Um grupo de hackers brasileiros, conhecido como Tropa do Arranca, está utilizando táticas de engenharia social para roubar e desbloquear iPhones, além de acessar dados sensíveis das vítimas. A abordagem combina o roubo físico de dispositivos com técnicas digitais, como phishing. Os criminosos imitam a interface da ferramenta ‘Encontre meu iPhone’, fazendo com que as vítimas acreditem que estão rastreando seus aparelhos perdidos. Ao clicar em links fraudulentos, as vítimas inserem suas credenciais do iCloud, permitindo que os hackers acessem suas contas. Pesquisadores de segurança identificaram um código suspeito em páginas de login do iCloud, que inclui uma assinatura digital do grupo. Os hackers não apenas desbloqueiam os iPhones, mas também os revendem em mercados clandestinos e acessam informações bancárias. Para se proteger, especialistas recomendam que os usuários nunca insiram suas credenciais em links recebidos por mensagens e que utilizem autenticação em dois fatores. A Tropa do Arranca, embora não seja uma rede global, demonstra uma organização crescente e pode expandir suas atividades em outras regiões do Brasil.

Após um ataque aéreo dos Estados Unidos que resultou na morte do líder iraniano Ali Khamenei, o Irã está se preparando para responder com ciberataques, conforme indicado por John Hultquist, analista-chefe do Grupo de Inteligência de Ameaças da Google. Durante um evento em Londres, Hultquist destacou que o país poderá direcionar suas ações contra alvos no Oriente Médio e em outras regiões, especialmente aqueles com segurança cibernética mais fraca. O especialista observou que a linha entre o governo iraniano e grupos hacktivistas tem se tornado cada vez mais tênue, o que pode facilitar a realização de ataques cibernéticos. O Centro Nacional de Ciber Segurança do Reino Unido alertou organizações ocidentais a revisarem suas posturas de segurança, uma vez que a guerra moderna é híbrida, envolvendo tanto frentes físicas quanto digitais. O cenário atual sugere que países vizinhos ao Irã, como Bahrein, Emirados Árabes Unidos e Jordânia, estão sob risco de sofrer ataques cibernéticos, o que exige uma atenção redobrada das empresas que operam na região.

Pesquisadores de segurança da Microsoft alertaram sobre uma nova tática de hackers que utilizam instaladores falsos de jogos populares, como Xeno e Roblox, para disseminar trojans de acesso remoto (RATs). Os arquivos maliciosos, disfarçados como executáveis legítimos, empregam técnicas furtivas para se manterem ocultos no sistema da vítima. Após a instalação, um Java runtime portátil é utilizado para executar um arquivo malicioso, que se conecta a servidores remotos e permite o controle do computador da vítima. Os hackers aproveitam ferramentas já existentes no Windows, conhecidas como LOLbins, para evitar a detecção, fazendo com que suas atividades pareçam normais. A Microsoft já atualizou seu Defender para detectar esses malwares, mas recomenda que os usuários monitorem o tráfego de saída e bloqueiem conexões suspeitas. A orientação é que os jogadores evitem baixar ferramentas de fontes não oficiais, pois a probabilidade de contaminação por malware é alta. Este incidente destaca a importância de se manter vigilante ao baixar softwares, especialmente em ambientes de jogos.

Um recente relatório da Chainalysis revelou um aumento de 50% nos ataques de ransomware em comparação ao ano anterior, enquanto o número de vítimas que pagaram resgates caiu para 28%, o menor índice já registrado. Essa queda na taxa de pagamentos reflete uma tendência de quatro anos, onde em 2024, 62,8% das vítimas pagaram, e em 2022, esse número foi ainda maior, atingindo 78,9%. Apesar da diminuição no número de pagamentos, o valor médio dos resgates aumentou drasticamente, passando de US$ 12.738 para US$ 59.556, um aumento de 368%. Os Estados Unidos, Canadá, Alemanha e Reino Unido foram identificados como os países mais visados. A análise sugere que a melhoria nas respostas a incidentes e a crescente regulamentação contra ataques são fatores que contribuíram para a queda na taxa de pagamentos, embora o valor dos resgates tenha aumentado, indicando que algumas vítimas estão dispostas a pagar quantias maiores para recuperar seus dados sequestrados.

A Cloud Imperium Games (CIG), desenvolvedora dos jogos Star Citizen e Squadron 42, revelou que em 21 de janeiro de 2026, seus sistemas foram alvo de um ataque cibernético que resultou no acesso não autorizado a informações básicas de conta de um número não divulgado de usuários. A empresa, fundada em 2012, afirmou que os dados comprometidos incluem metadados, detalhes de contato, nome de usuário, data de nascimento e nome, mas não continham informações financeiras ou credenciais. Apesar do incidente, a CIG acredita que não há risco para a segurança dos usuários, pois não há evidências de que os dados acessados tenham sido vazados online. A empresa está monitorando a situação e tomando medidas para evitar novos incidentes. No entanto, especialistas alertam que as informações pessoais expostas podem ser utilizadas em ataques de phishing. A CIG não respondeu a perguntas sobre notificações a usuários afetados ou se houve demanda de resgate por parte dos atacantes.

A Amazon confirmou que três data centers da Amazon Web Services (AWS) nos Emirados Árabes Unidos (EAU) e um no Bahrein foram danificados por ataques aéreos com drones, resultando em uma interrupção significativa que ainda afeta diversos serviços de computação em nuvem. Os ataques são considerados uma resposta do Irã a operações militares dos EUA e de Israel na região. A empresa informou que as instalações nos EAU sofreram danos diretos, enquanto um ataque próximo ao data center no Bahrein também causou impactos na infraestrutura. Atualmente, três zonas de disponibilidade nos EAU estão ‘significativamente prejudicadas’, e uma no Bahrein enfrenta problemas de energia localizados. A Amazon está trabalhando na restauração da infraestrutura física e em caminhos de recuperação baseados em software, além de aconselhar os clientes a realizarem backups e migrarem seus dados para regiões não afetadas. O Centro Nacional de Segurança Cibernética do Reino Unido também alertou sobre um aumento no risco de ciberataques iranianos em meio ao conflito no Oriente Médio.

Um novo estudo revela que atores de ameaças estão comercializando abertamente o acesso a sites hackeados, com foco especial nas credenciais comprometidas do cPanel. O cPanel, um painel de controle amplamente utilizado para hospedagem de sites, permite que atacantes realizem uma série de atividades maliciosas, como implantar backdoors, criar novos usuários administrativos e disseminar campanhas de phishing. A pesquisa da Flare analisou mais de 200 mil postagens em grupos fraudulentos ao longo de uma semana, revelando um ecossistema estruturado que opera em larga escala. Os atacantes frequentemente obtêm acesso por meio de credenciais roubadas ou explorando vulnerabilidades em aplicações web. A venda de cPanels comprometidos é altamente commoditizada, com preços variando conforme a qualidade e a reputação da infraestrutura. A falta de autenticação multifatorial e senhas fracas são fatores que contribuem para a vulnerabilidade. Para mitigar esses riscos, as organizações devem implementar medidas de segurança robustas, como autenticação multifatorial e monitoramento contínuo de atividades suspeitas.

