The post The Great Convergence: When Traditional Malware Becomes a Crypto-Hunting Machine appeared first on Daily CyberSecurity.

The dark web is often misunderstood, but it plays an important role in both privacy technology and cybercrime activity. In this episode, Tom Eston speaks with cybersecurity researcher and educator John Hammond about what the dark web actually is and how it has evolved in recent years. The discussion covers underground marketplaces, ransomware leak sites, […]

The post The Dark Web Explained with John Hammond appeared first on Shared Security Podcast.

The post The Dark Web Explained with John Hammond appeared first on Security Boulevard.

Neste ano, o Brasil sofreu mais de 315 bilhões de tentativas de ataque cibernético apenas no primeiro semestre — número que representa cerca de 84% de todo o tráfego malicioso registrado na América Latina no período, de acordo com um levantamento da Fortinet divulgado em agosto passado. Com adversários fazendo uso crescente de IA para conduzir campanhas de phishing, ataques DDoS e exploração de vulnerabilidades em ambientes híbridos e multicloud, líderes de segurança corporativa se veem diante de uma encruzilhada: manter o SOC (Security Operations Center) da forma como está ou apostar em novas tecnologias e formas de trabalho que respondam à nova realidade.

Grupos criminosos adotam táticas avançadas e combinam técnicas de Advanced Persistent Threat (APT) com ferramentas de IA para driblar as defesas tradicionais. Golpes que envolvem deepfakes ou phishing automatizado por IA tornam cada vez mais difícil distinguir o legítimo do malicioso. Ao mesmo tempo, a superfície de ataque das organizações se expandiu dramaticamente. Com ambientes de TI híbridos e multicloud, centenas de novos serviços e integrações são adicionados constantemente aos ecossistemas corporativos, abrindo brechas que muitas vezes são difíceis de monitorar.

O problema é que grande parte dos SOCs atuais foi concebida para um contexto em que as ameaças eram baseadas em assinatura e o volume de eventos era controlável. Hoje, porém, a multiplicação de fontes de telemetria, tais como endpoints, nuvens, APIs, identidades, dispositivos IoT e aplicações SaaS, faz com que o volume de logs cresça de forma exponencial.

Não se trata apenas de mais dados, mas de dados de naturezas distintas, com diferentes formatos, níveis de granularidade e relevância operacional. Ferramentas modernas de detecção e monitoramento, como EDRs, XDRs e soluções de observabilidade, coletam informações em tempo real e geram fluxos contínuos de telemetria que precisam ser correlacionados com ameaças conhecidas e comportamentos anômalos. Sem uma arquitetura de dados e automação adequadas, esse ecossistema torna-se difícil de orquestrar – e o SOC passa a lidar menos com ruído e mais com complexidade analítica. O desafio, portanto, deixou de ser filtrar falsos positivos e passou a ser transformar grandes volumes de logs em inteligência acionável com velocidade e contexto.

E, quando os adversários passam a empregar IA para criar malwares praticamente indetectáveis, um SOC calcado apenas em esforço humano não consegue escalar na mesma proporção do risco. O resultado é um descompasso perigoso entre a capacidade defensiva e a velocidade com que as ameaças modernas atuam, evidenciando que manter o status quo não é mais sustentável.

Uma das principais transformações em curso é a adoção do modelo de SOC as a Service, que redefine a forma como as empresas estruturam sua defesa cibernética. Diferente do modelo híbrido ou totalmente interno, o SOCaaS oferece monitoramento, detecção e resposta a incidentes 24×7 por meio de uma plataforma escalável e baseada em nuvem, administrada por especialistas em cibersegurança.

Esse formato elimina a necessidade de manter infraestrutura local pesada e reduz o tempo de implantação, ao mesmo tempo em que garante acesso contínuo a tecnologias e analistas altamente especializados.

Ao integrar telemetria proveniente de múltiplas camadas, o SOC as a Service consolida os eventos em um único datalake de análise, aplicando correlação e contextualização automatizadas com apoio de SOAR e machine learning. Assim, os alertas deixam de ser tratados de forma isolada e passam a compor narrativas completas de ataque, permitindo uma visão tática e antecipada das ameaças.

Essa automação nativa reduz drasticamente o tempo médio de detecção (MTTD) e o tempo médio de resposta (MTTR), pontos críticos para conter ataques modernos que podem se propagar em minutos.

Outro benefício do modelo é a atualização contínua da inteligência de ameaças. Fornecedores de SOCaaS normalmente operam com bases globais de threat intelligence, alimentadas por fontes de ciberinteligência regionais e internacionais.

Essa atualização constante amplia a visibilidade sobre novas campanhas maliciosas, técnicas de exploração e indicadores de comprometimento (IoCs), garantindo que o ambiente corporativo permaneça protegido mesmo diante de vetores inéditos. Ao mesmo tempo, as plataformas de SOCaaS modernas integram recursos de análise comportamental (UEBA) e aprendizado contínuo, permitindo identificar padrões anômalos e prevenir movimentos laterais antes que evoluam para incidentes graves.

Mais do que uma modernização tecnológica, a adoção de modelos de SOC as a Service representa um novo paradigma de defesa cibernética. O CISO que ainda vê o SOC apenas como um centro de monitoramento precisa agora encará-lo como um núcleo de inteligência e antecipação, sustentado por automação, correlação de dados e aprendizado de máquina.

Os ataques de ransomware estão longe de desacelerar. No último ano, foram registradas 11.796 vítimas diretas desse tipo de ciberataque ao redor do mundo, 1,3 vítimas por hora, segundo dados do BTTng da Apura Cyber Intelligence, plataforma de inteligência em ameaças cibernéticas. O impacto vai além dos números: empresas paralisadas, serviços essenciais comprometidos e milhões de pessoas expostas a riscos iminentes.

A onda de ataques abrange qualquer empresa de todos os segmentos, desde a saúde até os serviços públicos. Em maio passado, a Ascension Healthcare, uma das maiores operadoras de saúde dos EUA, foi alvo de um ataque cibernético que comprometeu sistemas críticos, incluindo registros médicos e comunicação interna. Hospitais ficaram sem acesso a informações essenciais por semanas, forçando equipes a recorrerem a procedimentos manuais. “Isso gerou riscos reais, com erros relatados no Kansas e em Detroit, que poderiam ter resultado em graves consequências médicas”, explica Anchises Moraes, Especialista de Theat Intel da Apura.

A Ascension não divulgou oficialmente o grupo por trás do ataque, mas investigações apontam para o Black Basta. Sete dos vinte e cinco mil servidores foram comprometidos, e 5,6 milhões de indivíduos receberam notificações sobre o possível vazamento de dados.

No Brasil, a TOTVS foi alvo do grupo BlackByte, com relatos de que dados da empresa foram acessados. A companhia informou seus acionistas, garantindo a continuidade dos serviços, mas sem dissipar completamente a incerteza. Já a Sabesp sofreu um ataque do grupo RansomHouse, que não apenas roubou dados, mas também os publicou posteriormente.

O futuro dos ataques: alvos menores, impactos maiores

Se antes os criminosos miravam grandes corporações exigindo valores exorbitantes, a tendência é que ataques menores, porém em massa, ganhem força em todo o mundo, incluindo o Brasil. Pequenas e médias empresas se tornaram alvos fáceis, já que possuem menos recursos para segurança e maior propensão a pagar resgates. “Elas têm mais dificuldade em recuperar dados roubados ou encriptados, tornando-se presas ideais para esses criminosos”, alerta Anchises.

A expansão internacional do grupo de cibercriminosos conhecido como Scattered Spider acendeu um sinal de alerta entre empresas latino-americanas. Especialistas em segurança apontam que, embora não haja registros confirmados de ataques desse grupo no Brasil ou vizinhos até o momento, seu alcance global e métodos sofisticados representam um risco iminente para organizações na região.

Com táticas de engenharia social elaboradas e capacidade de driblar defesas tradicionais, o Scattered Spider tem mirado grandes empresas em diversos países. “A questão não é mais ‘se’ seremos atacados, mas de ‘quando’ e ‘como’, afirma Felipe Guimarães, Chief Information Security Officer da Solo Iron. “As táticas empregadas pelo grupo exploram fragilidades universais, presentes em empresas em todo o mundo – o que inclui as empresas latino-americanas”, pondera o especialista.

Um dos maiores riscos é que os setores visados pelo Scattered Spider no exterior também são pilares econômicos na América Latina. O grupo historicamente focou suas ações em empresas de telecomunicações, terceirização de processos de negócios (BPO) e grandes empresas de tecnologia – indústrias que possuem ampla presença na região. Nos últimos tempos, foi observado um aumento de interesse do grupo pelo setor financeiro global, o que inclui bancos e instituições presentes no Brasil e países vizinhos.

“Isso significa que companhias latino-americanas, seja diretamente ou através de filiais e parceiras, podem entrar na mira à medida que o Scattered Spider amplia seu raio de atuação. Mesmo empresas que não operam internacionalmente devem se precaver, pois os criminosos podem enxergar organizações locais como pontes de entrada para fornecedores ou clientes globais, ou simplesmente como alvos lucrativos por si sós, caso identifiquem falhas de segurança exploráveis”, pontua Guimarães.

Na mira das agências de inteligência

Relatórios do FBI e da Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA descrevem o Scattered Spider como “especialista em engenharia social”, empregando diversas técnicas para roubar credenciais e burlar autenticações.

