Como a atuação do grupo Warlock expõe vulnerabilidades técnicas e desafios estruturais para a segurança cibernética no Brasil
por ABES | 10:00 am – 13 de fevereiro de 2026
Imagem: Divulgação
Desde o segundo trimestre de 2025, a Dragos identificou o grupo de ransomware conhecido como Warlock como uma ameaça emergente tanto para corporações quanto para ambientes industriais. De forma alarmante, a Dragos relatou que, durante o terceiro trimestre de 2025, o grupo Warlock foi responsável por 18 incidentes confirmados, afetando vítimas em setores como o aeroespacial, marítimo, de indústria manufatureira, farmacêutico e petroquímico. Ao ascender de maneira proeminente no ecossistema de ransomware em meados de 2025, o Warlock demonstrou elevada maturidade operacional, evidenciada tanto pela severidade dos impactos quanto pelo volume de ataques conduzidos em suas campanhas. Até o momento, um total de 78 vítimas foi registrado publicamente na plataforma ransomware.live.
O grupo Warlock opera sob o modelo de ransomware-as-a-service (RaaS), ou seja, os cibercriminosos disponibilizam a infraestrutura, fornecem o arsenal cibernético (malware e scripts maliciosos) e oferecem suporte técnico aos afiliados. Esses terceiros conduzem os ataques em troca de uma partilha dos lucros obtidos com os resgates. De modo geral, os atores mal-intencionados empregam uma estratégia de dupla extorsão contra seus alvos. Isso consiste na combinação da indisponibilidade de ativos por meio de criptografia com a ameaça de vazamento de dados exfiltrados (potencialmente informações sensíveis), ampliando a pressão sobre as vítimas para o pagamento do resgate.
Adicionalmente, o grupo Warlock tem demonstrado capacidade avançada de exploração de vulnerabilidades zero-day — falhas de segurança desconhecidas pelo fornecedor e para as quais ainda não existe correção disponível no momento da exploração —, como o conjunto de falhas críticas conhecido como ToolShell, divulgado publicamente no início do segundo semestre de 2025 e que afeta servidores Microsoft SharePoint on-premises (CVE-2025-53770, com pontuação CVSS v3.1 de 9,8, em conjunto com a CVE-2025-53771). O grupo também explorou outras vulnerabilidades, como a CVE-2025-49704 e a CVE-2025-49706.
Para além do comprometimento inicial, as operações do Warlock frequentemente resultam em interrupções operacionais, exfiltração de dados e sua posterior exposição na Darknet, danos reputacionais e perdas financeiras. O grupo implanta um payload de ransomware também denominado Warlock, por meio do qual os arquivos das vítimas são criptografados e passam a receber extensões como “.x2anylock”. Ademais, cópias de sombra de volume e backups do sistema são excluídos, com o objetivo de dificultar ou inviabilizar os esforços de recuperação.
No contexto brasileiro, e com uso de mecanismos especializados de indexação de serviços expostos, foram identificadas diversas instâncias que aparentam executar versões do Microsoft SharePoint vulneráveis às falhas exploradas pelo Warlock em suas campanhas. Ao final de 2025, foram observadas 23 instâncias que expõem cabeçalhos HTTP compatíveis com Microsoft SharePoint 2016, 2019 e Subscription Edition (SE), em versões que, em tese, antecedem as atualizações cumulativas de segurança que corrigem a ToolShell. Considerando que as correções para as vulnerabilidades CVE-2025-53770 e CVE-2025-53771 foram disponibilizadas em atualizações recentes, tais instâncias podem ser classificadas como possivelmente vulneráveis à ToolShell, desde que não tenham recebido patches adicionais não detectáveis. Apesar de não se tratar de um número absoluto elevado, dentre os resultados verificam-se organizações pertencentes ao setor elétrico, instituições governamentais e centros educacionais/universitários. Empresas ligadas à geração, transmissão e distribuição de energia elétrica, assim como agências governamentais, são consideradas infraestruturas críticas, cuja indisponibilidade ou comprometimento pode gerar impactos sistêmicos para a sociedade. Os casos ligados ao segmento educacional, embora não se enquadrem formalmente como infraestruturas críticas, permanecem de alto interesse para cibercriminosos pelo volume e sensibilidade de dados pessoais que podem armazenar, incluindo nome completo, filiação, histórico profissional/acadêmico e documentos oficiais. Cabe destacar, ainda, 18 instâncias observadas compatíveis com versões legadas do Microsoft SharePoint 2007, 2010 e 2013. Essas plataformas tiveram seu suporte oficial encerrado há vários anos, deixando de receber atualizações de segurança desde então, e são vulneráveis a múltiplas falhas conhecidas. Todavia, é importante ressaltar que os resultados apresentados carecem de validação adicional. Ainda assim, oferecem uma noção da superfície de ataque no domínio cibernético brasileiro.
As equipes de defesa devem estar preparadas e adotar boas práticas de preparação e prevenção contra incidentes de ransomware, incluindo a manutenção de backups regulares, criptografados e mantidos offline. Além disso, é fundamental que esses backups sejam periodicamente testados por meio de exercícios de simulação de incidentes, a fim de assegurar sua integridade, disponibilidade e capacidade de restauração. É igualmente importante garantir que permaneçam offline, uma vez que, conforme discutido anteriormente, o Warlock e outros grupos de ransomware tipicamente realizam atividades de reconhecimento voltadas à identificação e ao comprometimento de backups, com o objetivo de impedir a recuperação dos dados antes do pagamento do resgate.
Outra boa prática de segurança consiste em evitar a exposição à Internet de serviços que apresentem vulnerabilidades conhecidas ou configurações inadequadas, como observado nos casos acima de risco de exploração por meio da ToolShell. Ademais, os sistemas devem ser continuamente atualizados e corrigidos, mantendo-os sempre nas versões mais recentes disponibilizadas pelos fabricantes. Outras recomendações de cibersegurança e estratégias de mitigação contra ransomware podem ser consultadas no #StopRansomware Guide, desenvolvido por uma força-tarefa copresidida pela Cybersecurity and Infrastructure Security Agency (CISA) e pelo Federal Bureau of Investigation (FBI), dos Estados Unidos.
Para informações adicionais sobre o grupo Warlock e suas táticas, técnicas e procedimentos, recomenda-se a consulta à quarta publicação do volume de 2025 das Ind.Cyber.Sec Letters, intitulada Profiling Warlock Ransomware Group.
Luiz F. Freitas-Gutierres é pesquisador do Think Tank da Associação Brasileira das Empresas de Software (ABES) e professor adjunto no Departamento de Eletromecânica e Sistemas de Potência (DESP) da Universidade Federal de Santa Maria (UFSM). As opiniões expressas neste artigo não refletem, necessariamente, os posicionamentos da Associação.
*Artigo originalmente publicado no IT Forum em 13 de fevereiro de 2026