A empresa americana LexisNexis Legal & Professional confirmou que hackers invadiram seus servidores, acessando informações de clientes e negócios. O ataque foi realizado pelo grupo FulcrumSec, que explorou uma vulnerabilidade no aplicativo React2Shell em uma aplicação frontend não corrigida. Embora a empresa tenha afirmado que os dados acessados eram antigos e não críticos, o vazamento incluiu informações de mais de 100 usuários com endereços de e-mail .gov, abrangendo funcionários do governo dos EUA, juízes federais e advogados do Departamento de Justiça. Os dados comprometidos incluíam nomes de clientes, IDs de usuários, informações de contato e registros de pesquisas. A LexisNexis notificou as autoridades e contratou especialistas em cibersegurança para investigar o incidente. Este não é o primeiro vazamento da empresa, que já havia enfrentado outro incidente no ano passado, afetando 364 mil clientes. A situação levanta preocupações sobre a segurança de dados em serviços amplamente utilizados, especialmente no contexto da LGPD no Brasil.

A Microsoft alertou sobre novas campanhas de phishing que utilizam e-mails maliciosos e mecanismos de redirecionamento de URLs OAuth para contornar defesas tradicionais de segurança em e-mails e navegadores. Essas campanhas visam organizações governamentais e do setor público, redirecionando as vítimas para infraestruturas controladas pelos atacantes sem a necessidade de roubar tokens de autenticação. Os ataques se aproveitam do comportamento padrão do OAuth, permitindo que os invasores criem URLs que parecem benignas, mas que levam a páginas maliciosas.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova suíte de phishing chamada Starkiller, que utiliza páginas de login legítimas para contornar as proteções de autenticação multifator (MFA). O grupo de ameaças Jinkusu promove essa plataforma como um serviço de cibercrime, permitindo que usuários escolham marcas para imitar ou insiram URLs reais. A técnica de proxy de páginas de login permite que os atacantes atualizem suas páginas de phishing em tempo real, sem a necessidade de modificar templates. Isso é feito através de uma instância do Chrome sem interface gráfica, que atua como um proxy reverso entre o usuário e o site legítimo, capturando todas as entradas do usuário. Além disso, a evolução de kits de phishing, como o 1Phish, mostra um aumento na sofisticação das ameaças, com a capacidade de capturar códigos de autenticação de um único uso (OTPs) e implementar lógica de impressão digital do navegador para filtrar bots. As campanhas de phishing estão se tornando mais complexas, com ataques direcionados a empresas e instituições financeiras, utilizando técnicas avançadas para evitar a detecção. Essa situação representa um risco significativo para a segurança cibernética, especialmente para empresas que dependem de MFA para proteger suas contas.

O Modelo Contexto de Protocolo (MCP) está se consolidando como uma ferramenta essencial para a integração de agentes de IA em ambientes corporativos. Ao permitir acesso estruturado a aplicações, APIs e dados, o MCP transforma modelos de linguagem em agentes autônomos que podem automatizar fluxos de trabalho empresariais. A adoção desses agentes, como Microsoft Copilot e Zendesk bots, está crescendo rapidamente, mas a governança e os controles necessários para gerenciá-los ainda estão em desenvolvimento. Um dos principais desafios é que esses agentes não se comportam como humanos, não passam por processos de RH e podem operar com identidades não gerenciadas, conhecidas como ‘dark matter’. Isso gera riscos significativos, pois esses agentes podem explorar acessos não monitorados e acumular permissões excessivas ao longo do tempo. Para mitigar esses riscos, especialistas recomendam que as empresas adotem princípios de governança que incluam a associação de agentes a operadores humanos, acesso dinâmico e consciente do contexto, e visibilidade das ações dos agentes. A implementação cuidadosa do MCP é crucial para garantir que esses agentes se tornem aliados confiáveis, em vez de riscos ocultos.

Um novo relatório revela que um ator de ameaças, supostamente ligado a grupos de língua russa, utilizou uma plataforma de teste de segurança assistida por inteligência artificial chamada CyberStrikeAI para atacar dispositivos Fortinet FortiGate. A análise da Team Cymru identificou o uso dessa ferramenta, que integra mais de 100 ferramentas de segurança, para realizar varreduras automatizadas em busca de vulnerabilidades. Entre janeiro e fevereiro de 2026, foram observados 21 endereços IP únicos executando o CyberStrikeAI, com servidores localizados principalmente na China, Cingapura e Hong Kong. A campanha comprometeu mais de 600 dispositivos em 55 países, utilizando serviços de IA generativa como Anthropic Claude e DeepSeek. O desenvolvedor da ferramenta, conhecido como Ed1s0nZ, tem laços com o governo chinês e interage com empresas que apoiam operações cibernéticas estatais. A crescente adoção de ferramentas de segurança ofensiva baseadas em IA, como o CyberStrikeAI, representa uma evolução preocupante na cibersegurança, exigindo atenção especial de profissionais da área.

Os Centros de Operações de Segurança (SOC) enfrentam um desafio crítico: os analistas de nível 1, responsáveis pela detecção de ameaças em tempo real, são frequentemente os menos experientes e mais sobrecarregados. Este artigo destaca como a alta rotatividade, a pressão cognitiva e a fadiga de alertas prejudicam o desempenho desses profissionais. A performance do nível 1 é fundamental para a eficácia do SOC, mas, paradoxalmente, eles são os menos apoiados e mais vulneráveis. A falta de inteligência contextual e a dependência de regras de detecção desatualizadas aumentam o tempo de resposta e os custos de incidentes. Para mitigar esses problemas, é essencial integrar feeds de inteligência de ameaças em tempo real, que fornecem dados acionáveis e contexto para os analistas. Isso não apenas melhora a precisão na detecção, mas também reduz o tempo de inatividade e aumenta a confiança na segurança. A implementação de ferramentas como sandboxes interativas permite que os analistas avaliem rapidamente a natureza de arquivos suspeitos, melhorando a triagem e a resposta a incidentes.

Em fevereiro de 2026, os ataques de ransomware globalmente se mantiveram elevados, com 685 incidentes registrados, uma leve queda em relação aos 718 de janeiro. O setor de saúde viu um aumento de 30% nos ataques, subindo de 37 para 48, enquanto o setor de transporte teve um crescimento ainda maior, com um aumento de 39%, passando de 23 para 32 ataques. Os fabricantes, embora ainda sejam alvos significativos com 120 ataques, estão experimentando uma diminuição nas ocorrências. O grupo de ransomware Qilin continua sendo o mais ativo, com 104 ataques, seguido pelo grupo The Gentlemen, que registrou 84. Este último ganhou notoriedade, especialmente por seus ataques a instituições educacionais no Brasil, incluindo a Universidade Federal de Sergipe e a Centro Universitário Filadélfia. No total, mais de 89,5 TB de dados foram roubados em fevereiro, com os Estados Unidos liderando em número de ataques, seguidos pelo Canadá e Brasil. O aumento nos ataques a setores críticos, como saúde e transporte, destaca a necessidade urgente de medidas de segurança robustas e vigilância contínua.

O Google lançou atualizações de segurança para corrigir 129 vulnerabilidades no Android, incluindo uma falha zero-day criticamente explorada em um componente de display da Qualcomm, identificada como CVE-2026-21385. Essa vulnerabilidade, que pode estar sob exploração limitada e direcionada, é um estouro de inteiro que pode levar à corrupção de memória, afetando 235 chipsets da Qualcomm. Além disso, o Google corrigiu 10 vulnerabilidades críticas que poderiam permitir a execução remota de código, elevação de privilégios ou negação de serviço. As atualizações foram divididas em dois pacotes: 2026-03-01 e 2026-03-05, com o segundo incluindo todos os patches do primeiro e correções para subcomponentes de terceiros. Enquanto dispositivos Google Pixel recebem atualizações imediatamente, outros fabricantes podem demorar mais para implementá-las. A Qualcomm foi notificada sobre a vulnerabilidade em dezembro e alertou seus clientes em fevereiro. O artigo destaca a importância de que as empresas que utilizam dispositivos Android estejam cientes dessas vulnerabilidades e realizem as atualizações necessárias para mitigar riscos.

A Universidade do Havai (UH) confirmou que um ataque de ransomware comprometeu os dados de aproximadamente 1,2 milhão de indivíduos, após uma violação na Divisão de Epidemiologia do seu Centro de Câncer em agosto de 2025. O ataque resultou no roubo de informações pessoais, incluindo números de Seguro Social (SSNs) e dados de registro de veículos. Em 23 de fevereiro, a universidade notificou mais de 87 mil participantes do Estudo Multiétnico (MEC) realizado entre 1993 e 1996, além de outros 900 mil indivíduos cujos e-mails foram encontrados. A UH informou que não houve impacto nas operações clínicas ou registros de alunos. O ataque causou danos significativos, atrasando os esforços de restauração e investigação. A universidade admitiu ter pago aos atacantes para obter uma ferramenta de descriptografia e garantir a destruição segura das informações roubadas. O diretor do UH Cancer Center expressou arrependimento pelo incidente e reafirmou o compromisso com a transparência e a proteção dos dados de pesquisa. Este incidente segue um padrão crescente de ataques de ransomware, que têm se tornado mais sofisticados e impactantes.

O grupo de cibercriminosos conhecido como SloppyLemming está por trás de uma nova onda de ataques direcionados a entidades governamentais e operadores de infraestrutura crítica em países como Paquistão e Bangladesh, conforme relatado pela Arctic Wolf. As atividades ocorreram entre janeiro de 2025 e janeiro de 2026 e envolveram duas cadeias de ataque distintas que utilizam malwares conhecidos como BurrowShell e um keylogger baseado em Rust. A utilização da linguagem de programação Rust representa uma evolução nas ferramentas do grupo, que anteriormente utilizava apenas linguagens compiladas tradicionais e frameworks de simulação de adversários. Os ataques foram iniciados por meio de e-mails de spear-phishing que continham iscas em PDF e documentos do Excel com macros maliciosas. O BurrowShell, um backdoor completo, permite ao atacante manipular o sistema de arquivos, capturar telas e executar comandos remotamente, disfarçando seu tráfego de comando e controle como comunicações do serviço de atualização do Windows. A análise também revelou um aumento significativo na infraestrutura do grupo, com 112 domínios do Cloudflare Workers registrados em um ano, indicando uma escalada em suas operações. O foco em entidades críticas, como órgãos reguladores nucleares e instituições financeiras, sugere um alinhamento com prioridades de coleta de inteligência na competição estratégica regional.

O Google revelou uma vulnerabilidade de alta severidade, identificada como CVE-2026-21385, que afeta um componente de código aberto da Qualcomm utilizado em dispositivos Android. Essa falha, classificada com um CVSS de 7.8, refere-se a um buffer over-read no componente gráfico, resultando em corrupção de memória ao adicionar dados fornecidos pelo usuário sem verificar o espaço disponível no buffer. A Qualcomm recebeu o relatório sobre essa vulnerabilidade em 18 de dezembro de 2025 e notificou seus clientes em 2 de fevereiro de 2026. Embora não haja detalhes sobre como a vulnerabilidade está sendo explorada, o Google indicou que há sinais de exploração direcionada e limitada. Além disso, a atualização de março de 2026 do Android inclui patches para 129 vulnerabilidades, incluindo uma falha crítica que pode permitir execução remota de código sem privilégios adicionais. A atualização oferece dois níveis de patch para que os parceiros do Android possam abordar rapidamente as vulnerabilidades comuns em diferentes dispositivos. Essa situação destaca a importância de manter os dispositivos atualizados para mitigar riscos de segurança.

Pesquisadores alertam sobre o uso da nova plataforma de teste de segurança de IA de código aberto, CyberStrikeAI, por um ator de ameaça que comprometeu recentemente centenas de firewalls Fortinet FortiGate. Em uma operação que durou cinco semanas, mais de 500 dispositivos FortiGate foram afetados. A equipe de inteligência de ameaças da Team Cymru identificou que o mesmo endereço IP, 212.11.64[.]250, estava executando o CyberStrikeAI, que permite a automação de ataques cibernéticos, mesmo por operadores com habilidades limitadas. A plataforma combina mais de 100 ferramentas de segurança e um motor de orquestração inteligente, facilitando a descoberta de vulnerabilidades e a visualização de resultados. Os pesquisadores observaram 21 endereços IP únicos executando o CyberStrikeAI entre janeiro e fevereiro de 2026, com servidores principalmente na China, Singapura e Hong Kong. A crescente adoção de ferramentas de orquestração nativas de IA por adversários pode acelerar o direcionamento automatizado de dispositivos expostos, como firewalls e appliances de VPN. O desenvolvedor do CyberStrikeAI, conhecido como ‘Ed1s0nZ’, tem vínculos com operações cibernéticas supostamente ligadas ao governo chinês, o que levanta preocupações sobre a segurança global.

Um cibercriminoso utilizou o modelo de linguagem Claude, da Anthropic, para realizar um ataque a várias agências governamentais do México, resultando no roubo de 150 gigabytes de dados sensíveis. Os dados comprometidos incluem informações fiscais, registros de votação e dados pessoais de mais de 195 milhões de cidadãos. O ataque, que ocorreu entre dezembro de 2025 e janeiro de 2026, foi facilitado por prompts escritos em espanhol, que instruíram a IA a buscar vulnerabilidades nas redes governamentais e automatizar o roubo de dados. Apesar de alertas da IA sobre a ilegalidade das ações, o hacker conseguiu convencê-la de que estava realizando uma atividade legítima. A empresa de cibersegurança Gambit Security notificou a Anthropic, que então interrompeu a atividade e baniu as contas envolvidas. As autoridades mexicanas, no entanto, não encontraram evidências de invasão nos sistemas, embora investigações sobre brechas em instituições públicas estejam em andamento. O uso de IA por cibercriminosos destaca a necessidade de vigilância e proteção contínuas contra ameaças emergentes.

Uma nova vulnerabilidade nas chaves de API da Google foi descoberta, permitindo que hackers utilizem essas chaves para invadir o assistente de IA Gemini e acessar dados privados. A pesquisa da TruffleSecurity revelou que cerca de 3.000 chaves de API estavam expostas em códigos de diversas organizações na internet. Essas chaves, que antes não eram consideradas sensíveis, passaram a ser um vetor de ataque após a introdução do Gemini, pois agora servem como credenciais de autenticação. A exposição dessas chaves pode resultar em dívidas significativas para os usuários, com potenciais perdas financeiras diárias na ordem de milhares de dólares. O problema foi reportado à Google, que reconheceu a falha como uma “escalada de privilégios de serviço único” e está trabalhando em soluções para mitigar o risco, como a detecção e bloqueio de chaves vazadas. Os desenvolvedores são aconselhados a auditar suas chaves de API e verificar a configuração de segurança de suas aplicações.

O grupo de hackers conhecido como Scattered Lapsus$ Hunters (SLSH) está recrutando mulheres para aprimorar suas operações de engenharia social, especialmente em helpdesks de TI. De acordo com postagens no Telegram, as participantes podem receber entre R$ 2.500 e R$ 5.000 por ligação, dependendo do sucesso na obtenção de credenciais de acesso. O processo de recrutamento envolve a resposta a perguntas de triagem e a adesão a um roteiro durante as chamadas. O objetivo é enganar os funcionários de suporte técnico para que forneçam informações sensíveis, como senhas, que podem ser usadas para acessar redes corporativas. Especialistas em cibersegurança observam que essa tática representa uma evolução calculada nas estratégias do grupo, que busca explorar vozes femininas para evitar perfis de atacantes que os funcionários de TI estão acostumados a identificar. Além disso, a crescente comercialização da engenharia social, com pagamentos baseados em desempenho, indica uma dependência maior de manipulação humana em vez de intrusões técnicas. As organizações são aconselhadas a reforçar a verificação de identidade e a implementar controles de proteção contra roubo de identidade para mitigar esses riscos.

O grupo de ransomware Rhysida reivindicou a responsabilidade por um ataque cibernético ao governo local de Southold, Nova York, ocorrido em novembro de 2025. O ataque, anunciado em 24 de novembro, afetou diversos sistemas da cidade, incluindo e-mails, folha de pagamento e coleta de impostos, resultando em um período de inatividade de duas semanas para a restauração dos serviços. Rhysida exigiu um resgate de 10 bitcoins, equivalente a aproximadamente $661,400, e ameaçou vender os dados comprometidos caso o pagamento não fosse realizado em sete dias. O supervisor de Southold, Al Krupski, afirmou que a cidade não tem intenção de pagar o resgate. Desde o incidente, a cidade investiu $500,000 em melhorias de segurança. Rhysida, que opera como um serviço de ransomware, já foi responsável por 21 ataques confirmados em 2025, afetando principalmente entidades governamentais. Os ataques de ransomware têm se tornado uma preocupação crescente nos EUA, com 84 incidentes confirmados em 2025, comprometendo cerca de 639,000 registros pessoais. O caso de Southold destaca a vulnerabilidade das administrações locais a ataques cibernéticos e a necessidade de investimentos em segurança da informação.

Heidi Richards, de 52 anos, foi condenada a 22 meses de prisão por liderar um esquema de tráfico de milhares de etiquetas de Certificado de Autenticidade (COA) da Microsoft. Operando uma empresa de e-commerce chamada Trinity Software Distribution, ela comprou dezenas de milhares de etiquetas genuínas de Windows 10 e Microsoft Office de uma empresa no Texas entre julho de 2018 e janeiro de 2023, pagando milhões de dólares a preços muito abaixo do valor de varejo. As etiquetas COA, que autentificam software e contêm códigos de chave de produto, não têm valor comercial independente e não podem ser vendidas separadamente do software licenciado. Richards e seus cúmplices extraíram manualmente os códigos das etiquetas e os venderam em massa para clientes em todo o mundo, totalizando mais de 5 milhões de dólares em transações. O caso foi processado pela Seção de Crimes de Computador e Propriedade Intelectual do Departamento de Justiça dos EUA, que tem um histórico de mais de 180 condenações por crimes cibernéticos nos últimos cinco anos.

Um homem de 22 anos do Alabama, Jamarcus Mosley, se declarou culpado por extorsão, ciberstalking e fraudes computacionais após sequestrar contas de redes sociais de centenas de mulheres jovens, incluindo menores. Entre abril de 2022 e maio de 2025, Mosley se passou por amigos das vítimas e utilizou táticas de engenharia social para obter códigos de recuperação de contas e senhas. Com as credenciais roubadas, ele tomou controle de contas do Snapchat, Instagram e outras redes sociais. Após o sequestro, Mosley ameaçou divulgar imagens e vídeos íntimos das vítimas ou bloqueá-las de suas contas, a menos que elas atendessem suas exigências, que incluíam o envio de conteúdo sexual explícito ou pagamento em dinheiro. O promotor dos EUA, Theodore S. Hertzberg, destacou que Mosley explorou a confiança de adolescentes e jovens adultos, resultando em um esquema cruel e calculado. O caso inclui exemplos específicos, como o de uma mulher da Geórgia que foi enganada a compartilhar seu código de recuperação do Snapchat, e outra da Flórida que teve suas fotos íntimas publicadas online após recusar os pedidos de Mosley. Ele deve ser sentenciado em 27 de maio. Este caso é um alerta sobre os riscos de interação online e a necessidade de cautela.

