Um homem de 36 anos, identificado como Jonathan Spalletta, foi preso após roubar 50 milhões de euros em criptomoedas através de ataques cibernéticos. O hacker, que se entregou à polícia, utilizou uma vulnerabilidade na plataforma Uranium Finance para desviar fundos. Inicialmente, ele explorou uma falha no código da plataforma, conseguindo desviar 1,3 milhão de euros, e posteriormente, ao descobrir uma nova vulnerabilidade, conseguiu roubar o montante total. Spalletta usou os fundos para adquirir itens colecionáveis raros, incluindo cartas de Pokémon e Magic: The Gathering, gastando quantias exorbitantes, como 460 mil euros em uma carta Black Lotus. O ataque resultou no colapso da Uranium Finance, impactando severamente seus usuários. As autoridades recuperaram 28 milhões de euros em criptomoedas e apreenderam os itens colecionáveis adquiridos com o dinheiro roubado. Spalletta pode enfrentar até 30 anos de prisão se for considerado culpado. Este caso destaca a vulnerabilidade das plataformas de criptomoedas e a necessidade de medidas de segurança mais robustas.

A NymVPN lançou uma atualização significativa para seu aplicativo de Mac, agora na versão v2026.6, que inclui o recurso de split tunneling, muito aguardado pelos usuários. Essa funcionalidade, que já estava disponível na versão Android, permite que os usuários escolham quais aplicativos devem passar pelo túnel VPN e quais devem se conectar diretamente à internet. Isso é especialmente útil para proteger o tráfego sensível enquanto mantém a velocidade e a compatibilidade de outros aplicativos. Para utilizar o split tunneling, os usuários precisam conceder acesso total ao disco para selecionar os aplicativos desejados. Além disso, a atualização traz melhorias na autenticação segura e um processo de login mais fluido, permitindo que os usuários gerem um código seguro diretamente do aplicativo, em vez de depender de uma frase mnemônica de 24 palavras. A NymVPN também anunciou um programa de testes Alpha, onde os usuários podem ajudar a moldar o futuro do aplicativo. Embora a NymVPN ainda esteja em desenvolvimento e não concorra diretamente com as melhores VPNs do mercado, a frequência das atualizações sugere um compromisso com a melhoria contínua e a entrega de funcionalidades prometidas.

Um novo malware chamado NoVoice foi descoberto em mais de 50 aplicativos disponíveis na Google Play Store, afetando aproximadamente 2,3 milhões de dispositivos Android. Este malware é particularmente perigoso, pois se instala como um rootkit altamente persistente, o que significa que uma simples redefinição de fábrica não é suficiente para removê-lo. Os pesquisadores da McAfee identificaram que o NoVoice explora vulnerabilidades antigas no kernel do Android e em drivers de GPU, visando dispositivos que não recebem atualizações regulares.

A Check City Partnership notificou 322.687 pessoas sobre um vazamento de dados ocorrido em março de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, documentos de identidade emitidos pelo governo, números de contas financeiras e dados de cartões de crédito. O grupo cibercriminoso Clop reivindicou a responsabilidade pelo ataque, publicando amostras de documentos supostamente roubados. Embora a Check City tenha reconhecido uma interrupção na rede em abril de 2025, não confirmou se pagou um resgate ou como os atacantes conseguiram acessar seu sistema. Para mitigar os danos, a empresa está oferecendo monitoramento de crédito gratuito e serviços de restauração de identidade aos afetados. O Clop, conhecido por explorar vulnerabilidades de software, já realizou 457 ataques de ransomware, sendo este o segundo maior ataque registrado por eles até agora. Em 2025, foram contabilizados 59 ataques confirmados a empresas financeiras nos EUA, comprometendo mais de 1,1 milhão de registros pessoais. O ataque à Check City destaca a crescente ameaça de ransomware no setor financeiro e a necessidade de vigilância contínua contra tais incidentes.

A loja de armas Mister Guns, localizada em Plano, Texas, está notificando 21.225 pessoas sobre um vazamento de dados ocorrido em novembro de 2025, após um ataque cibernético realizado pelo grupo de ransomware Securotrop. O ataque resultou na extração de 290 GB de dados sensíveis, incluindo números de seguridade social, datas de nascimento, números de carteira de motorista, licenças de porte de arma e passaportes. Embora a notificação da loja afirme que não há evidências de uso indevido das informações, não foram oferecidos serviços de monitoramento de crédito gratuitos, uma prática comum em casos de vazamento de dados. O grupo Securotrop, que opera sob um modelo de Ransomware-as-a-Service (RaaS), já adicionou a Mister Guns ao seu site de vazamento de dados, mas a loja não confirmou se um resgate foi exigido ou pago. Este incidente é o terceiro maior ataque de ransomware a um varejista nos EUA em 2025, destacando a crescente ameaça de ataques cibernéticos no setor de varejo, que já registrou 31 ataques confirmados este ano, afetando mais de 765 mil registros. A situação levanta preocupações sobre a segurança de dados e a necessidade de medidas de proteção mais robustas para evitar tais incidentes.

A Cisco divulgou atualizações de segurança para corrigir várias vulnerabilidades críticas e de alta severidade, incluindo uma falha de bypass de autenticação no Integrated Management Controller (IMC), que permite que atacantes obtenham acesso administrativo. Conhecido como CIMC, o Cisco IMC é um módulo de hardware presente nas placas-mãe dos servidores Cisco, oferecendo gerenciamento fora de banda para os servidores UCS C-Series e E-Series. A vulnerabilidade, rastreada como CVE-2026-20093, foi identificada na funcionalidade de alteração de senha do Cisco IMC e pode ser explorada remotamente por atacantes não autenticados. A Cisco recomenda fortemente que os clientes atualizem para o software corrigido, uma vez que não existem soluções alternativas para mitigar essa falha de segurança. Além disso, a empresa lançou patches para outra vulnerabilidade crítica (CVE-2026-20160) no Smart Software Manager On-Prem, que pode permitir a execução remota de código por atacantes sem privilégios. A Cisco também enfrentou um incidente de segurança em seu ambiente de desenvolvimento interno, onde credenciais foram comprometidas durante um ataque à cadeia de suprimentos. Diante disso, a atualização imediata dos sistemas é essencial para evitar possíveis explorações.

A Stryker Corporation, uma das principais empresas de tecnologia médica do mundo, anunciou que está totalmente operacional três semanas após um ciberataque que comprometeu muitos de seus sistemas. O ataque, reivindicado pelo grupo hacktivista Handala, vinculado ao Irã, ocorreu em 11 de março, quando os invasores alegaram ter roubado 50 terabytes de dados e apagado quase 80 mil dispositivos. A empresa, que possui mais de 53 mil funcionários e reportou vendas globais de 22,6 bilhões de dólares em 2024, conseguiu restaurar seus sistemas e retomar a produção em níveis pré-ataque. A Stryker destacou que a disponibilidade de produtos permanece saudável e que está trabalhando em parceria com especialistas em cibersegurança e agências governamentais para garantir a proteção do ecossistema de saúde. Embora inicialmente se acreditasse que os atacantes não usaram ferramentas maliciosas, a investigação revelou a presença de um arquivo malicioso que ajudou a ocultar as atividades dos invasores na rede da empresa. O grupo Handala, que surgiu em dezembro de 2023, é conhecido por atacar organizações israelenses e está vinculado ao Ministério da Inteligência e Segurança do Irã.

Duas vulnerabilidades críticas foram identificadas no Progress ShareFile, uma solução de transferência segura de arquivos utilizada por empresas de médio e grande porte. As falhas, CVE-2026-2699 e CVE-2026-2701, permitem a exploração em cadeia, possibilitando a exfiltração não autenticada de arquivos. A primeira vulnerabilidade, um bypass de autenticação, permite que atacantes acessem a interface administrativa do ShareFile, enquanto a segunda, uma execução remota de código, possibilita a instalação de webshells maliciosos no servidor. Pesquisadores da watchTowr descobriram que cerca de 30.000 instâncias do Storage Zone Controller estão expostas na internet, com 700 delas observadas pela ShadowServer Foundation, principalmente nos EUA e Europa. Apesar de não haver exploração ativa até o momento, a divulgação pública das falhas pode atrair atores maliciosos. A Progress lançou uma atualização de segurança em 10 de março para corrigir essas vulnerabilidades, e é crucial que as empresas afetadas realizem a atualização imediatamente para evitar possíveis ataques.

As operações de fraude têm se expandido além das técnicas tradicionais de hacking, utilizando métodos que exploram serviços legítimos e a infraestrutura do mundo real. Um tutorial compartilhado em um grupo de chat focado em fraudes fornece um guia passo a passo sobre como identificar e explorar propriedades residenciais desocupadas para interceptar correspondências sensíveis, revelando um método de baixa tecnologia, mas altamente eficaz, para facilitar o roubo de identidade e fraudes financeiras.

Pesquisadores alertam que proxies residenciais, utilizados para redirecionar tráfego malicioso, representam um grande problema para sistemas de reputação de IPs, pois não há uma distinção clara entre atacantes e usuários legítimos. Um estudo da plataforma de inteligência em cibersegurança GreyNoise analisou um conjunto de dados massivo de 4 bilhões de sessões maliciosas ao longo de três meses, revelando que cerca de 39% dessas sessões parecem originar-se de redes domésticas, muitas delas parte de proxies residenciais. A pesquisa indicou que 78% dessas sessões são invisíveis para os feeds de reputação. A maioria dos IPs residenciais é utilizada uma ou duas vezes antes de desaparecer, dificultando a catalogação por sistemas de defesa. Além disso, 89,7% dos IPs residenciais estão ativos em operações maliciosas por menos de um mês. Os pesquisadores também notaram que o tráfego de proxies residenciais é gerado por dois ecossistemas distintos: botnets de IoT e computadores infectados. A China, Índia e Brasil são os principais contribuidores para esse tráfego. A GreyNoise sugere que as táticas de evasão de proxies residenciais exigem uma mudança de foco, priorizando o comportamento em vez da reputação do IP.

O relatório “The State of Trusted Open Source” de dezembro de 2025 revelou um aumento significativo na adoção de tecnologias de código aberto, especialmente em ambientes de desenvolvimento impulsionados por inteligência artificial (IA). A análise de mais de 2.200 projetos de imagens de contêiner e 33.931 instâncias de vulnerabilidades entre dezembro de 2025 e fevereiro de 2026 destacou a popularidade crescente do Python, utilizado por 72,1% dos clientes, e do PostgreSQL, que teve um crescimento de 73% em uso. A padronização das pilhas de tecnologia está se intensificando, com mais de 50% das imagens mais populares sendo ecossistemas de linguagem. O Chainguard Base, uma imagem base minimalista, se tornou uma ferramenta essencial para desenvolvedores, permitindo personalizações seguras. Além disso, a descoberta de vulnerabilidades aumentou drasticamente, com um aumento de 145% em CVEs, refletindo a velocidade com que a IA está transformando o desenvolvimento de software e a identificação de falhas de segurança. A maioria das vulnerabilidades (96%) foi encontrada fora dos 20 projetos mais populares, indicando riscos reais no uso de tecnologias menos conhecidas.

Desde novembro de 2023, uma operação de cibersegurança chamada REF1695 tem explorado instaladores falsos para implantar trojans de acesso remoto (RATs) e mineradores de criptomoedas. Os pesquisadores da Elastic Security Labs identificaram que, além do cryptomining, os atacantes monetizam as infecções através de fraudes CPA (Custo Por Ação), redirecionando as vítimas para páginas de bloqueio de conteúdo sob a aparência de registro de software. As versões mais recentes da campanha também entregaram um implante .NET inédito, denominado CNB Bot, que utiliza um arquivo ISO como vetor de infecção. Este loader invoca o PowerShell para configurar exclusões amplas no Microsoft Defender, permitindo que o CNB Bot opere em segundo plano, enquanto o usuário é enganado por uma mensagem de erro. O CNB Bot é capaz de baixar e executar cargas adicionais, atualizar-se e realizar ações de limpeza para ocultar suas atividades. A operação já acumulou 27,88 XMR (aproximadamente R$ 9.392) em quatro carteiras rastreadas, evidenciando o retorno financeiro consistente para os atacantes. Além disso, a infraestrutura de comando e controle (C2) dos atacantes abusa do GitHub como uma rede de entrega de conteúdo, hospedando binários em contas confiáveis, o que dificulta a detecção.

O boletim semanal de cibersegurança destaca diversas ameaças emergentes e vulnerabilidades críticas que afetam sistemas e aplicativos amplamente utilizados. Entre os principais pontos, estão as falhas de segurança no Progress ShareFile, que permitem execução remota de código sem autenticação, e a propagação do malware NoVoice, que se espalha por mais de 50 aplicativos Android, explorando vulnerabilidades antigas para obter acesso root. O FBI também alertou sobre os riscos de aplicativos móveis desenvolvidos no exterior, especialmente os da China, que podem coletar dados pessoais sem autorização. Além disso, foi criada uma nova unidade no Departamento de Estado dos EUA para combater ameaças cibernéticas emergentes. O artigo enfatiza a importância de aplicar patches e monitorar sistemas, especialmente em um cenário onde um único código malicioso pode comprometer milhares de aplicativos. A relevância dessas informações é alta para empresas brasileiras, considerando a necessidade de proteção contra essas ameaças.

A Cisco lançou atualizações para corrigir uma falha de segurança crítica no Integrated Management Controller (IMC), identificada como CVE-2026-20093, que permite a um atacante remoto não autenticado contornar a autenticação e obter acesso ao sistema com privilégios elevados. A vulnerabilidade, que possui uma pontuação CVSS de 9.8, resulta de um manuseio incorreto de solicitações de alteração de senha. Um atacante pode explorar essa falha enviando uma solicitação HTTP manipulada para um dispositivo afetado, o que pode permitir a alteração de senhas de qualquer usuário, incluindo administradores.

Um novo estudo da KPMG revela que, apesar de 74% dos líderes globais planejarem manter a inteligência artificial (IA) como prioridade de investimento, muitos hesitam em dar o primeiro passo devido a preocupações com segurança de dados e privacidade. Embora 64% das organizações reconheçam que a IA está gerando valor significativo, 75% ainda carecem de um plano abrangente para gerenciar esses riscos. A pesquisa destaca que apenas 11% das empresas se qualificam como ’líderes em IA’, e que alcançar esse status é crucial, pois 82% desses líderes percebem um valor significativo em suas iniciativas de IA, em comparação com 62% dos não líderes. A KPMG enfatiza que as empresas devem ver a IA como uma transformação organizacional e não apenas como uma adição às suas operações atuais. Para isso, é essencial investir em treinamento e desenvolvimento de pessoal, além de garantir a qualidade dos dados e a governança adequada. O estudo sugere que as empresas que investem em suas equipes são quase quatro vezes mais propensas a perceber o valor da IA.

A organização sem fins lucrativos Shadowserver identificou mais de 14 mil instâncias do BIG-IP APM expostas na internet, em meio a ataques que exploram uma vulnerabilidade crítica de execução remota de código (RCE). O BIG-IP APM, uma solução da F5 para gerenciamento de acesso, foi inicialmente classificado como uma vulnerabilidade de negação de serviço (DoS) em outubro, mas foi reclassificado como RCE após novas informações surgirem em março de 2026. A F5 alertou que atacantes sem privilégios estão explorando essa falha em sistemas não corrigidos, especialmente aqueles com políticas de acesso configuradas em servidores virtuais. Apesar de uma ordem da CISA para que agências federais protegessem seus sistemas até a meia-noite de segunda-feira, mais de 14 mil instâncias permanecem vulneráveis. A F5 também forneceu indicadores de comprometimento e recomendações para verificar logs e discos em busca de atividades maliciosas, sugerindo a reconstrução dos sistemas afetados a partir de fontes confiáveis para evitar a persistência de malware. A empresa atende mais de 23 mil clientes, incluindo grandes corporações, e suas vulnerabilidades têm sido alvo de grupos de cibercrime e nações-estado nos últimos anos.

A Microsoft está investigando um problema conhecido que impede alguns usuários do Classic Outlook de enviar e-mails através do Outlook.com. Os usuários afetados recebem um aviso de que suas mensagens não chegaram a alguns destinatários, especialmente quando a conta do Outlook.com utilizada para enviar e-mails está vinculada a outro perfil do Exchange. O erro de não entrega (NDR) exibe a mensagem: ‘Esta mensagem não pôde ser enviada. Tente enviar a mensagem novamente mais tarde ou entre em contato com o administrador da rede.’ Além disso, a Microsoft identificou que uma condição que pode acionar esses erros é a presença de um contato de e-mail Exchange Online com o mesmo endereço SMTP do remetente. Enquanto a solução não é encontrada, a equipe do Outlook sugere algumas alternativas temporárias, como remover o catálogo de endereços da conta M365 e criar um novo perfil do Classic Outlook. Nos últimos dias, a Microsoft também corrigiu outros problemas conhecidos que causavam falhas no Classic Outlook e erros de sincronização com contas do Gmail e Yahoo. A empresa continua a investigar bugs que afetam a conectividade e a usabilidade do Classic Outlook e de outros aplicativos do Microsoft 365.

A Apple anunciou a ampliação da atualização de segurança iOS 18.7.7 e iPadOS 18.7.7 para uma gama mais ampla de dispositivos, visando proteger os usuários de um exploit kit recentemente revelado, conhecido como DarkSword. A atualização, que começou a ser disponibilizada em 1º de abril de 2026, é crucial para dispositivos que ainda operam em versões mais antigas do sistema. O DarkSword, que tem sido utilizado em ataques cibernéticos desde julho de 2025, é capaz de comprometer dispositivos que executam versões entre iOS 18.4 e 18.7, ativando-se quando o usuário visita um site legítimo, mas comprometido. Os ataques podem implantar backdoors e ferramentas de mineração de dados, resultando em roubo de informações. A Apple já havia alertado os usuários sobre a necessidade de atualizar para versões mais recentes, como iOS 15.8.7 e 16.7.15, para mitigar outras vulnerabilidades. A empresa também começou a enviar notificações de bloqueio de tela para dispositivos mais antigos, alertando sobre os riscos de ataques baseados na web. A situação é preocupante, pois uma nova versão do kit foi vazada, aumentando o risco de exploração por outros atores maliciosos.

O WhatsApp, plataforma de mensagens pertencente ao Meta, notificou cerca de 200 usuários que foram enganados a instalar uma versão falsa de seu aplicativo para iOS, que estava infectada com spyware. A maioria dos alvos está localizada na Itália, onde os atacantes utilizaram táticas de engenharia social para induzir os usuários a baixar o software malicioso que imitava o WhatsApp. Todos os usuários afetados foram desconectados e orientados a desinstalar os aplicativos comprometidos, além de baixar a versão oficial do WhatsApp. A empresa também está tomando medidas legais contra a Asigint, uma subsidiária italiana da empresa de spyware SIO, que supostamente criou a versão falsa do aplicativo. Este incidente segue uma série de alertas anteriores do WhatsApp sobre spyware, incluindo um caso em que 90 usuários foram notificados sobre a ameaça de um spyware chamado Graphite. A crescente utilização de ferramentas de vigilância na Itália e na Grécia levanta preocupações sobre a privacidade e a segurança dos dados dos cidadãos, especialmente em um contexto onde o uso de tecnologia de espionagem por governos está sob escrutínio.

A ExpressVPN está oferecendo um desconto inédito em seus planos, com preços a partir de apenas $2,27 por mês, o que representa a menor tarifa já registrada pela empresa. Este valor é uma oportunidade rara para acessar as novas ferramentas da ExpressVPN, como ExpressAI e MailGuard, sem o custo habitual. O plano mais vantajoso parece ser o Advanced, que custa $2,92 por mês e inclui recursos adicionais como gerenciamento de senhas, proteção contra ameaças e um gerador de alias de e-mail, além de permitir 12 conexões simultâneas. A promoção ainda inclui uma garantia de devolução do dinheiro em 30 dias, tornando a oferta ainda mais atraente. Embora a ExpressVPN seja frequentemente considerada uma opção cara, este desconto significativo pode ser uma oportunidade valiosa para aqueles que buscam segurança online. Comparando com concorrentes como NordVPN e Surfshark, a ExpressVPN se destaca em segurança e confiabilidade, mesmo que não seja a mais rápida em termos de velocidade. Com a promoção ainda ativa, é um bom momento para considerar a adesão a este serviço.

O CrystalRAT, um novo malware como serviço (MaaS), está sendo promovido no Telegram e no YouTube, oferecendo funcionalidades como acesso remoto, roubo de dados, keylogging e sequestro de área de transferência. Lançado em janeiro, o CrystalRAT apresenta um modelo de assinatura em camadas e possui semelhanças com o WebRAT, incluindo design de painel e código baseado em Go. O malware conta com um painel de controle amigável e uma ferramenta de construção automatizada que permite personalizações, como geoblocking e recursos anti-análise. Os payloads gerados são comprimidos e criptografados para proteção. O componente de roubo de informações do CrystalRAT, que está temporariamente desativado para atualização, visa navegadores baseados em Chromium e coleta dados de aplicativos de desktop como Steam e Discord. Além disso, o malware possui um módulo de acesso remoto que permite executar comandos, transferir arquivos e controlar a máquina em tempo real. O CrystalRAT também inclui funcionalidades de prankware, como alterar a imagem de fundo da área de trabalho e forçar o desligamento do sistema, o que pode distrair as vítimas enquanto os módulos de roubo de dados operam em segundo plano. Para mitigar o risco de infecções, recomenda-se cautela ao interagir com conteúdos online e evitar downloads de fontes não confiáveis.

O aplicativo de relacionamento OkCupid está no centro de uma controvérsia após ser acusado de compartilhar aproximadamente 3 milhões de fotos de usuários com a empresa de reconhecimento facial Clarifai, sem o consentimento dos usuários. A Comissão Federal de Comércio dos EUA (FTC) revelou que, além das fotos, o OkCupid também forneceu dados de localização e outras informações pessoais. O Match Group, que opera o OkCupid, não negou nem confirmou as alegações, mas concordou em uma proibição permanente sobre a manipulação da forma como os dados dos usuários são utilizados. Essa situação levanta preocupações sobre a transparência e a privacidade dos dados, especialmente considerando que a Clarifai fornece tecnologia de reconhecimento facial para setores militares e governamentais. A FTC criticou o OkCupid por violar sua própria política de privacidade, que proíbe o compartilhamento de dados sem aviso prévio e a oportunidade de optar por não compartilhar. A investigação da FTC sugere que o OkCupid tem ocultado essas práticas desde 2014, o que agrava a situação em termos de conformidade e confiança do usuário.

Uma pesquisa realizada por acadêmicos da Universidade de Stanford, UC Davis e TU Delft revelou que cerca de 1.748 credenciais de API sensíveis estão expostas em aproximadamente 10.000 páginas da web, após a análise de 10 milhões de sites. Essas credenciais, que incluem chaves de acesso a plataformas de nuvem e serviços de pagamento, foram encontradas em códigos de sites públicos, destacando uma falha significativa na segurança. A maioria das chaves expostas estava em arquivos JavaScript, com 84% das credenciais identificadas nesse formato. O estudo sugere que a falta de controles rigorosos durante o desenvolvimento de software é uma das principais causas dessa exposição. Além disso, as credenciais podem permitir acesso direto a bancos de dados e sistemas críticos, aumentando o risco de manipulação de software e acesso não autorizado a dados sensíveis. Os pesquisadores alertam que a quantidade de credenciais expostas pode ser ainda maior do que a identificada, uma vez que a verificação foi limitada a um conjunto específico de provedores de serviços. Após a divulgação do problema, a quantidade de chaves expostas caiu pela metade em duas semanas, indicando a necessidade urgente de monitoramento e revisão de processos de segurança por parte dos desenvolvedores.

O grupo de ransomware Payouts King reivindicou a responsabilidade por um ataque cibernético à UFP Technologies, ocorrido em fevereiro de 2026. A UFP, uma fabricante americana de dispositivos médicos, revelou o incidente em um comunicado à Comissão de Valores Mobiliários dos EUA, informando que um terceiro não autorizado acessou seus sistemas, resultando no roubo de arquivos e na interrupção de processos de faturamento e rotulagem. O grupo afirma ter roubado 620 GB de dados da empresa e listou a UFP em seu site de vazamento de dados. Até o momento, a UFP não confirmou a alegação do grupo, e detalhes sobre a natureza dos dados comprometidos, a forma como o ataque foi realizado, se um resgate foi pago ou o valor exigido permanecem desconhecidos. O Payouts King, que atua de forma independente e não como um serviço de ransomware, já reivindicou 56 ataques, com 12 confirmados por organizações-alvo. O grupo tem como foco fabricantes e empresas do setor de saúde, que lidam com grandes volumes de dados pessoais, tornando-se alvos atraentes para hackers. O impacto de tais ataques pode ser devastador, comprometendo a segurança e a privacidade de pacientes e clientes.

Um novo malware para Android, chamado NoVoice, foi descoberto na Google Play, oculto em mais de 50 aplicativos que foram baixados mais de 2,3 milhões de vezes. Os aplicativos infectados incluíam ferramentas de limpeza, galerias de imagens e jogos, e não exigiam permissões suspeitas. Após o lançamento de um aplicativo infectado, o malware tentava obter acesso root ao dispositivo explorando vulnerabilidades antigas do Android que foram corrigidas entre 2016 e 2021. Pesquisadores da McAfee identificaram a operação NoVoice, que compartilha semelhanças com o trojan Android Triada. O malware oculta componentes maliciosos em pacotes legítimos do Facebook e utiliza esteganografia para extrair um payload criptografado. Ele evita infectar dispositivos em regiões específicas, como Beijing e Shenzhen, e realiza verificações para detectar emuladores e VPNs. Após a infecção, o malware coleta informações do dispositivo e se conecta a um servidor de comando e controle (C2) para baixar componentes adicionais. O NoVoice é capaz de roubar dados do WhatsApp, permitindo que atacantes clonar sessões de usuários. Embora os aplicativos maliciosos tenham sido removidos da Google Play, usuários que os instalaram devem considerar seus dispositivos comprometidos. Atualizar para dispositivos com patches de segurança mais recentes é recomendado para mitigar essa ameaça.

Um novo kit malicioso chamado EvilTokens foi identificado, integrando capacidades de phishing por código de dispositivo, permitindo que atacantes sequestrassem contas da Microsoft e realizassem ataques avançados de comprometimento de e-mail corporativo (BEC). Vendido a cibercriminosos via Telegram, o kit está em constante desenvolvimento, com planos de suporte para páginas de phishing do Gmail e Okta. Os ataques de phishing por código de dispositivo abusam do fluxo de autorização de dispositivo do OAuth 2.0, onde os atacantes enganam a vítima para autorizar um dispositivo malicioso. Pesquisadores da Sekoia observaram que as vítimas recebiam e-mails com documentos que continham QR codes ou links para templates de phishing do EvilTokens, disfarçados como conteúdo empresarial legítimo. Ao clicar, a vítima é redirecionada para uma página de phishing que imita serviços confiáveis, levando à autenticação em uma URL legítima da Microsoft. Isso permite que os atacantes obtenham tokens de acesso e refresh, garantindo acesso imediato aos serviços da conta da vítima. As campanhas têm um alcance global, com os Estados Unidos, Canadá e França entre os países mais afetados. O kit também oferece recursos avançados para automatizar ataques BEC, indicando que já está sendo utilizado em larga escala por atores de ameaças.

Hackers têm atacado servidores de conferência TrueConf, explorando uma vulnerabilidade zero-day identificada como CVE-2026-3502, que permite a execução de arquivos arbitrários em todos os pontos finais conectados. A falha, classificada como de severidade média, resulta de uma verificação de integridade ausente no mecanismo de atualização do software, possibilitando que um invasor substitua uma atualização legítima por uma variante maliciosa. O TrueConf, utilizado por mais de 100 mil organizações, incluindo forças armadas e agências governamentais, é uma plataforma de videoconferência que pode ser hospedada localmente ou na nuvem. A campanha de ataques, denominada TrueChaos, tem como alvo entidades governamentais no Sudeste Asiático e é atribuída a um ator de ameaça com vínculos chineses. Os pesquisadores da CheckPoint identificaram que, ao obter controle do servidor TrueConf, um atacante pode distribuir arquivos maliciosos disfarçados de atualizações legítimas. A vulnerabilidade afeta as versões 8.1.0 a 8.5.2, e um patch foi disponibilizado na versão 8.5.3 em março de 2026. Os sinais de comprometimento incluem a presença de arquivos suspeitos e tráfego de rede associado a uma infraestrutura de comando e controle chamada Havoc.

A Apple anunciou a disponibilização da atualização iOS 18.7.7 para um número maior de dispositivos, visando proteger contra o kit de exploração DarkSword, que tem sido ativamente utilizado em ataques cibernéticos. A atualização foi liberada em 1º de abril de 2026, permitindo que usuários com a função de Atualizações Automáticas ativada recebam as correções de segurança necessárias. O kit DarkSword, que explora seis vulnerabilidades identificadas como CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 e CVE-2025-43520, foi revelado por pesquisadores em março de 2026 e tem sido utilizado em campanhas de espionagem e roubo de informações. Embora a Apple tenha interrompido as atualizações do iOS 18 para dispositivos mais novos em 2025, a nova atualização agora inclui uma gama mais ampla de modelos, como iPhone 11, 12, 13, 14 e 15, além de diversos modelos de iPad. A liberação do kit DarkSword no GitHub por um pesquisador também aumentou a preocupação, pois facilita o acesso a outros cibercriminosos. Portanto, é crucial que os usuários de iPhones que ainda operam com iOS 18 atualizem seus dispositivos para garantir a proteção contra essas ameaças.

O Computer Emergency Response Team da Ucrânia (CERT-UA) revelou uma nova campanha de phishing em que os atacantes se passaram pela própria agência para disseminar uma ferramenta de administração remota chamada AGEWHEEZE. Nos dias 26 e 27 de março de 2026, e-mails foram enviados a diversas organizações, incluindo instituições estatais e financeiras, com um arquivo ZIP protegido por senha, que supostamente continha um ‘software especializado’. O arquivo, intitulado ‘CERT_UA_protection_tool.zip’, na verdade, baixa um trojan de acesso remoto. O malware, desenvolvido em Go, se comunica com um servidor externo e permite uma série de operações maliciosas, como captura de tela e controle de processos. Embora a campanha tenha visado 1 milhão de caixas de entrada, o CERT-UA relatou que o impacto foi limitado, com poucos dispositivos infectados. A análise do site falso sugere que foi criado com ferramentas de inteligência artificial, e o grupo responsável, denominado Cyber Serp, afirma que não visa prejudicar cidadãos ucranianos. A situação destaca a crescente sofisticação das ameaças cibernéticas e a necessidade de vigilância contínua.

A clonagem de voz por meio da inteligência artificial (IA) está se tornando uma tática alarmante entre criminosos digitais, permitindo que eles imitem vozes humanas de forma convincente em questão de segundos. Um estudo da McAfee revelou que 25% dos adultos já foram vítimas ou conhecem alguém que sofreu esse tipo de golpe. As perdas financeiras decorrentes dessas fraudes podem alcançar até US$ 40 bilhões até 2027, segundo a Deloitte. Os hackers utilizam ferramentas de IA acessíveis para replicar timbres, sotaques e emoções, tornando os golpes mais persuasivos. Os sinais de alerta incluem ligações de números desconhecidos, pedidos urgentes de dinheiro e vozes que soam artificiais. Para se proteger, é recomendável criar palavras de segurança com pessoas próximas e desconfiar de contatos que solicitam dinheiro de forma apressada.

O Spotify, junto com as gravadoras Universal Music Group, Sony Music Entertainment e Warner Music Group, está processando o site Anna’s Archive por um total de US$ 322 milhões. O processo é resultado do vazamento de 86 milhões de músicas do catálogo do Spotify, que foram disponibilizadas para download ilegal através de protocolos torrent. As empresas alegam que o Anna’s Archive ignorou uma liminar que proibia o compartilhamento das faixas. Embora o site tenha removido algumas músicas após a pressão legal, a ausência de representantes do Anna’s Archive na audiência judicial levou as gravadoras a solicitar uma indenização por revelia. O pedido inclui US$ 150 mil por cerca de 50 músicas copiadas e uma ação adicional do Spotify por violação da Digital Millennium Copyright Act (DMCA), que busca US$ 2.500 por cada uma das 120 mil faixas clonadas. O caso destaca a crescente preocupação da indústria musical com a pirataria digital e a proteção dos direitos autorais na era do streaming.

