Pesquisadores de segurança relataram que múltiplos pacotes npm oficiais da SAP foram comprometidos em um ataque à cadeia de suprimentos, atribuído ao grupo TeamPCP. Os pacotes afetados incluem @cap-js/sqlite, @cap-js/postgres, @cap-js/db-service e mbt, que são utilizados no desenvolvimento de aplicações na nuvem. A modificação maliciosa incluiu um script ‘preinstall’ que, ao ser executado, baixava um runtime JavaScript e executava um payload ofuscado para roubar credenciais e tokens de autenticação de sistemas de desenvolvedores. O malware visava informações sensíveis, como tokens do npm e GitHub, chaves SSH, credenciais de nuvem e segredos de pipelines CI/CD. Além disso, o malware tentava extrair segredos diretamente da memória dos runners de CI, burlando medidas de segurança. Os dados coletados eram criptografados e enviados para repositórios públicos do GitHub, com descrições que remetiam a ataques anteriores. A origem da violação ainda é desconhecida, mas há indícios de que um token npm pode ter sido exposto devido a uma configuração inadequada em um job do CircleCI. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante em ambientes de desenvolvimento.

Um novo ataque cibernético tem explorado uma vulnerabilidade crítica no sistema de gerenciamento de conteúdo DotNetNuke (DNN), afetando mais de 750 mil sites globalmente. A falha, identificada como CVE-2026-40321, permite que hackers façam upload de arquivos SVG maliciosos que contêm código JavaScript. Quando um usuário administrador clica nesse arquivo, o código é executado, possibilitando que o invasor escreva um backdoor diretamente no servidor. O ataque se aproveita de uma vulnerabilidade de cross-site scripting (XSS), que não é bloqueada pelos filtros de conteúdo do DNN. Uma vez que o backdoor é instalado, o atacante pode executar comandos, roubar dados ou desativar ferramentas de segurança. A gravidade da situação é acentuada pelo fato de que a defesa tradicional, como antivírus e firewalls, pode não detectar ou bloquear esse tipo de ataque, uma vez que ele utiliza tráfego HTTP legítimo. Embora exista um patch disponível, é crucial que os administradores revisem suas políticas de registro de usuários e considerem desabilitar uploads de arquivos desnecessários para mitigar riscos futuros.

A polícia da Ucrânia prendeu três indivíduos envolvidos em um esquema de hacking que comprometeu mais de 610 mil contas do jogo Roblox, resultando em um lucro de aproximadamente 225 mil dólares. As prisões ocorreram em Lviv, após a realização de dez buscas em locais relacionados aos suspeitos, onde foram apreendidos 35 mil dólares em dinheiro, 37 celulares, 11 computadores de mesa, sete laptops, cinco tablets e quatro pen drives. Embora a polícia não tenha especificado a plataforma de jogo inicialmente, o Escritório do Procurador Geral confirmou que as contas afetadas pertenciam ao Roblox. Os hackers, com idades entre 19 e 22 anos, utilizavam malware disfarçado de ferramenta de aprimoramento de jogos para roubar credenciais de login dos usuários. As contas roubadas eram categorizadas por valor e vendidas em um site russo e em comunidades online fechadas. Os acusados enfrentam penas de até 15 anos de prisão por roubo e interferência não autorizada em sistemas de TI. A investigação continua para identificar outros possíveis cúmplices e vítimas.

Pesquisadores da Snyk alertaram sobre a exploração de duas vulnerabilidades de bypass de autenticação na ferramenta de agendamento de tarefas de código aberto Qinglong. A exploração começou em fevereiro, antes da divulgação pública das falhas, afetando versões 2.20.1 e anteriores. As vulnerabilidades, identificadas como CVE-2026-3965 e CVE-2026-4047, permitem que atacantes contornem a autenticação e executem código remotamente. A primeira falha expõe endpoints administrativos protegidos através de uma regra de reescrita mal configurada, enquanto a segunda permite que caminhos de URL sejam tratados de forma insensível a maiúsculas e minúsculas, possibilitando o acesso não autorizado. Desde 7 de fevereiro, os atacantes têm implantado criptomineradores em servidores expostos, utilizando um processo oculto chamado ‘.fullgc’ para evitar detecções. A Snyk observou que a resposta dos mantenedores do Qinglong foi lenta, com um patch efetivo só sendo disponibilizado em 1º de março. A situação destaca a importância de manter sistemas atualizados e monitorar atividades suspeitas em ambientes de desenvolvimento.

O plugin Quick Page/Post Redirect, utilizado em mais de 70.000 sites WordPress, foi comprometido por um backdoor que permite a injeção de código arbitrário. A vulnerabilidade foi descoberta por Austin Ginder, fundador da provedora de hospedagem WordPress Anchor, após alertas de segurança em 12 sites infectados. O plugin, que serve para criar redirecionamentos, teve versões oficiais (5.2.1 e 5.2.2) que incluíam um mecanismo de autoatualização oculto, apontando para um domínio de terceiros, anadnet[.]com. Embora esse mecanismo tenha sido removido em versões subsequentes, sites que ainda utilizam as versões afetadas receberam silenciosamente uma versão adulterada (5.2.3) que introduziu um backdoor passivo. Esse backdoor é ativado apenas para usuários não logados, dificultando a detecção por administradores. O verdadeiro risco reside na capacidade de execução de código arbitrário, que permanece latente, pois o subdomínio malicioso não está resolvendo atualmente, mas ainda está ativo. A recomendação para os usuários afetados é desinstalar o plugin e aguardar uma versão limpa (5.2.4) do WordPress.org. Ginder também fez um apelo para que os responsáveis pelo backdoor publiquem um manifesto de atualização que force a remoção do código malicioso.

O grupo hacker ShinyHunters anunciou o vazamento de dados de mais de 1,4 milhão de usuários da plataforma de ensino digital Udemy. O incidente ocorreu após a empresa se recusar a negociar com os cibercriminosos, que haviam encontrado uma vulnerabilidade na plataforma. Os dados vazados incluem informações pessoais como nomes, endereços, números de telefone e detalhes de pagamento. Aproximadamente 56% dos e-mails vazados já haviam sido expostos em incidentes anteriores. Com cerca de 77 milhões de usuários cadastrados, o vazamento representa um risco significativo de fraudes e ataques direcionados, como spear-phishing. O ShinyHunters é conhecido por invadir diversas organizações, e a Udemy, que recentemente se uniu à Coursera, agora enfrenta sérias consequências em termos de segurança e reputação. O site Have I Been Pwned (HIBP) já adicionou os e-mails vazados ao seu catálogo, alertando os usuários sobre a exposição de seus dados.

No primeiro trimestre de 2026, foram registrados 120 ataques de ransomware em hospitais e provedores de saúde, além de 81 ataques a empresas do setor, como fabricantes de dispositivos médicos e provedores de tecnologia. Embora os ataques a provedores de saúde tenham diminuído em 15% em relação ao trimestre anterior, os ataques a empresas de saúde aumentaram 35%, refletindo a lucratividade contínua para os hackers. Um ataque significativo ocorreu no University of Mississippi Medical Center, que resultou na paralisação de clínicas por um mês. Dados sensíveis de 131.700 pessoas foram comprometidos em um ataque ao Nippon Medical School Musashi Kosugi Hospital no Japão, e 92.000 pessoas foram notificadas sobre um ataque ao Hospital Caribbean Medical Center em Porto Rico. Os grupos de ransomware mais ativos foram Qilin e The Gentlemen, com Qilin liderando em ataques confirmados. O relatório destaca a necessidade urgente de medidas de segurança robustas no setor de saúde, que continua sendo um alvo atrativo para cibercriminosos.

A Sandhills Medical Foundation, uma rede de clínicas médicas na Carolina do Sul, confirmou um vazamento de dados que afetou 169.017 pessoas em maio de 2025. O incidente comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, identificações fiscais, documentos de identidade emitidos pelo governo, dados financeiros, informações de saúde e datas de nascimento. A situação começou em 8 de maio, quando a instituição relatou interrupções em seus sistemas devido a um problema técnico relacionado a um fornecedor. Posteriormente, o grupo de ransomware chamado Inc reivindicou a responsabilidade pelo ataque em 30 de maio. Embora a Sandhills tenha afirmado que não pagou o resgate, não forneceu detalhes sobre como os atacantes conseguiram acessar sua rede. Como medida de apoio, a instituição está oferecendo 12 meses de monitoramento de crédito gratuito e assistência contra fraudes aos afetados. O grupo Inc, que surgiu em julho de 2023, já foi responsável por 361 ataques de ransomware, sendo 22 deles direcionados a provedores de saúde. O ataque à Sandhills é considerado o maior em termos de registros comprometidos até agora.

Em março de 2026, o GitHub corrigiu uma vulnerabilidade crítica de execução remota de código (CVE-2026-3854) que poderia ter permitido a atacantes acessarem milhões de repositórios privados. A falha foi reportada por pesquisadores da empresa de cibersegurança Wiz, que a identificaram através do programa de recompensas por bugs do GitHub. A equipe de segurança do GitHub reproduziu e confirmou a vulnerabilidade em apenas 40 minutos, implementando uma correção em menos de duas horas após o relatório.

O uso não autorizado de ferramentas de inteligência artificial (IA) nas empresas, especialmente aquelas que utilizam modelos de linguagem, tem gerado preocupações legítimas. Um caso recente, o vazamento na Vercel, exemplifica os riscos associados à integração de aplicativos de IA em plataformas corporativas como Google Workspace. Quando um funcionário conecta um aplicativo de IA, cria-se uma ponte programática entre o ambiente da empresa e um terceiro, que pode ser explorada em caso de comprometimento desse terceiro. No caso da Vercel, um funcionário integrou um aplicativo da Context.ai, que não era cliente registrado, permitindo que, após uma violação de segurança, os atacantes acessassem dados sensíveis da empresa. Além disso, o artigo destaca que o problema não se limita a aplicativos de IA, mas se estende a qualquer integração OAuth não gerenciada, que tem se tornado um alvo frequente para atacantes. Para mitigar esses riscos, recomenda-se que as empresas adotem uma abordagem de consentimento padrão-negativa para integrações, realizem auditorias regulares e busquem visibilidade sobre todas as conexões OAuth em uso.

Autoridades da Áustria e da Albânia desmantelaram uma rede criminosa acusada de operar um esquema de fraude em investimentos em criptomoedas, resultando em perdas estimadas em mais de €50 milhões (cerca de $58,5 milhões) para vítimas em todo o mundo. A ação conjunta, iniciada em junho de 2023 e apoiada pela Europol e Eurojust, culminou na prisão de 10 suspeitos e na realização de buscas em três call centers e nove residências particulares em 17 de abril. Durante a operação, foram apreendidos €891.735 em dinheiro, 443 computadores, 238 celulares, 6 laptops e diversos dispositivos de armazenamento de dados para exame forense.

Uma vulnerabilidade crítica foi identificada no cPanel e no WebHost Manager (WHM), afetando quase todas as versões, exceto as mais recentes. Essa falha de segurança permite que atacantes obtenham acesso ao painel de controle sem autenticação. A empresa responsável, WebPros International, lançou uma atualização de emergência que exige que os administradores executem manualmente um comando para aplicar o patch. O WHM oferece controle a nível de servidor, enquanto o cPanel permite acesso ao backend do site, webmail e bancos de dados. A gravidade da vulnerabilidade levou a Namecheap a bloquear temporariamente o acesso às portas 2083 e 2087, utilizadas por esses serviços, para proteger seus clientes. Embora detalhes técnicos não tenham sido divulgados, a falha é considerada significativa, pois um invasor com acesso ao cPanel pode controlar todos os aspectos da conta de hospedagem, incluindo sites, dados e e-mails. Os administradores devem atualizar para as versões corrigidas o mais rápido possível, pois versões não suportadas não receberão atualizações de segurança.

Em fevereiro de 2026, pesquisadores identificaram uma mudança significativa nas táticas de ciberataques, com criminosos cibernéticos utilizando configurações personalizadas de inteligência artificial (IA) para automatizar ataques diretamente na cadeia de destruição. Essa nova abordagem vai além de e-mails de phishing mais sofisticados; agora, agentes autônomos conseguem mapear o Active Directory e obter credenciais de Administrador de Domínio em questão de minutos. O desafio para as equipes de defesa é evidente: enquanto os atacantes operam em velocidade de máquina, as defesas ainda seguem um fluxo de trabalho tradicional e lento, que envolve múltiplas equipes (CTI, Red Team e Blue Team) e gera atrasos. Para enfrentar essa nova realidade, a Picus Security está promovendo um webinar sobre Validação de Exposição Autônoma, que promete apresentar um novo paradigma defensivo. Os participantes aprenderão sobre a mecânica dos ataques autônomos, como automatizar a ingestão de inteligência de ameaças e simular ataques sem comprometer a rede, além de estratégias para eliminar a fragmentação entre as equipes de segurança. Com a evolução das ferramentas dos atacantes, é crucial que as defesas também se atualizem para garantir a proteção eficaz das organizações.

