A Meta, empresa controladora do Facebook, WhatsApp e Instagram, anunciou planos para monitorar o movimento de mouse e teclado de seus funcionários com o objetivo de treinar modelos de inteligência artificial (IA). O software, denominado Modelo de Capacidade de Iniciativa (MCI), será instalado nos computadores da empresa e registrará o uso de periféricos enquanto os colaboradores interagem com aplicativos e sites relacionados ao seu trabalho. Embora a Meta afirme que os dados coletados não serão utilizados para avaliar o desempenho dos funcionários, a iniciativa levanta preocupações sobre privacidade e o ambiente de trabalho. O monitoramento será restrito a colaboradores nos Estados Unidos e ocorre em um contexto de demissões em massa na empresa, com cerca de 8.000 funcionários previstos para serem dispensados em maio de 2026. A Meta justifica a coleta de dados como necessária para criar agentes de IA que possam auxiliar os trabalhadores em tarefas diárias, mas a prática é criticada por potencialmente criar um ambiente de trabalho hostil.

Uma investigação realizada pela empresa de cibersegurança Infrawatch revelou a existência de 94 fazendas de SIM em 17 países, conectadas a 35 operadoras móveis, incluindo grandes redes do Reino Unido e dos Estados Unidos. Essas fazendas, que consistem em racks de cartões SIM controlados remotamente, são utilizadas para contornar sistemas de verificação baseados em telefone, como senhas de uso único enviadas por SMS. A infraestrutura é operada por uma empresa baseada na Bielorrússia, chamada ProxySmart, que fornece acesso a serviços de conectividade móvel em várias regiões. A pesquisa destacou que essas fazendas são promovidas em fóruns online e aceitam pagamentos em criptomoedas, dificultando a identificação de usuários maliciosos. A análise técnica revelou que a plataforma ProxySmart permite a rotação automática de IPs e o controle remoto de dispositivos, aumentando a dificuldade de detecção por parte das operadoras. A descoberta de tais operações levanta preocupações sobre a segurança das redes móveis e a exposição de organizações e usuários a fraudes e abusos online. A investigação foi compartilhada com autoridades de segurança antes da publicação, ressaltando a necessidade de ações mais rigorosas contra esse tipo de crime.

Uma nova operação de ransomware chamada Kyber está atacando sistemas Windows e endpoints VMware ESXi, com uma variante utilizando criptografia pós-quântica Kyber1024. A empresa de cibersegurança Rapid7 analisou duas variantes do Kyber em março de 2026, ambas implantadas na mesma rede, sendo uma focada em VMware ESXi e a outra em servidores de arquivos Windows. A variante ESXi é projetada para ambientes VMware, permitindo a criptografia de datastores e a desfiguração de interfaces de gerenciamento. Por outro lado, a variante Windows, escrita em Rust, possui uma funcionalidade experimental para atacar máquinas virtuais Hyper-V. Embora a variante Linux do ransomware afirme usar criptografia pós-quântica, na prática, utiliza ChaCha8 e RSA-4096 para a criptografia de arquivos. Já a variante Windows realmente implementa Kyber1024, mas apenas para proteger chaves simétricas, enquanto a criptografia de dados é realizada pelo AES-CTR. Ambas as variantes visam eliminar caminhos de recuperação de dados, como a exclusão de cópias de sombra e a desativação de serviços de backup. Até o momento, apenas uma vítima foi identificada, um grande contratante de defesa e serviços de TI dos EUA.

Uma nova campanha de malware baseada no Mirai está explorando a vulnerabilidade de injeção de comando CVE-2025-29635, que afeta roteadores D-Link DIR-823X. Essa falha permite que atacantes executem comandos arbitrários em dispositivos remotos ao enviar uma requisição POST para um endpoint vulnerável, resultando em execução remota de comandos (RCE). A Akamai SIRT, que detectou a campanha em março de 2026, informa que, apesar de a vulnerabilidade ter sido divulgada há 13 meses, esta é a primeira vez que a exploração ativa foi observada. Os atacantes estão utilizando requisições POST para alterar diretórios, baixar um script shell e executá-lo, instalando um malware Mirai chamado ’tuxnokill’, que suporta múltiplas arquiteturas e possui capacidades de ataque DDoS. Além disso, a campanha também explora outras vulnerabilidades em roteadores TP-Link e ZTE. Os dispositivos afetados atingiram o fim de vida útil em novembro de 2024, o que significa que é improvável que a D-Link forneça um patch para corrigir a falha. Usuários de roteadores obsoletos são aconselhados a atualizar para modelos mais novos e seguros.

