Introdução
Uma operação de cibersegurança conduzida pelos times de CSIRT, CTI e DFIR da Solor identificou o primeiro cluster estruturado de ransomware na América Latina, evidenciando a evolução das campanhas cibernéticas tanto em ambientes de TI (IT) quanto de Tecnologia Operacional (OT).
A descoberta revelou a atuação de grupos identificados como PHENOL Team e H2OWATER, demonstrando um elevado nível de maturidade operacional, mesmo sendo campanhas relativamente recentes, com atividades detectadas a partir do segundo semestre de 2025.
Evolução dos Vetores de Ataque
Os vetores de ataque identificados vão além do modelo tradicional de ransomware baseado apenas em sequestro de dados e pedido de resgate.
As campanhas analisadas utilizam múltiplas técnicas de comprometimento e estabelecem persistência no ambiente da vítima, permitindo a permanência prolongada na infraestrutura atacada.
Além disso, foi identificado o uso de mineração de criptomoedas (Monero) como parte da estratégia dos atacantes. Nesse contexto, a criptografia dos dados deixa de ser o objetivo final e passa a ser apenas mais uma etapa dentro de uma operação maior de exploração do ambiente comprometido.
Características Técnicas do Malware
O ransomware foi desenvolvido na linguagem Go (Golang), o que garante alta portabilidade entre sistemas operacionais, flexibilidade operacional e facilidade de compilação para múltiplas plataformas.
O malware utiliza um modelo de criptografia híbrida: AES-256 em modo CTR para criptografia dos arquivos e RSA-2048 para proteção das chaves de criptografia.
Esse modelo é amplamente utilizado em campanhas modernas de ransomware devido à sua eficiência e segurança.
Persistência e Infraestrutura Maliciosa
O ataque incorpora o uso de infraestruturas de botnet, garantindo persistência no ambiente comprometido.
Foram observadas também atividades de reconhecimento de rede, movimentação lateral e comprometimento de dispositivos OT e IoT.
Em ambientes industriais, os atacantes realizam a instalação de mineradores de criptomoedas (Monero), explorando recursos computacionais dos dispositivos comprometidos.
Técnicas de Ataque Utilizadas
Os ataques utilizam diversos vetores, incluindo campanhas de phishing com arquivos PDF maliciosos, sites falsos com boletos fraudulentos contendo scripts em JavaScript, download de arquivos comprometidos por engenharia social e exploração de vulnerabilidades de RCE (Execução Remota de Código).
Também foi identificado o uso de web shells para manutenção de acesso remoto, além de técnicas furtivas de mapeamento de rede utilizando protocolos como SSDP e mDNS.
Esses métodos permitem aos atacantes obter maior visibilidade da infraestrutura, facilitando a escalada de privilégios e a propagação interna.
Possíveis Alvos
Os principais setores visados incluem educação, órgãos governamentais e empresas de software.
Esses segmentos são considerados estratégicos devido à alta dependência de sistemas digitais, o que aumenta a pressão por recuperação rápida em caso de incidentes.
Tendências Atuais de Ameaças
A análise revelou padrões consistentes no comportamento dos agentes de ameaça, incluindo o uso de infraestruturas distribuídas, utilização de credenciais legítimas para mascarar atividades maliciosas, redução de artefatos detectáveis e aumento do tempo de permanência nos ambientes comprometidos.
Observa-se uma mudança significativa no cenário, onde os ataques evoluem para operações mais silenciosas, persistentes e estruturadas, incorporando movimentação lateral, escalonamento de privilégios e uso indevido de recursos internos.
Especialistas destacam que campanhas modernas mantêm acesso contínuo aos sistemas, permitindo não apenas a exfiltração de dados, mas também o uso da infraestrutura para novas atividades maliciosas.
Impacto nas Empresas e Segurança
O cenário atual demonstra que organizações com operações digitais críticas precisam evoluir continuamente suas capacidades de detecção e resposta.
A maturidade em segurança cibernética torna-se essencial, incluindo monitoramento contínuo, inteligência de ameaças (CTI) e processos estruturados de resposta a incidentes.
A divulgação dessas análises, de forma anonimizada, contribui para o fortalecimento do ecossistema de segurança, ampliando a conscientização sobre a evolução das ameaças.
Nesse contexto, o ransomware deixa de ser um evento isolado e passa a integrar campanhas persistentes e altamente organizadas, exigindo novas abordagens baseadas em visibilidade, correlação de eventos e resiliência cibernética.
Saibam: fazer o básico bem feito diferencia quem se protege de quem se torna vítima desse tipo de incidente.