Uma nova campanha de phishing está utilizando uma página falsa de segurança de conta do Google para distribuir um aplicativo web malicioso. Este aplicativo, que se aproveita de recursos de Progressive Web App (PWA), é capaz de roubar códigos de verificação de uso único (OTP), coletar endereços de carteiras de criptomoedas e redirecionar o tráfego do atacante através dos navegadores das vítimas. Os criminosos cibernéticos utilizam o domínio google-prism[.]com, que simula um serviço legítimo do Google, e enganam os usuários a conceder permissões arriscadas sob a falsa promessa de aumentar a segurança de seus dispositivos. O aplicativo malicioso pode exfiltrar dados de contatos, informações de localização em tempo real e conteúdos da área de transferência. Além disso, ele atua como um proxy de rede, permitindo que os atacantes realizem requisições através do navegador da vítima. A campanha também inclui um APK para Android que promete proteção adicional, mas que na verdade compromete ainda mais a segurança do dispositivo. Especialistas alertam que o Google não realiza verificações de segurança através de pop-ups e que todas as ferramentas de segurança estão disponíveis no site oficial da conta do Google. A remoção do aplicativo malicioso é recomendada, e os usuários devem estar atentos a sinais de comprometimento.

O Google anunciou um novo programa para o navegador Chrome, visando garantir que os certificados HTTPS sejam seguros contra os riscos futuros apresentados pelos computadores quânticos. A equipe de Segurança da Web e Redes do Chrome informou que, em vez de adicionar certificados tradicionais X.509 com criptografia pós-quântica ao Chrome Root Store, está colaborando com parceiros para desenvolver uma nova abordagem baseada em Certificados de Árvore de Merkle (MTCs). Essa proposta visa reduzir o número de chaves públicas e assinaturas necessárias durante o handshake TLS, permitindo que uma Autoridade Certificadora (CA) assine um único ‘Tree Head’ que representa milhões de certificados. Isso resulta em uma prova leve de inclusão na árvore, facilitando a adoção de algoritmos pós-quânticos sem aumentar a largura de banda associada às cadeias de certificados clássicas. O Google já está testando MTCs com tráfego real da internet e planeja uma implementação gradual em três fases até o terceiro trimestre de 2027, com o objetivo de manter a performance da web enquanto se adota uma segurança mais robusta.

Pesquisadores em cibersegurança revelaram uma vulnerabilidade crítica no Google Chrome, identificada como CVE-2026-0628, que poderia permitir que atacantes escalassem privilégios e acessassem arquivos locais do sistema. A falha, classificada com um CVSS de 8.8, foi atribuída a uma aplicação insuficiente de políticas no tag WebView. O problema foi corrigido pela Google em janeiro de 2026 nas versões 143.0.7499.192/.193 para Windows/Mac e 143.0.7499.192 para Linux.

A vulnerabilidade permitia que extensões maliciosas, mesmo com permissões básicas, injetassem scripts ou HTML em páginas privilegiadas, como o novo painel Gemini do Chrome, que foi introduzido em setembro de 2025. Isso poderia resultar em acesso não autorizado à câmera, microfone e arquivos locais do usuário. A pesquisa destaca um vetor de ataque emergente relacionado à integração de inteligência artificial (IA) nos navegadores, que, embora ofereça funcionalidades úteis, também pode ser explorado para ações privilegiadas indesejadas.

O Tribunal de Justiça do Estado de Mato Grosso (TJMT) responsabilizou o Bradesco por um golpe de ‘falsa central de atendimento’ que resultou em prejuízos financeiros para uma cliente. A decisão unânime do tribunal determinou que o banco pagasse R$ 5 mil em danos morais e retirasse o nome da vítima do cadastro de inadimplentes. O caso, que ocorreu em dezembro de 2024, envolveu criminosos que se passaram por funcionários do banco e conseguiram acessar remotamente o celular da cliente, contratando um empréstimo de R$ 39,8 mil e realizando uma transferência de R$ 19,9 mil via Pix. Inicialmente, a juíza Lílian Bartolazzi havia julgado o caso improcedente, alegando que a vítima fragilizou sua privacidade ao fornecer dados a desconhecidos. No entanto, a defesa argumentou que o Bradesco deveria ter acionado protocolos de segurança diante das transações atípicas, levando o tribunal a reconsiderar a decisão. O caso destaca a importância de medidas de segurança mais robustas por parte das instituições financeiras para proteger seus clientes contra fraudes.

Um novo golpe envolvendo o sistema de pagamentos Pix está em circulação, onde criminosos utilizam inteligência artificial para gerar comprovantes falsos de transferências. O golpe se baseia na engenharia social, onde os golpistas enviam um comprovante que aparenta ser legítimo, contendo informações corretas como nome, valor e status de ‘concluído’. No entanto, a transferência nunca ocorre, pois o comprovante é gerado por bots que imitam os documentos enviados por bancos. Quando a vítima tenta recuperar o valor através do Mecanismo Especial de Devolução (MED) do Banco Central, a operação é bloqueada, pois não houve uma transferência real. Para se proteger, os usuários devem desconfiar de comprovantes recebidos de desconhecidos, verificar diretamente no aplicativo do banco e estar atentos a sinais como a presença da palavra ‘Agendado’ nos comprovantes. Além disso, é recomendado ativar notificações do banco e evitar chaves ou QR Codes desconhecidos.

Durante os Jogos Olímpicos de Inverno na Itália, atletas femininas se tornaram vítimas de deepfakes, uma técnica que utiliza inteligência artificial para criar imagens e vídeos falsificados. Usuários do fórum 4chan manipularam fotos e vozes de atletas como Alysa Liu, Amber Glenn e Mikaela Shiffrin, gerando conteúdos sexualizados sem consentimento. A análise de empresas como Graphika revelou que esses usuários seguem um padrão de compartilhamento, incentivando a criação e disseminação de mais deepfakes. A tecnologia de IA facilitou a produção de imagens de alta qualidade e a prática de ’nudificação’, que consiste em remover roupas de mulheres em fotos. Além disso, um vídeo gerado por IA do jogador de hóquei Brady Tkachuk, que zombava de canadenses, também se tornou viral, levantando questões sobre a autenticidade do conteúdo digital. Esses incidentes destacam a crescente preocupação com o uso indevido da inteligência artificial e a necessidade de medidas de proteção para as vítimas de tais ataques.

O serviço Claude está enfrentando uma interrupção significativa, com erros elevados relatados em todas as plataformas. O incidente foi identificado em 2 de março de 2026 e está afetando usuários de forma ampla, sem restrições a um único aplicativo ou região. A primeira notificação de investigação foi emitida às 11:49 UTC, seguida por uma atualização às 12:06 UTC, indicando que a equipe ainda está analisando a situação. Os usuários podem experimentar falhas em solicitações, timeouts ou respostas inconsistentes ao tentar acessar Claude por meio da web, dispositivos móveis ou API. Até o momento, não há uma estimativa de tempo para resolução, mas a equipe está trabalhando ativamente para solucionar o problema. Além disso, o Red Report 2026 destaca uma queda de 38% na criptografia de ransomware, indicando que as ameaças estão se tornando mais sofisticadas, utilizando matemática para detectar ambientes de sandbox e se esconder em plena vista. O relatório analisa 1,1 milhão de amostras maliciosas para identificar as principais técnicas utilizadas pelos atacantes.