A Gigabyte, fabricante de hardware, divulgou um alerta sobre uma vulnerabilidade crítica no seu software GIGABYTE Control Center, que afeta versões anteriores à 25.12.10.01. Essa falha, identificada como CVE-2026-4415, permite que atacantes remotos não autenticados escrevam arquivos arbitrários no sistema operacional, executem códigos maliciosos e escalem privilégios, podendo causar negação de serviço. A vulnerabilidade está relacionada à funcionalidade de ‘pairing’, que facilita a comunicação do software com outros dispositivos na rede. O National Vulnerability Database classificou a gravidade da falha com uma pontuação de 9.2/10, indicando um risco elevado. A Gigabyte recomenda que todos os usuários atualizem imediatamente para a versão corrigida do software para proteger seus sistemas. A falha foi inicialmente divulgada pelo Computer Emergency Response Team de Taiwan, que reconheceu o pesquisador David Sprüngli pela descoberta. A atualização inclui melhorias na gestão de caminhos de download, processamento de mensagens e criptografia de comandos, fechando a brecha de segurança.

O FBI emitiu um alerta aos cidadãos americanos sobre os riscos de privacidade e segurança de dados associados a aplicativos móveis desenvolvidos por empresas estrangeiras, especialmente as chinesas. Em um comunicado divulgado pelo seu Centro de Queixas de Crimes na Internet (IC3), o FBI destacou que muitos dos aplicativos mais baixados nos EUA são mantidos por empresas estrangeiras, que estão sujeitas às rigorosas leis de segurança nacional da China. Isso pode permitir que o governo chinês acesse dados dos usuários. O alerta menciona que alguns aplicativos coletam dados continuamente, mesmo quando não estão em uso, e que as permissões padrão podem incluir informações sensíveis, como contatos e endereços. Para proteger seus dados, o FBI recomenda desativar o compartilhamento de dados desnecessários, atualizar regularmente o software dos dispositivos e baixar aplicativos apenas de lojas oficiais. Além disso, sugere o uso de gerenciadores de senhas para criar senhas fortes, em vez de alterá-las frequentemente, o que pode levar a escolhas mais fracas. O FBI também pediu que os usuários relatem qualquer atividade suspeita após a instalação de aplicativos estrangeiros. Este alerta surge após a transferência do controle operacional do TikTok para uma joint venture majoritariamente americana, em resposta a preocupações de segurança nacional.

O relatório anual de ameaças de 2026 da Blackpoint Cyber revela uma mudança significativa no comportamento de atacantes, que agora utilizam credenciais válidas e ferramentas legítimas para realizar intrusões em organizações. O estudo, baseado em milhares de investigações de segurança, destaca que 32,8% dos incidentes analisados envolveram abuso de VPN SSL, onde os atacantes se autenticaram com credenciais comprometidas, permitindo acesso a redes internas sem acionar alarmes. Além disso, 30,3% dos casos envolveram o uso indevido de ferramentas de Monitoramento e Gerenciamento Remoto (RMM), como o ScreenConnect, que se misturaram com atividades normais de TI. O relatório também aponta que campanhas de engenharia social, como as que utilizam CAPTCHAs falsos, foram responsáveis por 57,5% dos incidentes, mostrando que a interação do usuário é um fator crítico. Apesar da implementação de autenticação multifator (MFA) em muitos ambientes de nuvem, ataques de phishing ainda resultaram em compromissos de contas, com 16% dos casos documentados. O relatório sugere que as equipes de segurança tratem o acesso remoto como uma atividade de alto risco e mantenham um inventário rigoroso das ferramentas de RMM utilizadas.

Na última quinta-feira, o Google lançou atualizações de segurança para o navegador Chrome, abordando 21 vulnerabilidades, entre elas uma falha zero-day que já está sendo explorada ativamente. A vulnerabilidade de alta severidade, identificada como CVE-2026-5281, refere-se a um erro do tipo use-after-free na implementação do padrão WebGPU chamada Dawn. Esse tipo de falha permite que um atacante remoto, que tenha comprometido o processo de renderização, execute código arbitrário através de uma página HTML manipulada. O Google não forneceu detalhes sobre como a falha está sendo explorada ou quem está por trás dos ataques, visando proteger a maioria dos usuários até que as atualizações sejam aplicadas. Desde o início do ano, a empresa já corrigiu quatro zero-days no Chrome, reforçando a importância de manter o navegador atualizado. Para garantir a proteção ideal, os usuários devem atualizar para as versões 146.0.7680.177/178 no Windows e macOS, e 146.0.7680.177 no Linux. Além disso, usuários de navegadores baseados em Chromium, como Microsoft Edge e Brave, também são aconselhados a aplicar as correções assim que disponíveis.

Uma nova campanha de phishing está atacando usuários de língua espanhola em organizações na América Latina e na Europa, visando a entrega de trojans bancários do Windows, como o Casbaneiro, através de um malware chamado Horabot. A atividade foi atribuída a um grupo de cibercrime brasileiro conhecido como Augmented Marauder e Water Saci, que foi documentado pela Trend Micro em outubro de 2025.

Os ataques começam com e-mails de phishing que usam mensagens de convocação judicial para enganar os destinatários a abrir um anexo PDF protegido por senha. Ao clicar em um link embutido no documento, a vítima é redirecionada para um link malicioso que inicia o download automático de um arquivo ZIP, levando à execução de scripts VBS que realizam verificações de ambiente e anti-análise. Esses scripts, então, baixam cargas úteis adicionais que incluem loaders baseados em AutoIt, que extraem e executam arquivos criptografados.

A Microsoft alertou sobre uma nova campanha de cibersegurança que utiliza mensagens do WhatsApp para disseminar arquivos maliciosos em formato de Visual Basic Script (VBS). Iniciada no final de fevereiro de 2026, essa atividade emprega uma cadeia de infecção em múltiplas etapas, visando estabelecer persistência e permitir acesso remoto aos sistemas das vítimas. Os atacantes distribuem arquivos VBS que, ao serem executados, criam pastas ocultas e instalam versões renomeadas de utilitários legítimos do Windows, como ‘curl.exe’ e ‘bitsadmin.exe’, camuflando suas ações. Após obter acesso inicial, os invasores tentam escalar privilégios e instalar pacotes MSI maliciosos, utilizando serviços de nuvem confiáveis como AWS e Tencent Cloud para hospedar os arquivos maliciosos. A campanha combina engenharia social e técnicas de stealth, tornando-se uma ameaça significativa, pois permite que os atacantes manipulem configurações de controle de conta de usuário (UAC) e mantenham controle sobre os sistemas comprometidos. A utilização de ferramentas legítimas e plataformas confiáveis aumenta a eficácia dos ataques, destacando a necessidade de vigilância constante e medidas de proteção adequadas.

