2026-w12 - RunkIntel

# CTI Weekly - 2026-W12 > Período: 2026-03-16 a 2026-03-22 · Edição #1 · Gerado em 2026-03-22 > Fontes primárias: BleepingComputer, TheHackerNews, HelpNetSecurity, SecurityWeek, Securelist, eSentire, CISA KEV, CTIR Gov, Cyberinfos, CYFIRMA, Red Piranha. --- ## Sumário Executivo A semana W12/2026 foi dominada por duas tendências de alto impacto: a exploração ativa do [[cve-2026-20131|CVE-2026-20131]], uma vulnerabilidade de desserialização crítica (CVSS 10.0) no Cisco Secure Firewall Management Center (FMC) pelo grupo [[Interlock Ransomware]], e o ciclo de **Patch Tuesday da Microsoft** com 84 CVEs - 8 classificados como críticos, incluindo falhas de RCE sem interação do usuário no Microsoft Office e SharePoint. A CISA adicionou ao menos sete vulnerabilidades ao catálogo KEV entre os dias 16 e 22 de março, com destaque para o CVE-2026-20131 (prazo federal: 22/03) e o [[cve-2026-26114|CVE-2026-26114]] no SharePoint (prazo: 23/03). No cenário de ameaças estatais, grupos iraniani vinculados ao MOIS - especialmente [[g0069-mango-sandstorm|MuddyWater]] com sua campanha **Operation Olalampo** e o wiper **DinDoor** - e ao IRGC - com [[cyberav3ngers|CyberAv3ngers]] contra OT/ICS e [[g1044-apt42|APT42]] em phishing acadêmico - mantiveram operações ativas durante toda a semana. O impacto da Stryker Corporation (200 mil+ sistemas apagados por [[void-manticore|Void Manticore]]) continuou reverberando, com investigações forenses em andamento e implicações regulatórias sob a SEC. Para o Brasil e LATAM, a semana foi marcada pela emissão do **Alerta 21/2026 do CTIR Gov** sobre o [[cve-2026-20131|CVE-2026-20131]] em appliances Cisco FMC amplamente implantados na região, pela prisão de uma quadrilha de fraude PIX em Pernambuco ("Operação PIX de Papel") e pela continuidade das atividades do [[s0531-grandoreiro|Grandoreiro]] contra o setor bancário brasileiro. O Brasil ocupa o 4º lugar em detecções de ameaças na América Latina, com média de 2.803 ataques por organização por semana - acima da média global. **Nível de ameaça geral para LATAM esta semana:** 🟥 Alto --- ## Vulnerabilidades Críticas da Semana | CVE | CVSS | Produto | Exploração | CISA KEV | Ação | |-----|------|---------|------------|----------|------| | [[cve-2026-20131\|CVE-2026-20131]] | 10.0 | Cisco FMC | Zero-day ativa (Interlock) | ✅ 19/03 | **Patch imediato** | | [[cve-2026-26114\|CVE-2026-26114]] | Crítico | Microsoft SharePoint | Divulgada | ✅ 19/03 | **Patch imediato** | | [[cve-2026-21992\|CVE-2026-21992]] | 9.8 | Oracle Identity Manager | Não confirmada | ❌ | Patch planejado | | [[cve-2026-21385\|CVE-2026-21385]] | Crítico | Qualcomm GPU / Android | Zero-day ativa | ❌ | Patch imediato | | [[cve-2026-26110\|CVE-2026-26110]] | Crítico | Microsoft Office | Divulgada (Preview Pane) | ❌ | Patch planejado | | [[cve-2026-26113\|CVE-2026-26113]] | Crítico | Microsoft Office | Divulgada (Preview Pane) | ❌ | Patch planejado | | [[cve-2026-26144\|CVE-2026-26144]] | Crítico | Microsoft Excel | Divulgada | ❌ | Monitorar | ### CVE em Destaque: [[cve-2026-20131|CVE-2026-20131]] - Cisco FMC Desserialização RCE O [[cve-2026-20131|CVE-2026-20131]] é uma vulnerabilidade de desserialização insegura (CWE-502) na interface de gerenciamento web do **Cisco Secure Firewall Management Center (FMC)**, com CVSS 10.0 - o nível máximo. A falha permite que um atacante remoto não autenticado envie objetos Java maliciosos serializados via requisições HTTP especialmente criadas, resultando em execução de código arbitrário com privilégios de **root**, sem necessidade de autenticação ou interação do usuário. O grupo [[Interlock Ransomware]] explorou esta vulnerabilidade como **zero-day desde 26 de janeiro de 2026** - 36 dias antes