Como Empresas Russas São Alvo de Ataques Cibernéticos: Uma Análise Detalhada do Jet CSIRT
Um estudo aprofundado do Jet CSIRT revela as táticas, técnicas e ferramentas mais utilizadas em ataques cibernéticos contra empresas russas entre 2023 e 2025. A pesquisa destaca o foco crescente em interromper a continuidade dos negócios e a importância da detecção precoce.
MundiX News·19 de junho de 2026·8 min de leitura·👁 5 views
O Jet CSIRT, em sua atuação entre 2023 e 2025, conduziu mais de 100 grandes investigações de incidentes de segurança da informação, auxiliando empresas russas na resposta e mitigação de consequências. Com um volume significativo de dados coletados, a equipe compilou um extenso estudo, agora disponibilizado publicamente, contendo estatísticas detalhadas e recomendações práticas de segurança. Este artigo apresenta os principais resultados dessa pesquisa, abordando o cenário atual da cibersegurança, as ameaças reais, as táticas e técnicas de ataque populares usadas para comprometer a resiliência cibernética das empresas russas, e os métodos de detecção.
A Evolução das Ameaças Cibernéticas e o Foco na Continuidade dos Negócios
Um dos pilares fundamentais para qualquer negócio, tanto em TI quanto em segurança da informação, é a continuidade operacional ininterrupta (24/7). Para grandes players do mercado online, uma interrupção de serviço pode significar perdas financeiras na casa dos milhões ou até bilhões de rublos. Historicamente, a continuidade era garantida considerando falhas de hardware ou erros humanos como as principais ameaças. Ataques cibernéticos eram vistos principalmente como um risco de acesso não autorizado a informações confidenciais.
Contudo, o panorama mudou drasticamente. O objetivo principal dos ataques cibernéticos modernos não é apenas a exfiltração de dados pessoais, de pagamento ou outros tipos de informação, mas sim a interrupção global e garantida das operações empresariais. Isso inclui derrubar sites e sistemas internos, impedir o acesso das equipes de recuperação e, crucialmente, destruir ou criptografar backups, tornando a recuperação pós-ataque extremamente difícil ou impossível. Embora existam diversos incidentes de segurança que podem levar a perdas financeiras ou de reputação significativas, este artigo se concentra naqueles diretamente voltados para a interrupção da continuidade dos negócios. Estes incluem:
Ataques com Ransomware: Bloqueiam o acesso a serviços de TI, causam paralisações nos negócios e insatisfação dos usuários.
Ataques de Destruição de Dados (Wipers): Causam danos críticos e, idealmente para o atacante, irreversíveis aos ativos de TI.
Ataques de Negação de Serviço Distribuído (DDoS): Em larga escala, podem derrubar serviços de TI essenciais por longos períodos.
De acordo com os dados do Jet CSIRT, aproximadamente 76% de todos os ciberataques atualmente visam a criptografia e a destruição de infraestruturas. Compreender essas estatísticas é vital para conhecer o adversário, seus interesses e as ferramentas que utiliza, permitindo uma preparação mais eficaz contra os ataques e o planejamento de métodos de recuperação.
Setores Mais Visados e o Ciclo de Ataque
Como de costume, existem setores que representam alvos mais atraentes para os hackers, devido à sua criticidade para a economia nacional, ao impacto potencial das consequências e, claro, à oportunidade de obter lucros substanciais. Para o período de 2023-2025, o ranking de setores mais visados é o seguinte (o artigo original não detalha o ranking, mas a introdução sugere que ele existe e é apresentado em seu estudo completo). É importante notar que nenhuma empresa está imune, independentemente do seu porte ou setor de atuação.
Contrariamente à crença popular de que ataques bem-sucedidos são ações rápidas, os dados do Jet CSIRT indicam que a maioria desses ataques se desenvolve ao longo de dias ou até meses. O ciclo típico de um ataque envolve:
Acesso Inicial: Os hackers obtêm acesso à infraestrutura sem necessariamente iniciar atividades maliciosas ou revelar sua presença.
Estabelecimento de Persistência: Buscam se fixar na infraestrutura de forma robusta para evitar serem rapidamente neutralizados pela equipe de segurança em caso de detecção.
Reconhecimento e Escalada de Privilégios: Realizam reconhecimento, coletam informações, elevam seus privilégios para obter mais direitos com contas comprometidas ou buscam novas credenciais.
Movimentação Lateral: Movem-se horizontalmente pela infraestrutura da rede.
Uso de Ferramentas Legítimas do Sistema: Empregam ferramentas de sistema já existentes para disfarçar suas atividades.
