security Tools > 2026 : Trivy (Lazarus) > : Scanner de vuln comprometido > ``` > > Ataques supply chain representam a ameaça mais sofisticada e de maior impacto. A progressão de NotPetya/M.E.Doc (software contábil) para SolarWinds (enterprise) para MOVEit (file transfer) para TOTVS (ERP nacional) e Trivy (ferramenta de segurança) mostra expansão contínua dos alvos ao longo de uma década. --- ## Paralelismo de Campanhas ```mermaid gantt title Campanhas e Operações em Paralelo dateFormat YYYY-MM axisFormat %Y section Espionagem Volt Typhoon (China) :active, 2021-01, 2026-03 Salt Typhoon (China) :active, 2023-08, 2026-03 UNC5337 / Ivanti :active, 2024-12, 2025-03 DarkSword iOS (UNC6353) :crit, 2026-02, 2026-03 section Ransomware TrickBot + Ryuk Hospitals :crit, 2019-10, 2021-06 Conti RaaS :active, 2020-01, 2022-06 LockBit RaaS :2019-09, 2024-02 Cl0p Extortion Ops :active, 2021-01, 2026-03 ALPHV BlackCat :active, 2021-11, 2024-03 Interlock Ransomware :active, 2025-06, 2026-03 section LATAM Financial Grandoreiro :active, 2017-01, 2026-03 Blind Eagle (APT-C-36) :active, 2018-04, 2026-03 VENON Banking Trojan :active, 2026-01, 2026-03 Wave Android Bancária :crit, 2026-03, 2026-03 section Supply Chain SolarWinds (APT29) :crit, 2020-03, 2020-12 MOVEit (Cl0p) :crit, 2023-05, 2023-08 Trivy / CanisterWorm :crit, 2026-01, 2026-03 ``` > [!info] Leitura do Diagrama > Campanhas marcadas em vermelho representam eventos de supply chain ou operações de alto impacto concentrado. Barras contínuas indicam operações ativas de longa duração. Note como múltiplas campanhas de espionagem, ransomware e cibercrime financeiro operam simultaneamente - o cenário real de ameaças é sempre multi-ator e multi-vetor. --- ## Eventos por Ano ### 2026 > [!danger] Ano em Andamento - Q1 2026 apresenta intensidade elevada | Data | Evento | Tipo | Atores | Impacto | |------|--------|------|--------|---------| | Mar | **[[2026-03-darksword-ios-exploit-chain\|DarkSword iOS Exploit Chain]]** | Espionagem | [[UNC6353]] / [[PARS Defense]] | 6 zero-days iOS, spyware comercial, jornalistas e ativistas LATAM | | Mar | **[[2026-03-wave-android-bancaria-brasil\|Wave Android Bancária Brasil]]** | Financial Crime | Cibercrime BR | 6 famílias malware Android, PIX + Open Banking, 2,3M dispositivos expostos | | Mar | **[[2026-03-cisco-fmc-zero-day\|Cisco FMC Zero-Day]]** | Zero-Day | [[Interlock Ransomware]] | CVSS 10.0, CISA KEV, 36 dias de zero-day | | Fev | **[[2026-02-veeam-ransomware-exploitation\|Veeam Ransomware Wave]]** | Ransomware | [[lockbit]] | Destruição de backups em massa antes de ransomware | | Jan | **[[2026-01-trivy-supply-chain\|Trivy Supply Chain]]** | Supply Chain | [[g0032-lazarus-group]] | Tool DevSecOps comprometida globalmente | | Jan | **[[2026-01-venon-banking-trojan\|VENON Banking Trojan]]** | Financial Crime | Cibercrime BR | Rust, 33 bancos, PIX, 9 evasion techniques | ### 2025 > [!warning] Ano marcado por ransomware recorde no Brasil e o maior crypto heist da história | Data | Evento | Tipo | Atores | Impacto | |------|--------|------|--------|---------| | Q4 | **[[2025-q4-ransomware-brasil\|Ransomware Brasil Recorde]]** | Ransomware | [[lockbit]], [[cl0p]] | +50% ataques, 85% via VPN, agro como novo alvo | | Fev | **[[2025-02-bybit-heist\|Bybit Heist]]** | Financial Crime | [[g0032-lazarus-group]] | US$ 1,5B em ETH - maior roubo crypto da história | | Jan | **[[2025-01-ivanti-exploitation\|Ivanti Connect Secure]]** | Zero-Day | UNC5337 (nexo-China) | CISA ED 25-01, diretiva emergêncial | ### 2024 | Data | Evento | Tipo | Atores | Impacto | |------|--------|------|--------|---------| | Set | **[[2024-09-totvs-blackbyte\|TOTVS BlackByte]]** | Ransomware | [[s1180-blackbyte-ransomware]] | Maior ERP do Brasil comprometido; 50.000 clientes em risco | | Out | **[[2024-10-fortinet-fortimanager\|FortiJump - FortiManager]]** | Zero-Day | Desconhecido | CVE-2024-47575, CVSS 9.8, configs e creds exfiltradas | | Fev | **[[2024-02-change-healthcare\|Change Healthcare - ALPHV]]** | Ransomware | [[alphv-blackcat]] | US$ 22M pago; exit scam; 190M registros médicos expostos | | Abr | PAN-OS Zero-Day (CVE-2024-3400) | Zero-Day | UTA0218 | Firewalls Palo Alto comprometidos globalmente | ### 2023 | Data | Evento | Tipo | Atores | Impacto | |------|--------|------|--------|---------| | Out | **[[2023-10-citrix-bleed\|Citrix Bleed]]** | Zero-Day | [[lockbit]] | CVE-2023-4966, bypass MFA, hospitais e governo | | Mai | **[[2023-05-moveit\|MOVEit Transfer]]** | Zero-Day | [[cl0p]] | 2.700+ orgs, 94M+ pessoas - maior exploração em massa da história | | Jan | **[[2023-01-royal-mail\|Royal Mail - LockBit]]** | Ransomware | [[lockbit]] | Correios UK offline 6 semanas; US$ 80M de resgate recusado | ### 2022 | Data | Evento | Tipo | Atores | Impacto | |------|--------|------|--------|---------| | Mar | **[[2022-03-lapsus-microsoft\|LAPSUS$ Microsoft/Nvidia/Samsung]]** | Engenharia Social | [[lapsus-group]] | Código-fonte Windows roubado; adolescentes BR e UK | | Fev | **[[2022-02-conti-leaks\|Conti Leaks]]** | Ransomware / Exposição | [[s0575-conti-ransomware]] | 60K mensagens vazadas; radiografia de grupo RaaS | ### 2021 | Data | Evento | Tipo | Atores | Impacto | |------|--------|------|--------|---------| | Dez | **[[2021-12-log4shell\|Log4Shell]]** | Vulnerability | [[g0096-apt41]], [[g0032-lazarus-group]], Múltiplos | CVSS 10.0, bilhões de dispositivos, exploração por APTs em 72h | | Mai | **[[2021-05-colonial-pipeline\|Colonial Pipeline]]** | Ransomware | [[darkside-ransomware]] | US$ 4,4M resgate, escassez combustível EUA 6 dias | ### 2020 | Data | Evento | Tipo | Atores | Impacto | |------|--------|------|--------|---------| | Dez | **[[2020-12-solarwinds\|SolarWinds SUNBURST]]** | Supply Chain | [[g0016-apt29]] | 18.000 orgs, backdoor SUNBURST, EO 14028 resultante | | Dez | **[[2020-12-fireeye-breach\|FireEye Breach]]** | Supply Chain | [[g0016-apt29]] | Red team tools roubadas; descoberta do SolarWinds | | Jul | **[[2020-07-twitter-hack\|Twitter Hack - Bitcoin Scam]]** | Engenharia Social | Twitter Hackers 2020 | 130 contas VIP via vishing; US$ 120K BTC roubados | ### 2019 | Data | Evento | Tipo | Atores | Impacto | |------|--------|------|--------|---------| | Dez | **[[2019-12-trickbot-ryuk-hospital\|TrickBot + Ryuk - Hospitais]]** | Ransomware | [[g0102-conti-group]], [[ryuk-ransomware]] | Hospitais EUA/EU offline; primeira morte vinculada a ransomware | | Mai | **[[2019-05-baltimore-ransomware\|Baltimore RobbinHood]]** | Ransomware | [[robbinhood-ransomware]] | Prefeitura paralisada 5 