Hack Alerta

Qilin RaaS expõe 1 milhão de arquivos e 2 TB em ataque via MSP

Por Redação Hack Alerta Publicado em 27/11/2025 12:02 Vazamento de dados Tempo de leitura: 3 min

A campanha "Korean Leaks" ligada ao Qilin RaaS usou um MSP comprometido para atingir o setor financeiro da Coreia do Sul; 33 vítimas foram listadas, 28 públicas, com mais de 1 milhão de arquivos (≈2 TB) exfiltrados. Pesquisas apontam modelo RaaS e recomendações incluem MFA, segmentação e EDR/XDR/MDR.

A campanha "Korean Leaks", atribuída a afiliados do grupo Qilin RaaS, resultou no vazamento de mais de 1 milhão de arquivos — cerca de 2 TB de dados — após comprometimento de um MSP usado como vetore de acesso.

Descoberta e escopo

Pesquisas publicadas e reportagens indicam que a operação focou o setor financeiro sul-coreano, em especial empresas de asset management. Ao todo, foram 33 vítimas identificadas, das quais 28 tornaram-se públicas; dezenas de organizações sofreram exfiltração massiva de arquivos. O surto levou a Coreia do Sul a tornar-se, em setembro de 2025, o segundo país mais afetado por ransomware em termos de incidentes naquele mês, com 25 vítimas atribuídas ao grupo.

Vetor: comprometimento de MSP

O conjunto de evidências técnico-operacionais aponta para um MSP doméstico como vetor primário: servidores do fornecedor de serviços gerenciados foram invadidos, dando aos atacantes acesso lateral às redes de clientes. Esse tipo de compromisso transforma um único ponto fraco em uma ferramenta de alcance múltiplo, explicando a rápida enumeração de vítimas e a publicação das listas em três ondas.

Operacional e atores

Relatórios de pesquisas ligam o Qilin a um modelo RaaS onde operam operadores centrais (fornecendo marca, infraestrutura e código) e afiliados que executam as invasões; o operador central retém 15–20% das receitas, segundo análise. As mesmas fontes mencionam um possível envolvimento operacional paralelo do grupo identificado como Moonstone Sleet, com laços apontados por algumas equipes para atores vinculados à Coreia do Norte — detalhe que embaraça fronteiras entre crime organizado e espionagem, mas que as fontes não consolidam com evidências forenses públicas.

Impacto

Dados concretos apontam para >1 milhão de arquivos e ~2 TB de conteúdo exfiltrado. O foco setorial (asset management e serviços financeiros) aumenta o risco regulatório e reputacional para as vítimas, especialmente em contextos com regras de proteção de dados rígidas. As fontes não listam nomes das empresas afetadas em escala completa, limitando avaliação de impactos por cliente.

Mitigações e recomendações

  • Segmentação de rede entre MSP e clientes, e microsegmentação onde possível.
  • Autenticação multifator e gestão rígida de credenciais e acessos privilegiados no ambiente do MSP.
  • Uso de EDR/XDR/MDR para reduzir dwell time e detectar movimento lateral a partir de credenciais comprometidas.
  • Revisão de contratos e práticas de segurança de terceiros (third‑party risk) para MSPs.

Limites das informações

As fontes descrevem o panorama, números agregados e vetores, mas não publicaram relatórios forenses completos com indicadores de comprometimento correlacionáveis em massa. Também há divergência nas atribuições de responsabilidade política: algumas equipes citam ligações com Moonstone Sleet, enquanto outras evitam atribuir ESTADO como causa direta sem provas adicionais.

Relevância

O caso ressalta o risco sistêmico de compromissos de MSPs sobre cadeias de fornecedores críticos e reforça recomendações de vigiar artefatos exfiltrados, aplicar controles de acesso estritos e manter planos de resposta a incidentes com cenários de supply chain.

Baseado em publicação original de Cyber Security News
Tags: #ransomware #supply-chain #msp #exfiltracao #financial-services #moonstone-sleet #data-breach #qilin #seguranca
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar