Com a chegada do Carnaval, a preocupação com a segurança de celulares e dados pessoais aumenta, especialmente em grandes cidades como São Paulo e Rio de Janeiro, onde ocorreram mais de 5 mil furtos em 2025. Cristiano Vicente, especialista em proteção de dados, oferece dicas valiosas para os foliões. O uso de smart tags e cadeados biométricos pode ajudar a localizar itens perdidos em tempo real. Além disso, optar por anéis de pagamento NFC e smartwatches para transações evita levar o celular, reduzindo o risco de furtos. Carregadores portáteis, especialmente os solares, são recomendados para garantir a autonomia do dispositivo durante a folia. Para aqueles que não vão aos bloquinhos, é essencial tomar cuidado ao comprar ingressos, evitando sites não oficiais e verificando a autenticidade dos vendedores. Vicente ressalta que, embora o Carnaval seja um momento de celebração, a atenção à segurança digital é fundamental para evitar prejuízos.

Uma nova campanha de phishing está direcionada a usuários do Dropbox, especialmente em ambientes corporativos, com o objetivo de roubar credenciais de login. Pesquisadores da Forcepoint identificaram que os ataques se disfarçam como e-mails legítimos, contendo PDFs que parecem inofensivos. Ao clicar em links dentro desses documentos, as vítimas são redirecionadas para uma página falsa de login do Dropbox, onde suas informações são coletadas. Os criminosos utilizam endereços de e-mail que aparentam ser profissionais, dificultando a detecção pelos filtros de segurança. Após o fornecimento dos dados, um script é acionado, capturando e enviando informações sensíveis, como e-mail, senha e endereço IP, para um canal privado no Telegram controlado pelos hackers. O golpe é sofisticado, pois apresenta uma mensagem de erro ao usuário, fazendo-o acreditar que digitou a senha incorretamente. A situação é alarmante, pois a conta do Dropbox comprometida pode levar a vazamentos de dados sensíveis, exigindo atenção redobrada de empresas e usuários em geral.

A modelo Bruna Cristine de Menezes de Castro, conhecida como Barbie do Crime, foi presa em Goiânia por sua ligação com uma série de golpes virtuais. A detenção ocorreu no dia 30 de janeiro de 2026, realizada pelo Batalhão 31º BPM, e está relacionada a condenações anteriores de 2015, onde ela aplicou fraudes na venda de produtos como celulares e cosméticos que nunca foram entregues às vítimas. As perdas financeiras das vítimas somaram R$ 3,8 mil, com uma delas perdendo R$ 3,1 mil e outra R$ 700. Bruna já havia sido condenada a prestar serviços comunitários e pagar uma multa, mas descumpriu as condições de sua pena, levando à sua prisão atual. Além disso, a modelo possui um histórico criminal que inclui estelionato e uso de documentos falsos, com processos em andamento em diferentes estados do Brasil. Sua prisão mais recente ocorreu em um local onde estava acompanhada de outros foragidos, indicando um padrão de comportamento criminoso persistente.

A Neurological Associates of Washington, localizada nos arredores de Seattle, confirmou que notificou 13.500 residentes do estado sobre um vazamento de dados ocorrido em dezembro de 2025. O ataque, reivindicado pelo grupo cibercriminoso DragonForce, comprometeu informações sensíveis, incluindo números de Seguro Social, códigos de deficiência, dados médicos e datas de nascimento. O grupo afirmou ter roubado 1,4 TB de dados da clínica e publicou amostras dos documentos supostamente furtados em seu site de vazamento. Embora a clínica tenha reconhecido DragonForce como o atacante, a autenticidade dos dados não pôde ser verificada. A clínica informou que seu servidor, que armazenava registros médicos de 2019 a 2025, foi atacado e criptografado, resultando no roubo de dados de um de seus computadores. Para mitigar os impactos, a Neurological Associates de Washington está oferecendo 12 meses de monitoramento de crédito gratuito aos afetados. O grupo DragonForce, que opera um modelo de ransomware como serviço, já reivindicou 51 ataques confirmados, afetando mais de 7,6 milhões de registros pessoais, incluindo ataques a provedores de saúde. Os ataques de ransomware em instituições de saúde nos EUA têm se tornado cada vez mais frequentes, comprometendo a segurança e a privacidade dos pacientes.

A Iron Mountain, empresa de armazenamento e recuperação de dados, confirmou que um recente incidente de segurança, atribuído ao grupo de extorsão Everest, envolveu principalmente materiais de marketing. A empresa, com sede em Portsmouth, New Hampshire, e com mais de 240 mil clientes em 61 países, informou que os atacantes acessaram uma única pasta em um servidor de compartilhamento de arquivos utilizando credenciais comprometidas. Segundo a Iron Mountain, não houve envolvimento de ransomware ou malware, e nenhum sistema adicional da empresa foi comprometido. O grupo Everest, que se destacou por suas táticas de extorsão de dados, não conseguiu acessar informações confidenciais ou sensíveis de clientes. A empresa desativou a credencial comprometida e assegurou que a situação está sob controle. O incidente destaca a importância da segurança cibernética, especialmente em um cenário onde grupos como o Everest têm se tornado mais ativos, visando principalmente organizações de saúde e empresas de grande porte. A Iron Mountain reafirma seu compromisso com a proteção de dados e a transparência em suas operações.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) identificou uma vulnerabilidade crítica no SolarWinds Web Help Desk, classificada como CVE-2025-40551, que está sendo ativamente explorada em ataques. Esta falha de segurança, originada de uma fraqueza na desserialização de dados não confiáveis, permite que atacantes não autenticados executem comandos remotamente em dispositivos não corrigidos. A SolarWinds lançou uma atualização, a versão 2026.1, em 28 de janeiro, para corrigir essa vulnerabilidade, além de outras falhas de segurança significativas. A CISA emitiu uma diretiva exigindo que as agências federais dos EUA aplicassem patches em seus sistemas em um prazo de três dias, embora tenha incentivado também o setor privado a agir rapidamente. O SolarWinds Web Help Desk é amplamente utilizado por agências governamentais e grandes corporações, com mais de 300.000 clientes em todo o mundo. Dada a frequência com que vulnerabilidades desse software têm sido exploradas, a urgência na aplicação de correções é crítica para evitar possíveis compromissos de segurança.