Pesquisadores de cibersegurança descobriram um código malicioso em um pacote npm chamado ‘@validate-sdk/v2’, que foi introduzido como dependência em um projeto do modelo de linguagem Claude Opus da Anthropic. Este pacote, que deveria funcionar como um kit de desenvolvimento de software para validação e geração aleatória segura, na verdade, tem a capacidade de roubar segredos sensíveis do ambiente comprometido. A campanha de malware, denominada PromptMink, está associada a um ator de ameaças da Coreia do Norte conhecido como Famous Chollima, que já esteve envolvido em outras campanhas fraudulentas. O ataque utiliza uma abordagem em camadas, onde pacotes de primeira camada não contêm código malicioso, mas importam pacotes de segunda camada que realmente executam as funções maliciosas. Isso permite que os atacantes acessem carteiras de criptomoedas dos usuários. Além disso, a campanha evoluiu para atingir o Python Package Index (PyPI) e utiliza técnicas de ofuscação e typosquatting para evitar a detecção. O uso de pacotes legítimos para comunicação de comando e controle também foi observado, aumentando a complexidade e a eficácia das operações maliciosas.

Pesquisadores de cibersegurança alertam sobre uma nova campanha de ataque à cadeia de suprimentos que visa pacotes npm relacionados ao SAP, introduzindo malware que rouba credenciais. A campanha, chamada de mini Shai-Hulud, comprometeu versões específicas dos pacotes @cap-js/db-service, @cap-js/postgres e outros, publicadas em 29 de abril de 2026. Os pacotes afetados incluíam um script de pré-instalação que baixava e executava um binário malicioso, aumentando o risco em ambientes de desenvolvedores e CI/CD. O malware é projetado para coletar credenciais locais, tokens do GitHub e npm, além de segredos de nuvem de plataformas como AWS e Azure. Os dados roubados são criptografados e enviados para repositórios públicos no GitHub, criados nas contas das vítimas. A análise revelou que os atacantes comprometeram contas de desenvolvedores para publicar as versões maliciosas. Em resposta, novas versões seguras dos pacotes foram lançadas para mitigar o problema. Este incidente destaca a vulnerabilidade de configurações de agentes de codificação de IA e a necessidade de vigilância constante em ambientes de desenvolvimento.

Em 2025, o tempo médio entre a invasão de uma rede corporativa e a movimentação do invasor para outra máquina caiu para 29 minutos, uma redução significativa em relação aos 48 minutos de 2024. O relatório da CrowdStrike revela que o caso mais rápido de roubo de dados ocorreu em apenas 27 segundos. Esse intervalo, conhecido como ‘breakout time’, representa o tempo que as equipes de segurança têm para detectar e conter um ataque antes que ele se espalhe pela rede. Além disso, 82% dos ataques em 2025 não utilizaram malware, com os invasores utilizando credenciais legítimas para operar como usuários autorizados. Essa mudança na abordagem dos ataques, que agora se concentram em métodos mais sutis, como o uso de credenciais válidas, torna a detecção mais difícil. A adoção de inteligência artificial por grupos criminosos também aumentou, com um crescimento de 89% nos ataques que utilizam essa tecnologia. O grupo FAMOUS CHOLLIMA, vinculado à Coreia do Norte, destacou-se por sua infiltração em processos seletivos para inserir atacantes dentro das empresas. O relatório alerta para a crescente sofisticação e velocidade dos ataques cibernéticos, exigindo uma resposta mais ágil e eficaz das equipes de segurança.

A Microsoft está lidando com um problema conhecido que impede alguns usuários do Microsoft Teams Free de realizar chamadas e enviar mensagens. O Teams Free, uma versão sem assinatura destinada a indivíduos e pequenos grupos, oferece ferramentas de videoconferência e compartilhamento de arquivos. A empresa atribui os problemas a uma “mudança recente no backend” que fez com que algumas telas de consentimento e integração fossem puladas, tornando os perfis de usuários inacessíveis para outros. Os primeiros relatos sobre a questão surgiram em 8 de abril, e a Microsoft ainda não divulgou quais regiões estão afetadas ou quantos usuários foram impactados. A situação foi classificada como uma “degradação de serviço”, o que indica que, embora o serviço não esteja fora do ar, os usuários estão enfrentando dificuldades significativas. A Microsoft está buscando uma solução e planeja fornecer atualizações adicionais. Além disso, a empresa reconheceu recentemente outro problema que impede usuários do Windows de ingressar em reuniões do Teams devido a um bug introduzido por uma atualização do navegador Microsoft Edge.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam seus sistemas Windows contra uma vulnerabilidade crítica, identificada como CVE-2026-32202. Esta falha de segurança, relatada pela empresa de cibersegurança Akamai, é uma vulnerabilidade de ‘zero-click’ que permite o roubo de credenciais sem a necessidade de interação do usuário. A vulnerabilidade foi deixada após um patch incompleto de uma falha anterior de execução remota de código (CVE-2026-21510) em fevereiro. O grupo de ciberespionagem russo APT28 já explorou a falha anterior em ataques direcionados à Ucrânia e países da UE. A CISA incluiu a CVE-2026-32202 em seu Catálogo de Vulnerabilidades Conhecidas (KEV) e ordenou que as agências federais aplicassem patches até 12 de maio. A agência alertou que esse tipo de vulnerabilidade é um vetor frequente de ataque e representa riscos significativos para a segurança federal. Embora a ordem se aplique apenas a agências federais, a CISA incentivou todas as equipes de segurança a priorizarem a correção dessa vulnerabilidade em suas redes.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), com base em evidências de exploração ativa. A primeira, CVE-2024-1708, é uma vulnerabilidade de travessia de caminho no ConnectWise ScreenConnect, com uma pontuação CVSS de 8.4, que permite a execução remota de código e pode comprometer dados confidenciais. Esta falha foi corrigida em fevereiro de 2024. A segunda, CVE-2026-32202, com uma pontuação CVSS de 4.3, é uma falha no mecanismo de proteção do Microsoft Windows Shell, permitindo que atacantes não autorizados realizem spoofing em redes. Essa vulnerabilidade foi corrigida em abril de 2026. A inclusão da CVE-2026-32202 no catálogo ocorreu após a Microsoft reconhecer que a falha estava sendo ativamente explorada, relacionada a um patch incompleto de outra vulnerabilidade. A CVE-2024-1708 tem sido explorada em conjunto com a CVE-2024-1709, uma falha crítica de bypass de autenticação, em ataques associados a grupos de ameaças, incluindo um ator baseado na China. As agências do governo dos EUA têm até 12 de maio de 2026 para aplicar as correções necessárias.

O cPanel lançou atualizações de segurança para corrigir uma vulnerabilidade que afeta diversos caminhos de autenticação, permitindo que atacantes possam obter acesso não autorizado ao software do painel de controle. Essa falha impacta todas as versões atualmente suportadas do cPanel. As versões corrigidas incluem 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29 e 11.134.0.20. A empresa Namecheap, que fornece serviços de hospedagem e registro de domínios, revelou que a vulnerabilidade está relacionada a um exploit de login que pode permitir acesso não autorizado ao painel de controle. Como medida de precaução, a Namecheap implementou uma regra de firewall para bloquear o acesso às portas TCP 2083 e 2087, restringindo temporariamente o acesso dos clientes às interfaces do cPanel e WHM até que um patch completo seja aplicado. A equipe da Namecheap está monitorando a situação e aplicará o patch oficial em todos os servidores suportados assim que estiver disponível. Até o momento, a correção foi aplicada em servidores Reseller e Stellar Business.