A Apple lançou atualizações de segurança fora do ciclo regular para corrigir uma falha nos serviços de notificação em dispositivos iPhone e iPad. A vulnerabilidade, identificada como CVE-2026-28950, permitia que notificações marcadas para exclusão permanecessem armazenadas no dispositivo. As correções foram implementadas nas versões iOS 26.4.2, iPadOS 26.4.2, iOS 18.7.8 e iPadOS 18.7.8, disponibilizadas em 22 de abril de 2026. O boletim de segurança da Apple indica que a falha foi resolvida por meio de uma melhoria na redação de dados, mas não fornece detalhes adicionais sobre a exploração da vulnerabilidade ou o motivo da atualização emergencial. O caso se torna ainda mais relevante à luz de um incidente recente em que o FBI recuperou mensagens do aplicativo Signal de um iPhone, mesmo após a exclusão, sugerindo que os dados de notificação poderiam ser retidos. A Apple recomenda que os usuários instalem as atualizações o mais rápido possível para evitar a retenção inesperada de dados de notificações excluídas. Além disso, os usuários podem ajustar as configurações do Signal para minimizar a retenção de conteúdo de mensagens nas notificações do iOS.

Pesquisadores de cibersegurança identificaram um novo conjunto de pacotes npm que foram comprometidos para disseminar um worm auto-replicante, utilizando tokens de desenvolvedor roubados. Denominado CanisterSprawl, o malware foi detectado pelas empresas Socket e StepSecurity, que observaram que ele exfiltra dados através de um canister ICP. Os pacotes afetados incluem versões de @automagik/genie, @fairwords/loopback-connector-es, entre outros. O malware é ativado durante a instalação, utilizando um hook postinstall para roubar credenciais e segredos de ambientes de desenvolvimento, que são então usados para enviar versões contaminadas dos pacotes para o registro. Informações capturadas incluem chaves SSH, credenciais de nuvem e arquivos de configuração do Docker, além de tentativas de acessar dados de navegadores e carteiras de criptomoedas. Além disso, a campanha também inclui lógica de propagação para pacotes Python, ampliando ainda mais seu alcance. Este incidente destaca a crescente ameaça aos ecossistemas de código aberto, com ataques direcionados a plataformas como npm e PyPI, e requer atenção imediata dos profissionais de segurança.

Pesquisadores de cibersegurança alertaram sobre a presença de imagens maliciosas no repositório oficial “checkmarx/kics” do Docker Hub. A empresa de segurança da cadeia de suprimentos Socket revelou que atacantes desconhecidos conseguiram sobrescrever tags existentes, como v2.1.20 e alpine, e introduzir uma nova tag v2.1.21 que não corresponde a uma versão oficial. A análise das imagens comprometidas indica que o binário KICS foi modificado para incluir capacidades de coleta e exfiltração de dados, o que representa um risco significativo para equipes que utilizam KICS para escanear arquivos de infraestrutura como código que podem conter credenciais ou dados de configuração sensíveis. Além disso, ferramentas de desenvolvimento da Checkmarx, como extensões recentes do Microsoft Visual Studio Code, também podem ter sido afetadas, permitindo que código malicioso fosse baixado e executado sem confirmação do usuário. Organizações que utilizaram a imagem KICS comprometida devem considerar qualquer segredo ou credencial exposta como potencialmente comprometida. A Socket sugere que este incidente não é isolado, mas parte de uma violação mais ampla da cadeia de suprimentos que afeta vários canais de distribuição da Checkmarx.

A Microsoft declarou que o Microsoft Defender, antivírus integrado ao Windows 11, é adequado para proteger a maioria dos usuários contra ciberataques. Em um comunicado oficial, a empresa afirmou que, para muitos usuários, o Defender é suficiente para cobrir os riscos diários sem a necessidade de um software antivírus adicional. No entanto, a Microsoft enfatizou que o Defender deve ter a proteção padrão ativada, além de downloads conscientes de software e atualizações regulares do sistema para funcionar de maneira eficaz. Apesar de sua confiança no Defender, a Microsoft reconhece que a adição de um antivírus de terceiros pode ser benéfica, dependendo do uso do PC e das necessidades específicas do usuário, como gerenciamento de múltiplos dispositivos ou controle parental. O Defender é projetado para proteger contra ameaças como phishing e ransomware, mas a empresa também alertou que antivírus adicionais podem sobrecarregar o sistema. A reputação da Microsoft em segurança cibernética é frequentemente questionada, dado o número de malwares que afetam seus sistemas operacionais. Portanto, a escolha de um antivírus adicional deve ser considerada com cautela.

