Grupo hacker Pink mira empresas para roubar credenciais de nuvem e extorquir vítimas em 72 horas

O grupo Pink (CL-CRI-1147) não é uma novidade isolada, mas o ponto mais recente de uma evolução tática em que atores cibercriminosos trocam ransomware por extorsão direta, sem criptografar dados, mas com acesso real e tempo controlado. Eles operam como um 'broker de credenciais avançado': usam vishing para roubar sessões ativas do Microsoft 365, contornam MFA com técnicas de prompt fatigue e cookie theft, e depois acionam scripts nativos da Microsoft (PowerShell + Graph API) para extrair arquivos de OneDrive e SharePoint em minutos, tudo sem deixar artefatos de disco. Isso reduz drasticamente o tempo entre comprometimento e extorsão, tornando ineficazes controles baseados em detecção de malware ou análise de comportamento de endpoint.

Do ponto de vista estratégico, o Pink expõe uma falha estrutural em muitas arquiteturas de nuvem corporativa: a confiança excessiva em ferramentas legítimas (como o PowerShell remoto no M365) sem políticas granulares de consentimento, auditoria em tempo real ou limitação de escopo de permissões. Empresas que habilitaram 'Allow scripts to run in Teams' ou 'Enable legacy authentication', mesmo por compatibilidade, estão automaticamente na mira. Não é um problema de infraestrutura, mas de governança de identidade e de design de segurança em nuvem.

Em comparação com o Silent Ransom (2026-06-08), o Pink elimina a fase intermediária de phishing por e-mail e vai direto para vishing com alvo seletivo, aumentando a taxa de sucesso. Enquanto o Silent Ransom ainda depende de chamadas genéricas de 'suporte de TI', o Pink usa dados pré-adquiridos (ex.: listas de funcionários de escritórios de advocacia) para personalizar as conversas, simulando colegas ou gestores. Também há uma mudança tática clara em relação ao KongTuke (2026-05-15): ambos usam o Teams, mas o KongTuke distribui payloads via ZIP; o Pink opera 100% fileless, injetando comandos diretamente na memória ou em caminhos legítimos como %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup, o que anula soluções baseadas em sandboxing ou análise estática de arquivos.

Empresas que adotaram nuvem sem revisar políticas de identidade e acesso estão pagando o preço agora: o Pink explora exatamente os mesmos gaps que já foram documentados em auditorias de conformidade (LGPD, ISO 27001, NIST SP 800-207). Um único colaborador enganado em uma ligação de 90 segundos pode gerar vazamento de contratos, dados de clientes e documentos regulatórios, com risco imediato de multas, ações civis e perda de licitações. Mais grave: o grupo já demonstrou capacidade de migrar para ambientes AWS e Azure após o comprometimento inicial no M365, usando credenciais federadas ou tokens de acesso delegado. Isso transforma um incidente de segurança em uma crise de governança de nuvem.