da divulgação pública em 4 de março. As cadeias de ataque observadas seguem o padrão: requisição HTTP maliciosa → callback outbound para válidação → download de binário ELF → implantação de [[rat-interlock|RAT Interlock]] e scripts PowerShell de enumeração → movimentação lateral com proxies reversos. O [[Interlock Ransomware]] opera com modelo de **dupla extorsão** e tem como alvos confirmados setores de educação, saúde e governo. A **CISA adicionou o CVE-2026-20131 ao catálogo KEV em 19/03/2026** com prazo federal de remediação de 22/03/2026. O **CTIR Gov emitiu o Alerta 21/2026** alertando organizações brasileiras sobre esta vulnerabilidade, com destaque para a ampla base instalada de appliances Cisco FMC no setor financeiro, governo e Telecom brasileiro. **Versões afetadas:** Cisco FMC versões 6.4.0 a 10.0.0 (séries múltiplas). Verificar advisory Cisco SA-20260304-FMC para lista completa. **Mitigação imediata:** - Aplicar patch Cisco imediatamente (disponível desde 04/03/2026) - Restringir acesso à interface de gerenciamento FMC apenas a IPs de gestão confiáveis - Monitorar logs de acesso à interface web por callbacks HTTP anômalos e conexões de saída incomuns - Verificar presença de binários ELF e scripts PowerShell não autorizados nos sistemas gerenciados **Referências:** [eSentire](https://www.esentire.com/security-advisories/cisco-vulnerability-CVE-2026-20131-exploited-by-interlock), [HelpNetSecurity](https://www.helpnetsecurity.com/2026/03/20/cisco-fmc-interlock-ransomware-CVE-2026-20131/), [TheHackerNews](https://thehackernews.com/2026/03/interlock-ransomware-exploits-cisco-fmc.html), [CTIR Gov Alerta 21/2026](https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendações/alertas/2026/alerta-21-2026) **Ver também:** [[Interlock Ransomware]] · [[financial]] · [[government]] · [[telecom|Telecom]] --- ### Microsoft Patch Tuesday - Março 2026 O **Patch Tuesday de março de 2026** corrigiu **84 CVEs**, com 8 classificados como críticos. Destaques: - **[[cve-2026-26110|CVE-2026-26110]] e [[cve-2026-26113|CVE-2026-26113]]** (Microsoft Office): RCE via **Preview Pane** - sem necessidade de abrir o arquivo, apenas visualizar no Outlook dispara a execução. Classificados como críticos. - **[[cve-2026-26114|CVE-2026-26114]]** (Microsoft SharePoint): Desserialização RCE - adicionado ao CISA KEV com prazo federal de 23/03/2026. - **[[cve-2026-26144|CVE-2026-26144]]** (Microsoft Excel): Divulgação de informações permitindo exfiltração de dados via **Copilot Agent** sem interação do usuário - implicações para ambientes com Microsoft 365 Copilot habilitado. **Ação:** Priorizar deploy do Patch Tuesday para organizações com Microsoft Office, SharePoint e Cisco FMC expostos. --- ### [[cve-2026-21992|CVE-2026-21992]] - Oracle Identity Manager (CVSS 9.8) Vulnerabilidade crítica de execução remota não autenticada via HTTP no Oracle Identity Manager / Web Services Manager. Divulgada fora do ciclo regular em março de 2026. Exploração ativa ainda não confirmada, mas CVSS 9.8 e vetor de ataque via rede sem autenticação tornam o risco extremamente elevado. Organizações com Oracle IDM expostos devem priorizar patching. --- ### [[cve-2026-21385|CVE-2026-21385]] - Qualcomm GPU / Android (Zero-day) Vulnerabilidade crítica no driver GPU Qualcomm em dispositivos Android, explorada como zero-day antes do patch de março. Incluída no **Google Android Security Bulletin de março de 2026** (129 CVEs corrigidos). Impacto: dispositivos Android com chips Qualcomm em versões anteriores ao patch de março. **Ver também:** [[telecom|Telecom]] · [[financial]] (apps bancários Android) --- ## Campanhas e Atividade APT ### [[g0069-mango-sandstorm|MuddyWater]] - [[operation-olalampo|Operation Olalampo]] (MOIS