O RAMP (Russian Anonymous Marketplace) foi um fórum de cibercrime que operou de 2021 até sua apreensão pelo FBI em janeiro de 2026. Com mais de 7.700 usuários registrados, o fórum facilitava a venda de acessos a redes corporativas, malware e dados roubados, destacando-se pela sua acessibilidade tanto na rede Tor quanto na clearnet. O acesso a redes corporativas era o foco principal, com 333 threads oferecendo pontos de entrada, sendo o RDP (Remote Desktop Protocol) o tipo mais comum. Os Estados Unidos foram o principal alvo, representando 40% das listagens. O fórum também promovia programas de ransomware como serviço (RaaS), com divisões de lucros que chegaram a 90% para os afiliados. A atividade no fórum aumentou 348% em um ano, indicando uma resiliência após ações de law enforcement. O aumento das listagens de acesso VPN reflete uma mudança nas táticas de ataque, especialmente após a divulgação de vulnerabilidades críticas em produtos populares como Cisco e Fortinet. O RAMP exemplifica a crescente complexidade e a interconexão do cibercrime global, exigindo atenção redobrada das organizações, especialmente em setores críticos como governo, finanças e tecnologia.

O grupo de ransomware Qilin reivindicou a responsabilidade por um ataque cibernético ocorrido em março de 2026 contra o governo local de Rusk County, Wisconsin. Os oficiais do condado relataram um ‘incidente de cibersegurança’ no início de março, que ainda está sob investigação. A confirmação do ataque foi feita pelo Qilin em seu site de vazamento de dados em 21 de abril de 2026, embora o condado não tenha reconhecido oficialmente a reivindicação. O grupo Qilin, baseado na Rússia, é conhecido por suas táticas de phishing e opera um modelo de ransomware como serviço, permitindo que afiliados utilizem seu malware para realizar ataques. Até agora, em 2026, o Qilin já reivindicou 411 ataques, sendo que 27 organizações confirmaram as invasões. O ataque a Rusk County é o quarto contra entidades governamentais neste ano, destacando uma tendência preocupante de ataques a governos nos EUA. Esses incidentes podem resultar em roubo de dados e paralisação de sistemas, obrigando as autoridades a pagar resgates para restaurar o funcionamento normal. O caso de Rusk County se junta a outros ataques recentes, como os ocorridos em Tulsa, Oklahoma, e Seal Beach, Califórnia.

A Microsoft está prestes a implementar um novo Modo de Eficiência para o Microsoft Teams, destinado a dispositivos com recursos limitados de CPU e memória, visando melhorar a responsividade do aplicativo. De acordo com um comunicado da empresa, essa nova experiência otimizada será ativada por padrão em dispositivos elegíveis e ajustará o uso de recursos com base nas capacidades do dispositivo, melhorando também a qualidade das reuniões. Quando ativado, a resolução de vídeo enviada pela câmera do usuário será ajustada dinamicamente durante as reuniões, e o aplicativo Teams será iniciado sem um chat pré-selecionado, exibindo uma imagem estática na área de mensagens. A implementação começará em maio de 2026 e se estenderá até meados do mesmo mês. Os usuários poderão optar por não usar o modo de eficiência nas configurações do aplicativo. Além disso, a Microsoft está introduzindo melhorias de segurança, como uma nova ferramenta para relatar usuários externos suspeitos e um Relatório de Detecção de Segurança no centro de administração do Teams, que reunirá todas as detecções de segurança de mensagens. Essas melhorias visam ajudar as organizações a responder mais rapidamente a ameaças externas, como phishing e tentativas de impersonalização.

Um novo ataque à cadeia de suprimentos está afetando o ecossistema do Node Package Manager (npm), visando roubar credenciais de desenvolvedores e se espalhar por meio de pacotes publicados a partir de contas comprometidas. Pesquisadores das empresas de segurança Socket e StepSecurity identificaram múltiplos pacotes da Namastex Labs, que fornece soluções baseadas em IA, já comprometidos. As técnicas utilizadas para roubo de credenciais e exfiltração de dados são semelhantes às do ataque CanisterWorm, mas não há evidências suficientes para atribuição confiável. Entre os 16 pacotes comprometidos estão @automagik/genie e pgserve, que são utilizados em ferramentas de IA e operações de banco de dados, indicando que o ataque foca em alvos de alto valor. O código malicioso coleta dados sensíveis, como tokens, chaves de API e credenciais de serviços em nuvem. O malware é descrito como um ‘verme de cadeia de suprimentos’, que pode se propagar rapidamente se as condições forem favoráveis. Os desenvolvedores são aconselhados a tratar todas as versões listadas como maliciosas e a remover imediatamente os pacotes afetados de seus sistemas. Além disso, é recomendado rotacionar todas as credenciais potencialmente expostas.

