Hack Alerta

Sicarii RaaS ataca RDP e tenta explorar dispositivos Fortinet

Por Redação Hack Alerta Publicado em 15/01/2026 10:02 Cyber ataques Tempo de leitura: 4 min

Analistas identificaram um novo RaaS chamado Sicarii que realiza reconhecimento agressivo (scans RDP, ARP), coleta dados e tenta explorar CVE‑2025‑64446 em dispositivos Fortinet antes de cifrar arquivos com AES‑GCM e executar um componente destrutivo.

Sicarii RaaS ataca RDP e tenta explorar dispositivos Fortinet

Um novo operador de ransomware‑as‑a‑service (RaaS) chamado Sicarii surgiu nas comunidades underground e já exibe táticas agressivas de reconhecimento de rede, exploração de serviços RDP expostos e tentativa de abuso de falhas em equipamentos Fortinet.

Descoberta e identidade da operação

Relatos coletados por analistas indicam que o Sicarii se apresentou em dezembro de 2025 com identidade simbólica diferenciada: uso explícito de texto em hebraico, símbolos históricos judaicos e mensagens ideológicas que, segundo o grupo, direcionam ataques contra organizações em países árabes e muçulmanos, ao mesmo tempo em que evitam sistemas israelenses através de uma verificação geográfica local.

Vetor, movimentação lateral e exploração

O malware inicia execução com verificações anti‑análise (detecção de sandboxes e ambientes virtuais) e implanta um binário no diretório temporário com nome do tipo svchost_{random}.exe. Em seguida, realiza sondagens de conectividade (ex.: chamadas a google.com/generate_204) e mapeamento da rede interna via ARP e scans para portas RDP expostas.

Mais relevante para equipes de defesa: o Sicarii tenta explorar a vulnerabilidade catalogada como CVE‑2025‑64446 em dispositivos Fortinet como parte de sua fase de movimentação lateral. A exploração desse vetor fornece caminhos para pivot interno e amplifica o impacto em ambientes que contam com equipamentos Fortinet sem segmentação adequada.

Coleta e exfiltração de dados

Durante o reconhecimento, o ransomware recolhe credenciais locais, dados de navegadores e artefatos de aplicações como Discord, Slack, Telegram e carteiras de criptomoeda. Os arquivos coletados são empacotados em um arquivo chamado collected_data.zip e exfiltrados por serviços de transferência (o relatório menciona uso de file.io).

Persistência e fase destrutiva

Para persistência, o malware implementa múltiplos mecanismos: alterações no Registro, criação de serviços e até criação de contas locais com credenciais embutidas. A etapa de cifragem utiliza AES‑GCM com chaves de 256 bits e acrescenta a extensão .sicarii aos arquivos cifrados. Ao final da rotina, há componente destrutivo que implanta um script em inicialização para corromper arquivos do bootloader e forçar desligamento imediato.

Evidências, limitações e lacunas

  • Fonte da análise: relatório técnico citado pela matéria (analistas identificaram infraestrutura sofisticada e amostras) — as informações vieram de publicação de segurança que documentou a operação.
  • Não há, no material consultado, indicação quantificada de vítimas nem evidência pública de campanhas direcionadas ao Brasil.
  • O exploit contra Fortinet é citado como tentativa integrada ao malware; o relatório não detalha taxas de sucesso ou versões Fortinet afetadas além do identificador CVE‑2025‑64446.

Impacto e recomendações operacionais

Embora a operação aparente foco geopolítico, a técnica de exploração de RDP exposto e a tentativa de abuso de falhas em equipamentos de perímetro a tornam uma ameaça relevante para qualquer organização com gestão deficiente de perímetro ou falta de segmentação. Recomendações imediatas:

  • Patching: aplicar correções e mitigadores recomendados para CVE‑2025‑64446 em dispositivos Fortinet.
  • Segurança de acesso remoto: fechar RDP exposto, implantar VPNs seguras e autenticação multifator para acessos remotos.
  • Segmentação de rede: limitar a superfície de ataque entre estações de trabalho e infraestrutura crítica; monitorar tráfego ARP/scan interno.
  • Detecção: inspecionar logs por atividades de enumeração ARP, varreduras RDP e conexões a serviços de exfiltração (ex.: file.io) e sinais de modificações de registro/serviços anômalos.
  • Resposta: isolar hosts suspeitos imediatamente e preservar amostras para análise forense antes de reiniciar sistemas potencialmente afetados pelo componente destrutivo.

Observações finais

O Sicarii combina mensagens ideológicas com recursos técnicos avançados (anti‑vm, exfiltração e um componente destrutivo), criando um perfil pouco convencional para operadores financeiros tradicionais. A presença de tentativas de exploração de Fortinet eleva a criticidade operacional para redes que não mantêm equipamentos de perímetro atualizados ou segmentados.

Baseado em publicação original de Cyber Security News
Tags: #ransomware #sicarii #fortinet #rdp #exfiltration #aes-gcm #raas #geofencing #malware
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar