⚠️ Infostealer Rhadamanthys - CERT.br

Incident Report for Cademi

Postmortem

Recebemos uma notificação oficial do CERT.br, informando que credenciais relacionadas ao domínio de algumas plataformas na Cademí foram capturadas pelo malware Rhadamanthys — um spyware que infecta computadores Windows e registra senhas digitadas no navegador.

É importante reforçar:

Não houve falha, invasão ou vazamento em nossa infraestrutura, sistemas ou banco de dados.
O comprometimento ocorreu diretamente no computador do usuário, que estava infectado com o malware.
Diversos domínios brasileiros estão sendo notificados, devido à ampla escala do ataque.

Quem é o CERT.br?

O CERT.br é um Grupo de Resposta a Incidentes de Segurança (CSIRT) Nacional de Último Recurso, mantido pelo NIC.br. O CERT.br auxilia no tratamento de incidentes que envolvam qualquer rede que utilize recursos administrados pelo NIC.br (IP ou ASN alocados ao Brasil e domínios sob o ccTLD .br).

O que isso significa para sua operação

As senhas capturadas são de usuários que acessaram sua plataforma enquanto o computador já estava comprometido. Por essa razão:

Qualquer senha digitada nesses dispositivos pode ter sido interceptada, incluindo e-mail, redes sociais, serviços bancários e demais sistemas.
A senha utilizada para acessar a plataforma aparece parcialmente nos registros enviados pelo NIC.br (com caracteres mascarados, seguindo boas práticas).

Orientações obrigatórias aos usuários afetados

Para garantir sua segurança, é fundamental que os seus alunos sigam a ordem correta das ações:

1) Antes de trocar qualquer senha, o usuário deve executar um antivírus na máquina.

Caso contrário, a nova senha também será capturada pelo malware.

2) Após remover o vírus, o usuário deve trocar todas as senhas digitadas no computador infectado:

E-mail
Serviços bancários
Redes sociais
Sistemas corporativos
E, somente depois, a senha da plataforma

Essa ordem é crucial para evitar que novas credenciais sejam comprometidas.

Transparência e suporte

Estamos mantendo total colaboração com o CERT.br e NIC.br e oferecemos apoio completo aos administradores.

Caso tenha dúvidas ou precise de suporte na comunicação ou nos procedimentos, estamos à disposição.

Mais informações sobre o corrido em:

Shadowserver - CRITICAL: Rhadamanthys Historical Bot Infections Special Report
https://www.shadowserver.org/what-we-do/network-reporting/rhadamanthys-historical-bot-infections-special-report/
Europol - End of the game for cybercrime infrastructure: 1025 servers taken down
https://www.europol.europa.eu/media-press/newsroom/news/end-of-game-for-cybercrime-infrastructure-1025-servers-taken-down
Operation Endgame
https://operation-endgame.com/

👉 Você também pode verificar se o seu e-mail já apareceu em algum vazamento conhecido acessando o site https://haveibeenpwned.com/.

Informações técnicas adicionais sobre o incidente (nível avançado)

O alerta recebido faz parte de um conjunto de dados classificados como CRÍTICOS, enviados ao CERT.br por meio da Operation Endgame, uma ação internacional coordenada por forças de segurança que derrubou e analisou a infraestrutura criminosa do malware Rhadamanthys.

Diferente de relatórios diários comuns, esses dados fazem parte de um “Special Report” — um conjunto único de informações de alto valor, reunido após uma investigação detalhada que ocorreu ao longo de vários meses. Esse tipo de relatório é enviado quando autoridades conseguem obter, analisar e compartilhar registros históricos sobre máquinas que estiveram infectadas, permitindo que vítimas sejam notificadas mesmo que a infecção tenha acontecido no passado.

Segundo o Shadowserver, o pacote de dados referente ao Rhadamanthys contém informações de máquinas comprometidas entre 14/03/2025 e 11/11/2025.

Como o malware não registrava um horário exato para cada evento, os relatórios incluem um intervalo aproximado de atividade (primeira e última vez que aquele computador foi identificado como infectado). Isso significa que:

um mesmo usuário pode ter sido infectado em mais de um momento ao longo desses meses;
a captura de senhas pode ter ocorrido mais de uma vez;
o relatório funciona como um aviso retroativo, permitindo que as vítimas tomem providências mesmo após a remoção da infraestrutura criminosa.

Todos os eventos relacionados a essa operação foram classificados como Severidade: CRÍTICA, dado o alto risco envolvido e o tipo de dados que o spyware era capaz de capturar.

Essas informações foram oficialmente compartilhadas com CERTs nacionais e provedores responsáveis por redes e domínios — como o CERT.br fez ao notificar a Cademí — para permitir ações rápidas de mitigação e comunicação com os usuários afetados.

Posted Nov 19, 2025 - 14:44 GMT-03:00

Resolved

Recebemos uma notificação oficial do CERT.br, o Grupo de Resposta a Incidentes de Segurança mantido pelo NIC.br, informando sobre a possível exposição de credenciais de alunos decorrente de infecção por um malware chamado Radamantes.

Este vírus, instalado em computadores Windows de usuários finais, é capaz de capturar senhas inseridas em formulários (campo password) e enviá-las ao atacante.

Importante: Não se trata de falha, invasão ou vazamento interno na infraestrutura da Cademí.

A coleta das informações ocorreu na máquina do aluno infectado, conforme apurado durante nossa reunião técnica de avaliação de incidentes de segurança.

Confira mais detalhes: https://status.cademi.cloud/incidents/b4gwfwpst5r3

Posted Nov 19, 2025 - 13:30 GMT-03:00