O artigo de Ricardo Amper, CEO da Incode, destaca a evolução dos deepfakes, que agora vão além de campanhas de desinformação e manipulação de mídia viral, sendo utilizados em fraudes dentro de processos de verificação de identidade. Com o aumento do trabalho remoto, a identidade se tornou um ponto crítico de controle e alvo para criminosos, que buscam não apenas enganar sistemas de verificação, mas estabelecer acessos duradouros. As equipes de segurança enfrentam uma convergência de táticas, incluindo rostos e vozes sintéticas de alta fidelidade, vídeos reais reproduzidos de sessões roubadas, e ataques de injeção que comprometem o fluxo de captura. O modelo de validação de sessões completo, como o proposto pelo Incode Deepsight, é essencial para garantir a autenticidade em tempo real, avaliando não apenas a aparência do rosto, mas toda a sessão de interação. A pesquisa da Purdue University valida a eficácia do Deepsight em cenários reais, mostrando que a detecção de deepfakes sozinha não é suficiente, e que a segurança deve ser reforçada em múltiplas camadas para evitar acessos não autorizados em ambientes corporativos.

O Centro Nacional de Cibersegurança do Reino Unido (NCSC) emitiu um alerta para organizações britânicas sobre o aumento do risco de ciberataques patrocinados pelo Irã, em meio ao conflito em andamento no Oriente Médio. Embora não haja uma mudança significativa na ameaça cibernética direta do Irã para o Reino Unido, o NCSC enfatiza que a situação pode evoluir rapidamente. O aviso é especialmente relevante para entidades com presença ou cadeias de suprimentos na região. Apesar do apagão de internet imposto pelo regime iraniano, grupos de hackers apoiados pelo Estado ainda podem realizar ataques. O NCSC recomenda que as organizações britânicas se preparem para possíveis ciberataques, seguindo diretrizes sobre ataques DDoS, atividades de phishing e segurança de sistemas de controle industrial (ICS). Jonathon Ellison, diretor de Resiliência Nacional do NCSC, destacou a importância de as organizações permanecerem alertas e fortalecerem suas posturas de segurança cibernética. Este alerta segue uma advertência anterior do Departamento de Segurança Interna dos EUA sobre riscos crescentes de ciberataques por grupos de hackers apoiados pelo Irã, refletindo a crescente preocupação com a segurança cibernética em um cenário global instável.

Uma falha de segurança recentemente divulgada e corrigida pela Microsoft, identificada como CVE-2026-21513, apresenta uma gravidade alta (CVSS 8.8) e afeta o MSHTML Framework. Segundo a Akamai, essa vulnerabilidade pode ter sido explorada pelo grupo de ameaças patrocinado pelo Estado russo, conhecido como APT28. A falha permite que atacantes não autorizados contornem mecanismos de segurança ao manipular arquivos HTML ou de atalho (LNK) enviados por e-mail ou links maliciosos. Ao abrir esses arquivos, o sistema operacional pode executar código malicioso, comprometendo a segurança do usuário. A Microsoft, em sua nota, confirmou que a vulnerabilidade foi utilizada em ataques reais antes de ser corrigida no Patch Tuesday de fevereiro de 2026. A Akamai também identificou um artefato malicioso associado à APT28, que foi detectado em uma análise do VirusTotal. A falha reside na lógica do arquivo ‘ieframe.dll’, que não valida adequadamente URLs, permitindo que entradas controladas por atacantes alcancem caminhos de código que invocam a execução de comandos fora do contexto de segurança do navegador. Essa situação destaca a necessidade de vigilância contínua e atualização de sistemas para mitigar riscos associados a vulnerabilidades conhecidas.

O crescimento rápido do tráfego em aplicações SaaS pode esconder um problema sério: ataques automatizados. Embora as métricas de uso, como inscrições e chamadas de API, pareçam positivas, muitos usuários não ativam suas contas e os custos operacionais aumentam. O artigo destaca a importância de um firewall de aplicação web (WAF) como o SafeLine, que analisa cada requisição HTTP antes que ela chegue ao código da aplicação. O SafeLine não apenas bloqueia ataques comuns, como injeções SQL e XSS, mas também identifica comportamentos anômalos que podem indicar abusos, como inscrições falsas e tentativas de login automatizadas. A solução é auto-hospedada, permitindo que as equipes mantenham controle total sobre os dados e a configuração. O artigo também discute como o SafeLine pode ser integrado facilmente à infraestrutura existente, proporcionando uma camada adicional de segurança sem complicações. Com a implementação do SafeLine, uma equipe de SaaS conseguiu reduzir drasticamente o número de inscrições falsas e estabilizar o uso da CPU, permitindo que a equipe se concentrasse em melhorias de produto em vez de se preocupar com abusos. Essa abordagem é especialmente relevante para empresas que buscam proteger suas operações e dados em um ambiente cada vez mais ameaçado por bots e ataques automatizados.

Nesta semana, o cenário de cibersegurança apresenta uma série de incidentes e vulnerabilidades que refletem a evolução das ameaças digitais. Um dos principais destaques é a exploração ativa de uma falha crítica no Cisco Catalyst SD-WAN, identificada como CVE-2026-20127, que permite a atacantes não autenticados obterem privilégios administrativos. Além disso, a Anthropic acusou três empresas chinesas de realizar ataques em larga escala para extrair informações de seu modelo de IA, enquanto o Google desmantelou a infraestrutura de um grupo de espionagem cibernética ligado à China, conhecido como UNC2814, que visava organizações globais. Outro ponto crítico é a exposição de chaves de API do Google Cloud, que poderiam ser utilizadas para acessar dados sensíveis. Por fim, um novo grupo de ameaças, UAT-10027, tem como alvo os setores de educação e saúde nos EUA, utilizando um backdoor chamado Dohdoor. Esses eventos ressaltam a necessidade de vigilância constante e atualização de sistemas para mitigar riscos.

O arquivo com extensão .scr, que remete a protetores de tela no Windows, é frequentemente utilizado por cibercriminosos para disseminar malware. Em 2026, a probabilidade de receber um arquivo .scr malicioso por e-mail é de 99,9%. Isso ocorre porque o Windows trata arquivos .scr da mesma forma que arquivos executáveis (.exe), permitindo que um malware se disfarce como um documento legítimo, como um PDF. Os golpistas costumam usar camuflagens, como nomes de arquivos que parecem inofensivos, mas que na verdade contêm a extensão .scr oculta. Para se proteger, é recomendado ativar a exibição de extensões de arquivos no Windows Explorer, o que ajuda a identificar arquivos suspeitos. Além disso, uma solução prática é criar um arquivo .scr que abra no Bloco de Notas, impedindo a execução de qualquer código malicioso. Para usuários mais avançados, é aconselhável bloquear a execução de arquivos .scr fora da pasta do sistema. Essas medidas são essenciais para evitar que usuários desavisados sejam vítimas de ataques cibernéticos.

