Íntegra

Uma nova campanha hacker, iniciada neste ano, explora uma cadeia inédita de invasão ao Web Help Desk (WHD) do software de gerenciamento de rede SolarWinds, transformando ferramentas de defesa das empresas em armas. A onda de ataques, que teve seu pico no último sábado (7), começou em meados de janeiro.

A análise da iniciativa cibercriminosa foi da empresa Huntress, que notou a instalação dos programas Zoho ManageEngine Assist e Velociraptor nas máquinas infectadas. Essa última ferramenta é usada para análises forenses digitais e resposta a incidentes, normalmente fazendo parte de investigações de ataques hackers, ironicamente.

O Velociraptor, nas invasões, se torna um servidor de comando e controle (C2) dos golpistas, instalado através de arquivos MSI. Uma versão desatualizada do programa, a 0.73.4, é vulnerável a escalada de privilégios, dando a capacidade de comprometer e se comunicar com o sistema através do Cloudflare Workers, o que também dificulta a detecção e medidas de segurança como firewalls.

No SolarWinds, a porta de entrada se dá por conta de duas vulnerabilidades, CVE-2025-40551 e CVE-2025-26399: ambas críticas, elas permitem execução remota de códigos sem autenticação. A Agência de Ciber Defesa dos Estados Unidos (CISA) emitiu alertas em relação à exploração das falhas na semana passada, dada a gravidade da situação.

Após a invasão, os hackers ainda desativam o Windows Defender e modificam o registro do sistema para evitar que firewalls bloqueiem demais downloads. Para corrigir o problema, é necessário atualizar o SolarWinds WHD para a versão 2026.1 ou superior, também removendo acesso público a interfaces de administração e renovando senhas associadas ao aplicativo.