Como o ataque chega na realidade
A 3 de julho de 2026, os investigadores Nevan Beal e Sam Decker da Blackpoint Cyber, com a Palo Alto Networks Unit 42, divulgaram um framework modular até então desconhecido a que chamaram Avalon. Não chega como um anexo óbvio. A cadeia começa com um email que imita um documento jurídico e encaminha o destinatário para um arquivo protegido por palavra-passe alojado no Proton Drive, e o código malicioso viaja dentro de uma imagem ISO em vez de um ficheiro que a gateway de correio analisaria.
Abrir a imagem monta-a como uma unidade, e um atalho do Windows disfarçado de documento executa o MSBuild, uma ferramenta legítima da Microsoft, para carregar código incorporado que primeiro adultera o registo de eventos do Windows e depois descarrega o Avalon. Quase tudo corre em memória e deixa poucos vestígios no disco. A amostra foi carregada para o VirusTotal a 11 de março de 2026 e não teve uma única deteção durante cerca de quatro meses.
Vai primeiro à camada de recuperação
O que distingue o Avalon do ransomware comum é a ordem das operações. Antes de qualquer cifragem, o framework recolhe credenciais de navegadores, gestores de palavras-passe e perfis de VPN, SSH e Wi-Fi, e depois move-se lateralmente para exatamente o que permitiria recuperar: controladores de domínio, anfitriões de virtualização como vCenter e Hyper-V, e plataformas de backup como Veeam, Acronis, NetApp e Synology. Pelo caminho apaga as cópias sombra do Windows.
Só depois de a camada de recuperação estar neutralizada é que o módulo CrownX cifra os ficheiros com criptografia autenticada AES-GCM. O framework traz ainda rotinas próprias para se esconder de nove produtos citados pelo nome: Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee e Bitdefender. A tese incómoda não é que exista mais um ransomware; é que este está feito para tornar falsa a resposta habitual, é só restaurar, ainda antes de a cifragem começar.
O que isto muda para um operador
A lição prática não depende da marca de endpoint que usa. Quando um kit é construído de propósito para cegar nove delas e apagar primeiro os backups, a deteção passa a ser uma camada e não a garantia, e o controlo que ainda funciona é uma cópia que o atacante não consiga alcançar. Isso significa pelo menos uma cópia imutável ou offline que nem um administrador de domínio comprometido consiga apagar, e uma restauração que tenha mesmo testado neste trimestre e não apenas presumido.
Dois detalhes elevam o risco para os operadores europeus. Três das nove ferramentas contornadas, Sophos, ESET e Bitdefender, são referências europeias, pelo que grande parte da região usa justamente os produtos contra os quais este kit foi afinado. E os investigadores veem sinais de desenvolvimento assistido por IA, o que reduz o tempo e a perícia de que um grupo precisa para construir algo tão estratificado, por isso virá mais. Sob a NIS2, a responsabilidade de lidar com isto cabe à direção designada, e não apenas à equipa de segurança.
Leia a seguir: Uma única falha de fornecedor causou metade das vítimas de ransomware na Europa | O risco de jailbreak passa a ter uma nota