O Bilibili é uma plataforma de compartilhamento de vídeos muito popular na China, especialmente entre os jovens, oferecendo uma vasta gama de conteúdos que vão desde anime e jogos até documentários e programas de TV. No entanto, o acesso ao Bilibili é restrito geograficamente, o que significa que usuários fora da China não conseguem acessar a plataforma devido a acordos de licenciamento. Para contornar essa limitação, a utilização de uma VPN (Rede Privada Virtual) é recomendada. O artigo sugere o NordVPN como a melhor opção para desbloquear o Bilibili, permitindo que usuários em países como Estados Unidos, Reino Unido, Canadá e Austrália acessem o conteúdo normalmente. O processo para assistir ao Bilibili é simples: basta visitar o site ou baixar o aplicativo, criar uma conta e, se estiver fora da China, usar uma VPN para obter um endereço IP chinês. O Bilibili oferece uma experiência gratuita, mas também disponibiliza uma assinatura premium que proporciona benefícios adicionais, como a remoção de anúncios e acesso a conteúdos em alta definição. Com mais de 36 milhões de usuários pagantes e 4,7 bilhões de interações mensais, a plataforma se destaca como uma importante comunidade de entretenimento na China.

Uma nova vulnerabilidade crítica foi descoberta no pacote Python LiteLLM da BerriAI, com o identificador CVE-2026-42208, que apresenta uma pontuação CVSS de 9.3. Trata-se de uma falha de injeção SQL que permite a atacantes não autenticados modificar o banco de dados subjacente do LiteLLM. A vulnerabilidade foi identificada em uma consulta de banco de dados que misturava valores de chave de API fornecidos pelo chamador na consulta em vez de passá-los como parâmetros separados. Isso possibilita que um atacante envie um cabeçalho de autorização malicioso para qualquer rota da API LLM e acesse dados sensíveis, como credenciais e chaves de provedores de modelos de linguagem. Apesar de a falha ter sido corrigida na versão 1.83.7-stable, lançada em 19 de abril de 2026, a exploração começou apenas uma semana depois, com tentativas registradas em 26 de abril. O ataque visou tabelas específicas que armazenam informações críticas, sugerindo que o invasor tinha conhecimento prévio sobre a estrutura do banco de dados. Os especialistas recomendam que os usuários atualizem suas instâncias ou desativem logs de erro para mitigar a exploração.

O repositório de torrents clandestinos Anna’s Archive foi condenado a pagar R$ 1,6 bilhão após perder um processo judicial movido pelo Spotify, em conjunto com as gravadoras UMG, Sony e Warner. A condenação ocorreu após a administração do site não comparecer a um julgamento em Nova York, onde foram discutidas infrações de direitos autorais relacionadas a 120.000 arquivos de música do Spotify. O valor da multa foi calculado com base em US$ 150 mil por cerca de 50 infrações, além de US$ 2.500 por cada um dos arquivos. O site, que atuava como uma ferramenta de meta-pesquisa para bibliotecas clandestinas, havia anunciado em dezembro de 2025 que obteve acesso ao banco de dados do Spotify, o que desencadeou a ação judicial. Apesar da condenação, a dificuldade em identificar os responsáveis pelo site levanta questões sobre a efetividade da multa, uma vez que não é possível confiscar valores de indivíduos desconhecidos. A situação se complica ainda mais, pois o site já havia removido a listagem de metadados do Spotify, embora algumas músicas tenham sido acidentalmente publicadas. A decisão judicial representa uma vitória simbólica para as gravadoras, mas a aplicação prática da multa permanece incerta.

Em janeiro de 2026, o governo iraniano impôs um apagão de internet em todo o país, bloqueando serviços de VPN, mensagens e telefonia. Para contornar essa censura, a organização sem fins lucrativos NetFreedom Pioneers implementou uma solução inovadora chamada Toosheh, que utiliza sinais de TV via satélite para transmitir dados. Essa tecnologia permite a entrega de até 5 gigabytes de conteúdo, incluindo notícias, tutoriais de primeiros socorros e softwares anti-censura, de forma anônima e sem interação do usuário. Os sinais de TV são não criptografados e podem ser capturados por qualquer pessoa com uma antena e receptor, tornando difícil para o governo bloquear completamente a transmissão. Apesar de sua eficácia, o Toosheh enfrenta desafios financeiros, com custos mensais elevados e a necessidade de doações privadas após o corte de financiamento do governo dos EUA. Embora ofereça uma alternativa viável para a comunicação em tempos de censura, o sistema não permite o envio de mensagens, limitando a interação dos usuários. Essa abordagem destaca a resiliência dos ativistas em encontrar soluções criativas para a liberdade de informação em ambientes opressivos.

Pesquisadores da Universidade de Tecnologia de Brno desenvolveram robôs magnéticos minúsculos capazes de buscar e remover nanoplásticos da água. Esses robôs utilizam atração eletrostática para capturar partículas de plástico, semelhante ao efeito de um balão em cabelos. Com estruturas formadas por bastões hexagonais de estruturas metal-orgânicas à base de ferro, cada bastão tem a largura de um fio de cabelo e apresenta poros que servem como pontos de aderência para os nanoplásticos. A movimentação dos robôs é controlada externamente por campos magnéticos, permitindo que eles se desloquem sem a necessidade de combustíveis ou luz. Em testes de laboratório, os robôs conseguiram capturar 78% das partículas em uma hora, um desempenho 60% superior ao de robôs que permanecem parados. No entanto, a tecnologia enfrenta desafios práticos, como a degradação dos robôs após várias utilizações e a diminuição da eficiência em água do mar e água subterrânea. Embora a inovação seja promissora, sua escalabilidade para resolver a crise de contaminação por nanoplásticos em água potável ainda é questionável.

O grupo cibercriminoso DragonForce reivindicou a responsabilidade por um vazamento de dados ocorrido em março de 2026 na MassDevelopment, a Agência de Financiamento do Desenvolvimento de Massachusetts. O ataque comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, números de carteira de motorista e dados de contas financeiras, totalizando 1,56 TB de dados roubados. Embora a MassDevelopment tenha reconhecido problemas de conectividade em seus sistemas, não confirmou a reivindicação do DragonForce e não ofereceu monitoramento de crédito ou proteção contra roubo de identidade aos afetados. Este é o segundo incidente de segurança envolvendo a agência em dois anos, após um ataque anterior em 2024 que também resultou em vazamento de dados. O DragonForce, que opera um modelo de ransomware como serviço, já reivindicou 158 ataques em 2026, sendo este o primeiro contra uma entidade governamental nos EUA. A situação destaca a crescente ameaça de ataques de ransomware a organizações públicas, com 18 incidentes confirmados em entidades governamentais dos EUA até agora neste ano.

