O ecossistema de ransomware está em constante evolução, e cada nova tática adotada pelos grupos criminosos serve como um indicador da direção que as ameaças futuras tomarão. Em abril de 2026, pesquisadores da equipe Threat Hunter da Symantec e Carbon Black (ambas pertencentes à Broadcom) revelaram que o grupo de ransomware Trigona deu um passo significativo em sua maturidade técnica: abandonou as ferramentas de exfiltração de prateleira, como Rclone e MegaSync, amplamente utilizadas pela maioria dos grupos de ransomware, e desenvolveu uma ferramenta proprietária de exfiltração de dados em linha de comando. Esta ferramenta, batizada de uploader_client.exe, é projetada para oferecer aos atacantes controle granular sobre o processo de roubo de dados, com funcionalidades avançadas de velocidade, evasão de monitoramento de rede e filtragem seletiva de arquivos.
A mudança é mais do que uma mera atualização de ferramental. Ela sinaliza uma tendência preocupante de profissionalização crescente do cibercrime, onde grupos de ransomware estão tratando suas operações com a mesma disciplina e investimento em pesquisa e desenvolvimento que empresas legítimas de software. Para as equipes de segurança, esta evolução significa que as detecções baseadas em assinaturas de ferramentas conhecidas estão se tornando cada vez menos eficazes, e que abordagens baseadas em comportamento são agora indispensáveis.
Este artigo oferece uma análise completa do incidente, do histórico do grupo Trigona, da análise técnica da nova ferramenta, da cadeia de ataque observada e, crucialmente, das lições que organizações de todos os tamanhos podem extrair para fortalecer suas defesas.
Quem é o Trigona: Histórico e Evolução
O Trigona ransomware surgiu pela primeira vez em outubro de 2022, operando como um serviço de Ransomware-as-a-Service (RaaS) sob a gestão de um grupo cibercriminoso que a Symantec rastreia como Rhantus. Desde sua criação, o grupo adotou o modelo de dupla extorsão (double extortion), que combina a criptografia dos dados da vítima com a exfiltração prévia desses dados, ameaçando publicá los caso o resgate não seja pago. Os resgates são tipicamente exigidos em Monero, uma criptomoeda focada em privacidade, o que dificulta o rastreamento dos pagamentos.
O ransomware encripta os arquivos das vítimas utilizando o algoritmo AES (Advanced Encryption Standard), adicionando a extensão “._locked” aos arquivos criptografados e gerando nomes de arquivo aleatórios. Um detalhe técnico interessante é que, por padrão, o Trigona encripta apenas os primeiros 512 KB (0x80000 bytes) de cada arquivo, a menos que seja executado com o argumento /full. Esta estratégia acelera significativamente o processo de criptografia, permitindo comprometer mais arquivos em menos tempo, uma tática que vários grupos de ransomware têm adotado.
Segundo dados da Trend Micro, durante seu período inicial de atividade (outubro de 2022 a outubro de 2023), o Trigona comprometeu um total de 33 organizações documentadas em seu site de vazamento. A distribuição geográfica das vítimas era predominantemente norte-americana (45,5%) e europeia (27,3%), com presença também na Ásia-Pacífico e América Latina. Os setores mais visados incluíam finanças (18,2%), governo (21,4% das tentativas de ataque), tecnologia, varejo, bens de consumo e bancos. O grupo focava principalmente em pequenas e médias empresas, que representaram mais da metade das vítimas.
O Trigona possui versões para Windows e Linux, e é conhecido por explorar servidores Microsoft SQL comprometidos como vetor de acesso inicial, além de utilizar a vulnerabilidade CVE-2021-40539 (Zoho ManageEngine ADSelfService Plus) e obter acesso via brokers de acesso a redes (Initial Access Brokers).
A cadeia de infecção histórica incluía o uso de Splashtop, AnyDesk, LogMeIn, ScreenConnect e TeamViewer para movimentação lateral, Mimikatz para roubo de credenciais, Cobalt Strike para implantação de payloads adicionais, e scripts batch (turnoff.bat, defoff.bat) para desabilitar serviços de antivírus. O grupo também demonstrou vínculos com os grupos CryLock e BlackCat/ALPHV.