Entre os métodos documentados estão phishing por e-mail e SMS (smishing), ataques de vishing (ligações telefônicas fraudulentas) em que os criminosos se passam por equipe de TI da própria empresa, e até esquemas elaborados de SIM swap – quando convencem operadoras de telefonia a transferir o número de celular de uma vítima para um chip sob controle deles. Essas táticas permitem interceptar códigos de autenticação multifator (MFA) enviados via SMS ou aplicativos, dando aos invasores as chaves para acessar sistemas internos.

Alguns incidentes recentes no cenário latino-americano já envolveram vetores parecidos, como uso de ferramentas legítimas em ataques e exploração de credenciais vazadas, o que reforça a necessidade de vigilância. Em 2024, por exemplo, houve casos de gangues de ransomware operando na região que abusaram de softwares legítimos e brechas em procedimentos internos de empresas, aplicando práticas muito similares ao do Scattered Spider.

Estratégias de mitigação

Diante da crescente ameaça representada por grupos como o Scattered Spider, Guimarães recomenda a adoção de estratégias com foco especial em fortalecer métodos avançados de autenticação multifator (MFA), preferencialmente resistentes a phishing, como chaves físicas de segurança ou soluções baseadas em certificados digitais. Técnicas como MFA com validação numérica e a restrição do uso de SMS para autenticação são essenciais para reduzir o risco de engenharia social e ataques por fadiga de notificações, muito usados pelo grupo.

Além disso, a adoção de uma abordagem mais robusta em relação à gestão de identidades e acessos (IAM) é uma estratégia muito importante na contenção desse tipo de ameaça. “As identidades digitais estão se tornando uma nova superfície de ataque; por isso, é fundamental que as empresas implementem políticas rígidas de gestão de identidades, controle granular de acessos e monitoramento contínuo das atividades dos usuários”, destaca.

“Também é muito importante o controle rigoroso sobre ferramentas de acesso remoto e a implantação de monitoramento avançado. É recomendável que as organizações restrinjam o uso dessas ferramentas por meio de listas autorizadas e adotem sistemas robustos como EDR e DLP para identificar rapidamente atividades suspeitas”, finaliza o especialista.

Tokens e senhas já não são os métodos favoritos para acessar dispositivos ou contas pessoais. Dando lugar às impressões digitais, reconhecimento facial e até à análise da voz, os sistemas biométricos representam a nova fronteira na autenticação de transações.

Mais de 4,2 bilhões de dispositivos móveis já utilizam algum tipo de biometria ativa, segundo a Juniper Research, e a previsão é que, até o final de 2026, 57% de todas as transações digitais globais serão validadas por esses métodos. No Brasil, a adesão à tecnologia também já é uma realidade palpável. Uma pesquisa da Accenture mostra que 73% dos consumidores brasileiros se sentem mais seguros usando biometria do que os tradicionais códigos numéricos em aplicativos bancários e carteiras digitais.

E, infelizmente, isso também atrai a atenção dos criminosos cibernéticos. “Com o avanço das tecnologias biométricas, especialmente o reconhecimento facial, empresas e governos vêm reforçando sistemas de segurança com identificações automáticas de indivíduos. No entanto, esse movimento é acompanhado pelo cibercrime na busca por técnicas sofisticadas, alimentadas por Inteligência Artificial, capazes de burlar os sistemas de autenticação”, explica Anchises Moraes, Head de Threat Intelligencena Apura Cyber Intelligence S.A.

Segundo o especialista em cibersegurança, criminosos utilizam desde impressoras de alta resolução até softwares para falsificar características biométricas, desafiando a proteção tecnológica de aplicativos bancários, serviços públicos e plataformas financeiras.

Esses ataques podem ser classificados em cinco níveis de complexidade. O nível 1 utiliza fotos digitais de alta resolução, vídeos em HD e até máscaras de papel, enquanto o nível 2 se baseia em bonecos realistas e máscaras 3D de látex ou silicone. Já no nível 3, os fraudadores recorrem a artefatos ultra-realistas e cabeças de cera. O nível 4 envolve a alteração de mapas faciais 3D para enganar os servidores de autenticação quanto à “prova de vida”. O estágio mais avançado, nível 5, inclui a injeção digital de imagens e vídeos diretamente nos dispositivos, ou mesmo o uso de deepfakes altamente convincentes, levando sistemas a aceitar a fraude como se fosse atividade orgânica do usuário legítimo.

Fraudes com deepfake e uso de identidades digitais sintéticas têm crescido no Brasil. Relatórios, como o da Deloitte publicado pelo portal Infochannel, apontam que o prejuízo econômico com fraudes movidas por inteligência artificial pode chegar a R$ 4,5 bilhões até final de 2025. Crescimentos de mais de 800% no uso de deepfakes já foram observados.

Na China, um caso emblemático escancarou o potencial destrutivo desses golpes. Um empregado de uma estatal foi induzido a transferir US$ 622 mil (cerca de R$ 3,1 milhões) após conversar por vídeo com quem acreditava ser seu próprio CEO. O fraudador usou deepfake em tempo real para replicar a imagem e voz da liderança da empresa, produzindo uma situação de extrema urgência para forçar as transferências. O golpe usou vídeos públicos do executivo para criar o avatar, e golpes similares vêm sendo relatados desde então.

Anchises esclarece, portanto, que as empresas de cibersegurança têm apostado em múltiplas camadas de proteção para mitigar essas ameaças. Uma das principais estratégias é a adoção de sistemas multimodais: combina-se dados de vídeo, áudio, sensores de temperatura, profundidade e análise comportamental, dificultando a ação dos golpistas. Sistemas avançados também integram detecção de deepfakes em tempo real e biometria comportamental, que monitora detalhes como velocidade de digitação, pressão sobre o touchscreen e até a forma como o dispositivo é manuseado.

Outras táticas envolvem técnicas de desafio e resposta  dinâmico, com desafios imprevisíveis gerados por IA (como pedir para piscar apenas um olho ou falar informações contextuais não planejadas), e a junção de provas de vida (“liveness”) passivas com ativas – mixando análises automáticas de vídeo com interações em tempo real. Ademais, cresce o monitoramento sistemático de vazamentos: equipes especializadas vasculham a dark web e bases de dados abertas em busca de imagens e perfis reciclados em novas tentativas de fraude. Apesar da sofisticação dos ataques, a resposta das empresas também evolui, demonstrando que a guerra pela identidade digital está apenas começando.

“Por isso se faz fundamental o trabalho desenvolvido pela Apura em conjunto com outras empresas de cibersegurança, ao monitorar as redes em busca de possíveis ameaças e, quando, infelizmente, um ataque for bem-sucedido, avaliar minuciosamente todos os fatores envolvidos para desenvolver e aprimorar ainda mais as táticas defensivas contra cibercriminosos que querem explorar as vulnerabilidades do uso de biometrias”, finaliza o especialista da Apura Cyber Intelligence.

Sobre a Apura Cyber Intelligence, acesse: https://apura.com.br

https://www.identy.io/pt-br/fraudes-causadas-por-ia-podem-causar-prejuizos-economicos-de-cerca-de-r-45-bilhoes-ao-brasil-em-2025

Os números não deixam dúvidas: o setor da saúde segue como um dos alvos preferenciais dos cibercriminosos no mundo. Segundo o Data Breach Investigations Report (DBIR) 2025, divulgado pela Verizon no dia 23 de abril, foram mais de 1.700 incidentes de segurança registrados na área médica entre novembro de 2023 e outubro de 2024. Destes, um assustador volume de 1.542 resultou em vazamentos de dados, muitos expostos por cibercriminosos em sites e fóruns na Dark e Deep Web.

O levantamento é considerado uma das maiores referências globais sobre segurança digital. Neste ano, analisou mais de 22 mil incidentes, com 12.195 violações de dados confirmadas em organizações de 139 países.

A saúde ficou atrás apenas do setor industrial, que acumulou 1.607 violações no mesmo período. “Os dados médicos são altamente sensíveis e valiosos. Por isso, o setor virou uma espécie de mina de ouro para os cibercriminosos”, explica Anchises Moraes, especialista da Apura Cyber Intelligence, que pelo sétimo ano consecutivo é uma das colaboradoras do relatório, levando dados do cenário brasileiro para esse levantamento global.

Segundo o relatório, 45% das violações miraram dados médicos, enquanto 40% afetaram dados pessoais, como nomes, endereços e números de documentos.

Os principais caminhos para as violações continuam sendo os mesmos: intrusões, falhas humanas e erros diversos, responsáveis por 74% dos casos. Já sobre quem promove os ataques, a maioria vem de fora: 67% são atribuídos a agentes externos. Mas o risco interno também é alto: 30% dos incidentes foram causados por pessoas com acesso legítimo aos sistemas. Os parceiros, por sua vez, responderam por 4% das investidas.

A maioria das invasões teve motivações financeiras: 90% dos ataques buscaram lucro direto com extorsão ou venda de dados. Contudo, um dado chama a atenção: os ataques movidos por espionagem saltaram de 1% em 2023 para 16% em 2024, um crescimento que, segundo Moraes, é “expressivo e preocupante”.

“Esse é um dos grandes desafios: muitas vezes, quem está dentro da organização facilita ou executa o ataque”, alerta Moraes. Para ele, a resposta precisa ir além de barreiras tecnológicas. “É preciso investir em treinamento, conscientização e controles rigorosos.”

Outra mudança detectada pelo DBIR 2025: os ataques de ransomware e invasões sofisticadas superaram, pela primeira vez, os erros humanos como causa dos incidentes, que lideravam o ranking até 2023. A escalada preocupa, especialmente em hospitais, onde a indisponibilidade de sistemas por um ataque de ransomware pode comprometer o atendimento e colocar vidas em risco. A América Latina também figura no relatório com destaque: foram 657 incidentes na região, sendo 413 com vazamentos confirmados.