Uma campanha coordenada de reconhecimento visando a infraestrutura do Citrix NetScaler foi observada entre 28 de janeiro e 2 de fevereiro, utilizando mais de 63 mil endereços IP distintos. Essa atividade, que gerou 111.834 sessões, focou na identificação de painéis de login e na enumeração de versões do produto, indicando um esforço organizado. Aproximadamente 64% do tráfego proveniente de proxies residenciais, que se apresentavam como endereços de ISPs legítimos, dificultou a filtragem baseada em reputação. Os pesquisadores da GreyNoise identificaram dois indicadores claros de intenção maliciosa: um ataque direcionado à interface de autenticação e outro focado em um arquivo específico do Endpoint Analysis (EPA). A atividade sugere um mapeamento de infraestrutura pré-exploração, com interesse em desenvolver exploits específicos para versões vulneráveis do Citrix ADC. As falhas críticas mais recentes que afetam os produtos Citrix incluem CVE-2025-5777 e CVE-2025-5775. Os especialistas recomendam que administradores de sistemas revisem a necessidade de gateways Citrix expostos à internet e monitorem acessos anômalos.

A Step Finance, plataforma de finanças descentralizadas (DeFi) baseada na blockchain Solana, anunciou a perda de aproximadamente US$ 40 milhões em ativos digitais após um ataque cibernético que comprometeu dispositivos de sua equipe executiva. O incidente foi detectado em 31 de janeiro, quando a empresa revelou que várias de suas carteiras de tesouraria foram invadidas por um ator sofisticado utilizando um ‘vetor de ataque bem conhecido’. Embora a empresa tenha conseguido recuperar cerca de US$ 4,7 milhões em ativos, a magnitude da perda é alarmante, especialmente considerando que representa apenas uma fração dos US$ 398 milhões perdidos em ataques de roubo de criptomoedas no mesmo mês. A Step Finance tomou medidas imediatas, notificando as autoridades e suspendendo algumas operações para reforçar a segurança. A empresa também aconselhou os usuários a não interagir com seu token nativo, $STEP, até que a investigação seja concluída. O ataque gerou especulações sobre a possibilidade de um ‘rug pull’ ou um ’trabalho interno’, mas a Step Finance não forneceu detalhes sobre os perpetradores. Este incidente destaca a crescente vulnerabilidade das plataformas DeFi e a necessidade de medidas de segurança robustas no setor.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica, chamada DockerDash, que afeta o assistente de inteligência artificial Ask Gordon, integrado ao Docker Desktop e à interface de linha de comando (CLI) do Docker. Essa falha, corrigida na versão 4.50.0 lançada em novembro de 2025, permite que um invasor execute código malicioso e exfiltre dados sensíveis. O problema surge da forma como o Ask Gordon interpreta metadados não verificados como comandos executáveis, permitindo que um ataque simples em três etapas comprometa o ambiente Docker. O ataque começa com a publicação de uma imagem Docker contendo instruções maliciosas em campos de metadados. Quando o assistente é consultado, ele processa essas instruções sem validação, enviando-as ao MCP Gateway, que as executa com privilégios do Docker do usuário. Além disso, a vulnerabilidade também permite a exfiltração de dados sensíveis do ambiente do usuário. A situação destaca a necessidade de uma abordagem de validação de zero confiança para mitigar esse tipo de ataque, que pode ter impactos significativos em ambientes de nuvem e aplicações de desktop.

Pesquisadores da ESET identificaram uma nova campanha de spyware no Android, que se disfarça como um aplicativo de relacionamento chamado GhostChat. Este malware, que não está disponível na Google Play Store, é distribuído clandestinamente e se apresenta como uma plataforma de chat de relacionamento sem custos. O golpe utiliza perfis falsos de mulheres, que ficam ‘bloqueados’ até que a vítima forneça um código, gerando uma sensação de exclusividade. Durante a interação, o GhostChat opera em segundo plano, roubando documentos, fotos, contatos e informações do dispositivo da vítima. Além disso, o malware utiliza uma técnica chamada ClickFix, que simula falhas para enganar o usuário a interagir e permitir acesso a mais dados. Os pesquisadores alertam que o ataque é sofisticado e utiliza engenharia social, QR Codes e spoofing de autoridades para aumentar sua eficácia. A campanha tem como alvo principal usuários no Paquistão, mas a técnica pode ser replicada em outros contextos, incluindo o Brasil, onde aplicativos de relacionamento são populares.

O Spotify, em colaboração com grandes gravadoras como Universal Music Group, Sony Music Entertainment e Warner Music Group, processou o repositório clandestino Anna’s Archive por violação massiva de direitos autorais. A ação judicial, que exige uma indenização exorbitante de US$ 13 trilhões, surge após o vazamento de 300 TB de músicas, incluindo 86 milhões de faixas do catálogo do Spotify. Este número representa 99,6% das reproduções na plataforma e cerca de 37% do total de 256 milhões de faixas disponíveis. Após o incidente, o Spotify desativou contas de usuários que estavam extraindo dados ilegalmente e moveu uma ação judicial no final de 2025. O juiz Jed S. Rakoff concedeu uma liminar que proíbe o Anna’s Archive de distribuir os arquivos extraídos, enquanto provedores de serviços como a Cloudflare também estão impedidos de hospedar o repositório. O caso destaca a crescente preocupação com a segurança e a proteção de direitos autorais na era digital, especialmente em um cenário onde a pirataria e o vazamento de dados se tornam cada vez mais comuns.

Na terça-feira, promotores franceses realizaram uma operação nas instalações da X em Paris, no âmbito de uma investigação criminal sobre a ferramenta de inteligência artificial Grok, amplamente utilizada para gerar imagens sexualmente explícitas. A investigação, iniciada em janeiro de 2025, foi ampliada após denúncias de que a Grok estaria gerando conteúdo ilegal e que a plataforma X estaria sendo utilizada para compartilhar deepfakes sexuais e conteúdo de negação do Holocausto. A operação foi conduzida pela unidade de cibercrime da Gendarmaria Nacional, com apoio de oficiais da Europol. Além disso, Elon Musk e a CEO da X, Linda Yaccarino, foram convocados para entrevistas voluntárias em abril de 2025, junto a outros funcionários da empresa. A investigação abrange sete delitos, incluindo a posse e distribuição de pornografia infantil e fraudes relacionadas à extração de dados. A Comissão Europeia também iniciou uma investigação para verificar se a X cumpriu as obrigações do Digital Services Act antes de implementar a ferramenta Grok. A X já foi multada em 120 milhões de euros por violações de transparência sob a mesma legislação.

Hackers estão atacando desenvolvedores ao explorar a vulnerabilidade crítica CVE-2025-11953 no servidor Metro do React Native, permitindo a entrega de cargas maliciosas para sistemas Windows e Linux. No Windows, um atacante não autenticado pode executar comandos do sistema operacional por meio de uma requisição POST, enquanto no Linux e macOS, a falha pode levar à execução de executáveis arbitrários com controle limitado de parâmetros. O Metro, que é o empacotador JavaScript padrão para projetos React Native, pode expor endpoints HTTP apenas para desenvolvimento, como o /open-url. A vulnerabilidade foi descoberta pela empresa JFrog e divulgada em novembro de 2025, com a exploração ativa observada em dezembro. Pesquisadores da VulnCheck identificaram um ator de ameaças utilizando a vulnerabilidade, conhecida como Metro4Shell, para entregar cargas úteis codificadas em base-64. As ações realizadas pelas cargas incluem desativar proteções do endpoint e estabelecer conexões TCP com a infraestrutura do atacante. Com cerca de 3.500 servidores Metro expostos online, a situação é preocupante, embora a vulnerabilidade tenha uma baixa pontuação no sistema de avaliação de risco EPSS. Especialistas alertam que as organizações não devem esperar por ações de autoridades como a CISA antes de agir.

A Autoridade de Proteção de Dados do Reino Unido (ICO) iniciou uma investigação formal contra a X e sua subsidiária irlandesa, xAI, após relatos de que o assistente de IA Grok foi utilizado para gerar imagens sexuais não consensuais. A ICO busca determinar se a X Internet Unlimited Company (XIUC) e a X.AI LLC (X.AI) processaram dados pessoais de forma legal e se implementaram salvaguardas adequadas para evitar a criação de imagens prejudiciais. O órgão destacou que a perda de controle sobre dados pessoais pode causar danos imediatos e significativos, especialmente quando crianças estão envolvidas. Além disso, a investigação coincide com ações de autoridades francesas que estão apurando se o Grok gerou material de abuso sexual infantil e conteúdo de negação do Holocausto. A Comissão Europeia também lançou uma investigação para avaliar se a X cumpriu as normas do Digital Services Act antes de implementar o Grok. A ICO pode impor multas de até £17,5 milhões ou 4% do faturamento global da empresa, o que ressalta a gravidade da situação e a necessidade de conformidade com a legislação de proteção de dados.

O artigo de Ido Shlomo, CTO e cofundador da Token Security, destaca a crescente presença de agentes de IA autônomos nas empresas e os riscos associados à sua gestão de identidade. Tradicionalmente, as organizações gerenciavam identidades de humanos e máquinas, mas os agentes de IA não se encaixam perfeitamente em nenhuma dessas categorias. Eles são adaptáveis, operam em alta velocidade e podem realizar ações sem supervisão humana, o que cria lacunas significativas na governança de identidade. A falta de visibilidade sobre esses agentes leva a um crescimento descontrolado de identidades, tornando-as alvos fáceis para atacantes. O artigo sugere que a gestão do ciclo de vida das identidades dos agentes de IA deve ser contínua e em tempo real, garantindo visibilidade, responsabilidade e o princípio do menor privilégio. Além disso, enfatiza a importância de descobrir e monitorar esses agentes para evitar riscos de segurança. A gestão eficaz das identidades dos agentes de IA é apresentada como uma solução para mitigar riscos sem comprometer a inovação nas organizações.

Recentes interrupções em serviços de nuvem, como AWS e Azure, destacam a vulnerabilidade das infraestruturas de identidade que dependem desses provedores. Quando serviços de autenticação e autorização falham, o impacto vai além da simples indisponibilidade; trata-se de um incidente crítico que pode paralisar operações de negócios e afetar a segurança. A arquitetura de identidade moderna, que utiliza componentes como datastores e balanceadores de carga, é suscetível a falhas em qualquer parte da cadeia de dependência. Isso revela um ponto único de falha que muitas organizações só percebem durante uma interrupção. Além disso, a abordagem tradicional de alta disponibilidade, que se concentra em failover regional, pode não ser suficiente, pois falhas em serviços compartilhados podem afetar múltiplas regiões simultaneamente. Para mitigar esses riscos, é essencial projetar sistemas de identidade resilientes, que reduzam a dependência de um único provedor e permitam operações limitadas durante interrupções. A gestão proativa da identidade deve ser uma prioridade para garantir a continuidade dos negócios e a segurança operacional.

Uma falha de segurança crítica, identificada como CVE-2025-11953 (Metro4Shell), está sendo explorada por atacantes em um pacote npm amplamente utilizado, o ‘@react-native-community/cli’. Com uma pontuação CVSS de 9.8, essa vulnerabilidade permite que invasores não autenticados executem comandos arbitrários no sistema operacional subjacente. A exploração foi observada pela primeira vez em 21 de dezembro de 2025, e os detalhes foram documentados pela JFrog em novembro do mesmo ano. Os atacantes têm utilizado um script PowerShell codificado em Base64 para realizar ações maliciosas, como excluir pastas do Microsoft Defender e estabelecer conexões TCP com servidores controlados por eles. A atividade maliciosa foi consistente ao longo de várias semanas, indicando um uso operacional da vulnerabilidade. A falha destaca a importância de proteger a infraestrutura de desenvolvimento, que pode se tornar um alvo de produção se acessível. Apesar da gravidade, a exploração ainda não recebeu ampla atenção pública.

Atualmente, muitas equipes de segurança enfrentam um excesso de ferramentas e informações, resultando em um ambiente de trabalho caótico e ineficiente. O artigo destaca a sobrecarga que os Centros de Operações de Segurança (SOCs) enfrentam, onde promessas de ‘cobertura completa’ e ‘automação impulsionada por IA’ não se traduzem em melhorias reais. A sessão ao vivo proposta, liderada por Kumar Saurabh e Francis Odum, visa esclarecer as decisões críticas que os líderes de segurança devem tomar: o que construir internamente, o que adquirir de fornecedores e o que automatizar. Através de estudos de caso e uma análise comparativa de modelos de SOC, os participantes poderão obter uma visão prática e aplicável para simplificar operações e melhorar resultados. Com orçamentos encolhendo e ameaças crescendo, é essencial que as equipes de segurança repensem suas estratégias e adotem uma abordagem mais inteligente e eficiente para a gestão de riscos.

A Mozilla anunciou uma nova seção de controles nas configurações do navegador Firefox, permitindo que os usuários desativem completamente as funcionalidades de inteligência artificial generativa (GenAI). Segundo Ajit Varma, chefe do Firefox, essa nova funcionalidade oferece um local único para bloquear tanto as características atuais quanto as futuras relacionadas à IA. Os usuários poderão gerenciar individualmente as configurações de IA, como traduções, descrições acessíveis em PDFs, agrupamento de abas aprimorado por IA, prévias de links e um chatbot na barra lateral. A implementação dessas funcionalidades está prevista para a versão 148 do Firefox, que será lançada em 24 de fevereiro de 2026. A Mozilla enfatiza a importância da escolha do usuário, permitindo que aqueles que não desejam utilizar recursos de IA possam desativá-los facilmente. O novo CEO da Mozilla, Anthony Enzor-DeMeo, reforçou o compromisso da empresa em ser uma companhia de software confiável, onde privacidade e uso de dados são claros e compreensíveis. Essa abordagem visa garantir que a IA seja sempre uma opção, e não uma imposição.