As chamadas fraudulentas se tornaram uma realidade diária para milhões de pessoas em todo o mundo, com vítimas sendo alvo de agentes que se passam por autoridades, representantes de bancos e suporte técnico. Em 2023, cidadãos idosos nos EUA perderam cerca de US$ 3,4 bilhões devido a esse tipo de crime, que também causa danos emocionais significativos. O conceito de ‘Caller-as-a-Service’ representa uma evolução no cibercrime, onde as operações se tornaram altamente organizadas e profissionais, com papéis bem definidos, como desenvolvedores de malware, analistas de dados e, claro, os próprios scam callers. Esses criminosos agora utilizam táticas de recrutamento sofisticadas, buscando candidatos com habilidades específicas, como fluência em inglês e experiência prévia em fraudes. Além disso, os modelos de compensação variam, podendo incluir pagamentos fixos ou baseados em sucesso, refletindo uma estrutura de mercado que se assemelha a empresas legítimas. Essa profissionalização do crime cibernético não apenas aumenta a eficiência das operações, mas também reduz a barreira de entrada para novos criminosos, tornando a fraude mais acessível e impactante.

A polícia espanhola anunciou a desarticulação da maior plataforma de pirataria de mangás em língua espanhola, que operava desde 2014 e atraía milhões de usuários mensais. A plataforma, que não foi nomeada, oferecia acesso gratuito a obras protegidas por direitos autorais, gerando mais de 4,7 milhões de dólares em receita publicitária, em grande parte através de pop-ups agressivos, muitos dos quais eram de conteúdo pornográfico, o que levanta preocupações sobre a segurança de usuários menores de idade. A investigação, iniciada em junho de 2025, levou a uma operação que incluiu a apreensão de dispositivos de armazenamento com carteiras de criptomoedas, totalizando mais de 470 mil dólares em ativos digitais. A ação também resultou na prisão de um suspeito que estava desenvolvendo um segundo site para continuar as atividades ilegais. A operação teve um impacto internacional significativo, causando danos financeiros e reputacionais a editores e à indústria cultural como um todo.

Em 31 de janeiro de 2026, pesquisadores revelaram que o Moltbook, uma rede social voltada para agentes de IA, deixou seu banco de dados exposto, resultando na divulgação de 35 mil endereços de e-mail e 1,5 milhão de tokens de API de agentes ativos. O problema se agrava com a presença de credenciais de terceiros em mensagens privadas, incluindo chaves da API do OpenAI, armazenadas em tabelas não criptografadas. Essa situação exemplifica uma combinação tóxica de permissões entre aplicações, onde um agente de IA atua como intermediário sem a devida autorização dos proprietários das plataformas. A falta de revisão de acessos entre aplicações contribui para essa vulnerabilidade, já que a maioria das auditorias de acesso ainda se concentra em uma única aplicação, ignorando as interações entre elas. Para mitigar esses riscos, é essencial revisar as concessões de escopo entre aplicativos, manter um inventário de identidades não humanas e monitorar continuamente as anomalias de escopo. Plataformas de segurança dinâmicas, como a Reco, podem ajudar a automatizar essa visão cruzada, permitindo que as organizações identifiquem e revoguem acessos arriscados antes que sejam explorados.

Pesquisadores de cibersegurança identificaram um novo malware, denominado Lotus Wiper, que tem sido utilizado em ataques direcionados ao setor de energia e utilidades na Venezuela. O ataque, que ocorreu no final de 2025 e início de 2026, utiliza scripts em lote para iniciar uma fase destrutiva, desativando defesas do sistema e preparando o ambiente para a execução do wiper. Uma vez implantado, o Lotus Wiper apaga mecanismos de recuperação, sobrescreve conteúdos de drives físicos e exclui arquivos sistematicamente, deixando os sistemas inoperantes. Não há indícios de que os atacantes busquem ganhos financeiros, o que sugere uma motivação política ou estratégica. O malware foi carregado em uma plataforma pública semanas antes de ações militares dos EUA na Venezuela, levantando questões sobre possíveis conexões. A Kaspersky recomenda que organizações monitorem mudanças em compartilhamentos NETLOGON e atividades de escalonamento de privilégios, além do uso de utilitários nativos do Windows que podem ser utilizados para ações destrutivas. O ataque é particularmente preocupante devido à sua natureza direcionada e ao fato de que os atacantes parecem ter conhecimento prévio do ambiente operacional.

