The post The “Gentlemen” Ransomware Toolkit and the Lethal z1.bat Pre-Encryption Weapon appeared first on Daily CyberSecurity.

Kaspersky Security Services provide a comprehensive cybersecurity ecosystem, taking enterprise threat protection to another level. Services like Kaspersky Managed Detection and Response and Compromise Assessment allow for timely detection of threats and cyberattacks. SOC Consulting provides a practical approach ensuring the corporate infrastructure stays secured, while Incident Response is suited for timely remediation with a maximized recovery rate.

This new report brings together statistics across regions and industries from our Managed Detection and Response and Incident Response services, and for the first time, it also includes insights from our Compromise Assessment and SOC Consulting services — all to provide you with more comprehensive view of different aspects of corporate information security worldwide.

The scope of MDR and IR services

Provision of Kaspersky’s MDR and IR services follows a global approach. The majority of customers accounted for the CIS (34.7%), the Middle East (20.1%), and Europe (18.6%).

MDR telemetry

Following the previous year’s numbers, in 2025, the MDR infrastructure received and processed an average of 15,000 telemetry events per host every day, generating security alerts as a result. These alerts are first processed by AI-powered detection logic, after which Kaspersky SOC analysts handle them as required. Overall, a total of approximately 400,000 alerts were generated in 2025. After counting out false positives, 39,000 alerts were further investigated.

Incident statistics

The distribution of remediation requests by industry has slightly changed as compared to previous years’ pattern. Government (18.5%) and industrial (16.6%) organizations are still the most targeted industries in regards to cyberattacks that require incident response activities. However, this year, the IT sector saw a growth in the number of IR requests, eventually being placed third in the overall industry distribution rankings and thus replacing financial organizations, which were targeted less often than in 2024. This is equally true for smaller-scale attacks that can be contained and remediated through automated means — the only difference is that medium- and low-severity incidents are more often experienced by financial organizations.

Key trends and statistics

This section presents key findings and trends in cyberattacks in 2025:

• The number of high-severity incidents decreased, following a downward trend that we’ve been observing since 2021. The majority of those incidents account for APT attacks and red teaming exercises, which indicates two landscape trends. On the one hand, skilled adversaries make efforts to increase impact, while on the other, organizations spend more resources on probing their defense systems.
• The most common vulnerabilities exploited in the wild were related to Microsoft products. Half of all identified CVEs led to remote code execution, notably without authentication in some cases.
• Exploitation of public-facing applications, valid accounts, and trusted relationships remain the most popular initial vectors, and their overall share has increased, accounting to over 80% of all attacks in 2025. In particular, attacks through trusted relationships are evolving: their share has increased to 15.5% from 12.8% in 2024. They are also becoming more complex: for instance, we witnessed a case where adversaries had compromised more than two organizations in sequence to ultimately gain access to a third target.
• Standard Windows utilities remain a popular LotL tool. Adversaries use those to minimize the risk of detection during delivery to a compromised system. The most popular LOLBins we observed in high-severity incidents were powershell.exe (14.4%), rundll32.exe (5.9%), and mshta.exe (3.8%). Among the most popular legitimate tools used in incidents we flag Mimikatz (14.3%), PowerShell (8.1%), PsExec (7.5%), and AnyDesk (7.5%).

The full 2026 Global Report provides additional information about cyberattacks, including real-world cases discovered by Kaspersky experts. We also describe SOC Consulting projects and Compromise Assessment requests. The report includes comprehensive analysis of initial attack vectors in correlation with the MITRE ATT&CK tactics and techniques and the full list of vulnerabilities that we detected during Incident Response engagements.

Neste ano, o Brasil sofreu mais de 315 bilhões de tentativas de ataque cibernético apenas no primeiro semestre — número que representa cerca de 84% de todo o tráfego malicioso registrado na América Latina no período, de acordo com um levantamento da Fortinet divulgado em agosto passado. Com adversários fazendo uso crescente de IA para conduzir campanhas de phishing, ataques DDoS e exploração de vulnerabilidades em ambientes híbridos e multicloud, líderes de segurança corporativa se veem diante de uma encruzilhada: manter o SOC (Security Operations Center) da forma como está ou apostar em novas tecnologias e formas de trabalho que respondam à nova realidade.

Grupos criminosos adotam táticas avançadas e combinam técnicas de Advanced Persistent Threat (APT) com ferramentas de IA para driblar as defesas tradicionais. Golpes que envolvem deepfakes ou phishing automatizado por IA tornam cada vez mais difícil distinguir o legítimo do malicioso. Ao mesmo tempo, a superfície de ataque das organizações se expandiu dramaticamente. Com ambientes de TI híbridos e multicloud, centenas de novos serviços e integrações são adicionados constantemente aos ecossistemas corporativos, abrindo brechas que muitas vezes são difíceis de monitorar.

O problema é que grande parte dos SOCs atuais foi concebida para um contexto em que as ameaças eram baseadas em assinatura e o volume de eventos era controlável. Hoje, porém, a multiplicação de fontes de telemetria, tais como endpoints, nuvens, APIs, identidades, dispositivos IoT e aplicações SaaS, faz com que o volume de logs cresça de forma exponencial.

Não se trata apenas de mais dados, mas de dados de naturezas distintas, com diferentes formatos, níveis de granularidade e relevância operacional. Ferramentas modernas de detecção e monitoramento, como EDRs, XDRs e soluções de observabilidade, coletam informações em tempo real e geram fluxos contínuos de telemetria que precisam ser correlacionados com ameaças conhecidas e comportamentos anômalos. Sem uma arquitetura de dados e automação adequadas, esse ecossistema torna-se difícil de orquestrar – e o SOC passa a lidar menos com ruído e mais com complexidade analítica. O desafio, portanto, deixou de ser filtrar falsos positivos e passou a ser transformar grandes volumes de logs em inteligência acionável com velocidade e contexto.

E, quando os adversários passam a empregar IA para criar malwares praticamente indetectáveis, um SOC calcado apenas em esforço humano não consegue escalar na mesma proporção do risco. O resultado é um descompasso perigoso entre a capacidade defensiva e a velocidade com que as ameaças modernas atuam, evidenciando que manter o status quo não é mais sustentável.

Uma das principais transformações em curso é a adoção do modelo de SOC as a Service, que redefine a forma como as empresas estruturam sua defesa cibernética. Diferente do modelo híbrido ou totalmente interno, o SOCaaS oferece monitoramento, detecção e resposta a incidentes 24×7 por meio de uma plataforma escalável e baseada em nuvem, administrada por especialistas em cibersegurança.

Esse formato elimina a necessidade de manter infraestrutura local pesada e reduz o tempo de implantação, ao mesmo tempo em que garante acesso contínuo a tecnologias e analistas altamente especializados.

Ao integrar telemetria proveniente de múltiplas camadas, o SOC as a Service consolida os eventos em um único datalake de análise, aplicando correlação e contextualização automatizadas com apoio de SOAR e machine learning. Assim, os alertas deixam de ser tratados de forma isolada e passam a compor narrativas completas de ataque, permitindo uma visão tática e antecipada das ameaças.

Essa automação nativa reduz drasticamente o tempo médio de detecção (MTTD) e o tempo médio de resposta (MTTR), pontos críticos para conter ataques modernos que podem se propagar em minutos.

Outro benefício do modelo é a atualização contínua da inteligência de ameaças. Fornecedores de SOCaaS normalmente operam com bases globais de threat intelligence, alimentadas por fontes de ciberinteligência regionais e internacionais.

Essa atualização constante amplia a visibilidade sobre novas campanhas maliciosas, técnicas de exploração e indicadores de comprometimento (IoCs), garantindo que o ambiente corporativo permaneça protegido mesmo diante de vetores inéditos. Ao mesmo tempo, as plataformas de SOCaaS modernas integram recursos de análise comportamental (UEBA) e aprendizado contínuo, permitindo identificar padrões anômalos e prevenir movimentos laterais antes que evoluam para incidentes graves.

Mais do que uma modernização tecnológica, a adoção de modelos de SOC as a Service representa um novo paradigma de defesa cibernética. O CISO que ainda vê o SOC apenas como um centro de monitoramento precisa agora encará-lo como um núcleo de inteligência e antecipação, sustentado por automação, correlação de dados e aprendizado de máquina.

Se você já leu ou ouviu o termo “ataque cibernético” pode ter se perguntado como esse tipo de ataque acontece no mundo real e quais os reais impactos eles podem gerar, seja para as empresas que sofreram o golpe ou para as pessoas de maneira geral.

Recentemente, a Apura Cyber Intelligence apresentou seu relatório sobre o panorama da cibersegurança no mundo no último ano, em que aborda uma série de incidentes que aconteceram durante o ano. O relatório mostra como os criminosos realizaram tais ataques e quais foram as consequências para as empresas e indivíduos atingidos. Além disso, o relatório também abordou uma série de operações realizadas por autoridades contra grupos cibercriminosos.