“Depois que um ataque acontece, o desespero toma conta, e isso dá ainda mais vantagem aos criminosos”, afirma Moraes. “Não basta ter rotinas de segurança, sistemas de proteção robustos e, principalmente, investir em educação protetiva cibernética para reduzir o risco de um ataque bem-sucedido”, destaca. “É fundamental investir em medidas preventivas e pró-ativas, como monitoramento de ameaças, e construir um sólido plano de resposta a incidentes, para minimizar o impacto e retomar rapidamente a operação caso o pior aconteça”.

O relatório completo pode ser acessado gratuitamente no site da Verizon: https://www.verizon.com/business/resources/reports/dbir/.

Se você já leu ou ouviu o termo “ataque cibernético” pode ter se perguntado como esse tipo de ataque acontece no mundo real e quais os reais impactos eles podem gerar, seja para as empresas que sofreram o golpe ou para as pessoas de maneira geral.

Recentemente, a Apura Cyber Intelligence apresentou seu relatório sobre o panorama da cibersegurança no mundo no último ano, em que aborda uma série de incidentes que aconteceram durante o ano. O relatório mostra como os criminosos realizaram tais ataques e quais foram as consequências para as empresas e indivíduos atingidos. Além disso, o relatório também abordou uma série de operações realizadas por autoridades contra grupos cibercriminosos.

Marco Romer, Coordenador de Reports na Apura, explica que, cada vez que um ataque é deflagrado, empresas de cibersegurança como a Apura estudam o caso para poder entender onde houve falhas e, assim, desenvolver técnicas mais refinadas que aumentem a efetividade das medidas de seguranças contra esses tipos de ataques.

Alguns incidentes no Brasil e no mundo

Em um dos acontecimentos mais importantes de 2024 no setor de tecnologia, a Snowflake, renomada empresa de computação em nuvem, enfrentou um grave vazamento de dados. A Mandiant, empresa de segurança pertencente ao Google, identificou que aproximadamente 165 clientes potenciais da Snowflake, incluindo a Pure Storage, a Neiman Marcus e a AT&T, foram alvo de uma campanha coordenada de exploração de credenciais roubadas. O caso foi agravado por falhas na implementação de medidas de segurança essenciais, como a adoção de autenticação multifatorial, e pela reutilização de senhas antigas.

“A investigação conduzida pela Mandiant, identificou que a ação comprometeu dados de aproximadamente 110 milhões de clientes apenas da AT&T, abrangendo praticamente toda a base de usuários da operadora. O volume de informações expostas demonstra a extensão e a gravidade do incidente, evidenciando o potencial de alcance de ataques cibernéticos bem-sucedidos”, explica Romer. “Fica claro também, que o ataque a uma única empresa, neste caso a Snowflake, pode atingir várias outras, demonstrando a necessidade de a segurança cibernética ser pensada e estruturada ao longo de toda a cadeia de suprimentos”, acrescenta.

Outro incidente ocorreu com a Ascension Healthcare, uma das principais operadoras de saúde dos EUA, que enfrentou um ataque de ransomware que paralisou suas operações clínicas. O episódio, detectado em maio, interrompeu serviços importantes, como registros médicos eletrônicos, forçando os hospitais a recorrerem a métodos manuais, como notas manuscritas, o que aumentou os riscos de erros médicos. Em um caso angustiante, um enfermeiro no Kansas quase cometeu um grave erro de dosagem devido à confusão causada pela falta dos sistemas eletrônicos.

No Brasil, uma onda de o golpe por SMS, também conhecido como “smishing”, se destacou pela velocidade e alcance. Criminosos exploraram mensagens SMS para enganar milhares de pessoas. Entre as principais modalidades de fraude,  só neste ano, centenas de sites falsos foram criados para enganar vítimas por meio de falsas notificações de encomendas, avisos de valores a receber e alertas de cassação da CNH encheram as caixas de entrada dos brasileiros. As mensagens continham links que levavam a sites fraudulentos, semelhantes a portais de empresas de logística e órgãos governamentais, induzindo as vítimas a pagar supostas taxas por meio de boleto ou pagamento instantâneo.

Os golpes por SMS continuam a representar uma séria ameaça à segurança digital dos brasileiros em 2025. Segundo pesquisa da Norton divulgada em março, 54% das tentativas de fraude no país foram feitas por SMS, sendo que 43% das pessoas que receberam essas mensagens acabaram caindo no golpe. Mais alarmante: 77% dessas vítimas sofreram prejuízos financeiros, com perdas que vão de R$ 1,2 mil a até R$ 40 mil. De acordo com a Febraban, o total de perdas financeiras causadas por golpes no Brasil saltou de R$ 8,6 bilhões, em 2023, para R$ 10,1 bilhões em 2024 — um crescimento de 17%.

“Conseguimos identificar com o auxílio de nossa ferramenta de inteligência de ameaças e técnicas de investigação em fontes abertas que mais de 300 domínios falsos foram usados apenas em campanhas que simulavam comunicações dos Correios, ampliando significativamente o alcance e o impacto dos golpes”, diz o coordenador.

Em abril de 2024, o sistema financeiro do Governo Federal, conhecido como SIAFI, foi alvo de um ousado esquema de desvio de recursos. Criminosos conseguiram alterar dados bancários de um fornecedor, desviando R$ 3,5 milhões do Ministério da Gestão e Inovação. Para isso, utilizaram técnicas como phishing e certificados digitais falsos, aproveitando-se de credenciais de servidores públicos.

Operações contra grupos de cibercriminosos

No caso do SIAFI, a investigação da Polícia Federal revelou um esquema criminoso que desviava recursos destinados ao pagamento dos salários de servidores públicos, utilizando contas de “laranjas” para ocultar as transações. Esses recursos eram posteriormente convertidos em criptomoedas através de exchanges e instituições de pagamento especializadas.

Durante a operação, foram cumpridos 19 mandados de busca e apreensão e três de prisão temporária em diversos estados, incluindo Minas Gerais, Bahia, Rio de Janeiro, São Paulo e o Distrito Federal. Em resposta ao ocorrido, o Tesouro Nacional, responsável pelo SIAFI, implementou medidas adicionais de segurança, como a autenticação com múltiplos fatores (MFA) para usuários autorizados, visando reforçar a proteção do sistema e prevenir futuros incidentes.

Outras ações bem sucedidas implementadas pelas autoridades com a colaboração de empresas de cibersegurança foram realizadas em 2024. Operações nacionais e internacionais contra o cibercrime tiveram como foco o combate a grupos de ransomware e a grupos especializados em ataques DDoS.

A “Operação Cronos”, por exemplo, marcou um ponto de virada na luta contra o grupo LockBit, temido por sua série de ataques de ransomware desde 2019. As forças da lei dos EUA, do Reino Unido e da União Europeia conseguiram apreender domínios e revelar a identidade do líder do grupo, Dmitry Yuryevich Khoroshev. Vários afiliados foram presos, e a operação demonstrou a colaboração global necessária para combater o cibercrime.

Simultaneamente, a “Operação PowerOFF” desmantelou 27 serviços de aluguel de ataques DDoS em uma ação coordenada entre 15 países. Além de remover plataformas online usadas para fins maliciosos, a operação prendeu indivíduos-chave e responsabilizou centenas de usuários.

Outra vitória significativa ocorreu com a “Operação Magnus”, que focou nos malwares Redline e Meta Infostealer, dois dos mais utilizados para roubo de informações pessoais em todo o mundo. A polícia holandesa e o FBI apreenderam servidores e emitiram alertas globais, culminando na acusação do desenvolvedor russo Maxim Rudometov.

“As operações realizadas em 2024 reforçam a importância da cooperação internacional na luta contra o cibercrime, não só entre as nações, mas também do setor público com o privado. Se os criminosos evoluem em ousadia e táticas a cada ano, as forças da lei estão sempre empenhadas em provar que é só uma questão de tempo até que estes criminosos sejam inevitavelmente levados a encarar a justiça e a pagar por seus crimes”, ressalta Romer.

Sobre a Apura Cyber Intelligence, acesse: https://apura.com.br/

A engrenagem do cibercrime não para de evoluir, e 2025 chega com um alerta vermelho para líderes de tecnologia, segurança e governança digital. Lançado nesta quarta-feira (23), a nova edição do Data Breach Investigations Report (DBIR), da norte-americana Verizon, escancara um cenário em mutação: crescimento nos ataques com uso de inteligência artificial, exploração de falhas de dia zero nos dispositivos de borda e um fator humano que insiste em deixar a porta entreaberta para os criminosos.

Neste ciclo, o relatório analisou 22.052 incidentes de segurança, dos quais 12.195 resultaram em violações de dados confirmadas, o maior volume já registrado em uma edição do estudo. O levantamento cobre o período entre 1º de novembro de 2023 e 31 de outubro de 2024, com participação de empresas de todos os portes e setores. E, mais uma vez, o Brasil marcou presença: pelo sétimo ano consecutivo, a Apura Cyber Intelligence contribuiu com sua análise sobre o cenário nacional de ameaças.

“Esse tipo de colaboração nos permite entender melhor o comportamento do cibercrime em diferentes regiões e estar no centro das discussões mais relevantes sobre cibersegurança no mundo”, afirma Sandro Süffert, fundador e CEO da Apura. “Essa troca internacional nos permite entender o que está acontecendo lá fora e ajustar nossas ações ao que faz sentido aqui – e vice-versa. Esse equilíbrio entre o panorama global e a realidade local é o que torna nossa atuação mais eficaz e diferenciada”.

