Alerta sobre ciberataques “industrializados”

Alerta sobre ciberataques “industrializados” após quadrilha de ransomware firmar parceria com a TeamPCP.

Um grupo de ransomware e uma quadrilha de cibercriminosos especializada em roubo de credenciais por meio de ataques à cadeia de suprimentos uniram forças em uma ação que pesquisadores de segurança cibernética descreveram como um “modelo sem precedentes de ransomware industrializado”.

Conforme detalhado pela Sophos, a colaboração é entre o grupo de ransomware Vect e o TeamPCP , um grupo associado ao The Com, um coletivo de cibercriminosos de língua inglesa por trás de uma série de ataques de alto perfil à cadeia de suprimentos.

Em uma postagem no blog, publicada em 2 de julho , a Sophos alertou que a combinação da convergência do roubo de credenciais em larga escala da cadeia de suprimentos do TeamPCP, que visa particularmente os desenvolvedores, com a operação de ransomware como serviço da Vect representa uma “mudança significativa no cenário de ameaças de ransomware”.

O resultado é que qualquer organização que tenha tido suas credenciais de login roubadas pelo TeamPCP pode estar sob risco adicional de também ser vítima de um ataque de ransomware pelo Vect.

Ambos os grupos têm histórico de colaboração com outras operações de cibercriminosos. O Vect surgiu apenas no final de 2025, mas no início de 2026 já havia firmado um acordo de parceria com o BreachForums , o fórum de hackers cibercriminosos. Enquanto isso, o TeamPCP já trabalhou com quadrilhas de extorsão, incluindo o notório grupo Lapsus$ .

No entanto, a parceria entre a TeamPCP e a Vect pode ser particularmente poderosa, dado o grande número de contas comprometidas pela TeamPCP. Por exemplo, em março de 2026, a TeamPCP teve como alvo o scanner de vulnerabilidades Trivy da Aqua Security , o que resultou no comprometimento de 10.000 fluxos de trabalho de CI/CD e no roubo de mais de 500.000 credenciais de login, incluindo tokens de nuvem.

Pesquisadores da Sophos observaram que pelo menos uma implantação verificada do ransomware Vect, utilizando credenciais obtidas via TeamPCP, foi confirmada.

“Os grupos de ameaças estão operando cada vez mais como empresas, colaborando para combinar suas respectivas capacidades especializadas e construir novos fluxos de ataque. À medida que a IA se torna cada vez mais acessível, esperamos que o cenário de ransomware se industrialize ainda mais rapidamente, reduzindo a barreira de entrada ao automatizar grande parte do trabalho envolvido no lançamento de ataques”, disse Rafe Pilling, diretor de inteligência de ameaças da Unidade de Contramedidas a Ameaças (CTU) da Sophos X-Ops 

A pesquisa sobre a parceria de cibercriminosos foi publicada no mesmo dia em que o FBI emitiu um alerta FLASH sobre a atividade da TeamPCP.

“Os agentes do TeamPCP realizaram comprometimentos em larga escala da cadeia de suprimentos de software, visando desenvolvedores e ferramentas de segurança amplamente utilizadas, obtendo acesso a ambientes das vítimas e extraindo dados confidenciais, incluindo, entre outros, tokens de acesso à nuvem, chaves SSH e segredos do Kubernetes”, afirmou o alerta do FBI.

O FBI também detalhou alguns dos malwares e programas de roubo de informações conhecidos por estarem associados às campanhas do TeamPCP. Entre eles estão o CanisterWorm, o Sandclock, o worm autorreplicante Mini Shai-Hulud, que tem como alvo repositórios de código aberto, e o Miasma, uma variante do Mini Shai-Hulud.

Com o foco do TeamPCP em comprometer as cadeias de suprimentos de software, além da parceria com o grupo de ransomware Vect, a Sophos alertou que é crucial que as organizações garantam que estejam o mais bem protegidas possível contra essa ameaça combinada.

“O ambiente de desenvolvimento de software tornou-se, discretamente, uma das superfícies de ataque mais importantes e menos controladas nas empresas”, disse Pilling.

“As organizações precisam adotar uma postura que lhes permita avaliar rapidamente a exposição a ataques na cadeia de suprimentos e responder a eles. É crucial que verifiquem cuidadosamente a integridade e a segurança das atualizações de terceiros antes de implementá-las em todo o ambiente”, acrescentou.

Fonte: InfoSecurityMagazine

Clique e fale com representante oficial Netwrix Endpoint Protector

Veja também:

About mindsecblog 3654 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!