2026-w09 - RunkIntel

# CTI Weekly - 2026-W09 > Período: 2026-02-23 a 2026-03-01 · Edição retroativa · Gerado em 2026-03-23 > Fontes primárias: Comparitech, Bitdefender, CyberMaxx, SecurityAffairs, TheHackerNews, CM-Alliance, DarkRadar, Cyfirma, Cyble, Blackfog. --- ## Sumário Executivo A semana W09/2026 registrou uma escalada dramática em operações de ransomware e vulnerabilidades críticas. A CISA adicionou múltiplas CVEs ao catálogo KEV, incluindo o [[cve-2026-20127|CVE-2026-20127]] (Cisco SD-WAN, **CVSS 10.0**) - um zero-day explorado desde 2023 pelo grupo **UAT-8616** - e o [[cve-2026-25108|CVE-2026-25108]] (Soliton FileZen, command injection com exploração ativa confirmada). O cenário de ransomware em fevereiro atingiu níveis alarmantes: **685 ataques globais** (38 confirmados), liderados pelo **Qilin** (104 ataques, 89.5 TB exfiltrados) e **The Gentlemen** (84 ataques), este último com **6 vítimas confirmadas no Brasil** - incluindo instituições educacionais como **UniFil**, **Universidade Federal de Sergipe** e **Fundação Getúlio Vargas** (esta última atacada pelo DragonForce). O setor de saúde registrou **48 ataques** (aumento de 30% sobre janeiro). O [[g0007-apt28|APT28]] foi confirmado explorando o [[cve-2026-1340|CVE-2026-1340]] (Ivanti EPMM) junto com o grupo **RomCom**, enquanto o **UNC2814** (China) operou o backdoor **GridTide** contra redes governamentais e de Telecom. Novas famílias de ransomware emergiram: **Green Blood** (Golang, dupla extorsão) e **Ndm448** (variante Makop). Para o Brasil, dados da **DarkRadar** revelaram **2.800 máquinas infectadas por infostealers** na semana, com **VIDAR** dominando (64.6%) e **133.300 contas de usuários vazadas** em 25.800 domínios. O aumento de 140% em ransomware contra o Brasil versus janeiro marca uma tendência preocupante. **Nível de ameaça geral para LATAM esta semana:** 🟥 Alto --- ## Vulnerabilidades Críticas da Semana | CVE | CVSS | Produto | Exploração | CISA KEV | Ação | |-----|------|---------|------------|----------|------| | [[cve-2026-20127\|CVE-2026-20127]] | **10.0** | Cisco SD-WAN | Zero-day ativa (UAT-8616, desde 2023) | ✅ | **Patch imediato** | | [[cve-2026-25108\|CVE-2026-25108]] | Alto | Soliton FileZen | Ativa (command injection) | ✅ | **Patch imediato** | | [[cve-2026-1603\|CVE-2026-1603]] | 8.6 | Ivanti EPM | Ativa (auth bypass) | ✅ | **Patch EPM 2024 SU5** | | [[cve-2026-1340\|CVE-2026-1340]] | Crítico | Ivanti EPMM | Ativa (APT28 + RomCom) | ✅ | **Patch imediato** | | [[cve-2025-26399\|CVE-2025-26399]] | 9.8 | SolarWinds Serv-U | Ativa (RCE desserialização) | ✅ | **Patch imediato** | | [[cve-2026-24423\|CVE-2026-24423]] | Alto | SmarterMail | Ativa (ransomware delivery) | ✅ | Patch imediato | ### CVE em Destaque: [[cve-2026-20127|CVE-2026-20127]] - Cisco SD-WAN Authentication Bypass (CVSS 10.0) O [[cve-2026-20127|CVE-2026-20127]] é uma vulnerabilidade de **bypass de autenticação** no Cisco SD-WAN que afeta deployments on-prem, cloud e FedRAMP. Com CVSS 10.0, a falha permite que um atacante não autenticado obtenha acesso administrativo, encadeável para acesso root completo ao sistema. O grupo de ameaças **UAT-8616** explorou esta vulnerabilidade como **zero-day desde 2023** - mais de dois anos antes da divulgação pública. A CISA estabeleceu prazo federal de remediação até 26 de fevereiro. A gravidade é agravada pela ubiquidade do SD-WAN em redes corporativas: organizações que dependem de Cisco SD-WAN para conectividade entre filiais e data centers estão potencialmente comprometidas há anos. > [!danger] Ação Recomendada > Aplicar patch Cisco SD-WAN imediatamente (todas as