Entre os dados mais preocupantes, está o aumento de violações causadas por abuso de credenciais (22%) e exploração de vulnerabilidades (20%), com destaque para o uso de exploits de dia zero em VPNs e dispositivos de borda. Esses equipamentos, aliás, estiveram no centro de 22% das falhas exploradas no ano passado, um grande salto comparado aos 3% do ano anterior.

Apesar dos esforços das empresas em aplicar correções de segurança em seus equipamentos, apenas 54% das falhas foram totalmente resolvidas, com um prazo médio de 32 dias para “fechar a porta”, tempo mais do que suficiente para os criminosos agirem.

O fator humano ainda aparece em 60% das violações. E as brechas se multiplicam na medida em que cresce o envolvimento de terceiros, agora presentes em 30% dos incidentes, o dobro do registrado no ciclo anterior. O uso compartilhado (e muitas vezes descuidado) de credenciais, especialmente em ambientes externos, segue sendo um calcanhar de Aquiles. Para se ter uma ideia, o estudo identificou que o tempo médio para remediar segredos vazados em repositórios GitHub foi de 94 dias.

Outro alerta grave: os malwares do tipo “infostealer”, focados no roubo de dados, aparecem com força. Segundo o DBIR, 30% dos dispositivos infectados por esse tipo de ameaça eram corporativos, sendo que quase metade dos sistemas comprometidos (46%) misturava credenciais pessoais e profissionais — uma combinação explosiva que cresce com políticas permissivas de BYOD (bring your own device), ainda comuns em muitas empresas.

No front do ransomware, o relatório detectou aumento de 37% nas ocorrências em relação ao ciclo anterior. O tipo de ataque esteve presente em 44% das violações analisadas. Ainda assim, os valores pagos aos extorsionistas caíram: de uma mediana de US$ 150 mil em 2023 para US$ 115 mil em 2024. A boa notícia? 64% das empresas vítimas optaram por não pagar o resgate.

Mas o impacto é desigual: entre grandes corporações, o ransomware apareceu em 39% das violações. Já nas pequenas e médias empresas, esse número sobe para 88%, o que reforça a realidade vulnerável do middle market.

Uma das grandes novidades do relatório foi a inclusão da inteligência artificial como vetor de ataque. O uso de GenAI (inteligência artificial generativa) por criminosos se tornou evidente em 2025, com o dobro de e-mails maliciosos usando textos sintéticos em comparação com dois anos atrás, segundo parceiros da Verizon.

Mas o perigo não está apenas no lado ofensivo. O relatório revela que 15% dos funcionários acessam ferramentas de IA generativa com frequência em dispositivos corporativos, muitas vezes com contas pessoais (72%) ou e-mails corporativos sem autenticação adequada (17%) — criando brechas para o vazamento de dados sensíveis para fora do ambiente empresarial.

“Há poucos anos, falar de inteligência artificial em ataques cibernéticos soaria como ficção. Hoje, criminosos usam GenAI para automatizar fraudes, escrever e-mails de phishing mais convincentes e até escalar ataques com uma velocidade inédita. Isso muda o jogo. E nos obriga a pensar em defesa com a mesma sofisticação e agilidade”, comenta Süffert.

O DBIR 2025 apresenta uma breve análise regional do cenário de ameaças e traz um recorte com o panorama dos ataques cibernéticos na América Latina. Dentre os 657 incidentes analisados na região, a maioria com divulgação de dados confirmada (413), os principais padrões de ataque foram a intrusão de sistemas, o uso de engenharia social e os ataques básicos a aplicações Web – ao todo eles representam 99% das violações. Praticamente todas as violações identificadas na região envolveram atores de ameaça externos e 1% envolveram parceiros. As principais motivações foram o ganho financeiro (84%) e a espionagem (27%), com comprometimento de dados internos (97%) e de segredos corporativos (27% dos casos).

Com mais de 150 páginas, o DBIR 2025 reafirma seu papel como o mapa da segurança cibernética global. O estudo deixa claro: a guerra digital continua, e os ataques estão mais rápidos, inteligentes e invisíveis. A boa notícia é que, com dados e colaboração internacional, também evoluem as defesas.

Ou como resumiu o CEO da Apura: “Relatórios como o DBIR não se limitam a contar o que já aconteceu. Eles acendem luzes sobre o que está por vir”, diz Sandro Süffert, CEO da Apura. “Em um ambiente onde o cibercrime evolui na velocidade da tecnologia, ter acesso a dados confiáveis e análises profundas deixou de ser um diferencial, virou questão de sobrevivência”.

Sobre a Apura Cyber Intelligence: https://apura.com.br/

O relatório Data Breach Investigations Report 2025 já está disponível para download. Acesse em: https://www.verizon.com/business/resources/reports/dbir/

Pela primeira vez, o tráfego automatizado na internet superou o da atividade humana. Mais da metade (51%) de tudo que circulou na web em 2024 foi gerado por programas de computador. A informação é da CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, cloud e infraestrutura para data centers, que analisou os dados do Imperva Bad Bot Report 2025. Estudo que coletou, analisou e bloqueou, a partir da rede global da Imperva, quase 6 trilhões de solicitações de bots mal-intencionados, média de 2 milhões de ataques diários com uso de IA, e impetrado contra milhares de domínios, de diversos setores.

O 12º relatório anual sobre bots maliciosos da Imperva, empresa adquirida pela Thales, referência em proteção de aplicações, APIs e dados críticos em larga escala, e cuja aquisição fortaleceu sua posição no setor. “O estudo explora a expansão dos ataques automatizados, e os riscos crescentes aos negócios representados pelos bots maliciosos, a ascensão da IA na criação de ataques mais evasivos e escaláveis e o aumento das vulnerabilidades das APIs”, explica Abílio Branco, Diretor Regional de Data Security para o Brasil e SOLA da Thales.

Principais dados do Imperva Bad Bot Report 2025

A atividade dos bots maliciosos aumentou pelo sexto ano consecutivo, atingindo 37% de todo o tráfego da internet, 5% a mais que em 2023.

Ataques simples, de alto volume, com bots aumentaram substancialmente, respondendo agora por 45% de todos os ataques com bots, em 2023 eram 40%.

O número de ataques de sequestro de contas (ATO) aumentou 40% em relação ao ano passado e 54% à 2022.

44% do tráfego de bots avançados foram direcionados contra APIs. “Proteger APIs deixou de ser apenas mais uma medida de segurança. Trata-se, agora, de se preservar a base dos ecossistemas digitais de uma empresa”, comenta Pamela Paganotti, gerente de produtos Thales na CLM.

Serviços financeiros, assistência médica e e-commerce são os setores mais visados pelos ataques com bots contra APIs.

Mais da metade de todos os ataques com bots foram contra os Estados Unidos (53%), seguidos do Brasil e Reino Unido, que ocupam a segunda posição, com 6% cada um.

Em um dos painéis mais aguardados do Cyber Security Summit 2025, o especialista Yuri Diógenes, PhD em Cybersecurity, professor da Universidade do Texas em Dallas e líder global de ciberdefesa na Microsoft, encerrou o evento com uma palestra contundente sobre o novo cenário dos conflitos internacionais. Sob o tema “Quando as Fronteiras Ficam Nebulosas: Ciberataques de Estados-Nação em Conflitos Modernos”, o especialista mostrou como o ciberespaço se consolidou como o quinto domínio da guerra moderna — ao lado da terra, do ar, do mar e do espaço — e advertiu que empresas e governos já estão sendo afetados diretamente por esse tipo de ataque.

“Quando há um embate entre Estados, o primeiro ataque não é mais militar, é cibernético. Ele vem em forma de campanhas de desinformação, ataques distribuídos e sabotagem digital. O ciberespaço se tornou a nova linha de frente dos conflitos modernos”, afirmou Diógenes.

Segundo levantamento da Microsoft apresentado durante a palestra, uma em cada três infraestruturas críticas no mundo já foi alvo de ataques conduzidos por grupos vinculados a Estados-nação. Desde 2020, o número desses incidentes cresceu mais de 200%, impulsionado por tensões políticas e disputas regionais. O especialista destacou que o Brasil também pode sofrer efeitos colaterais de ofensivas direcionadas a outros países, especialmente em cadeias globais de suprimento.

Ao apresentar exemplos da guerra Rússia-Ucrânia e de ataques recentes no Oriente Médio, Diógenes mostrou que os ataques digitais tornaram-se o primeiro passo das ofensivas militares. “Antes de tanques cruzarem fronteiras, já vemos ofensivas cibernéticas contra infraestruturas críticas e sistemas de defesa. É um playbook de guerra que combina poder cibernético e força cinética”, explicou.

Ele lembrou ainda que setores privados também são alvos frequentes, mesmo fora das zonas de conflito. “Quando um provedor de soluções é comprometido, todas as organizações que confiam naquela cadeia são vítimas em potencial. A infiltração em um elo estratégico pode causar efeitos em cascata na economia global”, destacou.

IA e desinformação: a nova face dos ataques

O pesquisador também alertou para o uso crescente da inteligência artificial (IA) em campanhas de desinformação e manipulação social. De acordo com ele, entre janeiro de 2024 e outubro de 2025 houve um crescimento exponencial de ataques que utilizam IA em alguma etapa da operação. “A IA vem sendo usada para criar desinformação em massa, explorando fontes que parecem confiáveis, veículos de comunicação, personalidades e até familiares. O resultado é um caos informacional difícil de conter”, afirmou.

