19 de junho de 2026

Operacao internacional desmonta botnet SocGholish ligada ao Evil Corp e limpa 15 mil sites

19 de junho de 2026

Holanda, EUA, Canada e Alemanha derrubaram 100+ servidores e desinfetaram 15 mil sites WordPress da botnet SocGholish, porta de entrada de gangues de ransomware como LockBit e RansomHub.

socgholish-takedown.jpg

Resumo: Uma operacao internacional liderada por Holanda, Canada, Estados Unidos e Alemanha desmontou parte central da botnet SocGholish, historicamente ligada ao grupo russo Evil Corp. Foram derrubados mais de 100 servidores e desinfetadas cerca de 15.000 paginas WordPress sequestradas para distribuir falsos avisos de atualizacao. A acao corta uma das principais portas de entrada para gangues de ransomware como LockBit, RansomHub e WastedLocker.

O que aconteceu

Autoridades dos quatro paises anunciaram nesta quinta-feira o desmantelamento de partes-chave da infraestrutura da botnet SocGholish, tambem conhecida como FakeUpdates. A operacao envolveu o sequestro de dominios e o desligamento de servidores utilizados para infectar visitantes de sites legitimos. Entre os comprometidos estavam paginas de pequenos negocios, como restaurantes e oficinas mecanicas, que serviam como ponte para a entrega de cargas maliciosas a vitimas finais.

A policia holandesa informou ter removido o malware e backdoors de milhares de instalacoes WordPress comprometidas, alem de notificar diretamente os proprietarios. O Federal Bureau of Investigation (FBI) acompanhou a acao do lado americano, enquanto a empresa de inteligencia em DNS Infoblox atuou no fornecimento de dados tecnicos sobre dominios usados pela rede criminosa. A Holanda tambem foi responsavel por mapear comportamentos de propagacao da botnet em sua infraestrutura nacional.

Em comunicado, Maikel Rollman, da Unidade Nacional Holandesa de Crimes de Alta Tecnologia, declarou que a operacao privou cibercriminosos do acesso a sistemas infectados, ajudando a evitar ataques futuros. “Isto marca o inicio de novas acoes contra o SocGholish”, completou.

Como o SocGholish funciona

Ativo desde 2017, o SocGholish se espalha por meio de avisos falsos de atualizacao de navegador ou software exibidos em sites legitimos. O visitante e enganado a executar o que parece ser um instalador rotineiro, mas que entrega na verdade um carregador (loader) controlado por operadores especializados. A partir dai, o acesso e revendido para outros grupos, configurando o modelo classico de access broker.

O malware estabelece um ponto de apoio inicial nos computadores das vitimas, coletivamente conhecido como botnet, e e entao usado por atores de ameaca para campanhas de ransomware e espionagem.

FBI Cyber Division

O SocGholish e historicamente atribuido ao Evil Corp, um dos grupos cibercriminosos mais notorios da Russia, sancionado pelos Estados Unidos em 2019 pelo desenvolvimento e distribuicao do banker Dridex, responsavel por prejuizos superiores a 100 milhoes de dolares no mundo. A Infoblox afirma que o SocGholish serviu como porta de entrada para grupos como DoppelPaymer, WastedLocker, Hades, LockBit e RansomHub, cobrindo basicamente toda a primeira onda do ransomware-as-a-service moderno.

Riscos para o ecossistema

  • Sites WordPress sem atualizacao ou com plugins vulneraveis sao alvo preferencial para injecao de scripts FakeUpdates.
  • Pequenos negocios com sites institucionais sem monitoramento se transformam em vetores involuntarios contra seus visitantes.
  • Usuarios finais que confiam em pop-ups de atualizacao acabam servindo como pontes para infeccoes corporativas via VPN ou laptops de uso misto.
  • Equipes de TI sem visibilidade do trafego HTTP que sai da rede demoram a detectar o handshake inicial com a infraestrutura C2 do loader.

Analise

A operacao desta semana e relevante por motivos que vao alem dos numeros. Primeiro, ela reforca uma tendencia que vem se consolidando em 2026: o foco do enforcement internacional esta mudando do ransomware em si para os habilitadores do ransomware, ou seja, os loaders, brokers de acesso e infraestruturas C2 que alimentam as gangues finais. Derrubar SocGholish atinge simultaneamente DoppelPaymer, RansomHub e LockBit, multiplicando o impacto da acao.

Em segundo lugar, a participacao da Holanda na desinfeccao de milhares de sites WordPress estabelece um precedente importante. Em vez de apenas notificar proprietarios, autoridades estao removendo proativamente backdoors instalados em terceiros, replicando o modelo ja visto em campanhas como Qakbot, Emotet e ALPHV. O efeito colateral positivo e a reducao do parque atacavel, mas o debate sobre os limites dessa intervencao tecnica devera ganhar fôlego nos proximos meses.

Por fim, a ligacao com o Evil Corp continua sendo um lembrete de que sancoes e indictments podem nao parar imediatamente uma operacao, mas elevam custos. O Evil Corp tem sido empurrado para reciclar marcas, fragmentar afiliados e migrar para esquemas de ransomware com nomes intercambiaveis. A queda de uma das suas espinhas dorsais nao significa fim do grupo, mas obriga reconstrucao, e cada reconstrucao gera ruido detectavel.

Recomendacoes praticas

  • Bloqueie ou monitore execucao de instaladores baixados a partir de sites de terceiros sem assinatura conhecida.
  • Implemente DNS filtering corporativo capaz de bloquear dominios recem-registrados (newly observed domains) usados em campanhas FakeUpdates.
  • Mantenha WordPress, themes e plugins atualizados; remova plugins abandonados e habilite WAF gerenciado.
  • Eduque colaboradores: avisos legitimos de atualizacao nao aparecem em sites de restaurantes ou paginas aleatorias.
  • Para times de blue team: monitore execucoes suspeitas de wscript, mshta e powershell originadas por navegadores.
  • Para administradores WordPress: faca audits periodicos de arquivos modificados em /wp-content/themes/ e verifique chamadas externas em functions.php.

Fonte: The Record

Matérias Relacionadas

klue-salesforce-breach.jpg

Salesforce desativa app Klue apos abuso de tokens OAuth expor dados de clientes

19 de junho de 2026
cryptobandits-malware.jpg

CryptoBandits: malware Windows usa Tor para roubar carteiras cripto e abrir backdoor

19 de junho de 2026
ms-patch

Microsoft confirma zero-day RoguePlanet no Defender (CVE-2026-50656) e diz que patch está em desenvolvimento; PoC funciona até com proteção em tempo real ativa

18 de junho de 2026

Veja mais..

klue-salesforce-breach.jpg

Salesforce desativa app Klue apos abuso de tokens OAuth expor dados de clientes

19 de junho de 2026
cryptobandits-malware.jpg

CryptoBandits: malware Windows usa Tor para roubar carteiras cripto e abrir backdoor

19 de junho de 2026
socgholish-takedown.jpg

Operacao internacional desmonta botnet SocGholish ligada ao Evil Corp e limpa 15 mil sites

19 de junho de 2026
F5-1

F5 libera patches emergenciais para duas falhas críticas no NGINX (CVE-2026-42530 e CVE-2026-42055) que permitem execução remota de código sem autenticação

18 de junho de 2026
ms-patch

Microsoft confirma zero-day RoguePlanet no Defender (CVE-2026-50656) e diz que patch está em desenvolvimento; PoC funciona até com proteção em tempo real ativa

18 de junho de 2026
Social Media Auto Publish Powered By : XYZScripts.com