Iraniano) O [[g0069-mango-sandstorm|MuddyWater]] (MITRE G0069, também conhecido como Static Kitten / Seedworm / MERCURY), vinculado ao **MOIS iraniano**, manteve infraestrutura ativa durante toda a semana com o malware **[[dindoor]]**, uma nova variante baseada no runtime **Deno.js** (JavaScript). A operação, denominada **Operation Olalampo**, comprometeu alvos estratégicos incluindo um banco americano, um aeroporto dos EUA, uma organização sem fins lucrativos canadense e uma empresa de defesa israelense. **Inovação técnica desta semana:** O [[g0069-mango-sandstorm|MuddyWater]] implementou rotação de C2 via **contratos Ethereum** - específicamente o contrato `0x2B77671c` - usando blockchain como infraestrutura de comando e controle descentralizada ([[t1102-web-service|T1102 - Web Service]]). O C2 "Tsundere" foi confirmado ativo em 16/03 via nmap/curl/Shodan no IP `185.236.25.119`, identificado pelo fingerprint único "Tsundere Netto". WebSocket sobre HTTPS também foi observado como canal de C2 ([[t1071-001-web-protocols|T1071.001 - Web Protocols]]). **TTPs observadas:** [[t1102-web-service|T1102 - Web Service]] (Ethereum C2) · [[t1071-001-web-protocols|T1071.001 - Web Protocols]] (WebSocket C2) · [[t1059-007-javascript|T1059.007 - JavaScript]] (Deno.js) · [[t1598-phishing-for-information|T1598 - Phishing for Information]] · [[t1027-obfuscated-files|T1027 - Obfuscated Files or Information]] **IoCs (fonte: Red Piranha):** - IP: `185.236.25.119` (C2 Tsundere - confirmado ativo 16/03) - IP: `193.17.183.126` - IP: `89.40.31.242` (apro24docs.com) - Certificado TLS auto-assinado: Common Names "Amy Cherne" / "Donald Gay" **Relevância LATAM:** Baixa direta, mas a adoção de blockchain como C2 representa evolução de TTP com implicações para detecção em toda a região. **Ver também:** [[g0069-mango-sandstorm|MuddyWater]] · [[operation-olalampo|Operation Olalampo]] · [[dindoor]] --- ### [[void-manticore|Void Manticore]] / Handala (IRGC Iraniano) - Stryker Aftermath O impacto do ataque a **Stryker Corporation** por [[void-manticore|Void Manticore]] (também conhecido como Handala / Pink Sandstorm / Agrius) continuou em foco durante a semana. O ataque, iniciado em 11/03/2026, resultou em **200 mil+ sistemas apagados** e **50 TB de dados exfiltrados** via hijacking de Microsoft Intune MDM ([[t1485-data-destruction|T1485 - Data Destruction]]). A Stryker confirmou o incidente via **SEC 8-K filing**, elevando o episódio ao status de disclosure obrigatório. Nenhum binário de malware foi identificado - o vetor de destruição foi exclusivamente via Intune. **Implicação para gestores de segurança:** A exploração do Microsoft Intune como vetor de wiper representa uma mudança significativa - ferramentas de MDM empresarial se tornam armas de destruição em massa quando comprometidas. Organizações com Intune devem revisar políticas de acesso condicional e alertas de ações em massa (wipe/retire). **Setor afetado:** Saúde/dispositivos médicos **TTPs:** [[t1485-data-destruction|T1485 - Data Destruction]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] (Intune MDM hijack) --- ### [[g1044-apt42|APT42]] / Charming Kitten (IRGC-IO) - Cluster de Phishing Acadêmico O [[g1044-apt42|APT42]] (MITRE G1044, também Charming Kitten / Mint Sandstorm), vinculado ao **IRGC-IO iraniano**, manteve ativo um cluster de phishing direcionado a pesquisadores acadêmicos e jornalistas. Mais de **17 domínios novos** foram identificados via Certificaté Transparency logs durante a semana, seguindo o padrão TTP [[t1598-phishing-for-information|T1598 - Phishing for Information]]. O compromisso do **servidor de e-mail do Departamento de Estado dos EUA** (divulgado em fevereiro) permanece sob investigação com possível atribuição ao APT42. **TTPs:** [[t1598-phishing-for-information|T1598 - Phishing for Information]] · [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] · [[t1056-input-capture|T1056 - Input Capture]] --- ### [[Interlock Ransomware]] - Exploração Cisco FMC em Escala O [[Interlock Ransomware]] não apenas explorou o [[cve-2026-20131|CVE-2026-20131]] como zero-day desde janeiro, mas expandiu operações para novos setores durante a semana. O grupo opera modelo de **dupla extorsão** com site de leak ativo. Cadeia de ataque confirmada na [[cisco-fmc-exploitation-campaign-2026|Cisco FMC Exploitation Campaign 2026]]: FMC → [[rat-interlock|RAT Interlock]] → enumeração PowerShell → movimento lateral → exfiltração → ransomware. **Vítimas confirmadas desta semana:** Setor de educação (2 universidades, nomes não divulgados), saúde (1 hospital regional, EUA), governo (1 agência municipal). **Ver também:** [[Interlock Ransomware]] · [[cve-2026-20131|CVE-2026-20131]] --- ### [[cyberav3ngers|CyberAv3ngers]] (IRGC-CEC) - Ataques OT/ICS Continuados O [[cyberav3ngers|CyberAv3ngers]], vinculado ao **IRGC-CEC**, manteve operações de disruption em sistemas OT/ICS utilizando o malware **[[iocontrol]]** com protocolo MQTT sobre TLS (porta 8883) ([[t0866-exploitation-of-remote-services-ics|T0866 - Exploitation of Remote Services (ICS)]]). Alvos desta semana incluem infraestrutura de água e energia no Oriente Médio. **Relevância LATAM:** Monitoramento recomendado para operadores de infraestrutura crítica (energia, saneamento) - IOCONTROL tem capacidade de segmentar por geolocalização de ativos. --- ## Ransomware e Cibercrime ### [[Interlock Ransomware]] - Principal Ameaça da Semana Conforme detalhado acima, o [[Interlock Ransomware]] é o principal grupo desta semana pela exploração do [[cve-2026-20131|CVE-2026-20131]]. O grupo posiciona-se como ameaça de nível enterprise com capacidade de exploração de zero-days em appliances de rede - característica anteriormente restrita a grupos de estados-nação. **Setores afetados:** educação, saúde, governo, tecnologia. --- ### Zollo Ransomware - Nova Variante Uma nova variante de ransomware denominada **[[zollo-ransomware|Zollo Ransomware]]** foi identificada em fóruns underground em 20/03/2026, reportada pela CYFIRMA. Ransom note: `READ_NOTE.html`. Alvo e afiliação ainda desconhecidos. Nenhuma vítima confirmada públicamente. Monitoramento recomendado. **TTPs mapeadas:** em análise (sem relatório técnico completo disponível). --- ### [[apt-tekir|APT Tekir]] - Ataque a Órgão Estatal Mexicano O grupo [[apt-tekir|APT Tekir]] realizou ataque de ransomware contra um órgão estatal mexicano nos últimos meses de 2025 ([[tekir-mexico-government-attack-2025|Tekir Mexico Government Attack 2025]]), com exfiltração confirmada de mais de **250 GB de dados**. A divulgação foi feita nesta semana. Relevante para o contexto LATAM como indicador de que grupos APT estão usando ransomware como cobertura para operações de espionagem na região. --- ### [[monti-ransomware|MONTI Ransomware]] - Argentina (Fabricaciones Militares) O grupo [[monti-ransomware|MONTI Ransomware]] atacou a **Fabricaciones Militares Sociedad del Estado** (Argentina) no primeiro trimestre de 2025, roubando aproximadamente **300 GB de informações**, incluindo projetos militares estratégicos. Divulgação pública esta semana. Impacto para soberania de defesa argentina. --- ## Malware e Ferramentas ### DinDoor (Deno.js Runtime) O **[[dindoor]]** é um novo backdoor do [[g0069-mango-sandstorm|MuddyWater]] baseado no runtime **Deno.js** - uma abordagem inovadora que utiliza o ecossistema JavaScript/TypeScript como veículo de malware, dificultando detecção por EDRs treinados em linguagens tradicionais (C/C++, Python, .NET). Características técnicas: - C2 via WebSocket/HTTPS e contratos Ethereum - Kill switch baseado em blockchain (contrato `0x2B77671c`) - Certificados TLS auto-assinados com CNs específicos - Componente backdoor secundário: **[[fakeset]]** **Relevância para blue teams:** Revisar políticas de detecção para processos Deno/Node.js incomuns; monitorar conexões de saída para endpoints Ethereum; fortalecer inspeção de tráfego HTTPS. **Ver também:** [[dindoor]] · [[g0069-mango-sandstorm|MuddyWater]] · [[t1059-007-javascript|T1059.007 - JavaScript]] --- ### [[iocontrol]] (CyberAv3ngers) O **[[iocontrol]]** é um malware OT/ICS do [[cyberav3ngers|CyberAv3ngers]] que se comúnica via MQTT sobre TLS (porta 8883). Capacidades confirmadas incluem: enumeração de ativos OT, execução de comandos, disruption de processos industriais. Altamente modular e com capacidade de geo-fencing. --- ### Trojans Bancários Brasileiros - Atividade Continuada Os trojans da família brasileira continuam ativos nesta semana: - **[[s0531-grandoreiro|Grandoreiro]]**: Variantes atualizadas contra bancos brasileiros, monitoramento de clipboard PIX ([[t1115-clipboard-data|T1115 - Clipboard Data]]), ataques de overlay ([[t1185-browser-session-hijacking|T1185 - Browser Session Hijacking]]) - **[[pixpiraté]]** e **[[brasdex]]**: Detecções contínuas por ESET e Kaspersky no Brasil **Principais vetores de distribuição esta semana:** - SMS falsos sobre entregas dos Correios com links maliciosos - E-mails com temas de faturas CPFL/Enel/Light - Notificações falsas de Detran e Receita Federal --- ## Foco LATAM / Brasil ### Alerta CTIR Gov 21/2026 - [[cve-2026-20131|CVE-2026-20131]] em Cisco FMC O **Centro de Tratamento de Incidentes de Redes do Governo (CTIR Gov)** emitiu o **Alerta 21/2026** em resposta à exploração ativa do [[cve-2026-20131|CVE-2026-20131]] pelo [[Interlock Ransomware]]. O alerta é de alta relevância para o Brasil pois: - Cisco FMC tem ampla implantação em órgãos do governo federal, estadual e municipal - Setor financeiro brasileiro usa extensivamente appliances Cisco para gerenciamento de firewalls - A falha já estava sendo explorada há 36 dias antes da divulgação - organizações podem já estar comprometidas sem saber **Ação urgente para organizações brasileiras:** Verificar versão do FMC, aplicar patch imediatamente, executar ICT (Integrity Checker Tool) e auditar logs de acesso à interface de gestão. Fonte: [CTIR Gov Alerta 21/2026](https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendações/alertas/2026/alerta-21-2026) --- ### Operação PIX de Papel - Quadrilha Presa em Pernambuco A **Polícia Civil de Pernambuco** prendeu uma quadrilha especializada em **golpes com comprovantes falsos de PIX** nesta semana ("Operação PIX de Papel"). A organização causou prejuízo superior a **R$ 200 mil** a uma distribuidora de cosméticos ao apresentar comprovantes falsificados de transferência, liberando mercadorias sem pagamento real. O caso ilustra a evolução das fraudes financeiras no Brasil: o ecossistema PIX tornou-se vetor tanto para malware sofisticado ([[s0531-grandoreiro|Grandoreiro]]) quanto para fraudes de engenharia social simples com alto impacto financeiro. Fonte: [G1 Pernambuco - 17/03/2026](https://g1.globo.com/pe/pernambuco/noticia/2026/03/17/quadrilha-e-presa-após-aplicar-golpe-com-pix-falsos-em-distribuidora-de-cosmeticos.ghtml) --- ### Golpe do Falso Gerente Bancário - São José do Rio Preto Um empresário em **São José do Rio Preto (SP)** perdeu **R$ 63.349** após receber ligação de um fraudador se passando por gerente bancário solicitando "procedimentos de atualização do sistema". O golpe do falso gerente bancário continua entre os mais frequentes no Brasil, com vetores telefônicos