versões on-prem, cloud e FedRAMP). Auditar logs de autenticação retroativos desde 2023 para indicadores de comprometimento. Considerar re-key de credenciais administrativas e tokens de API. --- ## Ransomware - Fevereiro 2026 ### Estatísticas Globais | Métrica | Valor | |---------|-------| | Ataques totais reclamados | 685-1.194 | | Ataques confirmados | 38 | | Dados exfiltrados | 89.5 TB | | Setor saúde | 48 ataques (+30% vs janeiro) | | EUA | 333 ataques | | Brasil | 24+ ataques (+140% vs janeiro) | ### Grupos Mais Ativos | Grupo | Ataques | Destaque | |-------|---------|----------| | **Qilin** | 104 (5 confirmados) | 89.5 TB exfiltrados; possível suporte norte-coreano | | **The Gentlemen** | 84 (5 confirmados) | BYOVD com ThrottleStop.sys; **6 vítimas no Brasil** | | **0APT** | 458 reclamados | RaaS; números provavelmente inflados | | **Green Blood** | Novo | Golang, dupla extorsão, auto-destruição pós-criptografia | | **DragonForce** | Ativo | Atingiu FGV no Brasil | ### Vítimas LATAM Confirmadas | Vítima | País | Setor | Grupo | |--------|------|-------|-------| | **UniFil** (Centro Universitário Filadélfia) | Brasil | Educação | The Gentlemen | | **Universidade Federal de Sergipe** | Brasil | Educação | The Gentlemen | | **Fundação Getúlio Vargas** | Brasil | Educação | DragonForce | | **Instituto Nacional de Derechos Humanos** | Chile | Governo | The Gentlemen | | **Graneles de Chile S.A.** | Chile | Logística | Qilin | | **CONPET S.A.** | Brasil | Transporte | Qilin | --- ## Campanhas e Threat Actors ### UAT-8616 - Cisco SD-WAN Zero-Day (CVSS 10.0) Grupo de ameaças não atribuído públicamente que explorou o [[cve-2026-20127|CVE-2026-20127]] como zero-day desde 2023. A cadeia de ataque: 1. Auth bypass no SD-WAN → acesso admin 2. Escalação para root 3. Persistência na infraestrutura de rede ### [[g0007-apt28|APT28]] (Fancy Bear) + RomCom - Ivanti EPMM O [[g0007-apt28|APT28]] foi confirmado explorando o [[cve-2026-1340|CVE-2026-1340]] no Ivanti EPMM (code injection/RCE) junto com o grupo **RomCom**: - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application|T1190]] - Exploração do EPMM - [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter|T1059]] - Code injection para RCE - Alvo: infraestrutura de gerenciamento de endpoints corporativos ### UNC2814 (China) - GridTide O grupo chinês **UNC2814** operou o backdoor **GridTide** contra redes governamentais e de Telecom - espionagem persistente com exfiltração periódica. --- ## Malware Emergente | Malware | Tipo | Detalhes | |---------|------|----------| | **Green Blood** | Ransomware (Golang) | Dupla extorsão, desabilita VSS, wipes backups, auto-destruição pós-criptografia | | **Ndm448** | Ransomware (Makop variant) | Criptografia completa local + rede, IDs únicos por vítima | | **PromptSpy** | Android RAT | Usa IA generativa para persistência, VNC remote control | | **GhostRAT Loader** | Loader/RAT | Infecção staged, download de GhostRAT Windows Trojan | | **GridTide** | Espionagem backdoor | UNC2814 (China), redes gov/telecom | | **Dohdoor** | Backdoor | C2 via DNS-over-HTTPS em ambientes cloud | --- ## LATAM / Brasil > [!danger] Brasil sob Ataque: Ransomware e Infostealers em Escalada ### Ransomware contra Educação Brasileira O setor educacional brasileiro foi duramente atingido: - **UniFil** (Centro Universitário Filadélfia) - The Gentlemen - **Universidade Federal de Sergipe** - The Gentlemen - **Fundação Getúlio Vargas** - DragonForce A concentração de ataques no setor educacional reflete a vulnerabilidade de universidades brasileiras: orçamentos limitados para segurança, ampla superfície