A Microsoft anunciou nesta terça-feira a desarticulação de um serviço online que permitia a criminosos distribuir ransomware e outros tipos de malware disfarçados de programas legítimos. Batizado de Fox Tempest, o serviço funcionava como assinatura digital para malwares (MSaaS), abusando da própria ferramenta da Microsoft, o Artifact Signing, para gerar certificados de código de curta duração.
De acordo com a empresa de tecnologia, o serviço operava desde pelo menos setembro de 2025. Os certificados gerados eram usados para assinar programas maliciosos, o que dificultava sua detecção por mecanismos de segurança. A Microsoft afirmou ter rastreado a atividade do Fox Tempest e identificado mais de mil certificados criados pelo grupo, além de centenas de locatários e assinaturas da plataforma Azure usados para dar suporte às operações criminosas.
Ransomwares distribuídos
O serviço já foi utilizado por vários grupos de ransomware, incluindo o Vanilla Tempest, alvo da Microsoft em outubro de 2025. Entre as famílias de ransomware distribuídas com ajuda da Fox Tempest estão Rhysida, Inc, Qilin e Akira. Além deles, o serviço também auxiliou a disseminação de outras famílias de malware, como Lumma Stealer, Oyster e Vidar.
Os ataques afetaram organizações em diversos setores, incluindo saúde, educação, governo e serviços financeiros, segundo a Microsoft. Os alvos estão espalhados por países como Estados Unidos, França, Índia e China. O custo do serviço para os criminosos chegava a milhares de dólares, e a empresa acredita que o Fox Tempest tenha faturado milhões.
Ação legal e apreensão de servidores
Para desarticular a operação, a Microsoft apreendeu infraestrutura central do serviço, removeu contas fraudulentas e reforçou os processos de verificação das ferramentas que estavam sendo abusadas. A empresa também entrou com um processo judicial contra o Fox Tempest e o Vanilla Tempest.
Segundo os especialistas, ações desse tipo usam mecanismos legais para apreender domínios maliciosos, desmontar servidores e obrigar provedores terceiros a interromper operações criminosas. A Microsoft participou de várias desarticulações de serviços cibercriminosos no último ano, incluindo operações contra RedVDS, RaccoonO365 e Tycoon 2FA.