A “Morte” e o Ressurgimento
Em outubro de 2023, o Trigona sofreu um golpe significativo quando hacktivistas da Ukrainian Cyber Alliance (UCA) comprometeram a infraestrutura do grupo. Utilizando um exploit público para a vulnerabilidade CVE-2023-22515 (Atlassian Confluence), os hacktivistas ucranianos ganharam acesso aos servidores do Trigona, exfiltraram dados internos incluindo código fonte e registros de banco de dados, deletaram todas as informações e desfiguraram os websites do grupo. A chave do painel de administração foi compartilhada publicamente como um “presente de despedida”.
Apesar de muitos na comunidade de segurança terem considerado o grupo efetivamente desmantelado, a realidade provou ser diferente. Segundo o site DataBreaches.net, verificações recentes no ransomlook.io revelaram que o grupo esteve ativo novamente por um período em 2024, embora todas as suas URLs conhecidas estejam atualmente fora do ar. A Acronis também reportou que a operação estabeleceu um novo site de vazamento após o original ter sido comprometido. A Symantec não encontrou nenhum grupo chamado “Rhantus” com site de vazamento público em plataformas de rastreamento de ransomware, sugerindo que os operadores podem estar funcionando sem um site de leak visível ou sob um nome diferente.
Os ataques de março de 2026 documentados pela Symantec confirmam inequivocamente que os afiliados do Trigona continuam operando e, mais importante, investindo em novas capacidades. O grupo não apenas sobreviveu à disrupção de 2023, mas emergiu com ferramental mais sofisticado.
A Ferramenta de Exfiltração Customizada: uploader_client.exe
O coração da descoberta da Symantec é a ferramenta uploader_client.exe, um utilitário de linha de comando que representa uma evolução significativa em relação às ferramentas de exfiltração tradicionalmente utilizadas por grupos de ransomware.
Para compreender a importância desta mudança, é necessário contextualizar como a exfiltração de dados funciona na maioria dos ataques de ransomware modernos. A grande maioria dos grupos, incluindo operações sofisticadas como LockBit, BlackCat/ALPHV e Cl0p, utiliza ferramentas publicamente disponíveis para transferir dados das vítimas para servidores sob seu controle. As mais populares são o Rclone (uma ferramenta de linha de comando open source para sincronização de arquivos com serviços de nuvem), o MegaSync (cliente de sincronização do serviço MEGA), o FileZilla e até ferramentas nativas do sistema como o robocopy ou scripts PowerShell. Essas ferramentas são eficazes e fáceis de usar, mas têm uma desvantagem crescente: são tão conhecidas que a maioria das soluções de segurança de endpoint e de monitoramento de rede já as detecta por padrão. A presença de um binário do Rclone sendo executado em um servidor corporativo, por exemplo, é frequentemente suficiente para acionar um alerta.
O uploader_client.exe resolve este problema ao ser uma ferramenta desconhecida para as soluções de segurança. Sua análise pela Symantec revelou que se trata de um desenvolvimento customizado, não baseado em código públicamente disponível. A ferramenta se conecta a um endereço de servidor hardcoded controlado pelo atacante (o IP 163.172.105.82 na porta 1080 foi identificado como servidor de exfiltração e comando e controle).
As funcionalidades técnicas da ferramenta são projetadas para equilibrar velocidade de transferência com evasão de detecção. A primeira funcionalidade é o streaming paralelo (Parallel Streams): a ferramenta utiliza por padrão cinco conexões paralelas por arquivo, permitindo uma transferência rápida de dados que pode saturar a largura de banda disponível. Em ambientes corporativos com links de alta velocidade, isso significa que grandes volumes de dados podem ser exfiltrados em questão de minutos.
A segunda funcionalidade é a rotação de conexão (Connection Rotation): após o envio de um volume específico de dados (por padrão 2.048 MB, ou 2 GB), a ferramenta rotaciona a conexão TCP, estabelecendo uma nova. Esta técnica é provavelmente destinada a evadir o monitoramento de tráfego de rede que dispara alertas com base em conexões de longa duração e alto volume para um único endereço IP. Muitos sistemas de monitoramento de rede e DLP (Data Loss Prevention) utilizam thresholds de volume ou duração de conexão como indicadores de exfiltração; ao “recomeçar” a conexão a cada 2 GB, a ferramenta fragmenta o que seria uma transferência massiva em múltiplas sessões que podem passar individualmente abaixo dos thresholds de alerta.
A terceira funcionalidade é a filtragem granular (Granular Filtering): os atacantes podem usar uma flag chamada “exclude-ext” para ignorar tipos de arquivos volumosos e de baixo valor, como .mp3, .mp4, .avi e outros formatos de mídia. Isso garante que apenas documentos de alta prioridade sejam roubados, otimizando o tempo de exfiltração e o espaço de armazenamento no servidor do atacante. Em um caso observado pela Symantec, a ferramenta foi utilizada para direcionar especificamente pastas contendo faturas e documentos PDF de alto valor armazenados em drives de rede.
A quarta funcionalidade é a autenticação integrada: a ferramenta utiliza uma chave de autenticação compartilhada para verificar o cliente com o servidor, impedindo que partes não autorizadas, incluindo pesquisadores de segurança ou outros criminosos, acessem o repositório de dados roubados.
A Cadeia de Ataque Completa Observada em Março de 2026
A implantação da ferramenta customizada de exfiltração não é um evento isolado. A Symantec documentou uma cadeia de ataque completa que precede a exfiltração, com foco particular na desabilitação de defesas.
A primeira fase é a neutralização de defesas. Os atacantes instalaram o HRSword, componente da suite de segurança de rede Huorong, como um serviço de driver de kernel. A escolha desta ferramenta não é acidental: ao operar no nível do kernel do sistema operacional, o HRSword pode ser repurposado para suprimir processos de segurança de forma que as proteções em modo de usuário não conseguem impedir.
Complementando o HRSword, um arsenal de ferramentas adicionais de desabilitação de segurança foi implantado, incluindo PCHunter (ferramenta de diagnóstico de sistema que pode manipular processos e drivers), Gmer (detector/remover de rootkits que pode ser abusado para terminar processos de segurança), YDark (ferramenta de manipulação de kernel), WKTools (utilitário com capacidade de carregar drivers vulneráveis), DumpGuard (ferramenta para manipulação de processos protegidos) e StpProcessMonitorByovd (ferramenta específica de BYOVD para parar processos de monitoramento).
A técnica BYOVD (Bring Your Own Vulnerable Driver) merece atenção especial aqui. Trata-se de uma técnica onde os atacantes trazem drivers legítimos, porém vulneráveis, para o sistema alvo e os carregam no kernel do Windows. Como esses drivers são assinados digitalmente por seus fabricantes legítimos, o Windows os aceita e permite que sejam carregados. Uma vez no kernel, os drivers vulneráveis são explorados para terminar processos de proteção de endpoint que normalmente não poderiam ser encerrados por processos em modo de usuário. É uma técnica que tem se tornado cada vez mais comum no ecossistema de ransomware e representa um desafio significativo para as soluções de segurança.
Os drivers vulneráveis identificados nos IoCs incluem wktools.sys e ke64.sys. O PowerRun, um utilitário freeware que pode executar aplicativos com privilégios elevados de TrustedInstaller/SYSTEM, foi utilizado para executar várias dessas ferramentas com os mais altos níveis de privilégio disponíveis no Windows.
A segunda fase é o acesso remoto e roubo de credenciais. Para acesso remoto direto às máquinas infectadas, os atacantes utilizaram o AnyDesk. Para roubo de credenciais, foram implantados o Mimikatz (a ferramenta de extração de credenciais mais conhecida do ecossistema de segurança ofensiva, capaz de extrair senhas, hashes e tickets Kerberos da memória) e diversos utilitários de recuperação de senha da Nirsoft, incluindo Remote DesktopPassView, Dialup Pass, Mailpassview, MessengerPass, VNCPassView e Webbrowserpassview. Esta coleção indica um esforço abrangente para extrair todas as credenciais possíveis de cada máquina comprometida, desde senhas de aplicativos e navegadores até credenciais de acesso remoto.
O NetScan também foi utilizado para mapeamento e descoberta da rede, identificando alvos adicionais para movimentação lateral.
A terceira fase é a exfiltração seletiva. Após neutralizar as defesas e estabelecer acesso persistente com credenciais roubadas, a ferramenta uploader_client.exe é implantada para exfiltrar os dados de maior valor. A seletividade demonstrada, direcionando especificamente pastas com faturas e documentos PDF em drives de rede, demonstra que os atacantes sabem exatamente que tipo de dados tem maior valor de leverage para a extorsão e estão construindo ferramentas especificamente em torno da extração desses dados.
Por que Esta Evolução é Importante: Lições para Defensores
A mudança do Trigona para ferramental customizado não é apenas uma curiosidade técnica. Ela carrega implicações práticas significativas para equipes de segurança e oferece lições valiosas sobre a evolução do cenário de ameaças.
A primeira lição é que detecções baseadas em ferramentas conhecidas são insuficientes. Muitas organizações investem significativamente em regras de detecção para ferramentas como Rclone, MegaSync, Cobalt Strike e outras amplamente utilizadas por atacantes. Embora essas detecções permaneçam necessárias, elas representam apenas uma camada de defesa. Quando os atacantes desenvolvem ferramentas customizadas, essas regras baseadas em assinaturas se tornam ineficazes. A lição é clara: as organizações precisam complementar detecções baseadas em assinaturas com detecções baseadas em comportamento. Em vez de apenas procurar pelo binário do Rclone, os sistemas de monitoramento devem ser capazes de detectar o comportamento de exfiltração em massa: grandes volumes de dados sendo transferidos para endereços IP externos, padrões de conexão TCP que se reiniciam periodicamente, múltiplas conexões paralelas para um mesmo destino, e acesso em lote a grandes quantidades de arquivos em drives de rede.
A segunda lição é que a fase de exfiltração é a última oportunidade de detecção antes da extorsão. No modelo de dupla extorsão, a exfiltração de dados é o passo crítico que transforma um incidente de ransomware de “recuperável via backup” para “irrecuperável sem pagamento”. Mesmo que uma organização possua backups perfeitos e possa restaurar seus sistemas em horas, se os dados sensíveis já foram roubados, a ameaça de publicação persiste. Isso torna a detecção e interrupção da exfiltração uma das atividades de segurança mais valiosas que uma organização pode realizar. Investir em monitoramento de exfiltração de dados (DLP, análise de tráfego de rede, detecção de anomalias de volume de transferência) deve ser uma prioridade para qualquer organização que lida com dados sensíveis.
A terceira lição é que a técnica BYOVD está se tornando padrão. A utilização de drivers vulneráveis legítimos para desabilitar proteções de endpoint já não é uma técnica exótica; está se tornando um procedimento operacional padrão para grupos de ransomware. Isso significa que as equipes de segurança precisam implementar controles que vão além da proteção de endpoint tradicional. Políticas de controle de aplicativos que restrinjam quais drivers podem ser carregados no kernel, listas de bloqueio de drivers vulneráveis conhecidos (a Microsoft mantém uma lista recomendada), e monitoramento de carregamento de drivers em tempo real são controles cada vez mais necessários.
A quarta lição é que a resiliência dos grupos de ransomware não deve ser subestimada. O caso do Trigona demonstra que mesmo uma disrupção significativa, como a destruição completa da infraestrutura por hacktivistas, pode não ser suficiente para eliminar permanentemente um grupo de ransomware. Os operadores possuem o conhecimento, as conexões e os recursos para reconstruir suas operações. A lição para a comunidade de segurança é que a disrupção é valiosa porque impõe custos aos atacantes, mas não é uma solução definitiva. Defesas organizacionais robustas permanecem essenciais independentemente de quantos grupos de ransomware são desmantelados.
A quinta lição é que o modelo RaaS permite evolução distribuída. No modelo de Ransomware-as-a-Service, diferentes afiliados podem desenvolver e adotar ferramentas independentemente. A ferramenta customizada do Trigona pode ter sido desenvolvida por um afiliado específico particularmente sofisticado, não necessariamente pelos operadores centrais. Isso significa que a inovação pode surgir de qualquer ponto do ecossistema, tornando a previsão de novas táticas ainda mais desafiadora.