Marco Romer, Coordenador de Reports na Apura, explica que, cada vez que um ataque é deflagrado, empresas de cibersegurança como a Apura estudam o caso para poder entender onde houve falhas e, assim, desenvolver técnicas mais refinadas que aumentem a efetividade das medidas de seguranças contra esses tipos de ataques.

Alguns incidentes no Brasil e no mundo

Em um dos acontecimentos mais importantes de 2024 no setor de tecnologia, a Snowflake, renomada empresa de computação em nuvem, enfrentou um grave vazamento de dados. A Mandiant, empresa de segurança pertencente ao Google, identificou que aproximadamente 165 clientes potenciais da Snowflake, incluindo a Pure Storage, a Neiman Marcus e a AT&T, foram alvo de uma campanha coordenada de exploração de credenciais roubadas. O caso foi agravado por falhas na implementação de medidas de segurança essenciais, como a adoção de autenticação multifatorial, e pela reutilização de senhas antigas.

“A investigação conduzida pela Mandiant, identificou que a ação comprometeu dados de aproximadamente 110 milhões de clientes apenas da AT&T, abrangendo praticamente toda a base de usuários da operadora. O volume de informações expostas demonstra a extensão e a gravidade do incidente, evidenciando o potencial de alcance de ataques cibernéticos bem-sucedidos”, explica Romer. “Fica claro também, que o ataque a uma única empresa, neste caso a Snowflake, pode atingir várias outras, demonstrando a necessidade de a segurança cibernética ser pensada e estruturada ao longo de toda a cadeia de suprimentos”, acrescenta.

Outro incidente ocorreu com a Ascension Healthcare, uma das principais operadoras de saúde dos EUA, que enfrentou um ataque de ransomware que paralisou suas operações clínicas. O episódio, detectado em maio, interrompeu serviços importantes, como registros médicos eletrônicos, forçando os hospitais a recorrerem a métodos manuais, como notas manuscritas, o que aumentou os riscos de erros médicos. Em um caso angustiante, um enfermeiro no Kansas quase cometeu um grave erro de dosagem devido à confusão causada pela falta dos sistemas eletrônicos.

No Brasil, uma onda de o golpe por SMS, também conhecido como “smishing”, se destacou pela velocidade e alcance. Criminosos exploraram mensagens SMS para enganar milhares de pessoas. Entre as principais modalidades de fraude,  só neste ano, centenas de sites falsos foram criados para enganar vítimas por meio de falsas notificações de encomendas, avisos de valores a receber e alertas de cassação da CNH encheram as caixas de entrada dos brasileiros. As mensagens continham links que levavam a sites fraudulentos, semelhantes a portais de empresas de logística e órgãos governamentais, induzindo as vítimas a pagar supostas taxas por meio de boleto ou pagamento instantâneo.

Os golpes por SMS continuam a representar uma séria ameaça à segurança digital dos brasileiros em 2025. Segundo pesquisa da Norton divulgada em março, 54% das tentativas de fraude no país foram feitas por SMS, sendo que 43% das pessoas que receberam essas mensagens acabaram caindo no golpe. Mais alarmante: 77% dessas vítimas sofreram prejuízos financeiros, com perdas que vão de R$ 1,2 mil a até R$ 40 mil. De acordo com a Febraban, o total de perdas financeiras causadas por golpes no Brasil saltou de R$ 8,6 bilhões, em 2023, para R$ 10,1 bilhões em 2024 — um crescimento de 17%.

“Conseguimos identificar com o auxílio de nossa ferramenta de inteligência de ameaças e técnicas de investigação em fontes abertas que mais de 300 domínios falsos foram usados apenas em campanhas que simulavam comunicações dos Correios, ampliando significativamente o alcance e o impacto dos golpes”, diz o coordenador.

Em abril de 2024, o sistema financeiro do Governo Federal, conhecido como SIAFI, foi alvo de um ousado esquema de desvio de recursos. Criminosos conseguiram alterar dados bancários de um fornecedor, desviando R$ 3,5 milhões do Ministério da Gestão e Inovação. Para isso, utilizaram técnicas como phishing e certificados digitais falsos, aproveitando-se de credenciais de servidores públicos.

