Ataques com ransomware exploram falhas no SharePoint

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...

Campanha ToolShell usa ransomware 4L4MD4R para explorar falhas no SharePoint.

Ransomware SharePoint se tornou a nova expressão de alerta máximo no setor de segurança da informação. Uma campanha cibernética altamente sofisticada, apelidada de “ToolShell”, está explorando vulnerabilidades críticas no Microsoft SharePoint para disseminar o perigoso ransomware 4L4MD4R. Com a atuação coordenada de grupos avançados de ameaça persistente (APTs), empresas de diversos setores estão sob risco iminente de se tornarem as próximas vítimas.

Essa ofensiva não é apenas mais um ataque isolado: ela representa uma tendência alarmante de integração entre ferramentas de acesso remoto, malwares personalizados e vulnerabilidades não corrigidas em plataformas corporativas amplamente utilizadas. Neste artigo, você entenderá como a campanha “ToolShell” opera, quem está por trás dos ataques, como o ransomware 4L4MD4R age, e o que sua empresa deve fazer agora para se proteger.

novas-falhas-do-sharepoint-facilitam-roubo-de-arquivos

Detalhando a campanha “ToolShell”: o que é e como funciona

A campanha maliciosa identificada como ToolShell vem sendo monitorada por empresas de segurança cibernética desde meados de julho de 2025. Ela é caracterizada pela exploração de falhas conhecidas e não corrigidas em servidores SharePoint, com o objetivo de instalar ferramentas de acesso remoto e distribuir ransomware.

A metodologia começa com o escaneamento em massa de servidores SharePoint vulneráveis expostos à internet. Em seguida, os atacantes utilizam scripts automatizados para explorar as brechas identificadas e fazer upload do ToolShell, um backdoor com capacidades de controle remoto e persistência avançada. Com isso, os grupos de hackers conseguem acesso privilegiado, movimentação lateral dentro da rede e, por fim, a instalação do ransomware 4L4MD4R.

As vulnerabilidades críticas no SharePoint

A campanha ToolShell explora quatro falhas críticas, todas já documentadas com identificadores CVE:

  • CVE-2025-49706: Permite execução remota de código devido a falha de validação de dados no SharePoint Foundation.
  • CVE-2025-49704: Brecha que possibilita escalonamento de privilégios por meio de permissões indevidas atribuídas a usuários autenticados.
  • CVE-2025-53770: Vulnerabilidade que permite bypass de autenticação via tokens manipulados.
  • CVE-2025-53771: Falha que expõe interfaces administrativas não protegidas, facilitando a execução de comandos remotos.

Essas falhas, se não corrigidas, permitem o comprometimento completo do ambiente SharePoint, com acesso remoto persistente e total controle dos dados da organização.

Os grupos de hackers por trás dos ataques

Três grupos de APT foram identificados como responsáveis pela operação:

  • Linen Typhoon: Grupo com histórico de espionagem corporativa e laços com interesses estatais asiáticos.
  • Violet Typhoon: Conhecido por ataques destrutivos disfarçados de atividades de ransomware.
  • Storm-2603: Operadores que atuam como “mercenários digitais”, fornecendo infraestrutura para ataques sob demanda.

Esses grupos têm em comum o uso do ToolShell como vetor de entrada, o que sugere uma colaboração operacional ou o compartilhamento de uma base comum de ferramentas maliciosas.

O ransomware 4L4MD4R: uma nova ameaça na jogada

O ransomware 4L4MD4R representa a fase final do ataque: a criptação dos arquivos críticos da vítima e o subsequente pedido de resgate. O nome é uma referência cifrada à palavra “ALAMAR”, indicando alerta máximo — uma ironia que não passa despercebida pelos analistas.

Baseado no código do projeto Mauri870, esse ransomware utiliza criptografia híbrida (AES+RSA), impedindo a recuperação dos arquivos sem a chave de descriptografia privada. Ele também:

  • Apaga backups locais e instantâneos.
  • Cria arquivos de nota de resgate (.html) em todas as pastas.
  • Exige pagamento em Monero (XMR) para dificultar rastreamento.
  • Utiliza DNS over HTTPS para se comunicar com os servidores C2 (comando e controle).

A presença do 4L4MD4R em ambientes SharePoint mostra como grupos avançados estão unindo vulnerabilidades de sistemas corporativos a ransomwares modernos, criando uma ameaça de alto impacto e difícil contenção.

Como se proteger: medidas de segurança essenciais

A prevenção é a melhor estratégia contra esse tipo de ataque. A seguir, apresentamos ações imediatas e práticas para proteger sua organização.

Patch Tuesday de julho de 2025: a solução imediata

A Microsoft lançou atualizações de segurança em julho de 2025 que corrigem todas as vulnerabilidades exploradas pela campanha ToolShell. É fundamental que as equipes de TI:

  • Atualizem imediatamente todos os servidores SharePoint.
  • Usem ferramentas como o Microsoft Security Compliance Toolkit para garantir conformidade com as políticas recomendadas.
  • Verifiquem logs e indicadores de comprometimento (IOCs) relacionados ao ToolShell e ao 4L4MD4R.

Ignorar essas atualizações deixa os sistemas expostos a ataques ativos com consequências catastróficas.

Dicas de segurança para usuários de SharePoint

Além das correções imediatas, é importante adotar uma postura preventiva contínua. As seguintes práticas devem ser implementadas:

  • Autenticação multifator (MFA) para todos os usuários e administradores.
  • Segmentação de rede, isolando o ambiente SharePoint de outros sistemas críticos.
  • Backups automatizados e armazenados off-line, testados regularmente para restauração.
  • Monitoramento contínuo de logs com soluções SIEM (como Microsoft Sentinel, Splunk, etc.).
  • Treinamento de conscientização em segurança cibernética para todos os colaboradores.
  • Políticas de menor privilégio, limitando o acesso ao necessário para cada função.
  • Revisão regular de permissões e atividades administrativas no SharePoint.

Essas medidas reduzem significativamente a superfície de ataque e dificultam a movimentação lateral dos invasores.

Conclusão: a segurança em um mundo de ameaças evoluídas

A campanha ToolShell e a disseminação do ransomware 4L4MD4R contra o Microsoft SharePoint são um alerta claro de que a segurança cibernética não pode mais ser reativa. Grupos sofisticados estão explorando plataformas corporativas críticas com rapidez e precisão alarmantes.

Não se trata apenas de proteger dados, mas de preservar a continuidade dos negócios, a reputação e até a sobrevivência da organização. A boa notícia é que existem meios eficazes de defesa — desde que aplicados com urgência e rigor.

Verifique agora mesmo se seus sistemas SharePoint estão atualizados. Revise suas políticas de segurança. Compartilhe este artigo com colegas e equipes de TI. Quanto mais informadas estiverem as organizações, menor o impacto dessas ameaças.

Compartilhe este artigo