O grupo de ameaças APT28, vinculado ao governo russo, está explorando uma nova vulnerabilidade no Microsoft Office, identificada como CVE-2026-21509, com um escore CVSS de 7.8. Essa falha permite que atacantes não autorizados enviem arquivos maliciosos que podem comprometer sistemas. A campanha, chamada Operation Neusploit, foi observada em ataques direcionados a usuários na Ucrânia, Eslováquia e Romênia, logo após a divulgação pública da vulnerabilidade pela Microsoft. Os pesquisadores da Zscaler relataram que os atacantes utilizaram técnicas de engenharia social em múltiplas línguas para enganar as vítimas. A exploração envolve o uso de arquivos RTF maliciosos que instalam dois tipos de droppers: MiniDoor, que rouba e-mails, e PixyNetLoader, que ativa um implante chamado Grunt, associado ao framework de comando e controle COVENANT. A CERT-UA, equipe de resposta a emergências da Ucrânia, confirmou que documentos do Word foram utilizados para atacar mais de 60 endereços de e-mail de autoridades governamentais. A vulnerabilidade representa um risco significativo, especialmente para organizações que utilizam o Microsoft Office em suas operações diárias.

O Match Group, conglomerado responsável por aplicativos de relacionamento como Tinder, OkCupid e Hinge, confirmou um vazamento de dados que comprometeu informações de até 10 milhões de usuários. O ataque foi realizado pelo grupo hacker ShinyHunters, que anunciou o roubo na dark web. O vazamento, que totaliza 1,7 GB de dados, foi possível devido ao comprometimento de uma conta Okta com login único (SSO), que deu acesso a instâncias de marketing da empresa, incluindo contas do Google Drive e Dropbox. Embora o Match Group tenha afirmado que não encontrou evidências de acesso a credenciais financeiras ou informações privadas, os dados de localização e informações de identificação pessoal (PII) foram expostos. A empresa está em processo de contatar os usuários afetados e recomenda a adoção de autenticação em dois fatores e outras soluções de segurança para mitigar riscos futuros. O incidente destaca a vulnerabilidade de sistemas que dependem de aplicativos de terceiros e a importância de medidas de segurança robustas.

O Notepad++, popular editor de texto e código, enfrentou uma grave falha de segurança que permitiu a hackers redirecionar atualizações do aplicativo para distribuir malware a usuários. Segundo Don Ho, um dos desenvolvedores, a vulnerabilidade não estava no código do Notepad++, mas sim na infraestrutura do provedor de serviços que hospeda as atualizações. O ataque, que começou em junho de 2025, foi descoberto apenas em setembro do mesmo ano, e envolveu hackers chineses que conseguiram interceptar o tráfego do atualizador WinGUp, redirecionando-o para domínios maliciosos. Apesar de o aplicativo verificar a autenticidade dos arquivos baixados, os cibercriminosos conseguiram enganar essa verificação, resultando em downloads de arquivos binários não oficiais. A falha foi corrigida na versão 8.8.9 do Notepad++, lançada em agosto de 2025, mas os hackers mantiveram acesso até dezembro do mesmo ano. Este incidente destaca a importância de manter sistemas atualizados e a necessidade de vigilância constante em relação a possíveis vulnerabilidades em provedores de serviços.

A América Latina está enfrentando um aumento alarmante de ataques cibernéticos, tornando-se a região mais atacada do mundo, de acordo com dados da Check Point Research. Em 2025, a média de ataques semanais na região foi de 3.065, um crescimento de 26% em relação ao ano anterior. Essa escalada de incidentes fez com que a América Latina ultrapassasse a África em termos de riscos cibernéticos. Entre os tipos de ataques mais comuns, 76% das organizações afetadas relataram incidentes de extorsão por vazamento de dados, além de tentativas de execução remota de códigos maliciosos e violações de autenticação. Os ataques de ransomware, embora representem apenas 5% dos casos, ainda são uma preocupação significativa. Os países mais afetados incluem Paraguai, Peru, Brasil, México e Argentina, com a Jamaica também sendo mencionada devido à sua proximidade geográfica. Especialistas atribuem esse aumento à forte presença digital e às conexões comerciais internacionais na região, que atraem cibercriminosos em busca de vantagens financeiras.

A Alpine Ear, Nose & Throat (AENT) confirmou um vazamento de dados ocorrido em novembro de 2024, afetando 65.648 pessoas. As informações comprometidas incluem números de Seguro Social, dados de cartões de crédito, informações financeiras, médicas e de seguro saúde, além de dados demográficos e datas de nascimento. O grupo de ransomware BianLian reivindicou a responsabilidade pelo ataque, afirmando ter roubado dados financeiros e de pacientes da instituição. Embora a AENT tenha publicado um aviso preliminar em janeiro de 2025, os detalhes sobre o número de vítimas e os tipos de dados só foram revelados agora. A investigação forense da AENT indicou que houve acesso não autorizado aos sistemas. A empresa está oferecendo monitoramento de crédito gratuito para as vítimas até 30 de abril de 2026. O ataque destaca a crescente preocupação com a segurança cibernética no setor de saúde, onde ataques de ransomware têm se tornado cada vez mais comuns, comprometendo dados sensíveis e colocando em risco a privacidade e a segurança dos pacientes.

As Escolas Públicas de Portland, no Maine, confirmaram um vazamento de dados que afetou 12.128 pessoas, revelando informações pessoais sensíveis, como números de Seguro Social, dados financeiros, informações médicas e de seguro de saúde, além de documentos de identificação. O grupo cibercriminoso RansomHub assumiu a responsabilidade pelo ataque, que ocorreu em fevereiro de 2025, e alegou ter roubado 110 GB de dados da rede da escola. Embora a PPS tenha notificado os afetados, não confirmou se pagou um resgate ou como o ataque foi realizado. A investigação revelou que o acesso não autorizado à rede foi resultado de um ataque cibernético, e a PPS está oferecendo monitoramento de crédito gratuito e seguro contra roubo de identidade aos afetados. O RansomHub, ativo desde 2024, é conhecido por atacar instituições educacionais, tendo realizado 767 ataques de ransomware até março de 2025, afetando mais de 3,9 milhões de registros pessoais em escolas e universidades nos EUA.

A Microsoft confirmou que um problema conhecido que impede alguns dispositivos com Windows 11 de desligar também afeta sistemas com Windows 10 que possuem o Modo Seguro Virtual (VSM) habilitado. O VSM é um recurso de segurança do Windows que cria uma região de memória isolada, protegendo credenciais sensíveis e chaves de criptografia contra malware. O bug, que afeta dispositivos com a atualização cumulativa KB5073455 e o recurso Secure Launch ativado, foi identificado em janeiro e levou a Microsoft a lançar atualizações de emergência. A situação se estendeu para o Windows 10, onde usuários com VSM habilitado após as atualizações KB5078131 e KB5073724 também enfrentam problemas de desligamento. A Microsoft recomenda que os usuários afetados utilizem o comando “shutdown /s /t 0” como uma solução temporária até que uma correção oficial seja disponibilizada. A empresa planeja lançar uma solução em uma atualização futura e já corrigiu outros problemas relacionados a componentes do Windows que foram erroneamente sinalizados como maliciosos por aplicativos de segurança. A situação destaca a importância de monitorar atualizações e aplicar correções rapidamente para garantir a segurança e a funcionalidade dos sistemas operacionais.