Operações contra grupos de cibercriminosos

No caso do SIAFI, a investigação da Polícia Federal revelou um esquema criminoso que desviava recursos destinados ao pagamento dos salários de servidores públicos, utilizando contas de “laranjas” para ocultar as transações. Esses recursos eram posteriormente convertidos em criptomoedas através de exchanges e instituições de pagamento especializadas.

Durante a operação, foram cumpridos 19 mandados de busca e apreensão e três de prisão temporária em diversos estados, incluindo Minas Gerais, Bahia, Rio de Janeiro, São Paulo e o Distrito Federal. Em resposta ao ocorrido, o Tesouro Nacional, responsável pelo SIAFI, implementou medidas adicionais de segurança, como a autenticação com múltiplos fatores (MFA) para usuários autorizados, visando reforçar a proteção do sistema e prevenir futuros incidentes.

Outras ações bem sucedidas implementadas pelas autoridades com a colaboração de empresas de cibersegurança foram realizadas em 2024. Operações nacionais e internacionais contra o cibercrime tiveram como foco o combate a grupos de ransomware e a grupos especializados em ataques DDoS.

A “Operação Cronos”, por exemplo, marcou um ponto de virada na luta contra o grupo LockBit, temido por sua série de ataques de ransomware desde 2019. As forças da lei dos EUA, do Reino Unido e da União Europeia conseguiram apreender domínios e revelar a identidade do líder do grupo, Dmitry Yuryevich Khoroshev. Vários afiliados foram presos, e a operação demonstrou a colaboração global necessária para combater o cibercrime.

Simultaneamente, a “Operação PowerOFF” desmantelou 27 serviços de aluguel de ataques DDoS em uma ação coordenada entre 15 países. Além de remover plataformas online usadas para fins maliciosos, a operação prendeu indivíduos-chave e responsabilizou centenas de usuários.

Outra vitória significativa ocorreu com a “Operação Magnus”, que focou nos malwares Redline e Meta Infostealer, dois dos mais utilizados para roubo de informações pessoais em todo o mundo. A polícia holandesa e o FBI apreenderam servidores e emitiram alertas globais, culminando na acusação do desenvolvedor russo Maxim Rudometov.

“As operações realizadas em 2024 reforçam a importância da cooperação internacional na luta contra o cibercrime, não só entre as nações, mas também do setor público com o privado. Se os criminosos evoluem em ousadia e táticas a cada ano, as forças da lei estão sempre empenhadas em provar que é só uma questão de tempo até que estes criminosos sejam inevitavelmente levados a encarar a justiça e a pagar por seus crimes”, ressalta Romer.

Sobre a Apura Cyber Intelligence, acesse: https://apura.com.br/

SentinelOne has long been – and continues to be – a strong advocate and supporter of MITRE and the critical role it plays advancing cybersecurity and being a force for good. The MITRE ATT&CK Evaluations have historically set the standard in helping vendors advance their offerings while helping practitioners evaluate products for their unique security needs. Done right, nothing has come close – a high bar we and the industry hope MITRE will continue to maintain for the foreseeable future.

As we conveyed to the MITRE team, SentinelOne has decided not to participate in the Enterprise evaluation this year. This decision was reached after a thorough review internally and is being made so that we can prioritize our product and engineering resources on customer-focused initiatives while accelerating our platform roadmap.

We look forward to maintaining a close relationship with MITRE and the ATT&CK Evaluations team, and we plan to continue to work with them on safeguarding organizations, data, AI, and critical infrastructure across the globe.

A escalada de tensões entre Irã e Israel ganha um novo e perigoso capítulo no ciberespaço. Um relatório divulgado pela Check Point Research revela que o grupo de ciberespionagem iraniano conhecido como Educated Manticore, com ligações diretas ao Corpo da Guarda Revolucionária Islâmica (IRGC-IO), intensificou campanhas direcionadas contra acadêmicos, jornalistas e especialistas de tecnologia israelenses.

Alvos: Especialistas e Acadêmicos de Prestígio

De acordo com a investigação, o Educated Manticore concentrou esforços em atacar profissionais de alto nível, incluindo professores de ciência da computação de universidades renomadas de Israel, pesquisadores de cibersegurança e jornalistas. As ações, sofisticadas e cuidadosamente planejadas, fazem parte de uma ofensiva de espionagem digital que visa obter acesso indevido a contas de e-mail e outros serviços críticos.