O grupo de ciberespionagem conhecido como Harvester lançou uma nova versão do backdoor GoGra, agora direcionada a sistemas Linux, em ataques que visam entidades na Ásia do Sul, especialmente na Índia e no Afeganistão. O malware utiliza a API do Microsoft Graph e caixas de entrada do Outlook como um canal de comando e controle (C2) encoberto, permitindo que ele contorne as defesas tradicionais de rede. A Symantec e a Carbon Black identificaram que o malware é capaz de enganar as vítimas por meio de engenharia social, disfarçando arquivos ELF como documentos PDF. Uma vez instalado, o GoGra se conecta a uma pasta específica no Outlook a cada dois segundos, procurando por mensagens que contenham comandos a serem executados. Após a execução, os resultados são enviados de volta ao operador, enquanto o malware apaga as mensagens originais para evitar detecções. A continuidade do desenvolvimento de ferramentas pelo Harvester indica uma expansão de suas capacidades de ataque, o que representa um risco crescente para organizações que utilizam tecnologias da Microsoft na região.

Richard Horne, chefe do Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido, afirmou que ferramentas de IA, como o Mythos Preview, podem fortalecer as defesas cibernéticas se forem devidamente protegidas. Durante a conferência CyberUK, Horne destacou que a IA de ponta está facilitando a descoberta e exploração de vulnerabilidades existentes em larga escala, permitindo que os defensores se antecipem a cibercriminosos. O Mythos Preview, parte do Projeto Glasswing da Anthropic, demonstrou eficácia ao identificar 271 vulnerabilidades na versão mais recente do navegador Firefox, em comparação com apenas 22 encontradas por um modelo anterior. Essa capacidade de detectar falhas rapidamente pode mudar a dinâmica entre defensores e atacantes, oferecendo uma oportunidade para que as empresas se preparem melhor contra ameaças cibernéticas. Horne enfatizou que, com as regulamentações e salvaguardas adequadas, essas ferramentas de hacking baseadas em IA podem ser um trunfo significativo na luta contra o crime cibernético.

Mais de 1.300 servidores Microsoft SharePoint estão expostos na internet e ainda não foram corrigidos contra uma vulnerabilidade de spoofing, identificada como CVE-2026-32201. Essa falha afeta as versões SharePoint Enterprise Server 2016, SharePoint Server 2019 e a Subscription Edition. A Microsoft, ao lançar um patch em abril de 2026, destacou que a exploração bem-sucedida da vulnerabilidade permite que atacantes sem privilégios realizem spoofing de rede, aproveitando uma fraqueza na validação de entrada. Embora a Microsoft tenha classificado a vulnerabilidade como um zero-day, ainda não foram divulgadas informações sobre como foi explorada em ataques ou se há ligação com grupos de hackers específicos. A Shadowserver alertou que menos de 200 dos servidores vulneráveis foram corrigidos desde o lançamento do patch. A CISA, agência de cibersegurança dos EUA, incluiu a vulnerabilidade em seu catálogo de vulnerabilidades conhecidas e ordenou que agências federais aplicassem os patches em um prazo de duas semanas, destacando os riscos significativos que essa vulnerabilidade representa para a segurança federal. Além disso, a CISA também alertou sobre outra vulnerabilidade no Windows Task Host que permite a elevação de privilégios, exigindo atenção imediata das agências.