Em março de 2026, os ataques de ransomware atingiram um pico alarmante, totalizando 780 incidentes, um aumento de 13% em relação a fevereiro. O setor de utilidades foi o mais afetado, com um aumento de 630% nos ataques, destacando a vulnerabilidade da infraestrutura crítica. Os Estados Unidos foram o país mais visado, com 375 ataques, seguidos por França e Alemanha. Entre os ataques confirmados, 33 foram direcionados a empresas, 10 a entidades governamentais e 6 a instituições de saúde. Os grupos de ransomware mais ativos foram Qilin, Akira e The Gentlemen, com Qilin liderando com 140 ataques. Um total de 242 TB de dados foi roubado, evidenciando a gravidade da situação. O aumento significativo nos ataques a entidades governamentais e educacionais também é preocupante, refletindo uma tendência crescente de ataques a setores críticos. A situação exige atenção imediata das organizações para fortalecer suas defesas contra essas ameaças.

O Google anunciou que a funcionalidade de detecção de ransomware no Google Drive, impulsionada por inteligência artificial, está agora disponível para todos os usuários pagantes. Lançada inicialmente em versão beta em outubro de 2025, essa ferramenta pausa a sincronização de arquivos assim que um ataque de ransomware é detectado, alertando usuários e administradores de TI sobre a violação. Embora os arquivos no computador comprometido possam ser criptografados, os documentos armazenados no Google Drive permanecem protegidos e podem ser rapidamente restaurados após a resolução da infecção. O Google afirma que a nova versão do modelo de IA é capaz de detectar 14 vezes mais infecções em comparação com a versão beta, oferecendo uma proteção mais abrangente. A funcionalidade está ativada por padrão para todos os usuários de organizações com licenças de negócios, educação e empresas, enquanto a ferramenta de restauração de arquivos está disponível para todos os clientes do Google Workspace. Administradores têm a opção de desativar essa funcionalidade, se desejarem. A detecção de ransomware é uma resposta a um cenário crescente de ataques cibernéticos, refletindo a necessidade de soluções robustas de segurança em ambientes de armazenamento em nuvem.

O Google lançou atualizações de emergência para corrigir uma vulnerabilidade zero-day no Chrome, identificada como CVE-2026-5281, que está sendo explorada ativamente em ataques. Esta é a quarta falha de segurança desse tipo corrigida desde o início do ano. A vulnerabilidade é originada de uma fraqueza do tipo use-after-free no Dawn, a implementação multiplataforma do padrão WebGPU utilizada pelo projeto Chromium. Os atacantes podem explorar essa falha para causar travamentos no navegador, corrupção de dados e outros comportamentos anormais. O Google confirmou que há evidências de que essa vulnerabilidade está sendo utilizada em ataques, mas não divulgou detalhes específicos sobre os incidentes. A correção já está disponível para usuários do canal Estável do Chrome em versões para Windows, macOS e Linux. Embora a atualização possa levar dias ou semanas para alcançar todos os usuários, ela já estava acessível no momento da verificação. Este incidente ressalta a importância de manter os navegadores atualizados para evitar riscos de segurança.

A Anthropic confirmou que um erro humano resultou na liberação acidental do código interno de seu assistente de codificação, Claude Code. Embora não tenha havido exposição de dados sensíveis de clientes, a falha permitiu que o código-fonte, que inclui quase 2.000 arquivos TypeScript e mais de 512.000 linhas de código, fosse acessado publicamente. O vazamento foi identificado após o lançamento da versão 2.1.88 do pacote npm do Claude Code, que continha um arquivo de mapa de origem. O pesquisador de segurança Chaofan Shou foi o primeiro a alertar sobre o incidente, que rapidamente ganhou atenção nas redes sociais. O código vazado fornece informações valiosas sobre a arquitetura de memória do modelo e suas funcionalidades, como um sistema de ferramentas para execução de comandos e um modo de operação em segundo plano chamado KAIROS. Além disso, o incidente expôs riscos adicionais, como a possibilidade de ataques de typosquatting em pacotes npm relacionados. A Anthropic já está implementando medidas para evitar que erros semelhantes ocorram no futuro, mas o incidente destaca a vulnerabilidade de sistemas de IA a ataques e exploração de suas falhas.

O Google atribuiu formalmente a violação da cadeia de suprimentos do popular pacote Axios npm a um grupo de ameaças da Coreia do Norte, identificado como UNC1069. Este ataque, que visa roubar criptomoedas, ocorreu quando os invasores assumiram o controle da conta do mantenedor do pacote, permitindo a distribuição de versões trojanizadas que introduziram uma dependência maliciosa chamada ‘plain-crypto-js’. Essa dependência é utilizada para implantar um backdoor multiplataforma que afeta sistemas Windows, macOS e Linux. O ataque se destaca pela sua sofisticação, utilizando um hook de pós-instalação no arquivo ‘package.json’ para executar código malicioso de forma discreta. O backdoor, denominado WAVESHAPER.V2, é uma versão atualizada de um malware anterior e suporta comandos para executar scripts e coletar informações do sistema. Para mitigar os riscos, os usuários são aconselhados a auditar suas dependências, bloquear domínios de comando e controle e isolar sistemas afetados. Este incidente ressalta a necessidade de uma vigilância contínua sobre as dependências de software, especialmente em ambientes de desenvolvimento.

O GIGABYTE Control Center (GCC), uma ferramenta essencial para gerenciamento de hardware em laptops e placas-mãe da GIGABYTE, apresenta uma vulnerabilidade crítica que permite a um atacante remoto e não autenticado escrever arquivos arbitrários no sistema operacional subjacente. Essa falha, identificada como CVE-2026-4415, foi descoberta pelo pesquisador de segurança David Sprüngli e possui uma classificação de severidade de 9.2 em 10, segundo o sistema CVSS v4.0. A vulnerabilidade afeta versões do GCC até 25.07.21.01, especialmente quando a função de “pareamento” está ativada. A exploração bem-sucedida dessa falha pode resultar em execução de código arbitrário, escalonamento de privilégios e até mesmo condições de negação de serviço. A GIGABYTE recomenda que todos os usuários atualizem para a versão mais recente do GCC, 25.12.10.01, que corrige essa e outras falhas. É crucial que os usuários baixem a atualização diretamente do portal oficial da GIGABYTE para evitar instaladores comprometidos. A falta de resposta da GIGABYTE sobre a vulnerabilidade levanta preocupações adicionais sobre a gestão de segurança da empresa.