A Mozilla anunciou que a próxima versão do Firefox, a 148, permitirá que os usuários desativem completamente as funcionalidades de inteligência artificial (IA) ou gerenciem-nas individualmente. A nova opção ‘Bloquear melhorias de IA’ estará disponível a partir de 24 de fevereiro e permitirá que os usuários impeçam a utilização de recursos gerativos de IA no navegador. A decisão foi tomada em resposta ao feedback dos usuários, que expressaram preocupações sobre a integração da IA. O chefe do Firefox, Ajit Varma, destacou que a empresa está comprometida em oferecer escolhas aos usuários, permitindo que aqueles que desejam evitar a IA possam fazê-lo facilmente. Além de bloquear a IA, os usuários poderão gerenciar cinco funcionalidades específicas que utilizam IA, como traduções de navegador e geração de texto alternativo para imagens em PDFs. A configuração das preferências de IA será mantida mesmo após atualizações do navegador. A nova seção de controles de IA será inicialmente disponibilizada para usuários do Firefox Nightly, antes de ser liberada para todos os usuários de desktop. Essa mudança reflete a intenção da Mozilla de garantir que os usuários tenham controle sobre como a IA é utilizada em suas experiências de navegação.

Recentemente, mais de 230 pacotes maliciosos foram publicados no registro oficial do assistente de IA OpenClaw, anteriormente conhecido como Moltbot e ClawdBot. Esses pacotes, chamados de ‘skills’, se disfarçam como ferramentas legítimas, mas têm como objetivo injetar malware que rouba dados sensíveis, como chaves de API, credenciais de SSH e senhas de navegadores. O projeto, que é um assistente de IA de código aberto projetado para rodar localmente, apresenta riscos de segurança se não for configurado corretamente. Pesquisadores de segurança alertaram que muitas interfaces administrativas do OpenClaw estão mal configuradas e expostas na web pública. A infecção ocorre quando os usuários seguem instruções enganosas contidas na documentação dos pacotes, que incluem um mecanismo de entrega de malware disfarçado de uma ferramenta chamada ‘AuthTool’. O malware, identificado como uma variante do NovaStealer, é capaz de contornar proteções do sistema e roubar informações críticas. A situação é agravada por uma campanha em larga escala que visa usuários do OpenClaw, com a necessidade urgente de os usuários verificarem a segurança dos pacotes antes da instalação.

O Centro de Resposta a Emergências de Computador da Ucrânia (CERT-UA) alertou que hackers russos estão explorando a vulnerabilidade CVE-2026-21509, recentemente corrigida pela Microsoft, em várias versões do Microsoft Office. Em 26 de janeiro, a Microsoft lançou uma atualização de segurança de emergência, identificando a falha como um zero-day ativamente explorado. Apenas três dias após o alerta, o CERT-UA detectou a distribuição de arquivos DOC maliciosos relacionados a consultas do COREPER da UE, além de e-mails falsificados que se passavam pelo Centro Hidrometeorológico da Ucrânia, enviados a mais de 60 endereços governamentais. A análise da metadata dos documentos revelou que foram criados um dia após a atualização de segurança. O CERT-UA atribuiu esses ataques ao grupo APT28, associado à inteligência militar russa (GRU). A abertura do documento malicioso inicia uma cadeia de download que instala malware via COM hijacking, utilizando um arquivo DLL malicioso e shellcode oculto em uma imagem. O malware COVENANT, utilizado nos ataques, se conecta ao serviço de armazenamento em nuvem Filen para operações de comando e controle. As organizações são aconselhadas a aplicar a atualização de segurança mais recente e a monitorar conexões associadas ao Filen para melhorar a defesa contra essa ameaça.

Um novo ataque de malware chamado GlassWorm, que utiliza extensões comprometidas do OpenVSX, está focado em roubar senhas, dados de carteiras de criptomoedas e credenciais de desenvolvedores em sistemas macOS. O ataque começou em outubro de 2023, quando um desenvolvedor legítimo teve sua conta acessada e atualizações maliciosas foram enviadas para quatro extensões, que já haviam sido baixadas 22.000 vezes. O malware se esconde usando caracteres Unicode invisíveis e permite acesso remoto via VNC e proxy SOCKS. A campanha, que afeta exclusivamente sistemas macOS, coleta dados de navegadores, aplicativos de carteira e informações do sistema, enviando tudo para a infraestrutura do atacante. A equipe de segurança da Socket notificou a Fundação Eclipse sobre as publicações não autorizadas, que foram removidas, exceto uma extensão que foi completamente eliminada. Embora as versões atuais das extensões estejam limpas, desenvolvedores que baixaram as versões maliciosas devem realizar uma limpeza completa do sistema e trocar todas as suas senhas.

Uma vulnerabilidade de alta severidade foi identificada no OpenClaw, um assistente pessoal de inteligência artificial de código aberto, que pode permitir a execução remota de código (RCE) através de um link malicioso. A falha, registrada como CVE-2026-25253 e com uma pontuação CVSS de 8.8, foi corrigida na versão 2026.1.29, lançada em 30 de janeiro de 2026. O problema reside na falta de validação do parâmetro ‘gatewayUrl’ na interface de controle, que permite que um link malicioso envie um token de autenticação para um servidor controlado por um atacante. Isso possibilita que o invasor conecte-se ao gateway local da vítima, altere configurações e execute comandos com privilégios elevados. O ataque pode ser realizado com um único clique, tornando-o extremamente perigoso. A vulnerabilidade afeta qualquer implantação do OpenClaw onde o usuário tenha se autenticado na interface de controle, permitindo acesso ao API do gateway e a execução de código arbitrário. O impacto é significativo, pois mesmo configurações que limitam o acesso a localhost podem ser contornadas, devido à maneira como o navegador da vítima inicia a conexão. A rápida popularidade do OpenClaw, com mais de 149 mil estrelas no GitHub, aumenta a urgência para que as organizações que utilizam essa ferramenta implementem a atualização imediatamente.