É crucial entender que em cada uma dessas etapas, a equipe de segurança da informação tem a oportunidade de detectar e neutralizar os atacantes antes que causem danos significativos. O estudo também aponta que dezenas de grupos têm visado ativamente empresas russas nos últimos anos, mas um número menor demonstra atividade consistente e aparece frequentemente nos relatórios de segurança.
O Papel da Decisão Empresarial e os Riscos do Pagamento de Resgates
A estatística revela que mais de 90% dos incidentes investigados visavam a obtenção de resgates, com valores variando amplamente de 500.000 a 500.000.000 de rublos. O valor do resgate é geralmente determinado com base em dados financeiros da empresa e uma estimativa do dano potencial que o ataque pode causar. A decisão final sobre negociar com os hackers e pagar o resgate recai sobre os proprietários do negócio, e não sobre as equipes de TI ou de segurança.
Pagar o resgate, no entanto, não garante a recuperação do sistema e apresenta riscos consideráveis:
Falta de Garantia de Ferramentas de Descriptografia: Não há certeza de que as ferramentas fornecidas pelos atacantes realmente permitirão a descriptografia e recuperação dos dados.
Ineficácia das Ferramentas: Mesmo que as ferramentas sejam fornecidas, elas podem não ser capazes de descriptografar ou restaurar todos os dados. Os próprios hackers podem não ter certeza da eficácia completa de suas ferramentas.
Infraestrutura Comprometida: Mesmo após a recuperação, a infraestrutura permanece comprometida, com a possibilidade de backdoors e contas adormecidas.
Incentivo a Ataques Futuros: Pagar um resgate pode incentivar os atacantes a retornar, sabendo que a empresa está disposta a pagar novamente.
Táticas e Técnicas de Ataque Detalhadas
O estudo do Jet CSIRT detalha as táticas e técnicas de ataque observadas, baseadas em análises retrospectivas. As táticas incluem 'Initial Access' (Acesso Inicial), 'Execution' (Execução), 'Persistence' (Persistência), 'Privilege Escalation' (Escalada de Privilégios), 'Credential Access' (Acesso a Credenciais), 'Command and Control' (Comando e Controle) e 'Impact' (Impacto).
As técnicas específicas sob essas táticas abrangem a exploração de vulnerabilidades em aplicações voltadas para o público (Exploit Public-Facing Application), uso de serviços de acesso remoto externos, credenciais válidas, phishing, manipulação de contas, modificação de registro, agendamento de tarefas, exploração de vulnerabilidades para escalada de privilégios, dump de credenciais, força bruta, roubo de tickets Kerberos, e o uso de ferramentas de acesso remoto e tunelamento de protocolos. No impacto, destacam-se a criptografia de dados e a destruição de dados.
Exploração de Vulnerabilidades em Serviços Públicos: O Caso React2Shell
De acordo com a estatística, serviços vulneráveis na borda das organizações são a causa de mais de um terço dos incidentes. A exploração de vulnerabilidades em aplicações públicas (T1190) é um vetor de ataque significativo. Um exemplo notório é a vulnerabilidade CVE-2025-55182 (React2Shell), com um score CVSS de 10.0, que permite a execução remota de código sem autenticação. Um Proof of Concept (PoC) foi publicado apenas 1,5 dias após a divulgação da vulnerabilidade, levando a ataques em massa por um amplo espectro de cibercriminosos, incluindo aqueles com baixo nível técnico.
Os resultados comuns desses ataques incluem a instalação de mineradores de criptomoedas e o deploy de backdoors para garantir acesso persistente. A detecção de tentativas de exploração pode ser feita através da busca por cabeçalhos específicos como 'Next-Action' ou 'rsc-action-id' nos logs do reverse proxy. Ferramentas como grep podem ser usadas para identificar esses padrões em logs de acesso do Nginx. Mais de cem mil servidores permanecem vulneráveis ao React2Shell nas versões 19.0, 19.1.0, 19.1.1 e 19.2.0 dos pacotes reactserver-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack. A proteção envolve a aplicação de patches recomendados pelo fornecedor.
Para uma detecção mais aprofundada, é necessário monitorar os processos gerados pelo web service, com foco em interpretadores de linha de comando. Regras de auditoria (auditd) podem ser configuradas para rastrear a execução de comandos como sh, bash ou dash em diretórios suspeitos como /var/www/ ou /tmp/, especialmente quando associados a um usuário específico (como www-data). A análise detalhada dos métodos de detecção para cada tática e técnica mencionada está disponível no estudo completo do Jet CSIRT.