Os invasores se passam por pesquisadores, executivos ou analistas de empresas de cibersegurança fictícias, estabelecendo contato inicial por e-mail ou até mesmo por mensagens no WhatsApp. Com uma comunicação polida, bem estruturada e aparentemente legítima — muitas vezes auxiliada por inteligência artificial —, os criminosos buscam conquistar a confiança das vítimas e direcioná-las para links maliciosos.

Phishing Personalizado e Engenharia Social Avançada

Uma vez estabelecido o contato, os alvos são conduzidos para falsas páginas de login do Gmail, Outlook ou Yahoo, desenvolvidas com tecnologia moderna baseada em Single Page Applications (SPA) usando React. Essas páginas simulam com precisão o fluxo de autenticação de grandes provedores de e-mail, incluindo etapas de autenticação multifator (2FA), captura de senhas e códigos de verificação.

Além disso, o kit de phishing desenvolvido pelo grupo conta com keyloggers ocultos, capazes de registrar todas as teclas digitadas, mesmo que o usuário não finalize o processo. As informações são transmitidas em tempo real para os servidores dos atacantes, potencializando o roubo de credenciais e comprometendo ainda mais as contas das vítimas.

Um aspecto que chamou atenção dos analistas foi o uso de convites falsos do Google Meet, hospedados no próprio serviço Google Sites, o que dá uma aparência ainda mais legítima às páginas maliciosas. Ao clicarem nas imagens desses convites, as vítimas são redirecionadas a sites sob o controle dos atacantes.

Infraestrutura Robusta e Expansão da Campanha

A infraestrutura da Educated Manticore é ampla e bem estruturada. Desde janeiro de 2025, o grupo registrou mais de 130 domínios diferentes — muitos relacionados a temas como tecnologia, comunicação e educação —, utilizados para hospedar as páginas de phishing e gerenciar as operações clandestinas. A maioria desses domínios foi registrada através do provedor NameCheap.

Os especialistas também identificaram uma sobreposição significativa com outra célula de operações, conhecida como GreenCharlie, o que sugere uma possível ramificação ou subgrupo da Educated Manticore atuando de forma coordenada.

Entre os domínios maliciosos monitorados estão sendly-ink[.]shop, idea-home[.]online, live-meet[.]info, bestshopu[.]online, entre muitos outros. Além disso, diversos endereços IP associados à operação foram mapeados, fortalecendo as evidências de uma infraestrutura técnica bem organizada.

Ameaça Persistente e Alerta Global

Apesar da crescente exposição e dos esforços da comunidade de segurança cibernética, o Educated Manticore segue atuando com rapidez e agressividade, demonstrando grande capacidade de adaptação e evasão. A campanha atual, ao explorar o contexto geopolítico e acadêmico, representa uma ameaça grave à integridade das instituições israelenses e ao ecossistema global de cibersegurança.

“Esses ataques evidenciam como o ciberespaço se tornou um dos principais campos de batalha no atual conflito Irã-Israel”, alertam os pesquisadores da Check Point. A expectativa é de que o grupo continue investindo em táticas de roubo de identidade e coleta de informações, principalmente de indivíduos envolvidos em ambientes acadêmicos, científicos e tecnológicos estratégicos.

Indicadores de Comprometimento (IOCs)

A Check Point Research divulgou uma lista de domínios e endereços IP associados à infraestrutura maliciosa do Educated Manticore. Profissionais e empresas de tecnologia são fortemente aconselhados a implementar medidas de monitoramento e bloqueio desses indicadores em suas redes.

Entre os principais IOCs identificados estão:

Endereços IP:

• 185.130.226[.]71

• 45.12.2[.]158

• 45.143.166[.]230

• 91.222.173[.]141

• 194.11.226[.]9

Domínios Notórios:

• sendly-ink[.]shop

• idea-home[.]online

• live-meet[.]info

• bestshopu[.]online

• live-message[.]online

A lista completa de domínios e IPs está disponível no relatório técnico da Check Point.

Conclusão

O caso do Educated Manticore reforça o papel crítico da cibersegurança no cenário geopolítico atual. A sofisticação técnica, combinada a uma estratégia agressiva de engenharia social, demonstra que grupos apoiados por Estados seguem explorando vulnerabilidades humanas e tecnológicas para alcançar seus objetivos de espionagem.

Especialistas recomendam vigilância redobrada, treinamentos contínuos de conscientização e o uso de autenticação forte e verificada, especialmente entre profissionais que atuam em áreas sensíveis de tecnologia e pesquisa.