Uma auditoria de segurança realizada pela Koi Security identificou 341 habilidades maliciosas em um total de 2.857 no ClawHub, um marketplace para usuários do assistente de inteligência artificial OpenClaw. A análise, que contou com a ajuda de um bot do OpenClaw, revelou que 335 dessas habilidades utilizam pré-requisitos falsos para instalar um malware chamado Atomic Stealer (AMOS), que rouba dados sensíveis de sistemas macOS e Windows. Os usuários são induzidos a baixar arquivos ou scripts que, uma vez executados, permitem que os atacantes capturem chaves de API, credenciais e outras informações confidenciais. As habilidades maliciosas se disfarçam como ferramentas de criptomoeda, utilitários do YouTube e atualizadores automáticos, entre outros. A Koi Security também observou que as habilidades compartilham a mesma infraestrutura de comando e controle, o que indica uma campanha coordenada. Em resposta, o criador do OpenClaw implementou uma nova funcionalidade de denúncia para que os usuários possam sinalizar habilidades suspeitas. Este incidente destaca os riscos associados a ecossistemas de código aberto, que continuam a ser explorados por atores maliciosos, especialmente em um contexto onde a popularidade do OpenClaw está crescendo rapidamente.

Um grupo de hackers vinculado à China, conhecido como Lotus Blossom, foi associado com confiança média ao recente comprometimento da infraestrutura que hospeda o Notepad++. A invasão permitiu que o grupo, patrocinado pelo estado, entregasse um backdoor inédito, codinome Chrysalis, aos usuários do editor de código aberto. Segundo a Rapid7, a falha ocorreu devido a um comprometimento no nível do provedor de hospedagem, que permitiu que os atacantes sequestrassem o tráfego de atualização a partir de junho de 2025, redirecionando solicitações de certos usuários para servidores maliciosos. A vulnerabilidade foi corrigida em dezembro de 2025 com o lançamento da versão 8.8.9 do Notepad++. A análise da Rapid7 não encontrou evidências de que o mecanismo de atualização foi explorado para distribuir malware, mas um processo suspeito foi identificado, que baixou um instalador malicioso. O Chrysalis é um implante sofisticado que coleta informações do sistema e se comunica com um servidor externo para receber comandos adicionais. O grupo Lotus Blossom demonstrou uma evolução em suas técnicas, utilizando ferramentas personalizadas e frameworks conhecidos como Metasploit e Cobalt Strike, o que indica uma adaptação contínua para evitar detecções.

Um novo alerta de cibersegurança destaca os riscos associados ao uso de softwares piratas e add-ons para jogos, especialmente entre crianças e adolescentes. O jogo Roblox, popular entre esse público, se tornou um alvo atrativo para ataques de malware, como infostealers. Esses malwares são frequentemente disseminados por meio de mods que prometem melhorar o desempenho do jogo, mas que, na verdade, podem roubar informações sensíveis do computador do usuário. Pesquisas indicam que mais de 40% das invasões cibernéticas são realizadas através de arquivos relacionados a jogos, sendo que muitos jovens desabilitam antivírus para instalar esses mods. O artigo enfatiza a importância da educação digital, alertando pais e responsáveis sobre os perigos de confiar em aplicativos de terceiros e a necessidade de manter medidas de segurança, como antivírus ativos. O uso de plataformas legítimas, como NexusMod, também pode apresentar riscos, pois mods não confiáveis podem ser facilmente ignorados pelos usuários. A coleta de dados pessoais, como senhas e credenciais, pode levar a golpes de engenharia social e ameaças financeiras significativas.

Pesquisadores da MacKeeper identificaram uma nova campanha de cibercriminosos que visa usuários de Mac, utilizando anúncios maliciosos no Google. Quando os usuários buscam por ’limpeza de Mac’, eles podem ser direcionados a uma página falsa que imita o site de suporte da Apple. Ao clicar no link, a vítima é induzida a executar um comando malicioso no Terminal do macOS, ofuscado em Base64. Esse comando instala um script remoto que permite o controle total do sistema pelos hackers. Em vez de realizar uma limpeza, o malware rouba dados sensíveis, extrai chaves SSH e até minera criptomoedas. Os anúncios maliciosos são veiculados por contas verificadas do Google, que parecem ter sido comprometidas. Essa situação representa um risco significativo para a segurança dos usuários de macOS, especialmente considerando a popularidade dos dispositivos Apple no Brasil.

Uma nova campanha de phishing está atingindo o Brasil, com foco no Microsoft Teams. De acordo com uma pesquisa da Check Point Software, o país lidera a América Latina em casos de convites falsos enviados pela plataforma, com mais de 6 mil usuários afetados. Os criminosos enviam mensagens que parecem legítimas, alertando sobre faturamentos e assinaturas, e induzem as vítimas a contatar um suposto serviço de suporte. A técnica utilizada envolve a substituição de caracteres para disfarçar o endereço de origem, que parece ser da Microsoft, aumentando a confiança das vítimas. Além disso, a campanha utiliza engenharia social e vishing, onde os criminosos tentam desestabilizar as vítimas por meio de ligações. Os setores mais impactados incluem manufatura, engenharia e construção, seguidos por tecnologia, educação e serviços financeiros. A pesquisa destaca que o Brasil representa 44% dos casos na América Latina, o que evidencia a necessidade de atenção redobrada por parte das empresas e profissionais de segurança da informação.

Recentemente, mais de 200.000 servidores MongoDB foram identificados como mal configurados, com cerca de 3.000 deles expostos sem senhas. Esses servidores estão sendo alvo de ataques de extorsão, onde hackers apagaram dados e deixaram notas de resgate exigindo pagamentos em bitcoin. A pesquisa da Flare revelou que aproximadamente metade dos servidores expostos contém informações operacionais sensíveis. Além disso, muitos desses servidores estão rodando versões desatualizadas do MongoDB, que são vulneráveis a falhas conhecidas e desconhecidas, aumentando o risco de acesso persistente e negação de serviço (DoS). Os administradores de sistemas são aconselhados a verificar suas configurações e garantir que suas instâncias não estejam expostas à internet sem as devidas proteções, como senhas fortes e regras de firewall rigorosas. O cenário é alarmante, pois a maioria dos servidores vulneráveis pode ser facilmente acessada, e a falta de segurança pode resultar em perdas significativas de dados e financeiros.

A Microsoft resolveu um problema que fazia com que a opção de login por senha desaparecesse da tela de bloqueio do Windows 11 após a instalação de atualizações desde agosto de 2025. O ícone da senha só aparece se houver múltiplas opções de login disponíveis, como PIN, chave de segurança ou impressão digital. No entanto, se o usuário utilizar apenas a senha, o ícone pode não ser exibido, pois o campo de senha é mostrado por padrão. A empresa reconheceu essa falha em novembro de 2025 e, apesar de os usuários afetados ainda conseguirem fazer login, a ausência do ícone dificultava o acesso. A solução foi disponibilizada na atualização cumulativa opcional KB5074105, lançada em 29 de janeiro de 2025, que também incluiu 32 correções para problemas de inicialização, login e ativação. Além disso, a atualização corrigiu falhas que causavam erros de inicialização e travamentos no Explorer.exe durante o primeiro login. A Microsoft já havia abordado outras questões relacionadas a atualizações anteriores, como interrupções na reprodução de vídeos protegidos por DRM e problemas de instalação de aplicativos para usuários não administradores. Essa atualização é crucial para garantir a segurança e a funcionalidade do sistema operacional.