A plataforma de vídeos Vimeo confirmou que dados de alguns de seus usuários foram acessados sem autorização, em decorrência de uma violação de segurança na empresa Anodot, especializada em detecção de anomalias de dados. O ataque resultou na exposição de endereços de e-mail de clientes, além de dados técnicos, títulos de vídeos e metadados. A violação foi reivindicada pelo grupo de extorsão ShinyHunters, que ameaçou divulgar as informações roubadas até 30 de abril, a menos que um resgate fosse pago. Embora a Vimeo tenha assegurado que os dados expostos não incluem conteúdo de vídeo, credenciais de conta ou informações de cartões de pagamento, a empresa desativou todas as credenciais da Anodot e removeu a integração do serviço com seus sistemas. A Vimeo está investigando o incidente com a ajuda de especialistas em segurança e notificou as autoridades competentes. O impacto total da violação ainda não está claro, mas a empresa prometeu atualizações conforme novas informações forem descobertas.

Hackers estão atacando informações sensíveis armazenadas no modelo de linguagem de código aberto LiteLLM, explorando uma vulnerabilidade crítica identificada como CVE-2026-42208. Essa falha, uma injeção SQL, ocorre durante a verificação da chave da API do proxy do LiteLLM, permitindo que um invasor, sem necessidade de autenticação, envie um cabeçalho de autorização malicioso para qualquer rota da API do LLM. Isso possibilita a leitura e modificação de dados no banco de dados do proxy, incluindo chaves de API e credenciais. O mantenedor do projeto lançou uma correção na versão 1.83.7, substituindo a concatenação de strings por consultas parametrizadas. O LiteLLM é amplamente utilizado por desenvolvedores de aplicativos e plataformas de LLM, com 45 mil estrelas e 7,6 mil forks no GitHub. Pesquisadores da Sysdig relataram que a exploração da vulnerabilidade começou cerca de 36 horas após a divulgação pública do bug, com tentativas de exploração direcionadas a tabelas específicas que continham credenciais e dados sensíveis. As instâncias do LiteLLM que ainda estão em versões vulneráveis devem ser consideradas potencialmente comprometidas, e todas as chaves e credenciais devem ser rotacionadas. Para aqueles que não podem atualizar, recomenda-se desativar logs de erro para bloquear a entrada de dados maliciosos.

Pesquisadores alertam sobre uma falha crítica no ransomware VECT 2.0, que pode levar à destruição permanente de arquivos maiores ao invés de criptografá-los. O problema reside na forma como o VECT lida com os nonces de criptografia, onde cada novo nonce sobrescreve o anterior, resultando na perda de partes significativas dos arquivos. Após o processamento, apenas 25% do arquivo é recuperável, enquanto os outros 75% se tornam irrecuperáveis. Isso é especialmente preocupante para empresas, pois muitos arquivos valiosos, como discos de máquinas virtuais e bancos de dados, geralmente excedem 128 KB, o que os classifica como ‘grandes arquivos’ para o ransomware. Além disso, os operadores do VECT, que se associaram ao grupo TeamPCP, têm como objetivo explorar vítimas de ataques de cadeia de suprimentos, o que aumenta o potencial de danos. A falha de manuseio de nonces é comum em todas as variantes do VECT, afetando sistemas Windows, Linux e ESXi, o que amplia o alcance do problema. A Check Point destaca que a situação pode ser catastrófica para a maioria das organizações, pois a perda de dados críticos pode ocorrer sem possibilidade de recuperação.

Um grupo de cibercrime de origem brasileira, conhecido como LofyGang, voltou a atuar após mais de três anos, lançando uma campanha que visa jogadores de Minecraft com um novo malware chamado LofyStealer, disfarçado como um hack do jogo chamado ‘Slinky’. Segundo a empresa de cibersegurança ZenoX, o malware utiliza o ícone oficial do jogo para induzir a execução voluntária, explorando a confiança dos jovens usuários. O LofyGang, ativo desde 2021, já havia sido associado a pacotes maliciosos na plataforma npm, visando roubar dados de cartões de crédito e contas de serviços como Discord Nitro. A nova campanha envolve a execução de um loader em JavaScript que instala o LofyStealer, coletando dados sensíveis de diversos navegadores, como cookies e senhas, que são enviados para um servidor de comando e controle. O uso de plataformas confiáveis como GitHub para disseminar malware destaca um desafio contínuo de segurança, onde os atacantes abusam da confiança social para contornar soluções de segurança tradicionais. Este incidente ressalta a necessidade de vigilância constante e educação sobre segurança digital, especialmente entre os jovens jogadores.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no GitHub.com e no GitHub Enterprise Server, identificada como CVE-2026-3854, com uma pontuação CVSS de 8.7. Essa falha de injeção de comando permite que um usuário autenticado execute código remotamente com um único comando ‘git push’. O problema decorre da falta de sanitização adequada dos valores de opções de push fornecidos pelo usuário, que são incorporados nos cabeçalhos internos do serviço. Um atacante pode injetar campos de metadados adicionais através de valores manipulados, comprometendo a segurança do servidor. A empresa Wiz, especializada em segurança em nuvem, descobriu a vulnerabilidade e notificou o GitHub, que implementou uma correção em menos de duas horas. Embora a falha tenha afetado cerca de 88% das instâncias no momento da divulgação, não há evidências de exploração maliciosa até agora. A vulnerabilidade também permite a exposição cruzada entre inquilinos, possibilitando que um invasor acesse milhões de repositórios. Dada a gravidade da situação, é recomendado que os usuários apliquem a atualização imediatamente para garantir a proteção adequada.

O show da cantora Shakira, programado para o dia 2 de maio na Praia de Copacabana, no Rio de Janeiro, está atraindo não apenas fãs, mas também cibercriminosos que estão aproveitando a ocasião para aplicar golpes. Segundo a ESET, empresa de cibersegurança, um aumento significativo de domínios falsos imitando sites legítimos de companhias aéreas e plataformas de hospedagem foi registrado nas últimas semanas. Esses sites fraudulentos são criados com técnicas de typosquatting, onde os golpistas alteram levemente o nome do domínio, tornando-o quase idêntico ao original. Além disso, ferramentas automatizadas como o Telekopye permitem que esses criminosos reproduzam sites com alta fidelidade, facilitando a enganação dos usuários. As fraudes são promovidas em anúncios nas redes sociais e buscadores, o que aumenta sua visibilidade. Tentativas de phishing também estão em alta, com e-mails que imitam comunicações de reservas, incentivando as vítimas a clicarem em links maliciosos. A ESET alerta que a pressa na compra de passagens ou reservas pode levar a erros, e recomenda que os usuários verifiquem cuidadosamente os endereços dos sites e evitem clicar em links suspeitos.