Entre os exemplos citados, estão deepfakes hiper-realistas, clonagem de vozes e manipulação de vídeos e áudios para fraudes e disseminação de fake news. “O cidadão comum não tem ferramentas para diferenciar o real do falso. Isso aumenta a vulnerabilidade social e política das democracias”, alertou.

Ao encerrar sua apresentação, Diógenes reforçou que o risco cibernético é, hoje, uma extensão do risco geopolítico e da competitividade nacional, exigindo uma mudança na postura das lideranças empresariais. “Gerenciar risco cibernético é gerenciar a competitividade nacional. O que acontece na Europa ou no Oriente Médio pode afetar diretamente o mercado brasileiro. As empresas precisam estar preparadas para impactos indiretos e colaterais”, afirmou.

Para o especialista, o caminho passa por três pilares: visibilidade, colaboração e mentalidade estratégica. “Segurança não pode ser apenas um tema operacional. Precisa estar na mesa de decisão executiva. Quando os conflitos se espalham para o ciberespaço, a preparação define a resiliência”, concluiu.​

A escalada de tensões entre Irã e Israel ganha um novo e perigoso capítulo no ciberespaço. Um relatório divulgado pela Check Point Research revela que o grupo de ciberespionagem iraniano conhecido como Educated Manticore, com ligações diretas ao Corpo da Guarda Revolucionária Islâmica (IRGC-IO), intensificou campanhas direcionadas contra acadêmicos, jornalistas e especialistas de tecnologia israelenses.

Alvos: Especialistas e Acadêmicos de Prestígio

De acordo com a investigação, o Educated Manticore concentrou esforços em atacar profissionais de alto nível, incluindo professores de ciência da computação de universidades renomadas de Israel, pesquisadores de cibersegurança e jornalistas. As ações, sofisticadas e cuidadosamente planejadas, fazem parte de uma ofensiva de espionagem digital que visa obter acesso indevido a contas de e-mail e outros serviços críticos.

Os invasores se passam por pesquisadores, executivos ou analistas de empresas de cibersegurança fictícias, estabelecendo contato inicial por e-mail ou até mesmo por mensagens no WhatsApp. Com uma comunicação polida, bem estruturada e aparentemente legítima — muitas vezes auxiliada por inteligência artificial —, os criminosos buscam conquistar a confiança das vítimas e direcioná-las para links maliciosos.

Phishing Personalizado e Engenharia Social Avançada

Uma vez estabelecido o contato, os alvos são conduzidos para falsas páginas de login do Gmail, Outlook ou Yahoo, desenvolvidas com tecnologia moderna baseada em Single Page Applications (SPA) usando React. Essas páginas simulam com precisão o fluxo de autenticação de grandes provedores de e-mail, incluindo etapas de autenticação multifator (2FA), captura de senhas e códigos de verificação.

Além disso, o kit de phishing desenvolvido pelo grupo conta com keyloggers ocultos, capazes de registrar todas as teclas digitadas, mesmo que o usuário não finalize o processo. As informações são transmitidas em tempo real para os servidores dos atacantes, potencializando o roubo de credenciais e comprometendo ainda mais as contas das vítimas.

Um aspecto que chamou atenção dos analistas foi o uso de convites falsos do Google Meet, hospedados no próprio serviço Google Sites, o que dá uma aparência ainda mais legítima às páginas maliciosas. Ao clicarem nas imagens desses convites, as vítimas são redirecionadas a sites sob o controle dos atacantes.

Infraestrutura Robusta e Expansão da Campanha

A infraestrutura da Educated Manticore é ampla e bem estruturada. Desde janeiro de 2025, o grupo registrou mais de 130 domínios diferentes — muitos relacionados a temas como tecnologia, comunicação e educação —, utilizados para hospedar as páginas de phishing e gerenciar as operações clandestinas. A maioria desses domínios foi registrada através do provedor NameCheap.

Os especialistas também identificaram uma sobreposição significativa com outra célula de operações, conhecida como GreenCharlie, o que sugere uma possível ramificação ou subgrupo da Educated Manticore atuando de forma coordenada.

Entre os domínios maliciosos monitorados estão sendly-ink[.]shop, idea-home[.]online, live-meet[.]info, bestshopu[.]online, entre muitos outros. Além disso, diversos endereços IP associados à operação foram mapeados, fortalecendo as evidências de uma infraestrutura técnica bem organizada.

Ameaça Persistente e Alerta Global

Apesar da crescente exposição e dos esforços da comunidade de segurança cibernética, o Educated Manticore segue atuando com rapidez e agressividade, demonstrando grande capacidade de adaptação e evasão. A campanha atual, ao explorar o contexto geopolítico e acadêmico, representa uma ameaça grave à integridade das instituições israelenses e ao ecossistema global de cibersegurança.

“Esses ataques evidenciam como o ciberespaço se tornou um dos principais campos de batalha no atual conflito Irã-Israel”, alertam os pesquisadores da Check Point. A expectativa é de que o grupo continue investindo em táticas de roubo de identidade e coleta de informações, principalmente de indivíduos envolvidos em ambientes acadêmicos, científicos e tecnológicos estratégicos.

Indicadores de Comprometimento (IOCs)

A Check Point Research divulgou uma lista de domínios e endereços IP associados à infraestrutura maliciosa do Educated Manticore. Profissionais e empresas de tecnologia são fortemente aconselhados a implementar medidas de monitoramento e bloqueio desses indicadores em suas redes.

Entre os principais IOCs identificados estão:

Endereços IP:

• 185.130.226[.]71

• 45.12.2[.]158

• 45.143.166[.]230

• 91.222.173[.]141

• 194.11.226[.]9

Domínios Notórios:

• sendly-ink[.]shop

• idea-home[.]online

• live-meet[.]info

• bestshopu[.]online

• live-message[.]online

A lista completa de domínios e IPs está disponível no relatório técnico da Check Point.

Conclusão

O caso do Educated Manticore reforça o papel crítico da cibersegurança no cenário geopolítico atual. A sofisticação técnica, combinada a uma estratégia agressiva de engenharia social, demonstra que grupos apoiados por Estados seguem explorando vulnerabilidades humanas e tecnológicas para alcançar seus objetivos de espionagem.

Especialistas recomendam vigilância redobrada, treinamentos contínuos de conscientização e o uso de autenticação forte e verificada, especialmente entre profissionais que atuam em áreas sensíveis de tecnologia e pesquisa.

Um ataque cibernético supostamente realizado pelo grupo “Lip Stitchers” comprometeu a rede de comunicação de 116 navios pertencentes à República Islâmica do Irã, segundo informações exclusivas obtidas pela Iran International. As embarcações afetadas estariam ligadas às empresas estatais National Iranian Tanker Company (NITC) e Islamic Republic of Iran Shipping Company (IRISL) — ambas sancionadas por Estados Unidos, Reino Unido e União Europeia por seu envolvimento em operações logísticas estratégicas e, segundo acusações, apoio a grupos como os houthis no Iêmen.

O grupo hacker declarou que sua ofensiva teve como objetivo “cegar o regime iraniano em um momento crítico de ataques militares americanos contra posições houthis”. Segundo o comunicado, 50 navios da NITC e 66 da IRISL foram isolados, perdendo a capacidade de se comunicar com portos, outras embarcações e centros de comando em terra. Ainda de acordo com os hackers, o restabelecimento total dessas redes pode levar semanas, forçando as embarcações a recorrerem a meios limitados e alternativos de comunicação.

O ataque coincide com o sexto aniversário de atuação do Lip Stitchers, marcado pela inauguração de uma nova página no Telegram. O grupo — já conhecido por revelar dados sobre a Guarda Revolucionária Iraniana e sua unidade cibernética — afirma ter apoio de insiders dentro do próprio governo iraniano.

Cegueira Tática no Mar

Ao comprometer a conectividade de 50 navios da National Iranian Tanker Company (NITC) e 66 da Islamic Republic of Iran Shipping Line (IRISL), o grupo Lip Stitchers impôs um blackout operacional em plena zona cinzenta das tensões no Oriente Médio. A ausência de conectividade em embarcações comerciais e militares modernas não representa apenas a perda de comunicação, mas um colapso da visibilidade tática e da sincronização logística.

Em ambientes marítimos, a comunicação satelital via VSAT, AIS, rádio VHF/HF e canais criptografados é vital não só para a navegação e coordenação, mas para o mascaramento de operações clandestinas, como o transporte de armas para os houthis no Iêmen, como denunciado. Ao isolar os navios, os atacantes não apenas desorganizam o fluxo de exportações de petróleo iraniano, mas também interrompem potenciais corredores de suprimento para grupos aliados do regime.

Sistemas de comunicação sob ataque

Apesar da escassez de informações públicas detalhadas sobre a arquitetura das redes de comunicação dos navios iranianos, sabe-se que as embarcações da NITC e da IRISL operam com um complexo sistema híbrido, que combina:

1. Comunicações via satélite (VSAT): tecnologia fundamental para navegação e troca de dados em alto-mar, especialmente em missões estratégicas. Acredita-se que o Irã use satélites nacionais e parcerias com países como Rússia e China para blindar comunicações críticas.
2. Radiocomunicações VHF e HF: ainda amplamente utilizadas para comunicação de curta distância, especialmente entre navios e portos próximos nas rotas do Golfo Pérsico, Mar Mediterrâneo e Sudeste Asiático.
3. Redes criptográficas militares: presentes em embarcações controladas pela Guarda Revolucionária (IRGC) e em petroleiros envolvidos em missões sensíveis, como evasão de sanções ou transporte de armamentos. Essas redes são projetadas para resistir a interceptações e ataques, mas também têm sido alvo de ciberataques sofisticados.