complementando os vetores digitais do [[s0531-grandoreiro|Grandoreiro]]. Fonte: [G1 SP - 21/03/2026](https://g1.globo.com/sp/sao-jose-do-rio-preto-aracatuba/noticia/2026/03/21/empresario-cai-em-golpe-do-falso-gerente-de-banco-e-tem-prejuizo-de-mais-de-r-63-mil.ghtml) --- ### C&M Software - Insider Threat com Desvio de R$ 800 Milhões Um funcionário da **C&M Software** vendeu credenciais de acesso a cibercriminosos, resultando no desvio de mais de **R$ 800 milhões**. O caso foi divulgado via ESET WeLiveSecurity esta semana e representa um dos maiores incidentes de insider threat registrados no Brasil. Destaca a necessidade crítica de controles de acesso com privilégios mínimos, monitoramento de comportamento de usuários (UEBA) e segregação de funções em sistemas financeiros. Fonte: [WeLiveSecurity PT - Panorama LATAM 2026](https://www.welivesecurity.com/pt/ameaças-digitais/panorama-da-atividade-de-ameaças-digitais-na-america-latina/) --- ### Vulnerabilidades IoT em Pedágio Free-Flow Pesquisadores identificaram **vulnerabilidades e riscos em dispositivos IoT no sistema de pedágio free-flow no Brasil**, com possível exposição de dados de veículos e trajetos. Relatório públicado em 19/03/2026. Relevante para o contexto de infraestrutura crítica e privacidade. Fonte: [Folha Agrícola - 19/03/2026](https://folhaagricola.com.br/2026/03/19/vulnerabilidades-e-riscos-iot-podem-expor-pedagio-free-flow-no-brasil/) --- ### Hacktivismo DDoS na LATAM - Grupo DieNet No início de março (28/02 a 02/03), **9 grupos hacktivistas** reivindicaram **107 ataques DDoS** contra **81 organizações em 8 países da América Latina**, segundo relatório Radware. O **grupo DieNet liderou com 59 operações**, seguido por Keymous Plus (51) e 313 Team (42). A atividade está associada ao conflito Iran-Israel-US no ciberespaço, com grupos hacktivistas pró-iranianos expandindo operações para LATAM como território secundário de pressão geopolítica. --- ### Panorama Brasil - Contexto da Semana - **4º lugar** em detecções de ameaças na América Latina (atrás de Peru, México e Argentina) - **2.803 ataques/organização/semana** - média LATAM significativamente acima da média global (1.984) - **2026 projetado para superar 50 mil CVEs públicados** - estimativa de 59.427 vulnerabilidades, com NIST já registrando 13 mil+ até março - **FEBRABAN-SEC 2026** em andamento - maior evento de segurança para o setor financeiro brasileiro **Grupos ativos com histórico de alvejamento da região esta semana:** - [[s0531-grandoreiro|Grandoreiro]] - atividade contínua contra setor bancário brasileiro - [[Interlock Ransomware]] - expansão de operações pós-[[cve-2026-20131|CVE-2026-20131]] (risco para Cisco FMC no Brasil) - [[g0032-lazarus-group|Lazarus Group]] - risco contínuo para exchanges de criptomoedas via [[operation-dreamjob|Operation DreamJob]] e [[operation-applejeus|Operation AppleJeus]] **Setores em alerta elevado:** - [[financial]] - trojans bancários, fraude PIX, golpe do falso gerente, C&M Software insider - [[government]] - alerta CTIR Gov sobre Cisco FMC, alvejamento por grupos iranianos - [[telecom|Telecom]] - [[cve-2026-21385|CVE-2026-21385]] em Android, IoT em infraestrutura de transporte --- ## TTPs em Destaque **Técnica da semana:** [[t1485-data-destruction|T1485 - Data Destruction]] + [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] via MDM A semana destacou o uso de ferramentas de **Mobile Device Management (MDM)** como vetor de destruição em massa, exemplificado pelo ataque do [[void-manticore|Void Manticore]] à Stryker via Microsoft Intune. Esta TTP merece aténção especial pois: 1. É extremamente difícil de detectar - usa ferramentas legítimas de gestão 2. Não deixa artefatos de malware tradicionais - o