A Nord Security, responsável pelo serviço de VPN NordVPN, foi alvo de uma nova ação judicial nos Estados Unidos, especificamente na Virgínia, acusada de práticas comerciais enganosas relacionadas ao sistema de renovação automática de assinaturas. O processo, movido por Craig Schnappinger, alega que a empresa utiliza ‘padrões obscuros’ para dificultar o cancelamento das assinaturas, tornando o processo ‘intencionalmente’ complicado. A ação busca representar todos os clientes da Nord Security em Virgínia e Carolina do Norte, abrangendo serviços como NordVPN, NordPass e NordLocker. A acusação destaca que a empresa não divulga claramente os termos de renovação automática e as instruções para cancelamento no momento da inscrição, o que pode violar leis de proteção ao consumidor. Além disso, a prática de cobrar os usuários 14 dias antes do término da assinatura é contestada, pois a notificação não esclarece que o cancelamento deve ocorrer antes desse prazo para evitar cobranças. A Nord Security, por sua vez, defende que as informações sobre renovação automática são apresentadas de forma clara e que está comprometida em facilitar o gerenciamento de contas para os usuários.

Um recente relatório da Harvey Nash destaca que os profissionais de cibersegurança estão enfrentando um aumento significativo de estresse, sentindo-se subvalorizados e mal remunerados. A pesquisa aponta que, enquanto as habilidades em inteligência artificial (IA) e dados estão em alta demanda, os trabalhadores de cibersegurança estão sendo pressionados a lidar com uma carga de trabalho crescente, sem o suporte adequado. Muitas empresas estão contratando profissionais com menos experiência devido à escassez de talentos, o que agrava a situação. Além disso, a falta de confiança das empresas em sua capacidade de responder a incidentes de segurança e as limitações orçamentárias dificultam a competitividade em termos de salários. O relatório também revela que a flexibilidade no trabalho, como opções híbridas, se tornou uma exigência para muitos profissionais, com 52% dos entrevistados no Reino Unido afirmando que não considerariam empregos que não oferecessem essa flexibilidade. A pesquisa conclui que a insatisfação no trabalho pode levar a uma alta rotatividade, o que representa um risco significativo para a segurança cibernética das organizações.

O grupo de ransomware Rhysida atacou a STELIA Aerospace North America Inc., exigindo um resgate de 27 bitcoins (aproximadamente R$ 2,07 milhões) em troca de 10 TB de dados. A empresa, subsidiária da Airbus Atlantic, confirmou a detecção do ataque e ativou seus protocolos de defesa cibernética, isolando os sistemas afetados. A STELIA assegurou que o incidente está restrito ao seu ambiente de TI e não afeta a rede mais ampla da Airbus Atlantic. Documentos, incluindo informações de identidade e planos de benefícios de funcionários, foram divulgados pelo grupo, que também listou clientes importantes como Lockheed Martin e Boeing, sugerindo que dados desses parceiros podem ter sido comprometidos. Desde sua origem em maio de 2023, Rhysida já registrou 266 ataques, com uma média de resgate de aproximadamente R$ 5,4 milhões. Este é o segundo ataque confirmado em 2026, após um incidente com a Elabs AG na Alemanha. O Canadá tem sido um alvo frequente para ataques de ransomware, com 133 alegações em 2026, sendo 26 delas direcionadas a fabricantes, como a STELIA.

Um recente post em um fórum de cibercrime revela um framework de segurança operacional (OPSEC) estruturado, desenvolvido por um ator de ameaças para operações de ‘carding’ em grande escala. O autor enfatiza que a maioria das interrupções em operações cibercriminosas não ocorre devido a detecções sofisticadas, mas sim a erros operacionais básicos, como reutilização de identidade e separação inadequada de infraestrutura. O framework é dividido em três camadas: a camada pública, que utiliza dispositivos limpos e IPs residenciais; a camada operacional, que é isolada e utiliza containers criptografados; e a camada de extração, focada na monetização com canais dedicados e sistemas isolados. O ator também destaca erros comuns que expõem operações, como a reutilização de identidades e a falta de medidas adequadas de evasão de impressão digital. Além disso, técnicas avançadas como gatilhos com atraso e randomização comportamental são sugeridas para aumentar a resiliência. Este framework oferece uma visão valiosa sobre como os cibercriminosos estruturam sua segurança operacional, o que pode ajudar defensores a entender melhor as táticas utilizadas por esses atores.

A Microsoft anunciou que começará a bloquear conexões TLS legadas para clientes de e-mail POP e IMAP no Exchange Online a partir de julho de 2026. O protocolo de segurança Transport Layer Security (TLS) é essencial para proteger informações dos usuários contra espionagem e adulteração durante o acesso ao e-mail pela Internet. As versões TLS 1.0 e 1.1, que estão em uso há mais de duas décadas, são consideradas obsoletas e inseguras. A maioria dos usuários não será afetada, pois a maioria do tráfego POP e IMAP já utiliza TLS 1.2 ou superior. A Microsoft enfatizou que apenas clientes que optaram explicitamente por usar essas versões legadas serão impactados pela mudança. Após a descontinuação, conexões que utilizarem TLS 1.0 ou 1.1 falharão, e aplicações ou dispositivos legados poderão parar de funcionar. A empresa recomenda que os clientes atualizem seus aplicativos e dispositivos para garantir a compatibilidade com TLS 1.2 ou superior, evitando interrupções no serviço. Essa mudança é parte de um movimento mais amplo para garantir a segurança do tráfego na Internet contra ataques de sniffing, alinhando-se a diretrizes de segurança de organizações como a NSA.

A empresa de segurança de aplicações Checkmarx confirmou que o grupo de ameaças LAPSUS$ vazou dados de seu repositório privado no GitHub. A investigação aponta que o vetor de acesso foi um ataque à cadeia de suprimentos, atribuído ao grupo TeamPCP, que permitiu o acesso a credenciais de usuários. Utilizando essas credenciais, os atacantes conseguiram acessar os repositórios da Checkmarx e publicar código malicioso em 23 de março. Em 22 de abril, os atacantes publicaram imagens Docker maliciosas e extensões para o scanner de segurança KICS da Checkmarx, que visavam roubar credenciais e arquivos de configuração. A Checkmarx confirmou que os dados vazados pertencem à empresa e são resultado da violação de março. Embora a empresa assegure que não há informações de clientes nos dados vazados, uma investigação forense está em andamento para determinar a natureza exata das informações expostas. O acesso ao repositório afetado foi bloqueado até a conclusão da investigação, e a Checkmarx espera fornecer mais detalhes em breve.