Indicadores de Comprometimento (IoCs)
A Symantec publicou uma lista extensa de IoCs associados à atividade recente do Trigona. Os hashes SHA-256 mais relevantes incluem: 396aa1f8f308010a3c76a53965d0eddd35e41176eacd1194745d9542239ca8dc (Uploader, a ferramenta de exfiltração customizada), 6688fb3039ad6df606d76a897ef1072cdc78b928335c6bfa691d99498caf5c4b (Mimikatz), 6ce228240458563d73c1c3cbbd04ef15cb7c5badacc78ce331848f5431b406cc (HRSword), e8a3e804a96c716a3e9b69195db6ffb0d33e2433af871e4d4e1eab3097237173 (Gmer), d4339a5b9d15211dbc85424cf7fa8ff825033ea3378506d8ecb19b016db5b4ff (YDark), f27eab3157451e31db71169e71f76d28325193218f9dc8f421136d4a20165feb (WKTools), 4adbb1906762c757764ffc5fa64af96e091966f4f5a43aae12fcc4f05f1c26b5 (StpProcessMonitorByovd), c7d994eb2042633172bd8866c9f163be531444ce3126d5f340edd25cbdb473d4 (NetScan), e múltiplos hashes para variantes do AnyDesk, PCHunter, DumpGuard, PowerRun e utilitários Nirsoft (a lista completa está disponível no relatório da Symantec).
Os IoCs de rede incluem o endereço IP 163.172.105.82 na porta 1080, utilizado como servidor de exfiltração e comando e controle.
Os drivers vulneráveis identificados são wktools.sys (hash 1433aa8210b287b8d463d958fc9ceeb913644f550919cfb2c62370773799e5a5) e ke64.sys (hash c64964944b4c1f649ae8f694964b3a212dc1028341ab71836306a456fba0b3f4).
Recomendações de Segurança Dolutech
Com base na análise deste incidente e das tendências mais amplas do ecossistema de ransomware, a Dolutech oferece as seguintes recomendações categorizadas por prioridade.
Para detecção e monitoramento, recomendamos implementar monitoramento de tráfego de rede focado em comportamento de exfiltração, não apenas em ferramentas conhecidas. Configurar alertas para transferências de alto volume para endereços IP externos não categorizados, especialmente quando originadas de drives de rede contendo dados sensíveis. Monitorar padrões de conexão TCP que se reiniciam periodicamente (o padrão do Trigona é a cada 2 GB) para um mesmo destino, pois isso é um indicador específico da nova ferramenta. Implementar detecção de anomalias no acesso a arquivos, alertando quando um processo acessa um volume incomum de documentos em drives de rede em um curto período. Configurar os sistemas de EDR para alertar sobre carregamento de drivers de kernel não autorizados, especialmente drivers conhecidos como vulneráveis. Monitorar a execução de ferramentas como PCHunter, Gmer, YDark e outras ferramentas de manipulação de kernel, pois sua presença em um ambiente corporativo é quase sempre indicativa de atividade maliciosa.
Para prevenção e hardening, recomendamos implementar políticas de controle de aplicativos (AppLocker, WDAC) que restrinjam quais executáveis podem ser executados em servidores e estações de trabalho. Manter uma lista de bloqueio de drivers vulneráveis conhecidos e impedir seu carregamento via política de grupo. Restringir o uso de ferramentas de acesso remoto como AnyDesk a cenários autorizados e monitorar seu uso não autorizado. Implementar segmentação de rede que limite o acesso a drives de rede contendo dados sensíveis apenas aos usuários e processos que necessitam desse acesso. Desabilitar ou restringir o acesso a servidores MSSQL expostos, um vetor de acesso inicial conhecido do Trigona. Implementar MFA em todas as contas com acesso a dados sensíveis e sistemas críticos.
Para resposta e recuperação, recomendamos manter backups offline e testados regularmente, pois mesmo com a ameaça de publicação de dados, a capacidade de restaurar sistemas rapidamente reduz a pressão durante uma negociação. Desenvolver e testar procedimentos de resposta a incidentes específicos para cenários de exfiltração de dados em andamento, incluindo a capacidade de isolar rapidamente segmentos de rede. Manter relacionamento com consultores de resposta a incidentes antes que um incidente ocorra, pois as primeiras horas são críticas. Implementar registro centralizado de logs que sobreviva a um comprometimento e permita análise forense posterior.
Para governança e conscientização, recomendamos classificar dados sensíveis e implementar controles de acesso proporcionais à sensibilidade. Conduzir exercícios de tabletop simulando cenários de dupla extorsão para testar a capacidade de resposta da organização. Treinar equipes de TI para reconhecer sinais de atividade de pré-exfiltração, como instalação de ferramentas de acesso remoto não autorizadas ou desabilitação de serviços de segurança. Revisar periodicamente os direitos de acesso a drives de rede para garantir o princípio de menor privilégio.
A Tendência Maior: Profissionalização do Ransomware
O desenvolvimento de ferramentas customizadas pelo Trigona não é um caso isolado. Representa uma tendência mais ampla de profissionalização do ecossistema de ransomware que a comunidade de segurança vem observando nos últimos anos. Grupos como LockBit investiram em programas de bug bounty para melhorar seu ransomware. O BlackCat/ALPHV desenvolveu variantes em Rust para dificultar a análise. O Cl0p construiu ferramentas de exploração customizadas para vulnerabilidades zero-day em plataformas de transferência de arquivos.
A convergência é clara: os grupos de ransomware mais bem sucedidos estão operando como empresas de software, com ciclos de desenvolvimento, testes, documentação e suporte ao cliente (para os afiliados). Esta profissionalização torna a ameaça mais persistente, mais adaptável e mais difícil de combater.
Para organizações que pensavam que o Trigona havia desaparecido após a ação dos hacktivistas ucranianos em 2023, os ataques de março de 2026 servem como um lembrete contundente: no ecossistema de ransomware, “morto” raramente significa morto. A vigilância contínua e o investimento em defesas proativas não são opcionais; são requisitos de sobrevivência no cenário digital atual.
Conclusão
A descoberta da ferramenta de exfiltração customizada do Trigona pela Symantec é um marco que merece atenção de toda a comunidade de segurança cibernética. Não apenas porque demonstra que um grupo dado como desmantelado continua ativo e inovando, mas porque exemplifica uma tendência que afetará todas as organizações: os atacantes estão investindo em ferramentas que contornam as detecções tradicionais, e o ritmo dessa inovação está acelerando.
A mensagem para organizações brasileiras e portuguesas é direta: se suas defesas contra ransomware dependem exclusivamente de detectar ferramentas conhecidas como Rclone ou Cobalt Strike, você já está vulnerável a grupos que investiram em desenvolvimento customizado. A defesa eficaz em 2026 requer uma abordagem em camadas que combine detecção por assinaturas, análise comportamental, monitoramento de rede, controle de aplicativos e, fundamentalmente, uma compreensão profunda de como os atacantes operam em cada fase da cadeia de ataque.
A Dolutech continuará monitorando a evolução do Trigona e de outros grupos de ransomware, publicando análises e recomendações para ajudar a comunidade a se manter à frente das ameaças.
Referências
Symantec / Broadcom, “Trigona Affiliates Deploy Custom Exfiltration Tool to Streamline Data Theft”: https://www.security.com/threat-intelligence/trigona-exfiltration-custom
BleepingComputer, “Trigona ransomware attacks use custom exfiltration tool to steal data”: https://www.bleepingcomputer.com/news/security/trigona-ransomware-attacks-use-custom-exfiltration-tool-to-steal-data/
SC World, “Trigona ransomware attackers use novel tool for data exfiltration”: https://www.scworld.com/news/trigona-ransomware-attackers-use-novel-tool-for-data-exfiltration
SecurityOnline, “Trigona Ransomware Debuts Custom Exfiltration Armory”: https://securityonline.info/trigona-ransomware-custom-exfiltration-tool-uploader-client/
DataBreaches.net, “Trigona Affiliates Deploy Custom Exfiltration Tool to Streamline Data Theft”: https://databreaches.net/2026/04/23/trigona-affiliates-deploy-custom-exfiltration-tool-to-streamline-data-theft/
Trend Micro, “Ransomware Spotlight: Trigona”: https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-trigona
BleepingComputer, “Ukrainian activists hack Trigona ransomware gang, wipe servers” (outubro 2023): https://www.bleepingcomputer.com/news/security/ukrainian-activists-hack-trigona-ransomware-gang-wipe-servers/
Symantec Protection Bulletin (IoCs atualizados): https://www.broadcom.com/support/security-center/protection-bulletin
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.