Comunicações como Alvo Estratégico

A NITC, com seus mais de 46 superpetroleiros e capacidade superior a 15 milhões de toneladas, opera como artéria principal das exportações iranianas. Esses navios frequentemente desligam seus sistemas de rastreamento AIS para driblar sanções internacionais e ocultar rotas em águas internacionais como tática para burlar sanções e dificultar a vigilância internacional, o que torna suas comunicações criptografadas e satelitais ainda mais críticas. Ao cortar esse elo, o grupo expõe a fragilidade de uma estrutura de comando e controle marítimo que depende de uma mescla de soluções legadas, tecnologias de parceiros como Rússia e China, e sistemas proprietários potencialmente inseguros.

A vulnerabilidade dessas redes – acentuada por restrições tecnológicas impostas por sanções e pela presença de hardware não auditado – faz delas alvos altamente viáveis para grupos sofisticados com conhecimento interno, como sugerido pelo Lip Stitchers.

A National Iranian Tanker Company comanda a maior frota de petroleiros do Oriente Médio, composta por mais de 46 navios-tanque com capacidade combinada superior a 15 milhões de toneladas. Essas embarcações são peças-chave na logística de exportação do petróleo iraniano — uma das principais fontes de receita do regime.

Guerra Cibernética Não-Estatal

O que torna essa operação emblemática é sua natureza transnacional, com motivação ideológica e possível colaboração interna, como afirmou o grupo em seu canal no Telegram. Não se trata apenas de um ato de protesto digital, mas de uma operação com timing geopolítico calculado: ocorreu durante ataques americanos contra posições houthis, potencializando seu efeito estratégico e midiático.

O impacto é amplificado pelo fato de que, no ciberespaço, atores não-estatais podem atingir Estados-nação com uma eficácia antes exclusiva das grandes potências. E no caso do Irã, que já enfrentava pressão econômica e militar, o colapso parcial de sua frota de transporte energético representa um enfraquecimento sensível de sua capacidade de projeção regional.

Vulnerabilidades e sanções

As crescentes sanções internacionais têm restringido o acesso do Irã a tecnologias de ponta, limitando atualizações críticas em suas redes navais e sistemas de comunicação. Após episódios de comprometimento de comunicações do Hezbollah em 2024, o próprio IRGC iniciou inspeções de segurança nos equipamentos utilizados por embarcações civis e militares.

A recente ofensiva do grupo Lip Stitchers indica que, apesar das medidas defensivas do regime, vulnerabilidades persistem — especialmente na camada cibernética que sustenta a capacidade logística naval iraniana. Com os navios afetados temporariamente isolados e operando sob risco elevado, o episódio acende um alerta sobre o crescente papel da guerra cibernética nas disputas geopolíticas do Oriente Médio.

Considerações

O ataque do Lip Stitchers é um alerta global. Ele demonstra que, na era da conectividade ubíqua, a superfície de ataque se estende até os mares. A maritimização do ciberconflito amplia o domínio de operações para além de redes terrestres e satélites, introduzindo um novo tipo de guerra naval silenciosa: não feita com torpedos, mas com pacotes de dados.

Para estrategistas e decisores, este episódio reforça a urgência de:

• Modernizar redes de comunicação embarcadas com foco em resiliência e segmentação;

• Implementar Zero Trust Marítimo, com autenticação e monitoramento contínuos;

• Investir em inteligência cibernética naval preventiva, integrando informações de threat hunting com geopolítica;

• Avaliar continuamente a cadeia de suprimentos cibernética dos sistemas embarcados, inclusive nos componentes adquiridos de parceiros estatais.

O mar, outrora refúgio para operações clandestinas, agora é palco de uma nova corrida armamentista digital. E quem controlar os dados das águas, controlará o destino das nações que por elas navegam.

The BlackBasta ransomware group’s leaked chat logs have proven to already be another unique and fascinating opportunity for researchers to better understand the internal operations of a Russia-based organised cybercrime enterprise. These leaks followed a major leak of Conti chat logs in 2022, which also proved to be a treasure trove of intelligence on the cybercrime enterprise. The BlackBasta gang consists of former Conti ransomware members and it should come as no surprise that their operations are similar in nature and structure.

Ransomware researchers have several valuable resources to conduct investigations with nowadays. This includes ransomware.live, which contains several resources including ransomch.at, a collection of negotiation chats between ransomware gangs and their victims, as well as the ransomware tool matrix and ransomware vulnerability matrix. These resources allow to deeply understand the capabilities and motivations of these ransomware gangs. However, leaked chat logs are the final missing piece of the puzzle and offer a deeper understanding from the cybercriminal’s very own perspective and organisational structure.

Active since April 2022, BlackBasta is one of the top-tier ransomware gangs and one of the largest cybercrime enterprises in the world. According to the US Cybersecurity Infrastructure and Security Agency (CISA), BlackBasta impacted up to 500 different businesses and critical infrastructure in North America, Europe, and Australia as of May 2024.

The importance of the Ascension Health incident

This blog shall dive deep into the Ascension Health attack by BlackBasta. It is a step-by-step extraction of the conversation between the BlackBasta members while they decide how to handle the attack.

The new insights around how BlackBasta and other ransomware gangs perceive being involved with incidents at healthcare sector victim should prove useful for incident responders, law enforcement, and governments that have to resolve these types of attacks on the healthcare sector on an alarmingly regularly basis.

Background

On 9 May 2024, mainstream news organisations in the US reported about a cyberattack and significant disruption of services of Ascension Health, one of the largest healthcare providers in the country. On 11 May 2024, BleepingComputer reported that BlackBasta was to blame for the attack on Ascension Health and that ambulances had been disrupted and patients were being redirected to other hospitals.

How the Incident Began

The BlackBasta attack on Ascension Health began many months before the ransomware was deployed on their network. Reconnaissance of Ascension Health by members of BlackBasta began around 3 November 2023. They shared 14 email addresses of Ascension Health employees, which we can only assume were used for phishing or password guessing. Ransomware gangs often used Zoominfo to profile their targets to determine whether it is worth it for them to attack and get a ransom from them.

The ransomware gang themselves wrote in their Matrix chat that CBS News had written about a cyberattack on Ascension Health on 9 May 2024 and exclaimed that “it looks like one of the largest attacks of the year.”

Another BlackBasta member “gg” confirmed in the chat that it was them and appeared to be surprised that the news was writing about it.

Later, “gg” appeared to feel bad about the attack and concerned that cancer patients were suffering. However, at this stage it is hard to tell if they are serious or being sarcastic.

One member of BlackBasta who used the moniker “tinker” then stated that he wanted to be the negotiator for the BlackBasta team and began to strategize how to extract a ransom payment.

“gg” says they encrypted Ascension Health’s network using the Windows Safe Mode Boot technique, which is a function that BlackBasta is well-known to do.

The negotiator, “tinker” begins to weigh up their options. He states he believes the FBI and CISA will be involved, as well as Mandiant and begins to compare the incident to the Change Healthcare attack by ALPHV/BlackCat (and later RansomHub) who received a 22 million USD ransom payment.

“gg” shares that all the stolen data was put on a server named “ftp8” and tagged as “ALBIR_DS” and says to “tinker” that he should “look at the folder name, everything we downloaded from them is there."

The operator, “gg” also shared a summary of the target environment of Ascension Health. This includes number of servers being over 12,000, what security tools they use such as Cylance, Tanium, and McAfee. Plus, “gg” said they downloaded over 1.4TB of data to "ftp8" and used BlackBasta ransomware version 4.0 and attacked them on 8 May 2024.

Interestingly, “gg” appears to have also recommended to bluff to the victim that they stole more than 1.5TB and say to the victim that they stole 3TB instead.

Negotiation Strategizing

After having established the details of the incident, Tinker (the negotiator) began to wonder about the likelihood of getting a ransom payment as well as estimate how much Ascension Health is likely losing per day.

Tinker (negotiator) then explains to the rest of the BlackBasta members involved in the attack what course of action they should take to get the ransom from Ascension Health. Tinker says they would normally set a 3% of the annual revenue and negotiate from there. They note that there are clear problems with the victim being a hospital and that this attack followed the Change Health attack by ALPHV/BlackCat. They also noted that they are worried as they believe the US National Security Agency (NSA) attacked TrickBot's servers four years ago and that the FBI took down Qakbot more recently. Tinker is  also worried that one of Ascension Health’s patients will die and they will be blamed and labelled as a terrorist attack.

Tinker also noted that when BlackSuit attacked Octapharma that it was labelled by the news as "hostile actions by Russia" and they warned that Conti was already under sanctions and that because they are tied to Conti they may not get paid.

Tinker, ransomware negotiator for BlackBasta, ultimately recommended giving the decryptor for free to Ascension Health and resorting to data theft extortion. This is notable, as it is a similar situation to the Irish HSE ransomware attack by Conti, who also provided the decryptor for free.

One of the challenges with investigating cybercrime is the infrastructure the adversaries leverage to conduct attacks. Cybercriminal infrastructure has evolved drastically over the last 25 years, which now involves hijacking web services, content distribution networks (CDNs), residential proxies, fast flux DNS, domain generation algorithms (DGAs), botnets of IoT devices, the Tor network, and all sorts of nested services.