A Proton anunciou o lançamento do Proton Meet, um serviço de videoconferência que prioriza a privacidade, oferecendo uma alternativa às plataformas tradicionais como Google Meet, Zoom e Microsoft Teams. O Proton Meet garante chamadas com criptografia de ponta a ponta (E2EE), assegurando a confidencialidade das conversas. O serviço é gratuito para reuniões de até uma hora e 50 participantes, com um plano ‘pro’ disponível a partir de $7,99 por mês para chamadas mais longas.

O Google anunciou uma nova funcionalidade que permite aos usuários nos Estados Unidos alterar seu endereço de e-mail @gmail.com ou criar um novo alias. Essa opção, que foi identificada pela primeira vez em outubro de 2025, estava inicialmente indisponível para usuários americanos, mas agora já pode ser acessada. Antes, o Google permitia apenas a alteração de aliases, mas não do endereço principal. A mudança é feita nas configurações da conta do Google, onde o usuário pode escolher um novo nome de usuário, desde que este seja único. Após a alteração, o novo endereço será refletido em todos os serviços do Google, como Gmail, Google Drive e Google Photos. O Google garantiu que o endereço antigo não será excluído e permanecerá vinculado à conta atual. Embora a funcionalidade esteja disponível nos EUA, não há confirmação se ela será lançada em outras regiões. Essa mudança pode impactar a forma como os usuários gerenciam suas identidades digitais e a segurança de suas contas, especialmente em um cenário onde a proteção de dados é cada vez mais relevante.

A Anthropic, empresa de inteligência artificial, confirmou um vazamento acidental do código-fonte do Claude Code, uma ferramenta de programação que até então era de código fechado. O incidente ocorreu quando a versão 2.1.88 foi publicada brevemente no NPM, incluindo um arquivo de mapeamento de código fonte (cli.js.map) de 60 MB, que continha aproximadamente 1.900 arquivos e 500.000 linhas de código. Apesar do vazamento, a empresa assegurou que não houve exposição de dados pessoais ou credenciais de clientes, atribuindo o erro a uma falha humana e não a uma violação de segurança. O código vazado revelou novas funcionalidades, como um modo proativo que permite ao Claude programar continuamente e um modo ‘Dream’ que desenvolve ideias enquanto o usuário está ausente. Além disso, a Anthropic está enfrentando críticas de usuários que relataram limites de uso reduzidos, o que a empresa está investigando. O vazamento do código já gerou interesse entre desenvolvedores, que começaram a analisar as novas funcionalidades disponíveis no código exposto. A Anthropic está tomando medidas para remover o código vazado de plataformas como o GitHub, enviando notificações de infração de direitos autorais (DMCA).

A Microsoft lançou uma atualização emergencial (KB5086672) para corrigir problemas de instalação da atualização opcional KB5079391, que foi retirada devido a erros reportados por usuários do Windows 11. A nova atualização, disponibilizada em 31 de março de 2026, abrange as versões 24H2 e 25H2 do sistema operacional e inclui melhorias de segurança e funcionalidades, além de resolver o erro 0x80073712, que indicava que alguns arquivos de atualização estavam faltando ou apresentavam problemas. A empresa também havia interrompido a distribuição da atualização anterior após a confirmação dos problemas. Além disso, a Microsoft já havia lançado outra atualização emergencial para resolver falhas que afetavam o login em contas Microsoft em diversos aplicativos, como Teams e OneDrive. A situação destaca a importância de manter os sistemas atualizados e a necessidade de intervenções rápidas para garantir a segurança e a funcionalidade dos serviços oferecidos pela Microsoft.

O FBI confirmou que a conta de e-mail pessoal de seu diretor, Kash Patel, foi comprometida por hackers do grupo Handala, associado ao Irã. A violação ocorreu em meio a um contexto de tensões entre os Estados Unidos e o Irã, com os hackers alegando ter acessado ‘sistemas impenetráveis’ da agência em poucas horas. Embora dados tenham sido roubados, o FBI assegurou que nenhuma informação confidencial do governo foi exposta. Entre os materiais vazados estão imagens e documentos pessoais de Patel, além de e-mails e conversas. A ação foi uma retaliação às operações do FBI, que apreendeu domínios do grupo e ofereceu uma recompensa de até US$ 10 milhões por informações sobre seus membros. O FBI declarou que tomou medidas para mitigar os riscos associados à violação e continua a investigar o incidente.

A inteligência artificial (IA) está passando por uma transformação significativa nas empresas, movendo-se de chatbots simples para agentes de IA que podem raciocinar, planejar e executar ações de forma autônoma. Essa mudança traz novos desafios de segurança, especialmente para os Chief Information Security Officers (CISOs), que agora precisam entender os tipos de agentes de IA presentes em suas organizações e os riscos associados a eles. Os agentes de IA se dividem em três categorias: chatbots agenticos, agentes locais e agentes de produção, cada um com diferentes capacidades operacionais e perfis de risco. O risco real de um agente depende do acesso que ele tem a sistemas e dados, bem como do nível de autonomia que possui. Agentes com acesso limitado e supervisão humana apresentam riscos menores, enquanto aqueles com acesso a serviços críticos e alta autonomia representam preocupações significativas. Para mitigar esses riscos, é essencial que as empresas implementem uma governança robusta de identidades e gerenciamento de credenciais. A segurança da identidade se torna, assim, um ponto central na proteção contra ameaças emergentes trazidas por esses novos agentes de IA.

A Cisco foi alvo de um ataque cibernético que resultou no roubo de código-fonte de seus produtos e de clientes, após a exploração de credenciais roubadas em um ataque à cadeia de suprimentos do Trivy. Os atacantes utilizaram um plugin malicioso do GitHub Action, comprometendo o ambiente de desenvolvimento interno da empresa. A violação afetou diversas estações de trabalho e sistemas de desenvolvimento, levando à clonagem de mais de 300 repositórios do GitHub, incluindo códigos de produtos de inteligência artificial. Embora a Cisco tenha contido a violação e isolado os sistemas afetados, a empresa está se preparando para as consequências de ataques subsequentes relacionados ao LiteLLM e Checkmarx. Além disso, chaves da AWS foram roubadas e utilizadas para atividades não autorizadas em algumas contas da Cisco. O ataque está vinculado ao grupo de ameaças TeamPCP, que já havia realizado ataques semelhantes em plataformas de desenvolvimento de código. A Cisco ainda não respondeu a solicitações de comentários sobre o incidente.