A próxima publicação abordará a recuperação após incidentes, enfatizando a mudança de paradigma de "O que fazer se a empresa for invadida?" para "O que fazer quando a empresa for invadida?"
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
O Jet CSIRT, em sua atuação entre 2023 e 2025, conduziu mais de 100 grandes investigações de incidentes de segurança da informação, auxiliando empresas russas na resposta e mitigação de consequências. Com um volume significativo de dados coletados, a equipe compilou um extenso estudo, agora disponibilizado publicamente, contendo estatísticas detalhadas e recomendações práticas de segurança. Este artigo apresenta os principais resultados dessa pesquisa, abordando o cenário atual da cibersegurança, as ameaças reais, as táticas e técnicas de ataque populares usadas para comprometer a resiliência cibernética das empresas russas, e os métodos de detecção.
A Evolução das Ameaças Cibernéticas e o Foco na Continuidade dos Negócios
Um dos pilares fundamentais para qualquer negócio, tanto em TI quanto em segurança da informação, é a continuidade operacional ininterrupta (24/7). Para grandes players do mercado online, uma interrupção de serviço pode significar perdas financeiras na casa dos milhões ou até bilhões de rublos. Historicamente, a continuidade era garantida considerando falhas de hardware ou erros humanos como as principais ameaças. Ataques cibernéticos eram vistos principalmente como um risco de acesso não autorizado a informações confidenciais.
Contudo, o panorama mudou drasticamente. O objetivo principal dos ataques cibernéticos modernos não é apenas a exfiltração de dados pessoais, de pagamento ou outros tipos de informação, mas sim a interrupção global e garantida das operações empresariais. Isso inclui derrubar sites e sistemas internos, impedir o acesso das equipes de recuperação e, crucialmente, destruir ou criptografar backups, tornando a recuperação pós-ataque extremamente difícil ou impossível. Embora existam diversos incidentes de segurança que podem levar a perdas financeiras ou de reputação significativas, este artigo se concentra naqueles diretamente voltados para a interrupção da continuidade dos negócios. Estes incluem:
Ataques com Ransomware: Bloqueiam o acesso a serviços de TI, causam paralisações nos negócios e insatisfação dos usuários.
Ataques de Destruição de Dados (Wipers): Causam danos críticos e, idealmente para o atacante, irreversíveis aos ativos de TI.
Ataques de Negação de Serviço Distribuído (DDoS): Em larga escala, podem derrubar serviços de TI essenciais por longos períodos.
De acordo com os dados do Jet CSIRT, aproximadamente 76% de todos os ciberataques atualmente visam a criptografia e a destruição de infraestruturas. Compreender essas estatísticas é vital para conhecer o adversário, seus interesses e as ferramentas que utiliza, permitindo uma preparação mais eficaz contra os ataques e o planejamento de métodos de recuperação.
Setores Mais Visados e o Ciclo de Ataque
Como de costume, existem setores que representam alvos mais atraentes para os hackers, devido à sua criticidade para a economia nacional, ao impacto potencial das consequências e, claro, à oportunidade de obter lucros substanciais. Para o período de 2023-2025, o ranking de setores mais visados é o seguinte (o artigo original não detalha o ranking, mas a introdução sugere que ele existe e é apresentado em seu estudo completo). É importante notar que nenhuma empresa está imune, independentemente do seu porte ou setor de atuação.
Contrariamente à crença popular de que ataques bem-sucedidos são ações rápidas, os dados do Jet CSIRT indicam que a maioria desses ataques se desenvolve ao longo de dias ou até meses. O ciclo típico de um ataque envolve:
Acesso Inicial: Os hackers obtêm acesso à infraestrutura sem necessariamente iniciar atividades maliciosas ou revelar sua presença.
Estabelecimento de Persistência: Buscam se fixar na infraestrutura de forma robusta para evitar serem rapidamente neutralizados pela equipe de segurança em caso de detecção.
Reconhecimento e Escalada de Privilégios: Realizam reconhecimento, coletam informações, elevam seus privilégios para obter mais direitos com contas comprometidas ou buscam novas credenciais.
Movimentação Lateral: Movem-se horizontalmente pela infraestrutura da rede.
Uso de Ferramentas Legítimas do Sistema: Empregam ferramentas de sistema já existentes para disfarçar suas atividades.
É crucial entender que em cada uma dessas etapas, a equipe de segurança da informação tem a oportunidade de detectar e neutralizar os atacantes antes que causem danos significativos. O estudo também aponta que dezenas de grupos têm visado ativamente empresas russas nos últimos anos, mas um número menor demonstra atividade consistente e aparece frequentemente nos relatórios de segurança.