This blog shall investigate a small UK-based hosting provider known as BitLaunch as an example of how challenging it can be to tackle cybercriminal infrastructure. Research into this hosting provider revealed that they appear to have a multi-year history of cybercriminals using BitLaunch to host command-and-control (C2) servers via their Anonymous VPS service.

The year-on-year growing number of CobaltStrike C2 servers hosted on BitLaunch’s services could be an indicator of tacit collusion with cybercriminals through the facilitation of cheap and quick to procurement of VPSs that end up being used to launch ransomware attacks on all sorts of victims, including hospitals, schools, governments, companies, and charities.

The concept of aiding and abetting criminal activity in law is essentially when an individual or an organisation intentionally assists, facilitates, or encourages a crime. In this case, it would be aiding and abetting the creation of cybercriminal infrastructure. If a hosting provider ignores clear red flags (e.g., cryptocurrency payments from known illicit sources or use of servers for illegal activities), they might still be held criminally liable under wilful blindness under certain laws.

In the past, authorities have taken down bulletproof hosting (BPH) providers that knowingly support cybercrime, such as CyberBunker and LolekHost. In February 2025, the UK government also sanctioned a Russia-based BPH known as ZSERVERS (aka XHOST) for facilitating LockBit attacks.

A podcast version of the blog is available here.

Update: This blog was updated with a statement from BitLaunch (see the end of this blog).

Who is BitLaunch aka BL Networks aka BLNWX?

Active since at least 2017, BitLaunch (also known as BL Networks or BLNWX) is a virtual private server (VPS) reseller whose autonomous system number (ASN) is AS399629. Up to 48 IPv4 networks belong to BitLaunch which are used to "instantly launch a Linux or Windows VPS” where customers can “pay hourly with Bitcoin, Litecoin, and Ethereum, with no firm commitments." BitLaunch also supports their customers via a command-line (CLI) tool and a Python library. BitLaunch has another name, however, in their legal terms and conditions they go by Liber Systems and have their own separate website.

Why focus on BitLaunch?

BitLaunch is quite interesting as they present themselves as a UK-based company run by two local UK businessmen. Their “anonymous Bitcoin VPS” service is regularly abused for all sorts of cybercriminal activities. What triggered this research was the fact that their nickname “BLNWX” was regularly reappearing in cyber threat intelligence (CTI) vendor reports on ransomware and other cybercriminal campaigns. It is also worth highlighting that while BitLaunch own their own IP networks, they are a VPS reseller as well who works with DigitalOcean, Linode, and Vultr, as shown from their website below.

One website that reviews so-called “offshore services” (offshore[.]cat) has listed BitLaunch as being a “verified” offshore hoster that accepts cryptocurrency, only requires email request confirmation to open an account, and is described as allowing anyone to “create VPSs in seconds, using crypto” making them an attractive hoster for cybercriminals. Their service paired with their CLI tools and Python libraries makes it super easy to stand up C2 servers rapidly.

Command and Control (C2) infrastructure on BLNWX

Significant numbers of CobaltStrike C2s among other hacking tools and malware families have been discovered on BitLaunch. I would like to thank the owner of the C2IntelFeedsBot (@drb_ra) account on X/Twitter who assisted with this research by providing their feed of C2 servers discovered on BitLaunch.

The image below shows a sampling of the known C2 servers hosted with BitLaunch between 2021 and 2025. The most notable part of this diagram is the number of CobaltStrike C2 servers in particular. Cobalt Strike is a well-known C2 framework used by organised cybercriminal groups to launch ransomware attacks. It is also favoured by state-sponsored threat groups as well.

Over the last few years, several dozen C2 servers have been identified by the C2IntelFeedsBot and each year, the number of C2s has continued to grow as more cybercriminals identify BitLaunch as a preferable service to support their ransomware campaigns.

The image below displays the totals calculated between “2021-06-26 12:33:41" and "2025-02-05 18:46:10." It is not a complete picture by any means, but this independently verifiable data gives a decent idea of the rate at which BitLaunch is being used by cybercriminals, with each year since 2022 has trended upwards.

One of the interesting things about CobaltStrike is that it is a commercial offensive security tool (OST). It is issued to legitimate customers through licenses, which have a unique watermark. While there have been several cracked versions of CobaltStrike over the years, it is possible to track certain groups through their usage of the same CobaltStrike versions.

The image below shows the distribution of the CobaltStrike watermarks gathered from BitLaunch. Notably, “0” is the most common. This is often the case when analysing CobaltStrike watermarks as this signifies it is the cracked version.

OSINT collection and analysis of the CobaltStrike watermarks revealed potential connections to several well-known cybercriminal groups using BitLaunch who have a history of conducting ransomware attacks:

1. "426352781” – This watermark is used by ShadowSyndicate, a ransomware affiliate group tracked by Group-IB which is connected to multiple Ransomware-as-a-Serivce (Raas) platforms. This watermark is also historically associated with CobaltStrike Beacons dropped by the Qakbot malware botnet.
2. “206546002” – This watermark is also used by ShadowSyndicate as well as Blister Loader, PLAY ransomware, and FIN7-linked ransomware operators.
3. “1580103824” – This watermark was linked to ShadowSyndicate as well, alongside the Cleo exploitation campaign attributed CL0P ransomware. A threat group tracked by CERT-UA as UAC-0056 has also been observed using this watermark too.
4. ”987654321” – This watermark has been associated with the IcedID malware botnet and the Dagon Locker ransomware gang previously.
5. ”1359593325” – This watermark has been used by CobaltStrike Beacons in campaigns attributed to the Russian Foreign Intelligence Service (SVR)
6. “391144938” and “305419896” – These watermarks have been attributed to campaigns by multiple Chinese cyber-espionage campaigns tracked by SentinelOne, Recorded Future, Zscaler, and Cisco Talos.

C2s on BLNWX attributed to Ransomware Gangs by CTI vendors

There are a number of CTI reports over the last couple years that directly reference BitLaunch Networks (BLNWX) IP addresses as Indicators of Compromise (IOCs) as part of high-profile ransomware campaigns.

This includes attribution to the Yanluowang ransomware attack against Cisco, a C2 linked to the JavaScript more_eggs backdoor used by FIN6 (who is connected to ransomware campaigns), a dozen IPs attributed to Rhysida ransomware attacks, and a Rhysida and Interlock ransomware precursor campaign tracked as TAG-124, as well as the PaperCut exploitation campaign which involved both LockBit and CL0P.

The VirusTotal graph is available here.

Additional notable CTI alerts that called out BLNWX include a report on Latrodectus, a ransomware precursor campaign, by Proofpoint; Okta-themed phishing campaigns attributed to Scattered Spider, who has carried out ALPHV/BlackCat and RansomHub attacks, by Intel471; infrastructure used to enable the BlackBasta ransomware gang by QuadrantSec, as well as C2 servers of the IcedID malware botnet that has been used by ransomware gangs for initial access.

Assessment of BitLaunch

As of February 2025, BitLaunch's parent firm Liber Systems Limited is run by two UK-based directors according to UK Companies House. While they are profiting off this Anonymous VPS service they are not taking the appropriate steps to prevent their service from being used by ransomware and malware gangs. Organised cybercrime groups have evidently found and recognised this about BitLaunch and are leveraging the cheap, crypto-accepting service that doesn’t ask too many questions.

To be fair to BitLaunch, they appear to be responsive to takedowns and are noted on Offshore[.]cat as enforcing DMCA requests. The crux of the issue though is that the cybercriminals can use their service to rapidly spin up instances for C2 for a few hours and chuck it away again. This means there often no need to submit a takedown as the cybercriminals has already abandoned the C2 and can spin up another one. Therefore, the cybercriminals can continually leverage BitLaunch without interference.

As a security researcher, and not a police officer, I cannot comment on how cooperative BitLaunch have been with the police and it is probably not something BitLaunch would want to advertise to their customers anyway based on who some of their customers are.

For BitLaunch’s two directors, this works out nicely for them. They can take the cybercriminals money via cryptocurrency and also appear to be ethical and compliant by assisting with law enforcement takedown requests. Currently, they appear to be helping both the criminals and the police, and have been getting away with it for years.

On BitLaunch’s front page advertisement they highlight as the main focus as being able to pay hourly for the use VPS and that customers can pay in “anonymous cryptocurrency.” It is in my opinion, and that of other cybersecurity researchers I have spoken to about this (including red teamers and penetration testers), that this service is perfect for C2 servers and almost nothing else legitimate.

The Broader Issue with Anonymous VPSs

In BitLaunch’s blogs, they say they believe the internet should be "open, free, and devoid of interference by any single government or authority" adding that accept cryptocurrency because "citizens of some countries do not have bank accounts and can use Bitcoin instead" because the local banks have control over who their citizens can send money to. Their blogs also state that they believe internet users should be allowed to run their own virtual private networks (VPNs) for anti-surveillance and privacy reasons. They also provide lots of guides on how to configure private VPNs for this purpose. While this is a legitimate service that is useful for some people in specific situations, having it be abused by ransomware gangs is a situation that needs to be changed.

This issue of selling anonymous VPSs is not specific to this one company. BitLaunch is obviously a small company and proactively combating cybercriminals from registering VPSs on their service is an expensive and multi-pronged challenge for any hoster, which includes preventing abuse while preserving the privacy of their customers.

Hosters such as BitLaunch could use services such as Shodan, Abuse.ch, GreyNoise, OTX Alienvault, and AbuseIPDB to check if their IP addresses are being abused. One interesting example of a hoster trying to tackle this issue is how PQ Hosting (aka Stark Industries Solutions) announced publicly on their blog that they have partnered with Team Cymru, a netflow security intelligence firm. Alternatively, hosters could use a blockchain analytics platform like Chainalysis, TRM Labs, or Arkham Intelligence, to trace cryptocurrency payments from known illicit wallet clusters.

There will, however, always be some threats that slip through the net. It is undoubtedly a difficult challenge for small hosters who do not have funds to sacrifice on network observability tools or CTI platforms. Even some of the world’s largest hosters, such as Cloudflare struggle with this as well and end up having their services abused for cybercrime operations.

The anonymous VPS problem could be compared to issues in other industries such as stolen funds being used to buy gift cards or game keys that are then resold for money laundering. Another platform often abused for a variety of scams and phishing campaigns is Gmail. Is Google being wilfully negligent to cybercrime happening on their platform? That’s a question I shall leave for readers to decide on their own.

Overall, this type of issue is analogous to a hotel offering rooms for the night and organized criminals renting them to commit various types of crimes inside them. Ultimately, the criminals are the ones breaking the law, not the hotel, but if the hotel is being constantly made aware of these activities by bystanders and law enforcement, it is their duty to shut that activity down, to the best of their abilities.

What the UK Could Do About It

In this scenario around BitLaunch, there are three potential ways the UK could help stop these small hosters being taken advantage of by cybercriminal operations.

Firstly, the cybersecurity and hosting industry could launch an initiative through institutions, such as the British Computer Society (BCS) or something, that would work to convince hosting providers that the hassle being investigated by law enforcement agencies, sanctions, or the chance of being arrested is not worth the funds generated from selling C2 servers to cybercriminals.

Secondly, as BitLaunch (or Liber Systems) is registered here, the UK Government Department for Science, Innovation, and Technology (DSIT) could work with them and other small hosters to regulate the industry and provide support to these businesses to warn them of the dangers of offering unregulated VPS services and inform them how they contribute to the damage that ransomware attacks are having on the UK and elsewhere.

Third, providing free network observability services to hosters could also help them proactively shutdown C2 servers before they are weaponised against victims. All UK hosters can sign-up to the free UK government-provided service called MyNCSC, offered by the UK NCSC, which is part of GCHQ. Hosters will then get alerts when MyNCSC detects which IPs are flagged for hosting C2 servers (such as CobaltStrike).

As the UK government’s mandate is to “make the UK the safest place in the world to live and work online” then tackling the issue with these UK-based hosters supporting ransomware should also be one of those priorities.

Indicators of Compromise

Historic Malicious BLNWX IP addresses are available below:

• https://www.virustotal.com/gui/collection/275b81bcec9bdd14ea2908f340343fef1f99ee2dfe9a8bc99761d409c8676013/iocs
• https://otx.alienvault.com/pulse/67af7c32be1268271aad22e7/

Introduction to Infrastructure Pivoting

Pivoting on infrastructure is a handy skill for cyber threat intelligence (CTI) analysts to learn. It can help to reveal the bigger picture when it comes to malware, phishing, or network exploitation campaigns. Infrastructure pivoting essentially is the act of looking for more systems an adversary has created. The main benefit of this pursuit is the identification of additional targets or victims, more tools or malware samples, and ultimately new insights about the adversary’s capabilities.

If done correctly, being able to pivot on adversary infrastructure will be very useful during incident response (IR) engagements. For example, it may lead to being able to attribute the intrusion to a known adversary. This will help others during an IR engagement understand the level of threat posed to the victim organisation.

Receiving Threat Data

To be able to pivot on adversary infrastructure, threat data is needed such as the intelligence shared by threat reports put out by various researchers from public and private sector organisations. This scenario, however, involves relying on the analysis skills of other researchers to explain what the infrastructure is and when they observed it in use.

This blog will examine threat data provided by public sector organisations such as the Computer Emergency Response Team of Ukraine (CERT-UA) as well as cybersecurity vendors such as Deep Instinct, Cyble, and Fortinet. These organisations have shared indicators of compromise (IOCs) uncovered following analysis of adversary intrusion activities or upload to online malware sandboxes, such as VirusTotal, among others.

Introduction to the Ghostwriter Campaign

On 3 June 2024, Fortinet shared a report on malicious XLS macro documents leading to Cobalt Strike Beacons. Analysis of the XLS documents showed that they appeared to be targeting the Ukrainian military and linked to a known Belarusian state-sponsored APT group tracked as Ghostwriter (aka UNC1151, UAC-0057, TA445). On 4 June 2024, Cyble also shared a report on a similar campaign.  

In both reports, if the XLS was opened and the macros were executed by the target, a malicious DLL file was downloaded from an adversary-created domain. In Fortinet’s report, two similar “.shop” domains were mentioned. In Cyble’s report another “.shop” domain was also called out.

Overlapping IOCs

The first pivot on Ghostwriter APT infrastructure that will be demonstrated involves finding indicators of compromise (IOCs) such as domains and IP addresses that appear in multiple threat reports.

The fastest way to realize these overlaps is through continuous collection of reported IOCs into a Threat Intelligence Platform (TIP). This will reveal IOCs that appear in multiple threat reports through tagging and sources of where IOCs come from. Eventually, one domain or IP address will get reported by multiple entities and the connection will make itself apparent.

In Figure 1 (see below) the domain “goudieelectric[.]shop” appeared in both Cyble’s blog and Fortinet’s blog. Analysis of all three domains found that they use the same generic top-level domain (gTLD), registrar, and name servers, as well as have a robots.txt directory configured. These common infrastructure characteristics indicate that all three domains were created by the same adversary.

Figure 1. Three similar domains appearing in two threat reports.

Domain Registration & Hosting Overlaps

When more IOCs are reported in other threat reports it is possible to link them to other known domains, this is due to adversaries reusing the same registrars, name servers, and gTLDs.

In Figure 2 (see below), Deep Instinct reported two more domains that could also be linked to the previous three domains through the mutual use of the PublicDomainsRegistry registrar, Cloudflare name servers, and the robots.txt file.

Figure 2. Five similar domains that appear across three threat reports.

Further, CERT-UA reported three more domains (see Figure 3 below) that could be linked to the infrastructure cluster through this same method as well. This pattern of behaviour is a strong indicator that these domains were created by the same adversary.

Figure 3. Eight similar domains that appear across four threat reports.

Finding Unreported Domains

Since the domains from the above threat reports were collected and linked together through overlapping attributes, it is now possible to use these attributes to find more domains that had gone unreported.

Using a VirusTotal domain attribute query, additional domains can be found by using the following registration pattern:

• Name Servers: CLOUDFLARE
• Registrar: PublicDomainRegistry
• TLD: *.shop

This revealed up to 24 domains that matched this pattern that were likely created by Ghostwriter, a state-sponsored APT group:

• backstagemerch[.]shop
• bryndonovan[.]shop
• chaptercheats[.]shop
• clairedeco[.]shop
• connecticutchildrens[.]shop
• disneyfoodblog[.]shop
• eartheclipse[.]shop
• empoweringparents[.]shop
• foampartyhats[.]shop
• goudieelectric[.]shop
• ikitas[.]shop
• jackbenimblekids[.]shop
• kingarthurbaking[.]shop
• lansdownecentre[.]shop
• lauramcinerney[.]shop
• medicalnewstoday[.]shop
• moonlightmixes[.]shop
• penandthepad[.]shop
• physio-pedia[.]shop
• semanticscholar[.]shop
• simonandschuster[.]shop
• thevegan8[.]shop
• twisterplussize[.]shop
• utahsadventurefamily[.]shop

Note: VirusTotal domain searches are only available to VirusTotal Enterprise users. There are other providers which allow you to search for domain registration patterns such as DomainTools, Validin, and Zetalytics. There also some free OSINT sites such as nslookup.io and viewdns.info that can be useful in certain scenarios.

Finding Related Malware Samples

Using the list of similar domains that were uncovered through the registration pattern search, it is then possible to find additional malware samples communicating with them.

This can be achieved by looking at domains in VirusTotal and checking the Relations tab can show communicating files as shown in Figure 4 below.

Figure 4. Additional malware samples uncovered via the VirusTotal relations tab

Using a VirusTotal graph can help to reveal every communicating file with every domain discovered through the registration pattern search, as shown in Figure 5 below.

Figure 5. All communicating files with every additional domain identified.

URL to the VirusTotal Graph: https://www.virustotal.com/graph/embed/gd2c04407d9ba4b75b2ce73d6155d166d3ef75eaf29894ff5ac287c90400072bc?theme=dark

URL to the VirusTotal Collection: https://www.virustotal.com/gui/collection/2aa6b36a717be8bc49f7925434ca40f3ecb9f628414b491da3e985677508ca08/iocs

Lessons Learned

In conclusion, it is important for CTI analysts to closer inspect the attributes of the IOCs they come across. It is not uncommon for state-sponsored APT groups to make such mistakes when creating their infrastructure to launch attacks from. By exploiting this fact, CTI analysts can learn much more about the adversary’s targets, capabilities, and the behaviours of the humans themselves behind such campaigns.

The importance of this type of work was demonstrated in December 2023 when the US Treasury sanctioned members of the Russian APT group known as Callisto (aka Star Blizzard, BlueCharlie, COLDRIVER, GOSSAMER BEAR). The real world identity of Andrey Korinets was revealed after he was sanctioned for fraudulently creating and registering malicious domain infrastructure for Russian federal security service (FSB) spear phishing campaigns.