EDR não dispara 3. O blast radius é catastrófico - toda a frota gerenciada pode ser apagada em minutos 4. É aplicável a qualquer organização com MDM implantado (Intune, Jámf, MobileIron) **Complementando:** O [[g0069-mango-sandstorm|MuddyWater]] inovou com C2 via **blockchain Ethereum** ([[t1102-web-service|T1102 - Web Service]]), complicando drasticamente o bloqueio de infraestrutura C2 via listas de negação tradicionais - não é possível "bloquear" o Ethereum na camada de rede sem impacto colateral severo. **Como detectar MDM-as-Wiper:** - Alertas de ações em massa no Microsoft Intune: `DeviceAction` com `wipe` ou `retire` para múltiplos dispositivos em curto espaço de tempo - Monitorar MFA unusuals em contas de administrador do Intune/Endpoint Manager - Auditoria de contas com permissão de wipe em massa - aplicar princípio de menor privilégio **Como detectar Ethereum C2:** - Conexões de saída para endpoints RPC Ethereum (porta 8545/8546, infura.io, alchemy.com) em contextos não-financeiros - Processos Deno.exe ou node.exe em contextos inesperados (servidores, estações não-dev) - Tráfego HTTPS com certificados TLS auto-assinados com CNs não corporativos --- ## Notas de Conhecimento Criadas Todas as notas referênciadas nesta edição possuem perfis completos no vault: - [[g0069-mango-sandstorm|MuddyWater]] · [[g1044-apt42|APT42]] · [[void-manticore|Void Manticore]] · [[cyberav3ngers|CyberAv3ngers]] · [[Interlock Ransomware]] · [[apt-tekir|APT Tekir]] · [[monti-ransomware|MONTI Ransomware]] - [[dindoor]] · [[operation-olalampo|Operation Olalampo]] · [[tekir-mexico-government-attack-2025|Tekir Mexico Government Attack 2025]] - [[cve-2026-26114|CVE-2026-26114]] · [[cve-2026-21992|CVE-2026-21992]] · [[cve-2026-21385|CVE-2026-21385]] · [[cve-2026-26110|CVE-2026-26110]] · [[cve-2026-26113|CVE-2026-26113]] · [[cve-2026-26144|CVE-2026-26144]] - [[t1102-web-service|T1102 - Web Service]] · [[t1598-phishing-for-information|T1598 - Phishing for Information]] · [[t1056-input-capture|T1056 - Input Capture]] · [[t1059-007-javascript|T1059.007 - JavaScript]] · [[t0866-exploitation-of-remote-services-ics|T0866 - Exploitation of Remote Services (ICS)]] --- ## Recomendações da Semana **Ações prioritárias (em ordem de urgência):** 1. **[CRÍTICO]** Aplicar patch para [[cve-2026-20131|CVE-2026-20131]] no **Cisco Secure Firewall Management Center (FMC)** - CVSS 10.0, zero-day ativa explorada pelo [[Interlock Ransomware]] desde janeiro, CISA KEV com prazo 22/03. Executar ICT antes e após o patch e auditar logs de acesso à interface de gestão. CTIR Gov Alerta 21/2026. 2. **[CRÍTICO]** Aplicar **Patch Tuesday Microsoft de março 2026** - priorizar [[cve-2026-26114|CVE-2026-26114]] (SharePoint RCE, CISA KEV prazo 23/03), [[cve-2026-26110|CVE-2026-26110]] e [[cve-2026-26113|CVE-2026-26113]] (Office RCE via Preview Pane sem clique). Deploy em servidores SharePoint e clientes Office/Outlook imediatamente. 3. **[ALTO]** Auditar **acessos de administrador ao Microsoft Intune/MDM** - verificar contas privilegiadas, habilitar alertas para ações de wipe em massa, revisar políticas de acesso condicional. Ameaça demonstrada pelo [[void-manticore|Void Manticore]] na Stryker. 4. **[ALTO]** Bloquear IoCs do [[g0069-mango-sandstorm|MuddyWater]]/[[dindoor]] - IPs `185.236.25.119`, `193.17.183.126`, `89.40.31.242`. Implementar detecção para processos Deno.exe e conexões Ethereum RPC anômalas em ambientes não-financeiros. 5. **[MÉDIO]** Conscientização sobre fraudes PIX e golpe do falso gerente bancário - especialmente para equipes financeiras e administrativas. Reforçar: banco nunca solicita procedimentos via telefone; verificar chaves PIX antes de enviar; desconfiar de comprovantes recebidos antes de liberar mercadorias. 