A ConnectWise, desenvolvedora do software de suporte remoto ScreenConnect, confirmou ter sido alvo de um ataque cibernético que pode ter sido conduzido por um agente estatal. O anúncio foi feito em 28 de maio de 2025, após a empresa detectar atividades suspeitas em seu ambiente interno que afetaram um número restrito de clientes do ScreenConnect.
Para investigar o incidente, a ConnectWise contratou a empresa de cibersegurança Google Mandiant e notificou os clientes afetados. Entretanto, não foram divulgados detalhes como a quantidade de usuários impactados, a identidade dos responsáveis ou a data exata da invasão.
O ataque acontece logo após a correção da falha CVE-2025-3935, considerada crítica com pontuação de gravidade 8.1, que afetava versões do ScreenConnect anteriores à 25.2.4. Essa vulnerabilidade permitia injeção de código malicioso por meio do mecanismo ViewState e uso de chaves ASP.NET publicadas técnica que, segundo a Microsoft, já era explorada por agentes maliciosos desde fevereiro. Ainda não há confirmação se essa brecha foi usada no ataque recente.
A ConnectWise afirma ter implementado medidas adicionais de monitoramento e segurança, e declarou que não foram encontradas novas atividades suspeitas nos ambientes dos clientes após o reforço.
Vale lembrar que o ScreenConnect já havia sido alvo em 2024 de outras falhas graves (CVE-2024-1708 e CVE-2024-1709), utilizadas por grupos cibercriminosos e agentes estatais de países como China, Coreia do Norte e Rússia para disseminar malware.
Leia mais na mesma categoria:
