Uma nova campanha hacker, iniciada em 2023, está explorando uma cadeia inédita de invasão ao Web Help Desk (WHD) do software de gerenciamento de rede SolarWinds. Os hackers estão transformando ferramentas de defesa das empresas em armas, e a onda de ataques teve seu pico no último sábado, 7 de outubro.
A análise da iniciativa cibercriminosa foi realizada pela empresa Huntress, que identificou a instalação dos programas Zoho ManageEngine Assist e Velociraptor nas máquinas infectadas. O Velociraptor, normalmente usado para análises forenses digitais e resposta a incidentes, se transforma em um servidor de comando e controle (C2) para os golpistas, sendo instalado através de arquivos MSI.
Vulnerabilidades Críticas
A versão vulnerável do Velociraptor é a 0.73.4, que apresenta vulnerabilidades críticas, como CVE-2025-40551 e CVE-2025-26399. Essas falhas permitem a execução remota de códigos sem autenticação, o que torna a situação ainda mais alarmante. A Agência de Ciber Defesa dos Estados Unidos (CISA) emitiu alertas sobre as falhas na semana passada, destacando a gravidade da situação.
Após a invasão, os hackers desativam o Windows Defender e modificam o registro do sistema para evitar que firewalls bloqueiem downloads adicionais. Para corrigir o problema, é necessário atualizar o SolarWinds WHD para a versão 2026.1 ou superior, além de remover o acesso público a interfaces de administração e renovar senhas associadas ao aplicativo.
Opinião
A crescente sofisticação dos ataques cibernéticos evidencia a necessidade urgente de atualização e vigilância contínua nas ferramentas de segurança das empresas.