O artigo da TechRadar destaca uma parceria entre a Surfshark, um dos principais provedores de VPN, e o Calm, um aplicativo de meditação e bem-estar. Ao assinar um plano de um ou dois anos da Surfshark, os usuários ganham uma assinatura de 12 meses do Calm Premium, uma oferta que combina proteção digital com ferramentas para melhorar o sono e gerenciar o estresse. A Surfshark é reconhecida por seu custo acessível e desempenho rápido, oferecendo recursos como proteção contra vírus, pesquisa segura e alertas de violação de dados. O plano mais econômico, o Surfshark Starter, custa $47,85 e inclui três meses adicionais de proteção. Para melhor custo-benefício, o plano Surfshark One de dois anos é recomendado, custando $67,23 antes de impostos. Embora a Surfshark não seja considerada a melhor VPN do mercado, a inclusão da assinatura do Calm e suas funcionalidades robustas tornam a oferta atraente. O artigo também alerta sobre a necessidade de desativar a renovação automática para evitar taxas elevadas após o término do plano.

Pesquisadores de cibersegurança revelaram uma nova fase da campanha Contagious Interview, atribuída a atores de ameaças da Coreia do Norte, que publicaram 26 pacotes maliciosos no registro npm. Esses pacotes se disfarçam como ferramentas de desenvolvimento, mas contêm funcionalidades para extrair URLs de comando e controle (C2) usando conteúdo aparentemente inofensivo do Pastebin. A infraestrutura C2 está hospedada na Vercel, com 31 implantações. Os pacotes incluem um script de instalação que executa um payload malicioso, que utiliza esteganografia para decodificar URLs C2 ocultas em ensaios de ciência da computação. O malware, uma combinação de um ladrão de credenciais e um trojan de acesso remoto, é projetado para operar em múltiplas plataformas, incluindo Windows, macOS e Linux. A campanha demonstra um esforço refinado para evitar detecções automatizadas e revisões humanas, utilizando técnicas de evasão sofisticadas. Os pesquisadores alertam que essa abordagem pode ter implicações significativas para desenvolvedores e empresas que utilizam o npm, especialmente no Brasil, onde tecnologias semelhantes são amplamente adotadas.

O proxyware é um tipo de malware que transforma dispositivos infectados em ’laranjas digitais’, permitindo que hackers utilizem o endereço IP da vítima para realizar atividades criminosas, como ataques DDoS e fraudes financeiras. Ao contrário de vírus comuns, o proxyware redireciona o tráfego da internet da vítima sem que ela perceba, colocando sua integridade e reputação em risco. Recentemente, um caso envolvendo um site falso do 7-Zip demonstrou como usuários desavisados podem ser enganados e ter seus dispositivos infectados. Os sinais de infecção incluem lentidão na internet, ventoinhas do PC funcionando em alta velocidade e bloqueios de acesso a determinados sites. Para se proteger, é essencial que os usuários verifiquem processos suspeitos em seus sistemas e utilizem ferramentas de segurança confiáveis. O proxyware representa uma ameaça significativa, pois pode levar a consequências legais para as vítimas, que podem ser erroneamente associadas a atividades ilícitas.

Pesquisadores de segurança revelaram uma vulnerabilidade crítica, chamada “ClawJacked”, na popular plataforma de IA OpenClaw. Essa falha permite que sites maliciosos realizem ataques de força bruta silenciosos em instâncias locais do OpenClaw, possibilitando o controle total sobre a plataforma. A vulnerabilidade foi descoberta pela Oasis Security, que notificou a OpenClaw, resultando em um patch liberado na versão 2026.2.26 em 26 de fevereiro. O problema decorre do serviço de gateway do OpenClaw estar vinculado ao localhost por padrão, expondo uma interface WebSocket. Como as políticas de origem cruzada dos navegadores não bloqueiam conexões WebSocket para localhost, um site malicioso pode usar JavaScript para abrir uma conexão com o gateway local e tentar autenticação sem alertas. Apesar de o OpenClaw ter limitações de taxa para prevenir ataques de força bruta, o endereço de loopback (127.0.0.1) é isento por padrão, permitindo que tentativas de login sejam feitas a centenas por segundo. Com acesso autenticado, um atacante pode interagir diretamente com a plataforma de IA, comprometendo dados sensíveis e executando comandos arbitrários. A Oasis demonstrou a exploração da vulnerabilidade e enfatizou a necessidade urgente de atualização para a versão corrigida para evitar comprometimentos.

A Samsung e o Estado do Texas firmaram um acordo após alegações de coleta ilegal de informações de visualização através de suas TVs inteligentes. O processo, iniciado pelo Procurador-Geral do Texas, Ken Paxton, em dezembro, acusava a empresa de usar tecnologia de Reconhecimento Automático de Conteúdo (ACR) para coletar dados sem o consentimento explícito dos consumidores. Embora um pedido de restrição temporária tenha sido concedido e posteriormente revogado, as alegações permaneceram. O tribunal encontrou indícios de que a Samsung inscrevia automaticamente os usuários em um sistema de coleta de dados utilizando ‘padrões obscuros’, dificultando a leitura das políticas de privacidade. Em resposta, a Samsung afirmou que não concorda com as acusações, mas se comprometeu a melhorar suas divulgações de privacidade. O acordo exige que a Samsung pare de coletar dados de visualização sem consentimento explícito e atualize suas TVs para garantir que os consumidores possam tomar decisões informadas sobre a coleta de dados. O Procurador-Geral elogiou a Samsung por implementar salvaguardas para os consumidores, destacando que outras fabricantes de TVs ainda não tomaram medidas semelhantes.

O cenário da cibersegurança está em constante evolução, e novos tipos de malware têm se tornado cada vez mais sofisticados. Ao contrário do ransomware, que caiu em 38% segundo o relatório The Red Report 2026, as novas ameaças se infiltram silenciosamente nos sistemas, visando roubar dados e realizar atividades maliciosas sem serem detectadas. Esses malwares, como o LummaC2, utilizam técnicas avançadas, como o ’teste de Turing reverso’, para identificar se estão operando em um ambiente real ou em uma sandbox de antivírus. Eles monitoram o movimento do mouse e aplicam trigonometria para distinguir entre ações humanas e robóticas, evitando assim a detecção. Além disso, esses malwares camuflam o tráfego de dados, utilizando domínios legítimos para enviar informações roubadas, o que dificulta a identificação por firewalls. Embora os antivírus tradicionais estejam perdendo a batalha contra essas ameaças, soluções comportamentais como EDR e XDR estão surgindo como alternativas promissoras para detectar anomalias. A crescente complexidade dos malwares exige que as empresas adotem medidas proativas para proteger seus dados e sistemas.