Um jovem de 19 anos, cidadão dos Estados Unidos e da Estônia, foi preso na Finlândia sob acusações federais nos EUA, sendo acusado de ser um membro ativo do coletivo de hackers Scattered Spider. De acordo com documentos judiciais, o suspeito, que usava o pseudônimo ‘Bouquet’, teria ajudado a extorquir milhões de dólares de grandes corporações ao redor do mundo. Ele foi detido no aeroporto de Helsinque enquanto tentava embarcar para o Japão. As acusações incluem fraude eletrônica, conspiração e invasão de computadores. O coletivo Scattered Spider, que surgiu em 2022, é conhecido por suas táticas de engenharia social e ataques de phishing, visando roubar credenciais de usuários e documentos sensíveis. Entre as vítimas estão empresas renomadas como Caesars e MGM Resorts. O caso destaca a crescente ameaça de grupos de hackers jovens e a necessidade de medidas de segurança robustas para proteger dados corporativos.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no LeRobot, a plataforma de robótica de código aberto da Hugging Face, que possui quase 24.000 estrelas no GitHub. A falha, identificada como CVE-2026-25874, apresenta um alto índice de gravidade (9.3 no CVSS) e está relacionada à desserialização insegura de dados, resultante do uso do formato pickle. Essa vulnerabilidade permite que um atacante não autenticado, que consiga acessar a rede do servidor PolicyServer, envie um payload malicioso e execute comandos arbitrários no sistema. O impacto potencial é significativo, incluindo a possibilidade de execução remota de código, comprometimento total do host do PolicyServer, roubo de dados sensíveis e riscos à segurança física. A falha foi validada na versão 0.4.3 do LeRobot e ainda não possui correção, com um patch previsto para a versão 0.6.0. A situação é alarmante, pois o LeRobot é projetado para sistemas de inferência de inteligência artificial que operam com privilégios elevados. A Hugging Face reconheceu a necessidade de refatoração do código, enfatizando que a segurança na implantação não era uma prioridade até o momento. O uso do formato pickle, que já é conhecido por suas vulnerabilidades, levanta preocupações adicionais sobre a segurança da plataforma.

Um novo estudo revela que a segurança cibernética enfrenta um desafio crítico na movimentação de dados, especialmente em ambientes governamentais e de serviços essenciais. A pesquisa, que entrevistou 500 líderes de segurança nos EUA e no Reino Unido, mostra que 84% dos líderes de TI acreditam que compartilhar dados sensíveis aumenta o risco cibernético. Além disso, 53% ainda dependem de processos manuais para transferir dados, o que se torna problemático em um cenário onde a inteligência artificial acelera as operações. O relatório Cyber360 destaca que 78% dos entrevistados apontam a infraestrutura desatualizada como uma vulnerabilidade significativa, enquanto 49% enfrentam desafios na integridade dos dados durante a transferência. A falta de tecnologias adequadas para garantir a segurança na movimentação de dados é um ponto crítico, pois a maioria das organizações ainda opera com sistemas analógicos e processos manuais. A pesquisa sugere a adoção de um modelo arquitetônico que combine Zero Trust, segurança centrada em dados e soluções de domínio cruzado para permitir uma movimentação de dados segura e em tempo quase real. Essa abordagem é essencial não apenas para a defesa, mas também para a segurança de dados em ambientes corporativos e de infraestrutura crítica.

O grupo de cibercriminosos conhecido como VECT 2.0 tem gerado preocupações entre especialistas em segurança cibernética, pois seu malware atua mais como um destruidor de dados do que como um ransomware tradicional. De acordo com a análise da Check Point Research, a implementação de criptografia do VECT apresenta uma falha crítica que resulta na destruição permanente de arquivos grandes, impossibilitando a recuperação mesmo para aqueles que pagam o resgate. O malware, que se apresenta como ransomware, destrói arquivos com mais de 131KB, descartando as chaves de descriptografia durante o processo. Isso significa que, mesmo que as vítimas optem por pagar, não há como recuperar os dados. O VECT 2.0, que opera sob um modelo de ransomware como serviço (RaaS), cobra uma taxa de entrada de $250 para novos afiliados, com isenção para candidatos de países da Comunidade dos Estados Independentes (CEI). Além disso, o grupo estabeleceu parcerias com o BreachForums e o TeamPCP, ampliando sua capacidade de ataque. A análise também revela que o VECT utiliza um algoritmo de criptografia fraco e apresenta falhas de design que comprometem sua eficácia. A situação exige que as empresas priorizem a resiliência, com backups offline e procedimentos de recuperação testados, em vez de depender de negociações com os atacantes.

Na segunda-feira, a Microsoft enfrentou uma interrupção significativa que afetou usuários do Outlook.com em todo o mundo, resultando em problemas intermitentes de login. A empresa confirmou que muitos clientes não conseguiam acessar suas caixas de entrada e, em alguns casos, eram desconectados de suas contas, recebendo mensagens de erro como ‘muitas solicitações’. Após cerca de 10 horas de dificuldades, a Microsoft atribuiu os problemas a uma ‘mudança recentemente introduzida’, mas não forneceu detalhes adicionais. Embora o serviço tenha sido restabelecido por volta das 19h UTC, a Microsoft alertou que os usuários de iPhone precisariam reentrar suas credenciais manualmente no aplicativo Mail. O procedimento envolve acessar as configurações do iPhone, selecionar a conta de e-mail e atualizar a senha. A empresa não divulgou quantos usuários foram afetados ou quais regiões enfrentaram os problemas, mas classificou o incidente como uma ‘degradação de serviço’. Este não é o primeiro problema recente da Microsoft, que também lidou com interrupções em serviços como Exchange Online e problemas de login no Microsoft 365. A situação destaca a importância de monitorar a saúde dos serviços de e-mail, especialmente em um ambiente corporativo onde a comunicação é crítica.

A Microsoft confirmou um novo problema que afeta os avisos de segurança do Windows ao abrir arquivos de Conexão de Área de Trabalho Remota (.rdp). Essa questão impacta todas as versões suportadas do Windows, incluindo Windows 11 e Windows 10, e ocorre quando os usuários utilizam mais de um monitor com diferentes configurações de escala de exibição. Os avisos de segurança podem apresentar texto sobreposto e botões mal posicionados, dificultando a leitura e a interação. Essa falha foi introduzida nas atualizações cumulativas de abril de 2026, que visam proteger os usuários contra arquivos RDP maliciosos. Os arquivos RDP são frequentemente utilizados em ambientes corporativos para conectar-se a sistemas remotos, mas têm sido alvo de abusos em campanhas de phishing. A Microsoft recomenda que os usuários verifiquem a legitimidade dos arquivos RDP, especialmente aqueles que não estão digitalmente assinados, pois podem representar riscos de segurança. A situação exige atenção, pois a falha pode impactar a segurança das conexões remotas em empresas, especialmente em um cenário onde ataques cibernéticos estão em ascensão.