semanas; US$ 18M de dano | ### 2018 | Data | Evento | Tipo | Atores | Impacto | |------|--------|------|--------|---------| | Mar | **[[2018-03-cambridge-analytica\|Cambridge Analytica / Facebook]]** | Data Breach | [[cambridge-analytica]] | 87M usuários sem consentimento; LGPD catalisada no Brasil | ### 2017 | Data | Evento | Tipo | Atores | Impacto | |------|--------|------|--------|---------| | Jun | **[[2017-06-notpetya\|NotPetya]]** | Wiper | [[g0034-sandworm]] (Rússia) | US$ 10B em danos globais, wiper via supply chain M.E.Doc | | Mai | **[[2017-05-wannacry\|WannaCry]]** | Ransomware | [[g0032-lazarus-group]] | 200.000+ sistemas em 150 países, NHS Reino Unido paralisado | ### 2014–2016 | Data | Evento | Tipo | Atores | Impacto | |------|--------|------|--------|---------| | 2016 | DNC Hack | Espionagem | APT28 (Rússia) | Interferência eleitoral EUA 2016 | | 2015 | Industroyer / Apagão Ucraniano | ICS Attack | Sandworm (Rússia) | Primeiro ataque cibernético a grid elétrico | | 2014 | Sony Pictures Hack | Destruição | [[g0032-lazarus-group]] | Destruição de infraestrutura corporativa | --- ## Eventos Recentes (2026) > [!danger] DarkSword iOS Exploit Chain - Março 2026 > **6 zero-days encadeados no iOS** explorados pelo spyware comercial da [[PARS Defense]], operado pelo cluster [[UNC6353]]. Jornalistas, ativistas e diplomatas no **Brasil, México e Argentina** foram comprometidos via ataque zero-click - sem qualquer interação do usuário. A Apple lançou iOS 19.4 em resposta emergencial. > > Nota detalhada: [[2026-03-darksword-ios-exploit-chain]] > [!danger] Wave Android Bancária Brasil - Março 2026 > **6 famílias de malware Android** operando simultaneamente contra o sistema bancário brasileiro - [[GoPIX-v3]], [[PixGrabber]], [[BrasDex-v2]], [[NuStealer]], [[CaixaDropper]] e [[OpenBankHook]]. Primeira onda documentada a explorar **Open Banking** via interceptação de tokens OAuth. Estimativa: **2,3 milhões de dispositivos expostos**. Febraban ativou protocolo de resposta colaborativa entre bancos. > > Nota detalhada: [[2026-03-wave-android-bancaria-brasil]] --- ## Mapa de Intensidade - 2026 | | Jan | Fev | Mar | Abr | Mai | Jun | Jul | Ago | Set | Out | Nov | Dez | |---|---|---|---|---|---|---|---|---|---|---|---|---| | **Eventos** | 2 | 1 | 3 | | | | | | | | | | > [!tip] Legenda de Intensidade por Trimestre > > | Trimestre | Nível | Eventos | Principais Ameaças | > |-----------|-------|---------|---------------------| > | Q1 2026 | Crítico | 6 | DarkSword iOS, Wave Android, Cisco FMC zero-day, Veeam ransomware, Trivy supply chain, VENON trojan | > | Q2 2026 | - | - | Em monitoramento | > | Q3 2026 | - | - | Em monitoramento | > | Q4 2026 | - | - | Em monitoramento | --- ## Distribuição por Categoria ```mermaid pie title Eventos por Categoria (2014–2026) "Ransomware" : 10 "Zero-Day Exploitation" : 6 "Supply Chain" : 5 "Engenharia Social" : 3 "Financial Crime" : 4 "Espionagem" : 4 "Vulnerability Disclosure" : 2 "ICS/Wiper" : 2 "Data Breach" : 1 ``` --- ## Atores Mais Recorrentes > [!note] Grupos com maior presença na timeline | Ator | Eventos | Categorias | Período | |------|---------|------------|---------| | [[g0032-lazarus-group]] | 5 | Financial Crime, Supply Chain, Ransomware, Espionagem | 2014–2026 | | [[lockbit]] | 4 | Ransomware | 2023–2026 | | [[cl0p]] | 2 | Ransomware, Extorsão | 2023–2025 | | [[g0016-apt29]] | 3 | Supply Chain, Espionagem | 2020 | | [[g0034-sandworm]] | 2 | ICS Attack, Wiper, Supply Chain | 2015–2017 | | [[g0102-conti-group]] | 2 | Ransomware / Healthcare | 2019–2022 | | [[s0575-conti-ransomware]] | 1 | RaaS / Exposição | 2022 | | [[alphv-blackcat]] | 1 | Ransomware / Healthcare | 2024 | | [[s1180-blackbyte-ransomware]] | 1 | Ransomware / LATAM | 2024 | | [[lapsus-group]] | 1 | Engenharia Social | 2022 | | APT28 | 1 | Espionagem | 2016 | | [[darkside-ransomware]] | 1 | Ransomware / Infraestrutura Crítica | 2021 | | [[UNC6353]] | 1 | Espionagem / Spyware Comercial | 2026 | | Cibercrime BR | 2 | Financial Crime | 2026 | --- ## Últimos Eventos Adicionados %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", date AS "Data", event-category AS "Categoria", impact AS "Impacto" FROM "_intel/timeline" WHERE type = "cti-event" SORT date DESC LIMIT 10 ``` %%   | Nota | Data | Categoria | Impacto | | ----------------------------------------------------------------------------------------------------------------- | ---- | ------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | [[2017-05-wannacry\|WannaCry - 2017]] | \- | ransomware | US$ 4 bilhões em danos globais; 200.000+ sistemas em 150 países | | [[2017-06-notpetya\|NotPetya - 2017]] | \- | wiper | US$ 10 bilhões em danos globais - maior wiper da história | | [[2018-03-cambridge-analytica\|Cambridge Analytica - Escandalo de Dados Facebook - 2018]] | \- | data-breach | Dados de 87 milhões de usuários do Facebook coletados sem consentimento; crise de privacidade global; GDPR catalisado | | [[2019-05-baltimore-ransomware\|Baltimore Ransomware - RobbinHood - 2019]] | \- | ransomware | Sistemas da prefeitura de Baltimore paralisados por 5 semanas; custo estimado de US$ 18 milhoes; servicos municipais desativados | | [[2019-12-trickbot-ryuk-hospital\|TrickBot Ryuk Hospital Attacks - 2019]] | \- | ransomware | Dezenas de hospitais americanos e europeus criptografados; registros de pacientes inacessiveis; cirurgias canceladas; primeira morte atribuida a ransomware documentada em 2020 | | [[2020-07-twitter-hack\|Twitter Hack - Bitcoin Scam via Engenharia Social - 2020]] | \- | social-engineering | 130 contas de alto perfil comprometidas via engenharia social interna; US$ 120 mil em Bitcoin arrecadados; 3 jovens presos | | [[2020-12-fireeye-breach\|FireEye Breach - Descoberta do SolarWinds - 2020]] | \- | supply-chain-compromise | Ferramentas de red team da FireEye roubadas; investigação interna levou a descoberta do maior ataque supply chain da historia | | [[2020-12-solarwinds\|SolarWinds SUNBURST - 2020]] | \- | supply-chain-compromise | 18.000+ organizações afetadas; agências do governo dos EUA comprometidas | | [[2021-05-colonial-pipeline\|Colonial Pipeline - 2021]] | \- | ransomware | US$ 4,4 milhões de resgaté pago; escassez de combustível no leste dos EUA por 6 dias | | [[2021-12-log4shell\|Log4Shell - 2021]] | \- | vulnerability-disclosure | CVSS 10.0 - bilhões de dispositivos expostos; exploração massiva em 72 horas |  --- ## Eventos Históricos Fundamentais (Pré-2024) > [!note] Registro completo dos marcos históricos que moldaram a cibersegurança moderna | Data | Evento | Tipo | Atores | Impacto | |------|--------|------|--------|---------| | Set 2024 | **[[2024-09-totvs-blackbyte\|TOTVS BlackByte]]** | Ransomware | [[s1180-blackbyte-ransomware]] | Maior ERP do Brasil; 50.000 clientes expostos; risco sistêmico nacional | | Fev 2024 | **[[2024-02-change-healthcare\|Change Healthcare]]** | Ransomware | [[alphv-blackcat]] | US$ 22M pago; 190M registros médicos; exit scam do ALPHV | | Jan 2023 | **[[2023-01-royal-mail\|Royal Mail LockBit]]** | Ransomware | [[lockbit]] | Correios UK offline 6 semanas; negociação pública de US$ 80M | | Mai 2023 | **[[2023-05-moveit\|MOVEit Transfer]]** | Zero-Day | [[cl0p]] | 2.700+ orgs, 94M+ pessoas - maior exploração em massa da história, extorsão sem ransomware | | Mar 2022 | **[[2022-03-lapsus-microsoft\|LAPSUS$ Microsoft]]** | Engenharia Social | [[lapsus-group]] | Código-fonte Windows/Azure; adolescentes BR e UK; sem zero-day | | Fev 2022 | **[[2022-02-conti-leaks\|Conti Leaks]]** | RaaS Exposed | [[s0575-conti-ransomware]] | 60K mensagens; estrutura corporativa criminosa exposta | | Mai 2021 | **[[2021-05-colonial-pipeline\|Colonial Pipeline]]** | Ransomware | [[darkside-ransomware]] | US$ 4,4M resgate, escassez de combustível EUA 6 dias, EO 14028 | | Dez 2021 | **[[2021-12-log4shell\|Log4Shell]]** | Vulnerability | [[g0096-apt41]], [[g0032-lazarus-group]], Múltiplos | CVSS 10.0, RCE universal Java, bilhões de dispositivos | | Dez 2020 | **[[2020-12-fireeye-breach\|FireEye Breach]]** | Supply Chain | [[g0016-apt29]] | Red team tools roubadas; descoberta do SolarWinds | | Jul 2020 | **[[2020-07-twitter-hack\|Twitter Hack]]** | Engenharia Social | Twitter Hackers | 130 contas VIP via vishing; adolescentes presos | | Dez 2020 | **[[2020-12-solarwinds\|SolarWinds SUNBURST]]** | Supply Chain | [[g0016-apt29]] | 18.000 orgs, backdoor SUNBURST, agências governo EUA comprometidas | | Dez 2019 | **[[2019-12-trickbot-ryuk-hospital\|TrickBot+Ryuk Hospitais]]** | Ransomware | [[g0102-conti-group]] | Primeira morte vinculada a ransomware; NHS e hospitais EUA | | Mai 2019 | **[[2019-05-baltimore-ransomware\|Baltimore RobbinHood]]** | Ransomware | [[robbinhood-ransomware]] | US$ 18M em danos; custo 235x o valor do resgate | | Mar 2018 | **[[2018-03-cambridge-analytica\|Cambridge Analytica]]** | Data Breach | [[cambridge-analytica]] | 87M usuários Facebook; LGPD catalisada no Brasil | | Jun 2017 | **[[2017-06-notpetya\|NotPetya]]** | Wiper | [[g0034-sandworm]] | US$ 10B em danos - wiper via supply chain M.E.Doc | | Mai 2017 | **[[2017-05-wannacry\|WannaCry]]** | Ransomware | [[g0032-lazarus-group]] | 200.000+ sistemas em 150 países, NHS Reino Unido paralisado | --- ## Navegação > [!tip] Explore outras seções do RunkIntel > > [[_groups|Threat Actors]] | [[_vulnerabilities|Vulnerabilidades]] | [[_campaigns|Campanhas]] | [[_techniques|Técnicas MITRE]] | [[_malware|Malware]] | [[_playbooks|Playbooks]] | [[_sectors|Setores]] | [[readme|Home]] --- *Cada evento possui nota detalhada com análise completa de atores, CVEs, técnicas MITRE ATT&CK e impacto operacional. Clique nos links para navegar pelo grafo de inteligência.* --- **Navegação:** [[readme|Hub]] · [[_feed|Feed]] · [[guide-learning|Aprender]] · [[guide-analyst|Analista]] · [[sources|Fontes]] · [[subscribe|Assinar]]