O serviço de notificação de vazamento de dados Have I Been Pwned revelou que um incidente de segurança na rede de restaurantes Panera Bread comprometeu 5,1 milhões de contas, em vez dos 14 milhões inicialmente reportados. O ataque foi atribuído ao grupo de extorsão ShinyHunters, que alegou ter roubado uma variedade de informações pessoais identificáveis (PII) e dados de contato de usuários. O grupo vazou um arquivo de quase 760 MB na dark web, contendo dados de contas da Panera Bread. A ShinyHunters afirmou que o acesso aos sistemas da empresa foi obtido por meio de um código de autenticação de único sinal (SSO) da Microsoft Entra, como parte de uma campanha de vishing que visava contas SSO em várias organizações de destaque. Embora a Panera Bread tenha confirmado o vazamento e notificado as autoridades, ainda não emitiu uma declaração oficial sobre o incidente. Além disso, o grupo ShinyHunters também comprometeu outras empresas, como Match Group e SoundCloud, aumentando as preocupações sobre a segurança de dados em plataformas amplamente utilizadas. O incidente destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger informações sensíveis.

O Notepad++, um editor de texto amplamente utilizado, sofreu um ataque cibernético que comprometeu seu tráfego de atualizações por quase seis meses. De acordo com o desenvolvedor, o ataque, que começou em junho de 2025, foi realizado por atores de ameaças patrocinados pelo Estado Chinês, que interceptaram e redirecionaram seletivamente solicitações de atualização para servidores maliciosos. Os atacantes exploraram uma vulnerabilidade nas verificações de atualização do Notepad++, permitindo que manifestos de atualização adulterados fossem servidos a usuários específicos. Após a detecção da violação em dezembro de 2025, o Notepad++ migrou para um novo provedor de hospedagem com segurança reforçada e implementou melhorias significativas, incluindo a verificação de certificados e assinaturas de instaladores. Os usuários são aconselhados a alterar credenciais e atualizar suas instalações para proteger seus sistemas. A situação destaca a importância de manter práticas de segurança robustas, especialmente em softwares amplamente utilizados como o Notepad++.

Os Programas de Investimento de Alto Rendimento (HYIPs) fraudulentos estão crescendo globalmente, oferecendo lucros ‘garantidos’ que nenhum investimento legítimo pode sustentar. Esses golpes atraem vítimas com promessas de retornos rápidos e elevados, como ‘40% de retorno em 72 horas’. No entanto, a maioria dos HYIPs opera como esquemas de Ponzi, onde os primeiros investidores recebem pagamentos iniciais para criar a ilusão de lucro, enquanto os depósitos subsequentes resultam em saques atrasados ou retidos. Em um estudo recente, foram identificados mais de 4.200 sites promovendo esses esquemas fraudulentos, com 485 incidentes registrados apenas em dezembro de 2025, evidenciando a escalabilidade e a persistência dessas fraudes. Os operadores de HYIPs utilizam redes sociais e anúncios pagos para disseminar seus golpes, além de oferecer programas de referência que incentivam as vítimas a recrutar novos investidores. O ciclo típico de um HYIP envolve a criação de plataformas falsas, promoção em redes sociais, construção de confiança com resultados fabricados e, por fim, o bloqueio de saques e o desaparecimento dos operadores. A análise destaca a necessidade de vigilância e educação sobre esses riscos, especialmente em um cenário onde a regulamentação e a proteção ao consumidor são cruciais.

As organizações de médio porte enfrentam um desafio constante em cibersegurança, equilibrando a necessidade de medidas proativas e preventivas com orçamentos limitados e equipes de TI enxutas. Muitas vezes, essas empresas dependem de um conjunto restrito de ferramentas de segurança, como proteção de endpoints e firewalls de rede, que operam de forma isolada, dificultando a extração de seu valor total. A Detecção e Resposta de Endpoints (EDR) é um exemplo de ferramenta que, embora presente em muitas plataformas, é subutilizada devido à falta de tempo e expertise das equipes. Uma abordagem mais sustentável envolve integrar prevenção, proteção, detecção e resposta ao longo do ciclo de vida da ameaça, utilizando plataformas de segurança que oferecem visibilidade abrangente e controles proativos. Soluções como o Bitdefender GravityZone permitem a centralização da gestão de segurança, enquanto serviços de Detecção e Resposta Gerenciada (MDR) oferecem monitoramento contínuo e resposta a incidentes, aliviando a carga operacional das equipes internas. A chave para melhorar a cibersegurança nas empresas de médio porte não está em adicionar mais ferramentas, mas em utilizar as existentes de forma mais eficaz.

O cenário da cibersegurança continua a evoluir com novos ataques e defesas. Recentemente, o Google desmantelou a rede de proxy residencial IPIDEA, que utilizava dispositivos de usuários como parte de cadeias de ataques cibernéticos. Essa rede permitia que criminosos ocultassem seu tráfego malicioso e expunha os dispositivos dos usuários a novos ataques. A ação legal do Google resultou na redução do número de dispositivos disponíveis na rede em milhões. Além disso, a Microsoft lançou patches para uma vulnerabilidade crítica em seu Office, classificada como CVE-2026-21509, que permitia a bypass de recursos de segurança. A Ivanti também corrigiu falhas em seu Endpoint Manager Mobile, que permitiam execução remota de código não autenticado. Em outro incidente, a Polônia atribuiu ataques cibernéticos a uma rede ligada ao serviço de segurança da Rússia, afetando usinas de energia. Por fim, uma nova campanha de cibercriminosos está explorando endpoints de IA expostos, visando roubar recursos e dados. Esses eventos destacam a necessidade de vigilância constante e atualização de sistemas de segurança.

A Microsoft revelou um plano em três fases para descontinuar o uso do New Technology LAN Manager (NTLM), uma tecnologia de autenticação considerada obsoleta e vulnerável a ataques cibernéticos. O NTLM foi oficialmente descontinuado em junho de 2024 e não recebe mais atualizações, devido a sua suscetibilidade a ataques como replay e man-in-the-middle, conforme explicado por Mariam Gewida, Gerente de Programa Técnico II da Microsoft. Apesar de sua descontinuação, o NTLM ainda é amplamente utilizado em ambientes corporativos, muitas vezes devido a dependências legadas e limitações de rede, o que expõe as organizações a riscos de segurança. Para mitigar esses problemas, a Microsoft implementou uma estratégia que inclui auditorias aprimoradas do NTLM, a introdução de recursos como IAKerb e um Centro de Distribuição de Chaves local, e, finalmente, a desativação do NTLM por padrão nas próximas versões do Windows Server. Essa transição é vista como um passo importante em direção a um futuro sem senhas e mais resistente a phishing, exigindo que as organizações realizem auditorias e migrações para o Kerberos. A mudança visa garantir que o Windows opere em um estado seguro por padrão, priorizando alternativas de autenticação mais modernas e seguras.

