Cibercriminosos exploram falha crítica no React em ataque de ransomware

A vulnerabilidade React2Shell também já foi explorada em campanhas de implantação de malwares, ciberespionagem e mineração de criptomoedas.

André Luiz Dias Gonçalves

schedule18/12/2025, às 14:00

updateAtualizado em 29/01/2026, às 09:05

Cibercriminosos exploram falha crítica no React em ataque de ransomware

Fonte: vchal/Getty Images

Cibercriminosos estão explorando a falha crítica no React, detectada no início de dezembro, para ataques com o ransomware Weaxor, conforme revelou a consultoria de inteligência e cibersegurança S-RM na última terça-feira (16). A campanha maliciosa mira redes corporativas que podem ser criptografadas para pedidos de resgate.

Trata-se da primeira operação com motivações financeiras associadas à vulnerabilidade React2Shell, como destaca a empresa. Anteriormente, a brecha já havia sido explorada em ataques de ciberespionagem, implantação de diversos tipos de malwares e até mineração de criptomoedas.

smart_display

Nossos vídeos em destaque

Ataque rápido e eficiente

De acordo com o relatório, os invasores agiram rapidamente na implantação da criptografia após obterem acesso ao sistema da vítima por meio da falha de alta gravidade no React. Eles executaram um comando PowerShell, estabelecendo comunicação e controle à distância.

Em seguida, desativaram a proteção em tempo real no Windows Defender, preparando o ambiente para cargas secundárias;
Todas essas etapas aconteceram em menos de um minuto após o acesso inicial, conforme os pesquisadores que detectaram o ataque;
Após a criptografia, o sistema recebeu banners com uma nota de resgate, trazendo informações a respeito do pagamento;
Os invasores apagaram todos os logs da ação, para dificultar a identificação, e excluíram cópias dos arquivos da empresa, impedindo a restauração.

maos-segurando-chave-e-dinheiro-em-frente-a-notebook-criptografado — Os invasores solicitaram pagamento para restabelecer acesso ao servidor criptografado. (Imagem: vchal/Getty Images)

Segundo a investigação, o ataque com o ransomware Weaxor se limitou ao servidor afetado pela vulnerabilidade React2Shell, já que não foi observada nenhuma movimentação lateral no sistema. Também não há evidências de que os cibercriminosos tenham tentado roubar dados.

Ransomware Weaxor

Detectado pela primeira vez em 2024, o agente malicioso é considerado uma nova variante da operação Mallox/FARGO, também conhecida como TargetCompany. O Mallox está ativo desde 2021 e normalmente é utilizado em ataques a servidores Microsoft SQL desprotegidos.

O ransomware Weaxor está associado a campanhas menos sofisticadas, geralmente mirando servidores web públicos, com pedidos de resgate relativamente baixos. Ele não possui portal de vazamento de dados na dark web nem é comercializado como serviço, ao contrário do antecessor.

Curtiu o conteúdo? Siga acompanhando o TecMundo e compartilhe as notícias com os amigos nas redes sociais.

Perguntas Frequentes

O que é a vulnerabilidade React2Shell?

React2Shell é uma falha crítica descoberta no framework React, que permite a invasão de sistemas sem necessidade de senha. Essa vulnerabilidade tem sido explorada por cibercriminosos para diferentes fins maliciosos, como ciberespionagem, instalação de malwares, mineração de criptomoedas e, mais recentemente, ataques de ransomware.

Como os cibercriminosos estão utilizando essa falha em ataques de ransomware?

Os criminosos utilizam a falha React2Shell para obter acesso inicial ao sistema da vítima. Em menos de um minuto, executam comandos via PowerShell, desativam a proteção em tempo real do Windows Defender, implantam cargas secundárias e criptografam os dados. Após isso, exibem uma nota de resgate e apagam os logs e cópias dos arquivos, dificultando a recuperação e a investigação.

O que é o ransomware Weaxor mencionado no ataque?

Weaxor é o nome do ransomware utilizado na campanha maliciosa que explora a falha React2Shell. Esse tipo de malware criptografa os dados da vítima e exige um pagamento em troca da liberação das informações, caracterizando um ataque com motivação financeira.

Qual a gravidade da falha React2Shell?

A falha é considerada de alta gravidade, pois permite que invasores acessem sistemas sem autenticação e executem comandos remotamente. Isso facilita a realização de ataques rápidos e eficazes, como a implantação de ransomware, sem que a vítima tenha tempo de reagir.

Quais foram os alvos principais desses ataques?

As campanhas maliciosas têm como alvo redes corporativas. Os cibercriminosos buscam sistemas empresariais que, ao serem comprometidos, podem gerar maiores lucros com pedidos de resgate após a criptografia dos dados.

O que os invasores fazem para dificultar a recuperação dos dados?

Após criptografar os sistemas, os criminosos apagam todos os logs da ação e excluem as cópias dos arquivos da empresa. Essas medidas impedem a restauração dos dados e dificultam a identificação da origem e do método do ataque.