O malware Oblivion é um novo Trojan de Acesso Remoto (RAT) que afeta dispositivos Android, especialmente aqueles que operam entre as versões 8 e 16. Este software malicioso, que pode ser adquirido por assinatura a partir de US$ 300, permite que atacantes assumam o controle total dos dispositivos, interceptando mensagens SMS, notificações e códigos de autenticação de dois fatores sem que o usuário perceba. O Oblivion contorna as proteções do Android, utilizando a Accessibility Service de forma abusiva para automatizar a aprovação de permissões, o que facilita a instalação de aplicativos maliciosos fora das lojas oficiais. Uma vez ativo, o malware pode monitorar atividades em tempo real, lançar ou remover aplicativos remotamente e ocultar sua presença através de sobreposições enganosas. Os pesquisadores de segurança alertam que a instalação de aplicativos de fontes não confiáveis e a concessão desnecessária de permissões de acessibilidade aumentam o risco de infecção. Medidas de proteção incluem a realização de varreduras de segurança, uso de proteção de endpoint e auditoria regular das permissões de aplicativos.

A extensão do Chrome chamada ‘QuickLens - Search Screen with Google Lens’ foi removida da Chrome Web Store após ser comprometida para distribuir malware e tentar roubar criptomoedas de milhares de usuários. Originalmente, a extensão permitia que os usuários realizassem buscas com o Google Lens diretamente no navegador e contava com cerca de 7.000 usuários. No entanto, em 17 de fevereiro de 2026, uma nova versão foi lançada, contendo scripts maliciosos que introduziram ataques ClickFix e funcionalidades de roubo de informações. Pesquisadores de segurança relataram que a extensão mudou de propriedade e, em seguida, recebeu uma atualização que solicitava novas permissões de navegador e removia cabeçalhos de segurança, facilitando a execução de scripts maliciosos. A extensão se comunicava com um servidor de comando e controle, coletando dados do usuário e tentando roubar informações de carteiras de criptomoedas. Os usuários afetados foram aconselhados a remover a extensão, escanear seus dispositivos em busca de malware e redefinir senhas. Este incidente destaca a vulnerabilidade de extensões populares e a necessidade de vigilância constante por parte dos usuários e administradores de segurança.

A OpenClaw, plataforma de segurança para agentes de inteligência artificial (IA), corrigiu uma vulnerabilidade de alta severidade, identificada como ClawJacked, que poderia permitir que sites maliciosos se conectassem a um agente de IA local e assumissem o controle. Segundo a Oasis Security, a falha reside no sistema central da OpenClaw, sem depender de plugins ou extensões. O ataque ocorre quando um desenvolvedor acessa um site controlado por um atacante, onde um JavaScript malicioso abre uma conexão WebSocket com o gateway da OpenClaw, utilizando um método de força bruta para descobrir a senha de acesso. Uma vez autenticado, o script registra-se como um dispositivo confiável, permitindo ao invasor controlar completamente o agente de IA, acessar dados de configuração e logs de aplicação. A OpenClaw lançou uma correção em menos de 24 horas após a divulgação responsável da vulnerabilidade. Além disso, a plataforma enfrenta uma crescente análise de segurança devido ao acesso que os agentes de IA têm a sistemas diversos, aumentando o potencial de danos em caso de comprometimento. Os usuários são aconselhados a aplicar atualizações imediatamente e a auditar o acesso concedido aos agentes de IA.

Um incidente de cibersegurança ocorreu na Coreia do Sul, onde a Autoridade Nacional de Impostos expôs publicamente a frase de recuperação de uma carteira de criptomoedas apreendida, resultando no roubo de aproximadamente R$ 4,4 milhões em ativos digitais. Os fundos estavam armazenados em uma carteira fria da Ledger, confiscada durante operações contra 124 sonegadores fiscais. Ao divulgar o sucesso da operação, a agência publicou fotos que incluíam uma nota manuscrita com a frase de recuperação, permitindo que qualquer pessoa tivesse acesso total aos ativos. Após a divulgação, 4 milhões de tokens Pre-Retogeum (PRTG) foram transferidos para um novo endereço em três transações distintas. Especialistas criticaram a falta de compreensão das autoridades sobre ativos virtuais, que resultou em perdas significativas para o tesouro nacional. O caso serve como um alerta para proprietários de carteiras de hardware, enfatizando a importância de proteger a frase de recuperação e evitar armazená-la em formatos digitais inseguros. A divulgação do incidente gerou preocupações sobre a segurança das criptomoedas e a necessidade de medidas mais rigorosas para proteger informações sensíveis.

Uma nova pesquisa da Truffle Security revelou que chaves de API do Google Cloud, geralmente usadas para fins de faturamento, podem ser exploradas para autenticar em endpoints sensíveis do Gemini e acessar dados privados. A investigação identificou quase 3.000 chaves de API do Google (com o prefixo ‘AIza’) embutidas em códigos de cliente, permitindo que atacantes acessem arquivos carregados, dados em cache e gerem cobranças indevidas. O problema surge quando usuários ativam a API do Gemini em um projeto do Google Cloud, o que concede acesso não intencional a essas chaves. Isso permite que qualquer atacante que colete essas chaves em sites as utilize para fins maliciosos, incluindo o roubo de quotas e acesso a arquivos sensíveis. Além disso, a criação de novas chaves de API no Google Cloud é, por padrão, ‘sem restrições’, aumentando o risco. Embora o Google tenha reconhecido o problema e implementado medidas para bloquear chaves vazadas, a situação destaca a necessidade de vigilância contínua e revisão de permissões em APIs. Organizações são aconselhadas a verificar suas chaves de API e rotacioná-las se estiverem acessíveis publicamente.

A empresa de inteligência artificial Anthropic se manifestou contra a decisão do Secretário de Defesa dos EUA, Pete Hegseth, que designou a companhia como um ‘risco à cadeia de suprimentos’. Essa medida ocorreu após meses de negociações que não avançaram, especialmente em relação ao uso de seu modelo de IA, Claude, para vigilância em massa e armas autônomas. Anthropic defende que seu modelo não deve ser utilizado para vigilância doméstica, argumentando que isso é incompatível com os valores democráticos e apresenta riscos à liberdade. Em resposta, o presidente Donald Trump ordenou que todas as agências federais descontinuem o uso da tecnologia da Anthropic em seis meses, enquanto Hegseth exigiu que todos os contratantes do Departamento de Defesa (DoD) interrompessem qualquer atividade comercial com a empresa imediatamente. O impasse gerou polarização na indústria de tecnologia, com funcionários de empresas como Google e OpenAI apoiando a Anthropic. Em contraste, o CEO da OpenAI, Sam Altman, anunciou um acordo com o DoD para o uso de seus modelos, enfatizando a segurança da IA e a responsabilidade humana em operações militares. A situação destaca a crescente tensão entre inovação tecnológica e considerações éticas na aplicação de IA em contextos militares.