A Microsoft atualizou sua recomendação sobre uma vulnerabilidade de alta severidade no Windows Shell, identificada como CVE-2026-32202, que está sendo explorada ativamente. Essa falha de spoofing permite que atacantes acessem informações sensíveis ao enviar arquivos maliciosos que a vítima precisa executar. Embora a vulnerabilidade tenha um CVSS de 4.3, o impacto é significativo, pois permite a visualização de dados confidenciais, mas não altera a integridade ou disponibilidade das informações. A falha é resultado de um patch incompleto de uma vulnerabilidade anterior, CVE-2026-21510, que foi explorada por um grupo de ameaças persistentes avançadas (APT) conhecido como APT28, associado a ataques direcionados à Ucrânia e países da União Europeia. A exploração se dá através de arquivos de atalho do Windows que contêm caminhos UNC, permitindo que o código malicioso seja executado sem interação do usuário. A Microsoft já lançou um patch para mitigar a vulnerabilidade, mas a exploração ativa ainda representa um risco significativo para usuários e organizações que utilizam o Windows. É crucial que as empresas realizem atualizações imediatas e monitorem suas redes para evitar possíveis comprometimentos.

Uma nova vulnerabilidade identificada no Microsoft Entra ID, especificamente na função de administrador de ID de agente, pode permitir ataques de escalonamento de privilégios e tomada de identidade. Essa função, destinada a gerenciar a identidade de agentes de inteligência artificial (IA), permite que usuários com essa atribuição assumam o controle de outros principais de serviço, o que pode resultar em um comprometimento significativo da segurança do ambiente. A falha foi descoberta pela Silverfort e, após a divulgação responsável em 1º de março de 2026, a Microsoft lançou um patch em 9 de abril para corrigir a questão. O problema reside na forma como as permissões são aplicadas, permitindo que um agente assuma a propriedade de principais de serviço não relacionados a agentes, o que pode levar a um controle mais amplo sobre o inquilino, especialmente se esses principais tiverem permissões elevadas. As organizações são aconselhadas a monitorar o uso de funções sensíveis e a proteger os principais de serviço privilegiados para mitigar os riscos associados a essa vulnerabilidade.

Xu Zewei, um cidadão chinês de 34 anos, foi extraditado para os Estados Unidos após ser preso na Itália em julho de 2025. Ele é acusado de ser membro do grupo de hackers Silk Typhoon, supostamente patrocinado pelo governo chinês, e de ter orquestrado ataques cibernéticos contra organizações e agências governamentais americanas entre fevereiro de 2020 e junho de 2021. Entre os alvos, destaca-se uma universidade do Texas, onde informações sobre vacinas contra a COVID-19 foram roubadas. Xu enfrenta nove acusações, incluindo fraude eletrônica e roubo de identidade agravado. A acusação alega que ele e seu co-réu, Zhang Yu, realizaram os ataques sob a direção do Ministério da Segurança do Estado da China, utilizando vulnerabilidades conhecidas no Microsoft Exchange Server, um software amplamente utilizado para gerenciamento de e-mails. Apesar das acusações, Xu nega envolvimento e afirma que sua prisão foi um erro de identidade. Zhang Yu permanece foragido. Este caso destaca a crescente preocupação com a cibersegurança e a espionagem estatal, especialmente em um contexto de pesquisa crítica como a da COVID-19.

O avanço da inteligência artificial (IA) está transformando o cenário da cibersegurança, tornando o tempo disponível para correção de vulnerabilidades quase nulo. O modelo Claude Mythos, da Anthropic, demonstrou que a identificação de falhas exploráveis em sistemas operacionais e navegadores, que antes demandava semanas de trabalho de especialistas, agora pode ser realizada em minutos. Isso levou a uma reunião urgente entre líderes financeiros dos EUA para discutir os riscos emergentes. Com a janela de exploração reduzida, as equipes de segurança precisam adotar um modelo de ‘assumir a violação’, onde a detecção e contenção de brechas em tempo real se tornam essenciais. O modelo requer três ações principais: detectar comportamentos pós-breach, reconstruir rapidamente a cadeia de ataque e conter ameaças para limitar seu impacto. A automação é crucial, desde a manutenção de um inventário de software em tempo real até a correlação de alertas para entender a extensão de um ataque. As plataformas de Detecção e Resposta de Rede (NDR) são fundamentais para identificar técnicas sofisticadas que os atacantes usam para evitar a detecção. Com a evolução das capacidades de IA, as organizações devem se preparar para um futuro de segurança mais dinâmico e adaptável.

A plataforma de negociação online Robinhood foi alvo de um ataque de phishing que explorou uma falha em seu processo de criação de contas. A partir da noite de domingo, clientes começaram a receber e-mails falsificados, aparentemente legítimos, informando sobre logins recentes e dispositivos não reconhecidos associados às suas contas. Os e-mails, que pareciam vir do endereço oficial noreply@robinhood.com, continham mensagens que alertavam sobre atividades suspeitas e direcionavam os usuários a um site de phishing. Os atacantes conseguiram injetar HTML malicioso nos e-mails de confirmação de conta, aproveitando uma vulnerabilidade no processo de onboarding da Robinhood. O site de phishing, que já está fora do ar, tinha como objetivo roubar credenciais dos usuários. A Robinhood confirmou o incidente e afirmou que não houve violação de seus sistemas, mas que a falha foi corrigida removendo o campo que permitia a injeção de HTML. A empresa aconselha os usuários a deletarem os e-mails e não clicarem em links suspeitos.

O golpe do CPF irregular tem se intensificado com a abertura da Declaração do Imposto de Renda 2026, conforme levantamento da ESET, empresa de cibersegurança. Golpistas têm criado domínios falsos que imitam avisos da Receita Federal, enviando mensagens por e-mail, SMS, WhatsApp e redes sociais. Essas mensagens alertam sobre supostas irregularidades no CPF do usuário, levando-o a acessar um site falso que simula o Portal Oficial de Serviços ao Cidadão. Ao inserir o CPF, a vítima recebe um alerta de ‘alto risco fiscal’ e é pressionada a regularizar a situação rapidamente, sob a ameaça de multas. O site utiliza dados pessoais, possivelmente obtidos de vazamentos anteriores, para aumentar a credibilidade do golpe. Especialistas recomendam que os usuários acessem os serviços da Receita Federal apenas por canais oficiais e desconfiem de links recebidos por mensagem. A situação é preocupante, pois combina engenharia social com dados legítimos, tornando o golpe ainda mais convincente.