O Papel da Decisão Empresarial e os Riscos do Pagamento de Resgates
A estatística revela que mais de 90% dos incidentes investigados visavam a obtenção de resgates, com valores variando amplamente de 500.000 a 500.000.000 de rublos. O valor do resgate é geralmente determinado com base em dados financeiros da empresa e uma estimativa do dano potencial que o ataque pode causar. A decisão final sobre negociar com os hackers e pagar o resgate recai sobre os proprietários do negócio, e não sobre as equipes de TI ou de segurança.
Pagar o resgate, no entanto, não garante a recuperação do sistema e apresenta riscos consideráveis:
Falta de Garantia de Ferramentas de Descriptografia: Não há certeza de que as ferramentas fornecidas pelos atacantes realmente permitirão a descriptografia e recuperação dos dados.
Ineficácia das Ferramentas: Mesmo que as ferramentas sejam fornecidas, elas podem não ser capazes de descriptografar ou restaurar todos os dados. Os próprios hackers podem não ter certeza da eficácia completa de suas ferramentas.
Infraestrutura Comprometida: Mesmo após a recuperação, a infraestrutura permanece comprometida, com a possibilidade de backdoors e contas adormecidas.
Incentivo a Ataques Futuros: Pagar um resgate pode incentivar os atacantes a retornar, sabendo que a empresa está disposta a pagar novamente.
Táticas e Técnicas de Ataque Detalhadas
O estudo do Jet CSIRT detalha as táticas e técnicas de ataque observadas, baseadas em análises retrospectivas. As táticas incluem 'Initial Access' (Acesso Inicial), 'Execution' (Execução), 'Persistence' (Persistência), 'Privilege Escalation' (Escalada de Privilégios), 'Credential Access' (Acesso a Credenciais), 'Command and Control' (Comando e Controle) e 'Impact' (Impacto).
As técnicas específicas sob essas táticas abrangem a exploração de vulnerabilidades em aplicações voltadas para o público (Exploit Public-Facing Application), uso de serviços de acesso remoto externos, credenciais válidas, phishing, manipulação de contas, modificação de registro, agendamento de tarefas, exploração de vulnerabilidades para escalada de privilégios, dump de credenciais, força bruta, roubo de tickets Kerberos, e o uso de ferramentas de acesso remoto e tunelamento de protocolos. No impacto, destacam-se a criptografia de dados e a destruição de dados.
Exploração de Vulnerabilidades em Serviços Públicos: O Caso React2Shell
De acordo com a estatística, serviços vulneráveis na borda das organizações são a causa de mais de um terço dos incidentes. A exploração de vulnerabilidades em aplicações públicas (T1190) é um vetor de ataque significativo. Um exemplo notório é a vulnerabilidade CVE-2025-55182 (React2Shell), com um score CVSS de 10.0, que permite a execução remota de código sem autenticação. Um Proof of Concept (PoC) foi publicado apenas 1,5 dias após a divulgação da vulnerabilidade, levando a ataques em massa por um amplo espectro de cibercriminosos, incluindo aqueles com baixo nível técnico.
Os resultados comuns desses ataques incluem a instalação de mineradores de criptomoedas e o deploy de backdoors para garantir acesso persistente. A detecção de tentativas de exploração pode ser feita através da busca por cabeçalhos específicos como 'Next-Action' ou 'rsc-action-id' nos logs do reverse proxy. Ferramentas como grep podem ser usadas para identificar esses padrões em logs de acesso do Nginx. Mais de cem mil servidores permanecem vulneráveis ao React2Shell nas versões 19.0, 19.1.0, 19.1.1 e 19.2.0 dos pacotes reactserver-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack. A proteção envolve a aplicação de patches recomendados pelo fornecedor.
Para uma detecção mais aprofundada, é necessário monitorar os processos gerados pelo web service, com foco em interpretadores de linha de comando. Regras de auditoria (auditd) podem ser configuradas para rastrear a execução de comandos como sh, bash ou dash em diretórios suspeitos como /var/www/ ou /tmp/, especialmente quando associados a um usuário específico (como www-data). A análise detalhada dos métodos de detecção para cada tática e técnica mencionada está disponível no estudo completo do Jet CSIRT.
A próxima publicação abordará a recuperação após incidentes, enfatizando a mudança de paradigma de "O que fazer se a empresa for invadida?" para "O que fazer quando a empresa for invadida?"
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