6. **[MÉDIO]** Revisar exposição de **Oracle Identity Manager** ([[cve-2026-21992|CVE-2026-21992]], CVSS 9.8) - verificar se interfaces estão expostas à internet; aplicar patch out-of-cycle assim que disponível. 7. **[BAIXO]** Monitorar emergência do **[[zollo-ransomware|Zollo Ransomware]]** - nova variante identificada em fóruns underground; sem vítimas confirmadas mas possível escalada nas próximas semanas. --- ## Referências e Fontes **Relatórios e artigos que embasaram esta edição:** 1. [eSentire - Cisco FMC CVE-2026-20131 Exploited by Interlock](https://www.esentire.com/security-advisories/cisco-vulnerability-CVE-2026-20131-exploited-by-interlock) - 2026-03 2. [HelpNetSecurity - Cisco FMC / Interlock Ransomware CVE-2026-20131](https://www.helpnetsecurity.com/2026/03/20/cisco-fmc-interlock-ransomware-CVE-2026-20131/) - 2026-03-20 3. [TheHackerNews - Interlock Ransomware Exploits Cisco FMC](https://thehackernews.com/2026/03/interlock-ransomware-exploits-cisco-fmc.html) - 2026-03 4. [SecurityWeek - Cisco Firewall Vulnerability Exploited as Zero-Day](https://www.securityweek.com/cisco-firewall-vulnerability-exploited-as-zero-day-in-interlock-ransomware-attacks/) - 2026-03 5. [SecPod - Interlock Group Leveraging Cisco FMC Flaw](https://www.secpod.com/blog/interlock-group-leveraging-cisco-fmc-flaw-CVE-2026-20131-weeks-before-public-disclosure/) - 2026-03 6. [Cyberinfos - Cybersecurity Weekly Report 16-22 March 2026](https://www.cyberinfos.in/cybersecurity-weekly-report16-22-march-2026/) - 2026-03-22 7. [Red Piranha - Threat Intelligence Report March 10-16, 2026](https://redpiranha.net/news/threat-intelligence-report-march-10-march-16-2026) - 2026-03-16 8. [CYFIRMA - Weekly Intelligence Report 20 March 2026](https://www.cyfirma.com/news/weekly-intelligence-report-20-march-2026/) - 2026-03-20 9. [CTIR Gov - Alerta 21/2026 - Cisco FMC CVE-2026-20131](https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendações/alertas/2026/alerta-21-2026) - 2026-03 10. [G1 Pernambuco - Operação PIX de Papel](https://g1.globo.com/pe/pernambuco/noticia/2026/03/17/quadrilha-e-presa-após-aplicar-golpe-com-pix-falsos-em-distribuidora-de-cosmeticos.ghtml) - 2026-03-17 11. [G1 SP - Golpe do Falso Gerente Bancário](https://g1.globo.com/sp/sao-jose-do-rio-preto-aracatuba/noticia/2026/03/21/empresario-cai-em-golpe-do-falso-gerente-de-banco-e-tem-prejuizo-de-mais-de-r-63-mil.ghtml) - 2026-03-21 12. [WeLiveSecurity PT - Panorama de Ameaças LATAM 2026](https://www.welivesecurity.com/pt/ameaças-digitais/panorama-da-atividade-de-ameaças-digitais-na-america-latina/) - 2026-03 13. [Folha Agrícola - Vulnerabilidades IoT Pedágio Free-Flow Brasil](https://folhaagricola.com.br/2026/03/19/vulnerabilidades-e-riscos-iot-podem-expor-pedagio-free-flow-no-brasil/) - 2026-03-19 14. [Thriven Nextgen - Seedworm's Silent War on Western Infrastructure](https://thrivenextgen.com/the-new-battlefield-seedworms-silent-war-on-western-infrastructure/) - 2026-03 15. [CISA - Known Exploited Vulnerabilities Catalog - semana 2026-W12](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - atualizado 19/03/2026 16. [NVD - CVEs da semana](https://nvd.nist.gov/vuln/search) - filtro CVSS >= 8.0, março 2026 17. [AmpcusCyber - ShadowOpsIntel Interlock Ransomware](https://www.ampcuscyber.com/shadowopsintel/interlock-ransomware-exploiting-cisco-fmc-vulnerability/) - 2026-03 18. [SecurityAffairs - CISA adds Cisco FMC to KEV](https://securityaffairs.com/189682/security/u-s-cisa-adds-a-flaw-in-cisco-fmc-and-cisco-scc-firewall-management-to-its-known-exploited-vulnerabilities-catalog.html) - 2026-03 --- --- *Próximo: [[2026-w13|W13]] · Anterior: [[2026-w11|W11]] · Arquivo: [[_weekly|Todas as edições]] · [[_feed|Feed CTI]]*