de ataque, e dados sensíveis de estudantes e pesquisa. ### Infostealers: DarkRadar Brasil (Semana 8) | Métrica | Valor | |---------|-------| | Máquinas infectadas | 2.800 | | Dispositivos Android infectados | 1.400 | | Contas de funcionários vazadas | 496 | | Contas de usuários vazadas | 133.300 | | Domínios afetados | 25.800 | **Famílias dominantes:** - **VIDAR** - 64.6% (maioria absoluta) - **LUMMAC** - 8.0% - **MACSYNC STEALER** - 7.1% ### México Em 28 de fevereiro, sistemas governamentais mexicanos foram **comprometidos usando código gerado por IA (Claude)** para automação, causando exposição de dados e interrupções de serviço. ### Perspectiva 2026 para o Brasil - Ransomware +45% vs 2025 - Malware gerado por IA +47% - Risco crescente de ataques à cadeia de suprimentos - Preocupação com deepfakes para interferência eleitoral (outubro 2026) - BCB/CMN: novas regulamentações de cibersegurança para instituições financeiras (vigentes desde dez/2025) --- ## TTPs em Destaque ### [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application|T1190]] - Exploração de Aplicações Expostas Cisco SD-WAN, Ivanti EPM/EPMM, SolarWinds Serv-U, SmarterMail - todas as adições ao CISA KEV desta semana compartilham o mesmo vetor: **exploração de aplicações de gerenciamento expostas à internet**. Este TTP continua sendo o caminho #1 de acesso inicial para ransomware e APTs em 2026. **Detecção:** - Inventariar TODAS as interfaces de gerenciamento expostas à internet - Implementar Zero Trust: nenhuma interface admin sem VPN/MFA - Monitorar tentativas de autenticação anômalas em SD-WAN, EPM, email servers - Alertar sobre criação de contas admin ou mudanças de privilégio --- ## Recomendações 1. ⏫ **Patch Cisco SD-WAN** - CVE-2026-20127 (CVSS 10.0) explorado desde 2023 por UAT-8616 2. ⏫ **Patch Ivanti EPM/EPMM** - CVE-2026-1603 e CVE-2026-1340 sob exploração de APT28 e RomCom 3. ⏫ **Patch SolarWinds Serv-U** - CVE-2025-26399 (CVSS 9.8) no CISA KEV 4. 🔼 **Brasil: reforçar defesas no setor educacional** - 3 universidades brasileiras atacadas em fevereiro 5. 🔼 **Monitorar infostealers** - VIDAR domina no Brasil (64.6%); 133K contas vazadas na semana 6. 🔼 **Auditar SD-WAN retroativamente** - UAT-8616 explorou zero-day por 2+ anos 7. 🔼 **Atualizar detecções** - Green Blood (Golang), PromptSpy (Android), GhostRAT Loader com zero VT detections 8. 🔽 **México: monitorar uso de IA em ataques** - precedente de automação via LLM contra sistemas governamentais --- ## Referências 1. Comparitech - [Ransomware Roundup February 2026](https://www.comparitech.com/news/ransomware-roundup-february-2026/) 2. Bitdefender - [Threat Debrief March 2026](https://www.bitdefender.com/en-us/blog/businessinsights/bitdefender-threat-debrief-march-2026) 3. TheHackerNews - Cisco SD-WAN CVE-2026-20127 Advisory 4. SecurityAffairs - CISA KEV Tracking (Feb 23-Mar 1, 2026) 5. CyberMaxx - [Weekly Advisory Feb 25, 2026](https://cybermaxx.com) 6. CM-Alliance - [February 2026 Cyber Attacks](https://www.cm-alliance.com/cybersecurity-blog/february-2026-recent-cyber-attacks-data-breaches-ransomware-attacks) 7. DarkRadar - Brazil Infostealers Weekly Report (Week 8) 8. Cyfirma - Weekly Intelligence Reports (Feb 20, Feb 27, 2026) 9. Cyble - [Weekly Vulnerability Report Feb 19](https://cyble.com) 10. Blackfog - [State of Ransomware February 2026](https://www.blackfog.com/the-state-of-ransomware-february-2026/) 11. HelpNetSecurity - [Soliton FileZen CVE-2026-25108](https://www.helpnetsecurity.com/) --- --- *Próximo: [[2026-w10|W10]] · Anterior: [[2026-w08|W08]] · Arquivo: [[_weekly|Todas as edições]] · [[_feed|Feed CTI]]*