A Interconnection Academy e a Global Cyber Alliance disponibilizaram um treinamento gratuito focado em capacitar profissionais de TI para enfrentar crimes cibernéticos em infraestruturas de rede. A iniciativa surge em resposta ao aumento de ataques como DDoS, spoofing e man-in-the-middle, que têm se tornado cada vez mais comuns. O curso enfatiza a aplicação prática de protocolos de segurança, com destaque para o padrão MANRS (Mutually Agreed Norms for Routing Security), que visa garantir a integridade do roteamento na internet.

Uma nova campanha de phishing tem afetado usuários de iPhone, conforme reportado pelo BleepingComputer. O golpe inicia com o envio de um e-mail que simula um alerta de segurança da Apple, informando sobre uma suposta alteração na conta do usuário. Os criminosos utilizam servidores da Apple para enviar mensagens que parecem legítimas, contornando filtros de spam e aumentando a confiança das vítimas. O e-mail menciona uma compra de iPhone no valor de US$ 899, feita via PayPal, e orienta o usuário a entrar em contato com um número de telefone para cancelar a transação. Ao ligar, a vítima é submetida a um ataque de vishing, onde os golpistas tentam convencê-la a instalar um software de acesso remoto, alegando que a conta foi comprometida. Para dar credibilidade ao golpe, os hackers criam um ID Apple e manipulam as informações de envio do e-mail. Especialistas recomendam cautela com alertas inesperados e nunca permitir acesso remoto a desconhecidos.

O site da Seiko USA foi alvo de um ataque cibernético no último fim de semana, resultando em uma deface que exibia uma mensagem de extorsão. Os atacantes alegam ter acessado o banco de dados de clientes da plataforma Shopify da empresa e ameaçam divulgar as informações a menos que um resgate seja pago. A página comprometida, localizada na seção ‘Press Lounge’, substituiu o conteúdo normal por um aviso de violação de dados e uma demanda de resgate. Os hackers afirmam ter obtido dados sensíveis, incluindo nomes, e-mails, números de telefone, histórico de pedidos e detalhes de envio. A mensagem de extorsão também especificava um prazo de 72 horas para que a Seiko USA iniciasse negociações, utilizando um e-mail associado a uma conta de cliente identificada. Até o momento, a Seiko não confirmou publicamente o incidente, mas removeu a mensagem de extorsão do site. A situação levanta preocupações sobre a segurança dos dados de clientes e a eficácia das medidas de proteção em plataformas de e-commerce como o Shopify.

Uma botnet de malware proxy chamada SystemBC, composta por mais de 1.570 hosts, foi descoberta após investigações relacionadas a um ataque de ransomware conhecido como Gentlemen. Este ransomware, que surgiu em meados de 2025, utiliza um serviço de ransomware como serviço (RaaS) e é capaz de criptografar sistemas Windows, Linux, NAS e BSD, além de hipervisores ESXi. A Check Point, responsável pela investigação, identificou que a maioria das vítimas está localizada nos Estados Unidos, Reino Unido, Alemanha, Austrália e Romênia, com um foco claro em ambientes corporativos.

Um conjunto de 26 aplicativos maliciosos foi identificado na Apple App Store, disfarçando-se como carteiras populares como Metamask, Coinbase, Trust Wallet e OneKey. Esses aplicativos têm como objetivo roubar frases de recuperação ou seed phrases, drenando os ativos em criptomoedas dos usuários. Os atacantes utilizaram métodos como typosquatting e branding falso para enganar usuários na China, publicando os aplicativos como jogos ou calculadoras, na tentativa de contornar as restrições do país. Os pesquisadores da Kaspersky nomearam essa campanha de FakeWallet, associando-a à operação SparkKitty. Ao serem abertos, os aplicativos redirecionam os usuários para páginas de phishing que imitam portais legítimos de serviços de criptomoedas. Essas páginas convencem as vítimas a baixar aplicativos de carteira trojanizados, que interceptam as frases mnemônicas durante a configuração ou recuperação da carteira, criptografando-as e enviando-as para os atacantes. Embora a campanha tenha como alvo principal usuários na China, o malware não possui restrições geográficas, podendo afetar usuários globalmente. A Kaspersky recomenda que os detentores de criptomoedas verifiquem sempre o editor dos aplicativos que baixam, mesmo em lojas oficiais. Após a divulgação responsável da Kaspersky, a Apple removeu todos os 26 aplicativos da App Store.

Hackers patrocinados pelo Estado da Coreia do Norte são suspeitos de estarem por trás de um roubo de criptomoedas que afetou o projeto KelpDAO, resultando em perdas de aproximadamente US$ 290 milhões. O ataque também impactou protocolos de empréstimo como Compound, Euler e Aave, levando a Aave a congelar novos depósitos e empréstimos utilizando o token rsETH como colateral. O KelpDAO, um projeto de finanças descentralizadas (DeFi) na rede Ethereum, permite que os usuários depositem ETH, que são então restaked para gerar um token líquido chamado rsETH. No dia 18 de abril, o KelpDAO detectou atividades suspeitas relacionadas ao rsETH, o que levou à suspensão dos contratos. A investigação revelou que cerca de 116.500 rsETH foram roubados e enviados através do Tornado Cash para ocultar a trilha. Os atacantes comprometeram nós RPC usados para validar mensagens cross-chain, injetando dados falsificados e realizando ataques DDoS em nós saudáveis. A LayerZero, que está ajudando na investigação, acredita que o grupo Lazarus, conhecido por suas operações sofisticadas, é o responsável pelo ataque. Embora o incidente tenha causado uma perda significativa, a LayerZero afirma que não houve contágio em outros aplicativos ou ativos.

Uma vulnerabilidade crítica foi identificada no SGLang, um framework open-source para modelos de linguagem, que pode permitir a execução remota de código (RCE) em sistemas vulneráveis. A falha, registrada como CVE-2026-5760, possui um alto índice de severidade, com uma pontuação CVSS de 9.8. O problema reside no endpoint de reranking ‘/v1/rerank’, onde um atacante pode explorar a vulnerabilidade ao criar um arquivo de modelo GGUF malicioso. Esse arquivo contém um parâmetro ’tokenizer.chat_template’ que inclui um payload de injeção de template do lado do servidor (SSTI) utilizando Jinja2. Quando o modelo é carregado pelo usuário no SGLang, o código malicioso é executado no servidor, permitindo ao atacante controlar o sistema. A recomendação para mitigar essa vulnerabilidade é substituir o uso de jinja2.Environment() por ImmutableSandboxedEnvironment, evitando assim a execução de código Python arbitrário. Essa vulnerabilidade é semelhante a outras falhas críticas já corrigidas em pacotes populares, destacando a necessidade urgente de atenção e ação por parte dos administradores de sistemas que utilizam SGLang.

O Google anunciou a ampliação do uso da ferramenta de inteligência artificial Gemini para combater anúncios maliciosos em suas plataformas. A IA já foi responsável por interromper e remover aproximadamente 8,3 bilhões de anúncios fraudulentos e suspender 24,9 milhões de contas de anunciantes em 2025. A prática de hackers que compram anúncios para se passar por marcas legítimas é um problema recorrente no Google Ads, e a nova abordagem do Gemini visa detectar e bloquear essas fraudes em tempo real. A tecnologia agora analisa bilhões de sinais, como o comportamento do anunciante e o histórico da conta, permitindo uma identificação mais precisa de anúncios legítimos versus fraudulentos. O Google planeja expandir ainda mais o uso do Gemini para outros formatos de anúncios, visando bloquear anunciantes fraudulentos já no momento do envio. Essa iniciativa é crucial para proteger os usuários de golpes digitais e melhorar a segurança do ecossistema publicitário.

O uso do Proton VPN na Turquia disparou após o governo local anunciar propostas de regulamentação que visam restringir o acesso a serviços de VPN não autorizados. A Autoridade de Tecnologias da Informação e Comunicação (BTK) está desenvolvendo um sistema de licenciamento para VPNs e uma linha direta móvel para monitorar o acesso de menores a conteúdos violentos. A demanda por VPNs aumentou significativamente, com o número de inscrições diárias do Proton VPN dobrando. A empresa, que opera sob uma política de ’não registro’, afirmou que nunca irá monitorar os dados dos usuários, mesmo que solicitado pelas autoridades. A proposta de regulamentação, que visa proteger crianças de conteúdos digitais nocivos, levanta preocupações entre defensores da privacidade, que temem que isso criminalize a navegação segura na internet para todos os cidadãos. Além disso, a BTK planeja implementar um sistema de ’linha direta’ para usuários menores de 18 anos, permitindo um controle parental mais rigoroso sobre o uso da internet. Essa situação destaca um dilema entre a proteção da infância e a preservação da privacidade digital.

O grupo de cibercriminosos Blackwater reivindicou a responsabilidade por um incidente de cibersegurança ocorrido no Minidoka Memorial Hospital, em Rupert, Idaho, durante o fim de semana da Páscoa de 2026. O ataque, que ocorreu no dia 17 de abril, resultou na interrupção de diversos serviços hospitalares, incluindo a imagem médica. Blackwater afirmou ter roubado 577 GB de dados do hospital e exigiu um pagamento de resgate em uma semana, embora o hospital não tenha confirmado publicamente a reivindicação. Em uma postagem no Facebook, o Minidoka Memorial Hospital reconheceu a ocorrência de um incidente cibernético que afetou temporariamente alguns sistemas, mas garantiu que os serviços de emergência seriam restaurados até a meia-noite do dia 19 de abril. Este ataque é parte de uma tendência crescente de ataques de ransomware a instituições de saúde nos EUA, com nove incidentes confirmados em 2026 até o momento. Blackwater, que surgiu em março de 2026, é um novo grupo de ransomware que combina a criptografia de sistemas com o roubo de dados, exigindo resgates para a devolução das informações. O aumento desses ataques levanta preocupações sobre a segurança cibernética em hospitais e a proteção de dados sensíveis dos pacientes.

A Microsoft está implementando diversas melhorias no File Explorer para usuários do Windows 11 que fazem parte do programa Insider. Entre as atualizações, destacam-se melhorias na velocidade de inicialização e no desempenho do aplicativo. Embora a empresa não tenha detalhado os métodos utilizados para essas melhorias, foi testada uma nova funcionalidade em novembro que pré-carrega o File Explorer em segundo plano, visando otimizar os tempos de lançamento. Essa funcionalidade é opcional e pode ser desativada nas opções de pasta do File Explorer. Além disso, a Microsoft está trabalhando para aumentar a confiabilidade do processo explorer.exe após o fechamento das janelas do File Explorer e corrigir flashes brancos que ocorrem ao abrir o aplicativo em modo escuro. Essas correções são relevantes, pois foram associadas a uma atualização anterior e ainda estão sendo abordadas. Outra novidade é o modo Xbox, que oferece uma interface de jogo em tela cheia, minimizando distrações. As melhorias estão sendo disponibilizadas para Insiders que utilizam as versões mais recentes do Windows 11.

Tyler Robert Buchanan, um britânico de 24 anos, se declarou culpado nos Estados Unidos por fraudes eletrônicas e roubo de identidade agravado. Ele é considerado o líder do coletivo de cibercrime Scattered Spider, que, entre setembro de 2021 e abril de 2023, teria roubado pelo menos 8 milhões de dólares em criptomoedas ao realizar ataques de phishing via SMS em diversas empresas. As organizações afetadas abrangem setores como entretenimento, telecomunicações e tecnologia. Os ataques consistiam no envio de mensagens de texto que se passavam por comunicações legítimas das empresas, levando os funcionários a fornecer informações confidenciais. Com esses dados, os criminosos conseguiram sequestrar contas de e-mail e realizar ataques de troca de SIM, transferindo milhões para carteiras que controlavam. Buchanan foi preso em junho de 2024 na Espanha e enfrenta uma pena máxima de 22 anos de prisão. Outros três cúmplices também foram acusados e podem enfrentar até 20 anos de prisão. O grupo Scattered Spider é conhecido por suas táticas de engenharia social e parcerias com gangues de ransomware, aumentando a preocupação sobre a segurança cibernética em nível global.

A Microsoft emitiu um alerta sobre um aumento nos ataques cibernéticos que abusam da colaboração externa no Microsoft Teams. Os invasores se fazem passar por funcionários de TI ou suporte técnico, contatando os colaboradores por meio de chats interorganizacionais e convencendo-os a conceder acesso remoto, o que facilita o roubo de dados. A empresa observou uma cadeia de ataque em nove etapas, começando com a comunicação inicial e culminando na exfiltração de dados sensíveis utilizando ferramentas legítimas, como o Quick Assist e o Rclone. Essa abordagem torna difícil a detecção de atividades maliciosas, pois se misturam com operações normais de suporte de TI. A Microsoft recomenda que os usuários tratem contatos externos no Teams como não confiáveis e sugere que administradores restrinjam o uso de ferramentas de assistência remota e monitorem o uso do Windows Remote Management (WinRM). O alerta destaca a necessidade de vigilância constante e a implementação de medidas de segurança para proteger as redes corporativas contra essas ameaças.

O artigo analisa uma série de incidentes de cibersegurança que revelam um padrão preocupante de ataques, onde ferramentas de terceiros são exploradas para obter acesso interno a sistemas. Um exemplo notável é a violação de dados da Vercel, que ocorreu após a comprometimento do Context.ai, uma ferramenta de inteligência artificial utilizada por um funcionário. Os atacantes conseguiram acessar ambientes internos da Vercel, expondo variáveis não sensíveis. Além disso, a operação de DDoS-for-hire foi desmantelada por autoridades, mas a resiliência desse tipo de crime continua a ser um desafio. Outro incidente envolve a botnet PowMix, que ataca trabalhadores na República Tcheca, utilizando técnicas sofisticadas para evitar detecções. O uso de extensões maliciosas do Chrome e a exploração de plugins como o Obsidian para distribuir malware também foram destacados. A crescente utilização de inteligência artificial em campanhas de fraude publicitária e a descoberta de trojans como o STX RAT e o PHANTOMPULSE ressaltam a evolução das ameaças. O artigo conclui que a confiança nas ferramentas digitais está sendo manipulada, exigindo uma vigilância constante e atualizações de segurança.

O armazenamento em nuvem, como o iCloud, pode conter uma quantidade significativa de dados que muitos usuários desconhecem. Em entrevista ao Podcast Canaltech, o perito em crimes digitais Wanderson Castilho destacou que, mesmo com o backup desativado, as informações podem ser acessadas por autoridades mediante ordem judicial. O recente caso da Polícia Federal (PF), que resultou na prisão de funkeiros e um influenciador digital, exemplifica essa realidade. A investigação se baseou em dados obtidos do iCloud de um contador, permitindo à PF mapear a estrutura de uma organização criminosa. Castilho ressalta que a Apple extrai todos os dados vinculados ao Apple ID investigado e os entrega às autoridades, levantando questões sobre a cadeia de custódia das informações. Além disso, ele alerta que o usuário tem menos controle sobre os dados na nuvem do que imagina, já que arquivos podem ser duplicados e mantidos mesmo após a exclusão. Para informações sensíveis, o especialista recomenda o uso de armazenamento offline em HDs externos criptografados, em vez de confiar na nuvem.

A Microsoft lançou atualizações fora do ciclo regular para corrigir problemas em sistemas Windows Server após a instalação das atualizações de segurança de abril de 2026. Administradores relataram falhas ao instalar a atualização de segurança KB5082063 em dispositivos Windows Server 2025. Além disso, as atualizações cumulativas deste mês estão fazendo com que alguns servidores com funções de controlador de domínio entrem em um loop de reinicialização devido a falhas no Serviço de Subsistema de Segurança Local (LSASS). A Microsoft alertou que esse problema pode ocorrer ao configurar novos controladores de domínio ou em existentes, se o servidor processar solicitações de autenticação muito cedo durante a inicialização. Para resolver esses problemas, foram disponibilizadas atualizações de emergência para várias versões do Windows Server, incluindo a KB5091157 para o Windows Server 2025, que aborda tanto a falha de instalação quanto o problema de reinicialização do controlador de domínio. Além disso, a instalação da atualização KB5082063 pode fazer com que alguns dispositivos sejam iniciados no modo de recuperação do BitLocker, solicitando a chave do BitLocker. A Microsoft também corrigiu um bug que causava atualizações inesperadas para o Windows Server 2025 em dispositivos que executam o Windows Server 2019 e 2022. Essas questões destacam a importância de monitorar e aplicar atualizações de segurança de forma eficaz para evitar interrupções nos serviços.

A Microsoft reverteu uma atualização de serviço que estava impedindo alguns usuários de iniciar o cliente desktop do Microsoft Teams. Os afetados enfrentavam dificuldades ao carregarem a aplicação, recebendo a mensagem de erro “Estamos tendo problemas para carregar sua mensagem. Tente atualizar.” A empresa identificou que as falhas de lançamento eram causadas por um problema transitório na infraestrutura do serviço, que fez com que algumas versões mais antigas do Teams entrassem em um estado não saudável. Após a reversão da atualização problemática, a Microsoft orientou os usuários a fecharem completamente e reiniciarem seus clientes do Teams para garantir que a correção fosse aplicada. Embora a empresa não tenha divulgado quantos usuários foram afetados ou quais regiões, classificou a interrupção como um incidente, indicando um impacto significativo. Este não é o primeiro problema recente com o Teams; no mês passado, a Microsoft já havia resolvido outra falha que afetava o lançamento de versões mais antigas do Outlook Classic. Além disso, a empresa também lançou atualizações de emergência para resolver problemas conhecidos em servidores Windows, que causavam loops de reinicialização e problemas na instalação de atualizações de segurança.

Pesquisadores de cibersegurança identificaram um novo malware chamado ZionSiphon, projetado para atacar sistemas de tratamento e dessalinização de água em Israel. O malware, que foi detectado pela primeira vez em 29 de junho de 2025, logo após a Guerra de Doze Dias entre Irã e Israel, é capaz de estabelecer persistência, modificar arquivos de configuração locais e escanear serviços relevantes de tecnologia operacional (OT) na rede local. O ZionSiphon se destaca por sua capacidade de escalonamento de privilégios e propagação via dispositivos USB, além de suas funções de sabotagem voltadas para o controle de cloro e pressão. O código do malware ainda está em desenvolvimento, apresentando funcionalidades incompletas e um comportamento que sugere que ele pode não estar totalmente operacional. Além disso, o malware contém mensagens políticas que expressam apoio ao Irã, Palestina e Iémen, e é programado para ativar apenas em condições geográficas e ambientais específicas. A descoberta do ZionSiphon coincide com a identificação de outras ameaças, como o implante RoadK1ll, que permite acesso remoto a redes comprometidas. Este cenário destaca a crescente experimentação com ataques a infraestruturas críticas motivados politicamente em todo o mundo.

Pesquisadores de cibersegurança identificaram uma vulnerabilidade crítica no Protocolo de Contexto de Modelo (MCP) que pode permitir a execução remota de código (RCE) em sistemas vulneráveis. Essa falha, presente no kit de desenvolvimento de software (SDK) da Anthropic, afeta mais de 7.000 servidores acessíveis publicamente e mais de 150 milhões de downloads. A vulnerabilidade se origina de configurações inseguras no transporte STDIO, resultando em injeções de comandos não autenticadas. Os pesquisadores destacam que essa falha não foi corrigida na implementação de referência do MCP, o que perpetua os riscos de execução de código. Para mitigar a ameaça, recomenda-se bloquear o acesso público a serviços sensíveis, monitorar invocações de ferramentas MCP e tratar entradas de configuração como não confiáveis. A situação é alarmante, pois uma única decisão arquitetônica comprometeu a segurança de diversas bibliotecas e projetos que confiam no protocolo. A Anthropic, por sua vez, não pretende modificar a arquitetura do protocolo, o que levanta preocupações sobre a segurança na cadeia de suprimentos de IA.

A Vercel, provedora de infraestrutura web, anunciou uma violação de segurança que permitiu o acesso não autorizado a certos sistemas internos. O incidente ocorreu devido à comprometimento do Context.ai, uma ferramenta de inteligência artificial de terceiros utilizada por um funcionário da empresa. O atacante conseguiu assumir a conta do Google Workspace do colaborador, o que possibilitou o acesso a ambientes e variáveis de ambiente da Vercel que não estavam marcadas como ‘sensíveis’. A empresa assegurou que as variáveis sensíveis são armazenadas de forma criptografada e não há evidências de que esses dados tenham sido acessados. A Vercel está colaborando com a Mandiant, empresa de cibersegurança, e notificou as autoridades policiais, além de contatar diretamente um número limitado de clientes cujas credenciais foram comprometidas. A empresa recomendou que administradores do Google Workspace verifiquem uma aplicação OAuth específica e adotem práticas recomendadas, como a auditoria de logs de atividade e a rotação de variáveis de ambiente. O CEO da Vercel, Guillermo Rauch, afirmou que medidas de proteção extensivas foram implementadas e novas funcionalidades foram adicionadas ao painel de controle para melhorar a segurança dos clientes.

A Vercel, plataforma de desenvolvimento em nuvem, revelou um incidente de segurança após a alegação de um grupo de hackers de que havia invadido seus sistemas e estava vendendo dados roubados. A empresa, conhecida pelo desenvolvimento do Next.js, informou que um número limitado de clientes foi afetado por um acesso não autorizado a sistemas internos. Embora os serviços da Vercel não tenham sido impactados, a empresa está colaborando com os clientes afetados e recomenda que revisem variáveis de ambiente e utilizem recursos de segurança disponíveis. A investigação revelou que a violação se originou de uma ferramenta de IA de terceiros, especificamente uma aplicação OAuth do Google Workspace. A Vercel alertou administradores do Google Workspace para verificar a aplicação identificada. O hacker, que se autodenomina ‘ShinyHunters’, afirmou estar vendendo chaves de acesso, código-fonte e dados de banco de dados, além de informações de funcionários da Vercel. A situação destaca a importância da segurança em plataformas amplamente utilizadas por desenvolvedores e a necessidade de vigilância constante contra ameaças cibernéticas.

O Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA anunciou que, a partir de 15 de abril, deixará de atribuir pontuações de severidade a vulnerabilidades de baixa prioridade devido ao aumento significativo no volume de submissões. O NIST continuará a analisar e fornecer detalhes adicionais apenas para vulnerabilidades que atendam a critérios específicos, como aquelas listadas no catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) da CISA ou que afetem software do governo federal dos EUA. Embora todas as vulnerabilidades submetidas sejam listadas na Base de Dados Nacional de Vulnerabilidades (NVD), as de baixa prioridade terão apenas a classificação de severidade fornecida pela Autoridade de Numeração CVE (CNA) que as avaliou. O NIST justificou essa mudança pelo crescimento de 263% nas submissões, o que tornou insustentável a manutenção do nível anterior de detalhamento. A nova abordagem permitirá que o NIST concentre seus esforços nas vulnerabilidades com maior potencial de impacto, embora reconheça que algumas vulnerabilidades de alto impacto possam não ser priorizadas. O NIST também aceita solicitações de enriquecimento para vulnerabilidades de menor prioridade por meio de e-mail.

Recentemente, notificações de mudança de conta da Apple estão sendo exploradas por golpistas para enviar e-mails de phishing que simulam compras fraudulentas de iPhones. Um leitor compartilhou um e-mail que parecia uma notificação de segurança legítima da Apple, informando sobre uma atualização de informações da conta. No entanto, o e-mail continha um alerta falso sobre a compra de um iPhone de $899 via PayPal, acompanhado de um número de telefone para cancelar a transação. Esses e-mails são projetados para enganar os destinatários, fazendo-os acreditar que suas contas foram comprometidas, levando-os a ligar para o número do golpista. Ao fazer isso, os golpistas tentam convencer as vítimas a instalar software de acesso remoto ou fornecer informações financeiras. A campanha destaca como os criminosos cibernéticos estão evoluindo suas táticas, utilizando recursos legítimos de sites para realizar ataques. Os e-mails são enviados a partir da infraestrutura da Apple, passando por verificações de autenticação, o que aumenta sua legitimidade. Os usuários devem ser cautelosos com alertas inesperados sobre compras e números de suporte, especialmente se não tiverem realizado alterações recentes em suas contas.

O Surfshark, um dos principais serviços de VPN, está oferecendo uma promoção exclusiva para leitores do TechRadar, com descontos de até 88% e 4 meses adicionais de proteção. Os preços começam a partir de apenas $1,78 por mês, totalizando menos de $50 por 28 meses de serviço. Essa oferta torna o Surfshark uma opção acessível, especialmente em comparação com concorrentes como o NordVPN, que é mais caro. O plano One, que custa $61,04, inclui recursos como proteção contra vírus, alertas de vazamento de dados e um mecanismo de busca seguro. Embora o Surfshark seja classificado como o segundo melhor VPN em geral, ele se destaca por oferecer conexões simultâneas ilimitadas, o que é ideal para famílias. Recentemente, a empresa anunciou um novo protocolo chamado Dausos, que promete melhorar a segurança e a velocidade, posicionando-se como um forte concorrente no mercado de cibersegurança. Todos os planos vêm com uma garantia de devolução do dinheiro em 30 dias, permitindo que os usuários testem o serviço sem riscos.

A Microsoft alertou sobre um bug introduzido em uma atualização recente do navegador Microsoft Edge, que afeta a funcionalidade de colar no cliente desktop do Microsoft Teams. Usuários têm relatado que a opção ‘Colar’ aparece desativada ao tentar colar URLs, textos ou imagens em chats, utilizando o menu de contexto do botão direito. Para contornar o problema, a empresa recomenda o uso de atalhos de teclado: Ctrl + C e Ctrl + V no Windows, ou Cmd + C e Cmd + V no macOS. O erro é resultado de uma regressão de código na atualização do Edge, que o Teams utiliza para algumas funcionalidades. A Microsoft está ciente do problema e está implementando uma correção em etapas, mas ainda não forneceu um cronograma exato para a resolução completa. O bug tem afetado tanto usuários corporativos quanto individuais, com relatos de que reinstalar o Teams ou limpar o cache não resolveu a questão. A situação é monitorada pela Microsoft, que busca garantir a recuperação dos sistemas afetados.

Um código de exploração de prova de conceito foi publicado para uma falha crítica de execução remota de código (RCE) no protobuf.js, uma implementação JavaScript amplamente utilizada dos Protocol Buffers do Google. Essa biblioteca, que é popular no registro do Node Package Manager (npm) com cerca de 50 milhões de downloads semanais, é utilizada para comunicação entre serviços e armazenamento eficiente de dados estruturados. A vulnerabilidade, identificada como GHSA-xq3m-2v4x-88gg, resulta de uma geração de código dinâmico insegura, onde a biblioteca constrói funções JavaScript a partir de esquemas protobuf sem validar adequadamente os identificadores derivados do esquema. Isso permite que um atacante forneça um esquema malicioso que injete código arbitrário na função gerada, possibilitando a execução desse código quando a aplicação processa uma mensagem usando o esquema comprometido. A falha afeta as versões 8.0.0/7.5.4 e anteriores do protobuf.js, e a Endor Labs recomenda a atualização para as versões 8.0.1 e 7.5.5, que corrigem o problema. Embora a exploração seja considerada simples, até o momento não foram observadas explorações ativas na natureza.

Pesquisas recentes da Fortinet e Palo Alto Networks revelam que atores de ameaças estão explorando falhas de segurança em dispositivos TBK DVR e roteadores TP-Link fora de suporte para implantar variantes da botnet Mirai. A vulnerabilidade CVE-2024-3721, que afeta modelos de DVR, permite a injeção de comandos e a instalação de um malware chamado Nexcorium. Este malware é projetado para persistir e realizar ataques de negação de serviço (DDoS). Além disso, a CVE-2023-33538, que impacta roteadores TP-Link, também está sendo alvo de tentativas de exploração, embora com abordagens falhas. Os dispositivos afetados, como o TL-WR940N e TL-WR841N, não recebem mais suporte, o que aumenta o risco para os usuários. Especialistas alertam que a combinação de credenciais padrão e vulnerabilidades conhecidas torna os dispositivos IoT alvos fáceis para ataques. A recomendação é que os usuários substituam esses dispositivos por modelos mais novos e seguros.

A exchange de criptomoedas Grinex, incorporada no Quirguistão e sancionada pelo Reino Unido e pelos EUA, anunciou a suspensão de suas operações após um ataque cibernético que resultou no roubo de 13,74 milhões de dólares. A empresa afirmou que o ataque, ocorrido em 15 de abril de 2026, possui características que sugerem a participação de agências de inteligência estrangeiras, visando desestabilizar a soberania financeira da Rússia. O ataque resultou na perda de mais de 1 bilhão de rublos em fundos de usuários. Grinex é considerada uma rebranding da Garantex, que já havia sido sancionada por lavagem de dinheiro. O roubo foi realizado através de uma série de transações que evitaram a detecção e o congelamento dos ativos. A análise de blockchain revelou que os fundos roubados foram rapidamente convertidos em tokens não congeláveis, uma tática comum entre criminosos para lavar dinheiro. A situação levanta questões sobre a segurança das exchanges de criptomoedas e a possibilidade de operações de bandeira falsa, dada a natureza do ataque e o histórico da Grinex.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) alertou sobre uma vulnerabilidade crítica em versões antigas do Microsoft Excel, identificada como CVE-2009-0238. Essa falha, detectada em 2009, permite a execução remota de código (RCE), possibilitando que cibercriminosos comprometam sistemas ao enviar documentos Excel maliciosos. Os ataques podem resultar no roubo de informações sensíveis, implantação de ransomware e corrupção da memória do dispositivo. A vulnerabilidade afeta versões do Microsoft Office Excel 2000 SP3 até 2004 e 2008 para Mac, enquanto versões mais recentes já receberam correções. A CISA não detalhou como os documentos maliciosos são enviados, mas a ameaça permanece ativa, com a possibilidade de exploração por hackers. Especialistas associaram a falha à distribuição de um malware conhecido como “Trojan.Mdropper.AC”. É crucial que usuários e empresas que ainda utilizam essas versões antigas do Excel tomem medidas imediatas para mitigar os riscos associados a essa vulnerabilidade.

O ransomware Payouts King tem utilizado o emulador QEMU como uma backdoor reversa SSH para executar máquinas virtuais ocultas em sistemas comprometidos, contornando a segurança de endpoints. O QEMU, uma ferramenta de virtualização de código aberto, permite que atacantes executem cargas maliciosas e armazenem arquivos dentro de máquinas virtuais, que não são escaneadas pelas soluções de segurança do host. Pesquisadores da Sophos documentaram duas campanhas, uma delas associada ao grupo de ameaças GOLD ENCOUNTER, que utiliza tarefas agendadas para lançar VMs QEMU disfarçadas. A primeira campanha, STAC4713, foi observada em novembro de 2025, enquanto a segunda, STAC3725, explora a vulnerabilidade CitrixBleed 2 (CVE-2025-5777) para obter acesso inicial. Os atacantes têm usado VPNs expostas e engenharia social para infiltrar-se em redes, além de empregar técnicas de ofuscação e mecanismos anti-análise para evitar detecções. O esquema de criptografia do Payouts King combina AES-256 e RSA-4096, e as notas de resgate direcionam as vítimas a sites de vazamento na dark web. A Sophos recomenda que as organizações verifiquem instalações não autorizadas do QEMU e monitorem atividades suspeitas relacionadas a SSH.

O recente caso envolvendo os funkeiros MC Ryan SP e MC Poze do Rodo, que foram presos sob suspeita de lavagem de dinheiro, destaca a importância dos backups na nuvem, especialmente no iCloud. A investigação da Polícia Federal revelou que arquivos armazenados na nuvem do contador do grupo foram cruciais para desvendar um esquema de R$ 1,6 bilhão. Os dados, que incluíam extratos financeiros e conversas, foram acessados por meio de autorização judicial, evidenciando como informações pessoais podem ser utilizadas em investigações criminais. O perito em crimes digitais Wanderson Castilho alerta que muitos usuários não têm plena consciência do que está armazenado na nuvem, já que o iCloud sincroniza automaticamente diversos tipos de dados, mesmo aqueles que foram excluídos. Além disso, ele ressalta que a privacidade e a segurança são conceitos distintos; enquanto a nuvem oferece um nível de privacidade, a segurança dos dados depende da ação do usuário. Para informações sensíveis, Castilho recomenda o armazenamento offline, como em HDs externos criptografados, para evitar riscos de exposição. O caso serve como um alerta sobre a necessidade de maior controle e conscientização sobre o que se armazena na nuvem.

Com a aproximação da Copa do Mundo de 2026, especialistas em cibersegurança da Proofpoint alertam sobre os riscos cibernéticos associados ao evento. A pesquisa revelou que 36% dos patrocinadores e parceiros da FIFA não possuem medidas de segurança adequadas para proteger seus e-mails, tornando-os vulneráveis a ataques como roubo de identidade e fraudes. O estudo analisou 25 domínios relacionados ao evento e constatou que, embora 96% deles utilizem o protocolo DMARC, apenas 64% têm políticas robustas para prevenir ataques. Preocupantemente, 32% dos domínios estavam configurados apenas em modo de monitoramento, o que não impede o envio de e-mails falsificados. Esses dados indicam que os clientes podem ser alvos de cibercriminosos que se passam por marcas renomadas para aplicar golpes. Diante desse cenário, é essencial que os usuários adotem medidas de proteção e mantenham uma higiene digital adequada para evitar cair em armadilhas cibernéticas.

O senador Bernie Sanders, em um recente comício, uniu-se a líderes sindicais para exigir proteções mais rigorosas para trabalhadores em face da crescente automação impulsionada pela inteligência artificial (IA). Sanders criticou os magnatas da tecnologia, afirmando que eles buscam substituir milhões de empregos com IA, referindo-se a planos de empresas como Tesla e Microsoft. A preocupação com a automação não é exclusiva de Sanders; pesquisas indicam que a maioria dos trabalhadores americanos teme que a adoção de IA resulte em cortes salariais e perda permanente de empregos. A oposição à construção de novos data centers, essenciais para o funcionamento da IA, também está crescendo, com estados como Maine já implementando proibições. Sanders e a deputada Alexandria Ocasio-Cortez propuseram uma pausa no desenvolvimento de IA para proteger os trabalhadores e a saúde pública, enfatizando a necessidade de um debate público e supervisão democrática sobre o impacto da tecnologia na economia e na sociedade. O sentimento anti-data center está se espalhando, refletindo uma mudança significativa na opinião pública sobre o futuro do trabalho e da tecnologia nos Estados Unidos.

Os ciberataques estão evoluindo rapidamente, superando as defesas de muitos provedores de serviços gerenciados (MSPs) e empresas. O phishing se destaca como um dos principais motores do cibercrime moderno. Em um webinar programado para 14 de maio de 2026, a BleepingComputer, em parceria com especialistas da Kaseya, discutirá a necessidade de uma abordagem integrada entre segurança e estratégias de recuperação. O evento abordará como ataques impulsionados por inteligência artificial, como phishing e ransomware, estão se tornando mais direcionados e difíceis de detectar, frequentemente burlando controles de segurança tradicionais. Mesmo quando as ameaças são identificadas, atrasos na resposta ou lacunas no planejamento de recuperação podem transformar um incidente contido em uma interrupção em larga escala. A Kaseya, conhecida por suas soluções de segurança e backup focadas em MSPs, enfatiza a importância de combinar prevenção, detecção e recuperação rápida para proteger melhor os ambientes dos clientes e garantir a continuidade dos negócios. O webinar também abordará como os atacantes exploram infraestruturas confiáveis e plataformas SaaS para contornar defesas, destacando a importância de backups e planejamento de recuperação de desastres (BCDR) para a resiliência cibernética.

O mercado clandestino de dados de cartões de crédito tem se tornado cada vez mais volátil, com criminosos enfrentando fraudes, desconfiança interna e pressão das autoridades. Um guia encontrado em um fórum underground, intitulado ‘The Underground Guide to Legit CC Shops’, revela como os atores do crime tentam mitigar riscos nesse ambiente instável. O documento enfatiza a importância de avaliar fornecedores e a qualidade dos dados roubados, destacando que a legitimidade de uma loja não é definida pela marca, mas pela sua capacidade de operar de forma contínua. Além disso, o guia sugere práticas de segurança operacional, como o uso de criptomoedas focadas em privacidade e a adoção de protocolos técnicos para verificar a confiabilidade das lojas. A transparência nos modelos de preços e a validação comunitária são fundamentais para construir confiança em um mercado onde a desconfiança é predominante. Essa mudança de foco para uma abordagem mais disciplinada e estruturada reflete a evolução do crime cibernético, onde a sobrevivência e a qualidade dos dados são cruciais para o sucesso das operações.

A exchange de criptomoedas Grinex, baseada no Quirguistão, suspendeu suas operações após um ataque cibernético que resultou no roubo de US$ 13,7 milhões. Os fundos foram retirados de carteiras de usuários russos, uma vez que a plataforma facilita operações de troca entre negócios e indivíduos da Rússia. Grinex, que é considerada uma rebranding da exchange russa Garantex, já havia sido alvo de sanções do Departamento do Tesouro dos EUA por suas ligações com atividades ilícitas. O ataque, segundo a Grinex, foi realizado por agentes de inteligência estrangeiros com recursos tecnológicos avançados, visando diretamente a soberania financeira da Rússia. A análise da blockchain revelou que os fundos roubados foram transferidos para endereços TRON e Ethereum e convertidos em criptomoedas. Além disso, a TRM Labs identificou um segundo ataque em outra exchange, a TokenSpot, que também possui vínculos com Grinex. Embora a Grinex tenha atribuído o ataque a agências de inteligência ocidentais, não foram apresentados dados técnicos que comprovassem essa alegação.

O Google anunciou atualizações em suas políticas do Play Store para aprimorar a privacidade dos usuários e proteger empresas contra fraudes. Em 2025, a empresa bloqueou ou removeu mais de 8,3 bilhões de anúncios globalmente e suspendeu 24,9 milhões de contas. As novas políticas introduzem um ‘Contact Picker’, que permite que aplicativos acessem apenas contatos específicos escolhidos pelo usuário, em vez de toda a lista de contatos. Isso representa uma mudança significativa em relação à permissão anterior, que era muito ampla. Além disso, um novo botão de localização foi implementado, permitindo que aplicativos solicitem acesso temporário à localização precisa do usuário, com um indicador persistente que alerta quando um aplicativo não-sistema acessa essa informação. Os desenvolvedores são incentivados a revisar o uso de dados de localização em seus aplicativos para garantir que apenas as informações necessárias sejam solicitadas. O Google também está utilizando seu modelo de inteligência artificial, Gemini, para detectar e bloquear anúncios maliciosos, tendo removido 602 milhões de anúncios e 4 milhões de contas associadas a fraudes em 2025. Essas mudanças visam aumentar a segurança e a transparência no uso de dados pessoais dos usuários.

A Huntress alertou sobre a exploração de três vulnerabilidades recentemente divulgadas no Microsoft Defender, conhecidas como BlueHammer, RedSun e UnDefend. Essas falhas, que permitem a elevação de privilégios em sistemas comprometidos, foram reveladas por um pesquisador sob o pseudônimo Chaotic Eclipse. BlueHammer e RedSun são falhas de elevação de privilégios locais (LPE), enquanto UnDefend pode causar uma condição de negação de serviço (DoS), bloqueando atualizações de definições. A Microsoft já lançou uma correção para BlueHammer, identificada como CVE-2026-33825, mas as outras duas falhas ainda não têm solução disponível. A Huntress observou que a exploração de BlueHammer começou em 10 de abril de 2026, seguida por RedSun e UnDefend em 16 de abril. As atividades dos atacantes foram identificadas através de comandos típicos de enumeração, indicando que os invasores estavam ativos no sistema. A empresa de cibersegurança tomou medidas para isolar as organizações afetadas e evitar novas explorações. A situação destaca a importância de uma resposta rápida a vulnerabilidades críticas, especialmente em ambientes corporativos que utilizam amplamente o Microsoft Defender.

O uso não autorizado de tecnologia no ambiente corporativo, conhecido como shadow IT, representa um desafio crescente para a segurança e conformidade regulatória, especialmente no setor de viagens. Um estudo revela que 78% dos funcionários utilizam sistemas de IA não aprovados, o que agrava a situação. A insatisfação com ferramentas oficiais, devido a experiências de usuário ruins, leva os colaboradores a buscar alternativas mais convenientes, mas potencialmente inseguras. Isso pode resultar em fraudes, perda de descontos corporativos e aumento da carga administrativa. Além disso, o uso de aplicativos não gerenciados para capturar dados sensíveis pode expor informações críticas e violar regulamentos como a LGPD. Para mitigar esses riscos, é crucial que as equipes de TI, finanças e recursos humanos colaborem na educação dos funcionários sobre os perigos do shadow IT e implementem políticas que desencorajem o uso de ferramentas não autorizadas. A falta de visibilidade sobre os movimentos dos funcionários durante viagens pode comprometer a segurança e a capacidade de resposta em emergências, tornando a gestão de viagens mais complexa e arriscada.

Recentemente, três vulnerabilidades de segurança do Windows estão sendo exploradas por atores maliciosos para obter permissões de administrador ou SYSTEM. O pesquisador de segurança conhecido como ‘Chaotic Eclipse’ divulgou códigos de exploração para essas falhas, em protesto à forma como o Centro de Resposta a Segurança da Microsoft (MSRC) lidou com o processo de divulgação. As vulnerabilidades, chamadas BlueHammer e RedSun, são falhas de escalonamento de privilégios locais no Microsoft Defender, enquanto a terceira, UnDefend, permite que um usuário padrão bloqueie atualizações de definições do Defender. No momento da divulgação, essas falhas eram consideradas zero-days, pois não havia patches disponíveis. Pesquisadores da Huntress Labs relataram que as três explorações estão sendo usadas ativamente, com a BlueHammer sendo explorada desde 10 de abril. Embora a Microsoft tenha corrigido a vulnerabilidade BlueHammer, as falhas RedSun e UnDefend ainda não têm patches disponíveis. A RedSun, por exemplo, permite que atacantes obtenham privilégios SYSTEM em sistemas Windows 10, 11 e Server 2019 e posteriores, mesmo após a aplicação de correções anteriores. A Microsoft reafirmou seu compromisso em investigar problemas de segurança reportados e atualizar dispositivos afetados rapidamente.

Kamerin Stokes, de 23 anos, foi condenado a 30 meses de prisão por vender acesso a contas da DraftKings que foram hackeadas. O ataque, realizado por Nathan Austad e Joseph Garrison, comprometeu cerca de 68 mil contas em novembro de 2022, utilizando uma técnica chamada ‘credential stuffing’, que envolve o uso de credenciais roubadas de outras brechas. Os criminosos conseguiram roubar aproximadamente 635 mil dólares de cerca de 1.600 contas comprometidas. Stokes, que comprou as contas hackeadas e as revendeu, reabriu sua loja de fraudes após ser preso e admitiu ter operado esse tipo de negócio por três anos. Além da pena de prisão, ele foi condenado a pagar mais de 1,3 milhão de dólares em restituição. O caso destaca a vulnerabilidade de plataformas de apostas online e a necessidade de medidas de segurança robustas para proteger os dados dos usuários.

A Microsoft confirmou que alguns controladores de domínio do Windows estão enfrentando loops de reinicialização devido a falhas no Serviço de Subsistema de Autoridade de Segurança Local (LSASS) após a instalação das atualizações de segurança de abril de 2026. O problema ocorre principalmente em controladores de domínio não Global Catalog (não-GC) em ambientes que utilizam Gestão de Acesso Privilegiado (PAM). Após a instalação da atualização de segurança KB5082063 e reinicialização, esses controladores podem falhar durante o processo de inicialização, resultando em reinicializações contínuas e impossibilitando a autenticação e os serviços de diretório. A Microsoft recomenda que administradores de TI entrem em contato com o Suporte da Microsoft para Negócios para medidas de mitigação. Este problema afeta apenas organizações que utilizam PAM e não deve impactar dispositivos pessoais não gerenciados. A lista de plataformas afetadas inclui Windows Server 2025, 2022, 23H2, 2019 e 2016. A empresa está investigando também um problema separado que impede a instalação da atualização KB5082063 em alguns sistemas Windows Server 2025.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre uma vulnerabilidade crítica no Apache ActiveMQ, identificada como CVE-2026-34197, que está sendo ativamente explorada em ataques. O Apache ActiveMQ é um popular broker de mensagens open-source baseado em Java, utilizado para comunicação assíncrona entre aplicações. A falha, que passou despercebida por 13 anos, foi descoberta pelo pesquisador Naveen Sunkavally da Horizon3, e se origina de uma validação inadequada de entrada, permitindo que atacantes autenticados executem código arbitrário através de ataques de injeção. A correção foi disponibilizada em 30 de março para as versões 6.2.3 e 5.19.4 do ActiveMQ Classic. A CISA incluiu a vulnerabilidade em seu Catálogo de Vulnerabilidades Conhecidas e ordenou que agências federais atualizassem seus servidores ActiveMQ até 30 de abril. A Horizon3 também destacou que mais de 7.500 servidores ActiveMQ estão expostos online, aumentando o risco de exploração. A CISA recomenda que organizações que utilizam ActiveMQ tratem essa vulnerabilidade como prioridade alta, dada a frequência com que o ActiveMQ é alvo de ataques reais.

Uma operação internacional de aplicação da lei, chamada Operação PowerOFF, resultou na desativação de 53 domínios e na prisão de quatro indivíduos envolvidos em operações comerciais de negação de serviço distribuído (DDoS). Esses serviços eram utilizados por mais de 75.000 cibercriminosos. A ação, que contou com a participação de 21 países, incluindo o Brasil, teve como objetivo interromper o acesso a serviços de DDoS por contratação, desmantelar a infraestrutura técnica que os sustentava e acessar bancos de dados com mais de 3 milhões de contas de usuários criminosos. A Europol destacou que esses serviços permitem que até mesmo pessoas com pouco conhecimento técnico realizem ataques maliciosos em larga escala, causando danos significativos a empresas. A operação também incluiu o envio de avisos a usuários identificados e a emissão de 25 mandados de busca. A atividade de DDoS é considerada uma das tendências mais acessíveis e prolíficas do cibercrime, com motivações que vão desde extorsão até hacktivismo. A operação é um passo importante na luta contra a criminalidade cibernética, especialmente após a desativação de uma botnet chamada RapperBot em agosto de 2025, que havia realizado ataques em mais de 80 países desde 2021.

O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) anunciou mudanças significativas na forma como gerencia as vulnerabilidades e exposições de cibersegurança (CVEs) em sua base de dados nacional (NVD). Devido a um aumento de 263% nas submissões de CVEs entre 2020 e 2025, o NIST decidiu enriquecer apenas aqueles que atendem a critérios específicos, como a inclusão no catálogo de Vulnerabilidades Conhecidas e Exploitadas (KEV) da CISA e software crítico utilizado pelo governo federal. As CVEs que não se enquadrarem nesses critérios serão marcadas como “Não Programadas”. Essa mudança visa priorizar as vulnerabilidades com maior potencial de impacto generalizado, embora o NIST reconheça que outras CVEs possam ter impactos significativos. Além disso, o NIST não fornecerá mais pontuações de severidade separadas para CVEs já avaliadas por autoridades de numeração de CVE. As mudanças têm como objetivo melhorar a eficiência na gestão de vulnerabilidades em um cenário de crescente volume de novas ameaças. Especialistas alertam que essa nova abordagem exigirá que as organizações adotem uma gestão de riscos mais proativa, focando em dados acionáveis em vez de uma lista abrangente de vulnerabilidades.

Mais de 75.000 usuários de plataformas de negação de serviço distribuído (DDoS) foram alertados por e-mails e cartas durante a mais recente fase da Operação PowerOFF, uma ação internacional de aplicação da lei apoiada pela Europol e envolvendo autoridades de 21 países. A operação resultou na prisão de quatro pessoas, na desativação de 53 domínios e na emissão de 25 mandados de busca. As chamadas ‘booters’, plataformas que oferecem serviços DDoS sob demanda, foram alvo de ações que desmantelaram a infraestrutura técnica que as sustenta. Embora alguns operadores tentem justificar essas plataformas como ferramentas de teste de estresse legítimas, a falta de verificação de propriedade dos alvos as torna ilegais. A operação, que já desmantelou infraestruturas críticas e apreendeu bancos de dados com mais de 3 milhões de contas criminosas, agora entra em uma fase de prevenção, que inclui campanhas de conscientização e medidas de interrupção. Isso envolve anúncios em motores de busca direcionados a jovens que buscam ferramentas DDoS e a remoção de URLs que promovem esses serviços ilegais.

Uma vulnerabilidade de alta severidade foi recentemente divulgada no Apache ActiveMQ Classic, identificada como CVE-2026-34197, com uma pontuação CVSS de 8.8. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou que essa falha está sendo explorada ativamente, levando à inclusão no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade resulta de uma validação inadequada de entrada, permitindo que atacantes executem código arbitrário em instalações vulneráveis. O especialista Naveen Sunkavally, da Horizon3.ai, destacou que a falha estava ’escondida à vista’ por 13 anos. A exploração pode ocorrer através da API Jolokia do ActiveMQ, onde um invasor pode induzir o broker a buscar um arquivo de configuração remoto e executar comandos do sistema operacional. Embora a vulnerabilidade exija credenciais, as credenciais padrão (admin:admin) são comuns em muitos ambientes, e em algumas versões, a autenticação não é necessária devido a outra vulnerabilidade. As versões afetadas incluem Apache ActiveMQ Broker antes da 5.19.4 e 6.0.0 antes da 6.2.3. A CISA recomenda que as agências federais apliquem as correções até 30 de abril de 2026. A situação ressalta a rapidez com que os atacantes exploram novas vulnerabilidades, destacando a necessidade urgente de atualização e monitoramento das implementações do ActiveMQ.

O Museu de Arte de Phoenix, localizado no Arizona, confirmou que notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em dezembro de 2025, que comprometeu nomes e números de Seguro Social. A violação foi identificada em 8 de dezembro de 2025, após o museu detectar acessos não autorizados em seus sistemas. O grupo cibercriminoso Rhysida assumiu a responsabilidade pelo ataque em 12 de fevereiro de 2026, exigindo um resgate de 10 bitcoins, equivalente a aproximadamente 667 mil dólares na época. O museu não confirmou a reivindicação do Rhysida e não se sabe quantas pessoas foram afetadas ou como os atacantes conseguiram acessar a rede. Como resposta, o museu está oferecendo monitoramento de crédito gratuito e seguro contra roubo de identidade aos afetados. O Rhysida, que opera um modelo de ransomware como serviço, foi responsável por 92 ataques em 2025, afetando organizações sem fins lucrativos, incluindo o Welthungerhilfe na Alemanha e o Hudson River Housing em Nova York. Os ataques de ransomware nos EUA aumentaram significativamente, com 708 incidentes confirmados em 2025, comprometendo quase 46 milhões de registros pessoais.

Recentemente, o pesquisador conhecido como ‘Chaotic Eclipse’ divulgou um exploit de prova de conceito para uma falha zero-day no Microsoft Defender, chamada ‘RedSun’. Essa vulnerabilidade permite a escalada de privilégios locais (LPE), concedendo privilégios de SYSTEM em sistemas operacionais Windows 10, Windows 11 e Windows Server, especialmente nas atualizações mais recentes do Patch Tuesday de abril. O exploit explora um comportamento peculiar do Windows Defender, que reescreve arquivos maliciosos com uma etiqueta de nuvem, permitindo que arquivos de sistema sejam sobrescritos e, assim, concedendo privilégios administrativos ao atacante. Will Dormann, analista de vulnerabilidades, confirmou que o exploit funciona em sistemas totalmente atualizados. O pesquisador também lançou um exploit anterior, chamado ‘BlueHammer’, em protesto contra a forma como a Microsoft lida com a divulgação de vulnerabilidades. A Microsoft, em resposta, afirmou que investiga questões de segurança relatadas e apoia a divulgação coordenada de vulnerabilidades. Essa situação levanta preocupações sobre a segurança de sistemas amplamente utilizados e a necessidade de uma resposta rápida por parte das empresas que utilizam essas tecnologias.

Um novo malware chamado ZionSiphon, projetado especificamente para tecnologia operacional, está atacando ambientes de tratamento de água e dessalinização, com o objetivo de sabotar suas operações. Pesquisadores descobriram que a ameaça pode ajustar pressões hidráulicas e elevar níveis de cloro a níveis perigosos. A análise indica que o malware tem como alvo sistemas localizados em Israel, com mensagens políticas embutidas em seu código. A empresa de cibersegurança Darktrace identificou um erro de lógica de criptografia que torna a versão atual do malware não funcional, mas alertou que futuras versões podem corrigir essa falha e causar danos significativos. O ZionSiphon verifica se o IP do host está dentro de faixas israelenses e se o sistema contém software relacionado a água ou tecnologia operacional. Caso ativado, o malware poderia aumentar os níveis de cloro e maximizar a pressão, utilizando uma função chamada “IncreaseChlorineLevel()”. Embora a versão atual não esteja operacional, a intenção de interagir com sistemas de controle industrial é clara, e o malware possui um mecanismo de propagação via USB. A situação é preocupante, pois a correção de um pequeno erro de verificação pode liberar seu potencial destrutivo.