O jogo multiplayer NationStates confirmou um vazamento de dados após um incidente de segurança que levou o site a ser retirado do ar para investigação. Um jogador, que havia reportado uma vulnerabilidade crítica no código do aplicativo, ultrapassou os limites autorizados e obteve execução remota de código (RCE) no servidor de produção, copiando dados de usuários. O ataque explorou uma falha em uma nova funcionalidade chamada ‘Dispatch Search’, que permitiu ao atacante combinar a falta de sanitização de entradas com um bug de dupla análise. O vazamento expôs endereços de e-mail, hashes de senhas armazenadas em MD5, endereços IP e strings UserAgent de navegadores. Embora o atacante tenha afirmado que os dados foram deletados, a equipe do jogo não pode verificar essa informação e considera os dados comprometidos. O site deve voltar a funcionar em dois a cinco dias, enquanto a equipe realiza auditorias de segurança e reestrutura o servidor. O incidente foi reportado às autoridades competentes e destaca a importância de práticas robustas de segurança cibernética, especialmente em plataformas que lidam com dados de usuários.

A infraestrutura de atualização do eScan, um antivírus da MicroWorld Technologies, foi comprometida por atacantes desconhecidos, resultando na distribuição de malware em sistemas empresariais e de consumidores em todo o mundo. O ataque ocorreu em 20 de janeiro de 2026, quando uma atualização maliciosa foi enviada a clientes durante um intervalo de duas horas. A empresa isolou os servidores afetados e lançou um patch para reverter as alterações. O malware, identificado como ‘Reload.exe’, interfere na funcionalidade do eScan, impedindo a detecção de componentes maliciosos e bloqueando atualizações remotas. O arquivo malicioso modifica o arquivo HOSTS e utiliza técnicas para contornar a interface de varredura do Windows, permitindo a execução de scripts PowerShell que podem instalar mais malware. A análise da Kaspersky revelou que centenas de máquinas, principalmente na Índia e em países vizinhos, foram afetadas. Este incidente destaca a vulnerabilidade das soluções de segurança e a necessidade de vigilância constante em relação a ataques à cadeia de suprimentos.

O desenvolvedor do Notepad++, Don Ho, revelou que um ataque patrocinado por um Estado comprometeu o mecanismo de atualização do software, redirecionando o tráfego de atualizações para servidores maliciosos. A falha ocorreu em nível de infraestrutura, no provedor de hospedagem, e não por vulnerabilidades no código do Notepad++. O problema foi identificado após a versão 8.8.9 do software, que já havia corrigido um redirecionamento ocasional de tráfego para domínios maliciosos, resultando no download de executáveis comprometidos. Acredita-se que o ataque tenha sido altamente direcionado, afetando apenas usuários específicos, e começou em junho de 2025, antes de ser descoberto em janeiro de 2026. Pesquisadores de segurança independentes identificaram que atores de ameaças na China estavam explorando essa falha para enganar alvos e instalar malware. Em resposta, o site do Notepad++ foi migrado para um novo provedor de hospedagem, após o antigo ter sido comprometido até setembro de 2025, com credenciais mantidas até dezembro do mesmo ano.

Pesquisadores de cibersegurança relataram um ataque à cadeia de suprimentos que afetou o Open VSX Registry, onde atores maliciosos não identificados comprometeram recursos de um desenvolvedor legítimo para distribuir atualizações maliciosas. Em 30 de janeiro de 2026, quatro extensões do Open VSX, publicadas pelo autor oorzc, foram substituídas por versões maliciosas que incorporavam o carregador de malware GlassWorm. Essas extensões, que antes eram consideradas utilitários legítimos e acumulavam mais de 22.000 downloads, agora estão associadas a um malware que visa roubar credenciais do macOS e dados de carteiras de criptomoedas. O ataque envolveu a violação das credenciais de publicação do desenvolvedor, possivelmente através de um token vazado ou acesso não autorizado. As versões maliciosas foram removidas do Open VSX, mas o impacto potencial é significativo, especialmente para ambientes corporativos, pois expõe informações sensíveis de desenvolvedores e pode permitir movimentos laterais em redes corporativas. O malware utiliza técnicas sofisticadas para evitar detecção e é ativado apenas em máquinas que não estão localizadas na Rússia, uma estratégia observada em ataques anteriores relacionados a grupos de ameaças de língua russa.

O artigo aborda o fenômeno dos data brokers, empresas que coletam e vendem informações pessoais de consumidores para fins de marketing e análise. Essas empresas utilizam dados disponíveis na internet, como postagens em redes sociais, cookies de navegação e registros públicos, para criar perfis detalhados dos usuários, que são então vendidos a outras organizações, como bancos e varejistas. O texto destaca a controvérsia em torno da legalidade dessa prática, que, embora não seja ilegal sob a Lei Geral de Proteção de Dados (LGPD), levanta questões sobre consentimento e privacidade. Os data brokers conseguem unir informações online e offline, criando perfis que podem impactar a vida dos consumidores, como influenciar preços de seguros e a concessão de crédito. O artigo também oferece dicas sobre como os usuários podem proteger seus dados, como solicitar a remoção de informações e adotar práticas de higiene digital. A discussão é relevante para o público brasileiro, especialmente em um contexto onde a proteção de dados é uma preocupação crescente.

Um ator de ameaças está atacando instâncias expostas do MongoDB em uma série de extorsões automatizadas, exigindo resgates baixos para restaurar os dados. O foco do atacante são bancos de dados inseguros, resultantes de configurações inadequadas que permitem acesso sem restrições. Até o momento, cerca de 1.400 servidores expostos foram comprometidos, com notas de resgate solicitando aproximadamente $500 em Bitcoin. Pesquisadores da empresa de cibersegurança Flare identificaram mais de 208.500 servidores MongoDB publicamente expostos, dos quais 3.100 podiam ser acessados sem autenticação. Quase metade (45,6%) desses servidores já havia sido comprometida, com dados apagados e notas de resgate deixadas. A análise das notas revelou que a maioria exigia um pagamento de 0.005 BTC em até 48 horas, sem garantias de que os atacantes realmente possuíam os dados ou forneceriam uma chave de descriptografia funcional. Flare recomenda que administradores do MongoDB evitem expor instâncias publicamente, utilizem autenticação forte e atualizem para as versões mais recentes do software. A situação é preocupante, pois muitos servidores expostos ainda estão vulneráveis a falhas conhecidas, o que pode levar a ataques adicionais.