A Microsoft divulgou atualizações de segurança fora do ciclo regular para corrigir uma vulnerabilidade crítica de escalonamento de privilégios no ASP.NET Core, identificada como CVE-2026-40372. Essa falha, encontrada nas APIs criptográficas de Proteção de Dados do ASP.NET Core, permite que atacantes não autenticados obtenham privilégios de sistema em dispositivos afetados ao forjar cookies de autenticação. A vulnerabilidade foi descoberta após relatos de usuários sobre falhas de descriptografia em suas aplicações após a atualização do .NET 10.0.6. A Microsoft alertou que um erro na validação de HMAC pode permitir que um atacante crie cargas úteis que passem nas verificações de autenticidade do DataProtection, possibilitando a descriptografia de dados anteriormente protegidos. Caso um atacante tenha se autenticado como um usuário privilegiado durante a janela vulnerável, ele poderia ter recebido tokens legítimos, que permanecem válidos mesmo após a atualização para a versão 10.0.7, a menos que a chave de proteção de dados seja rotacionada. A empresa recomenda que todos os clientes atualizem o pacote Microsoft.AspNetCore.DataProtection para a versão 10.0.7 o mais rápido possível e reimplantem suas aplicações para corrigir a rotina de validação. Além disso, a Microsoft também abordou uma vulnerabilidade de ‘smuggling’ de requisições HTTP em seu servidor web Kestrel, destacando a importância de manter os sistemas atualizados.

Uma nova variante do backdoor GoGra, desenvolvida pelo grupo de espionagem Harvester, utiliza a infraestrutura legítima da Microsoft para realizar entregas furtivas de payloads. O malware, que opera em sistemas Linux, se aproveita da API Microsoft Graph para acessar dados de caixas de entrada do Outlook. A análise da Symantec revelou que o acesso inicial é obtido ao enganar as vítimas para que executem arquivos ELF disfarçados de PDFs. Após a autenticação com credenciais do Azure Active Directory, o malware verifica a pasta de e-mails “Zomato Pizza” a cada dois segundos, utilizando consultas OData para identificar mensagens com o assunto “Input”. O conteúdo dessas mensagens é então decifrado e executado localmente, com os resultados sendo enviados de volta ao operador via e-mails com o assunto “Output”. Para aumentar a furtividade, o malware apaga o e-mail original após o processamento. A similaridade do código entre as versões para Linux e Windows sugere que ambas foram criadas pelo mesmo desenvolvedor, reforçando a ideia de que o Harvester está ampliando seu conjunto de ferramentas e escopo de ataque.

A Microsoft confirmou um problema em seu serviço Universal Print, que impede usuários de criar compartilhamentos de impressoras em determinadas situações. O erro, identificado como UP1287359, ocorre devido a uma alteração no código da API Microsoft Graph, que aumentou a latência de replicação do diretório Entra ID e expôs uma condição de corrida preexistente no fluxo de criação de compartilhamento do Universal Print. Como resultado, usuários podem ver erros intermitentes de “Falha ao Compartilhar Impressora” ao tentar criar compartilhamentos com a opção “Permitir todos os usuários da minha organização” ativada ou ao selecionar usuários ou grupos específicos. A Microsoft está implementando uma correção e forneceu um procedimento de mitigação em 13 etapas para ajudar os usuários afetados a contornar o problema até que a solução definitiva seja aplicada. Embora a empresa não tenha especificado quantos usuários ou quais regiões estão impactados, o incidente foi classificado como crítico, dada a sua relevância para os serviços de impressão em nuvem utilizados por clientes do Microsoft 365.

Uma vulnerabilidade crítica foi identificada no Terrarium, um sandbox baseado em Python, que pode permitir a execução de código arbitrário. Classificada como CVE-2026-5752, a falha recebeu uma pontuação de 9.3 no sistema CVSS, indicando seu alto risco. A vulnerabilidade se origina de uma exploração na cadeia de protótipos do JavaScript no ambiente WebAssembly do Pyodide, que possibilita a execução de comandos do sistema com privilégios de root no processo Node.js host. Isso pode permitir que atacantes escapem do sandbox e acessem arquivos sensíveis, como ‘/etc/passwd’, além de potencialmente escalar privilégios e comprometer outros serviços na rede do container. Embora a exploração exija acesso local ao sistema, não requer interação do usuário ou privilégios especiais. O pesquisador de segurança Jeremy Brown descobriu e relatou a falha, e como o projeto não está mais sendo mantido, é improvável que um patch seja disponibilizado. O CERT/CC recomenda que os usuários desativem recursos que permitam o envio de código ao sandbox, segmentem a rede e implementem um firewall de aplicação web para detectar tráfego suspeito. A falha destaca a inadequação do sandbox em prevenir o acesso a protótipos de objetos globais, comprometendo a segurança esperada.

Pesquisadores de cibersegurança identificaram uma nova variante do malware LOTUSLITE, que está sendo distribuído por meio de temas relacionados ao setor bancário da Índia. O malware, que se comunica com um servidor de comando e controle baseado em DNS dinâmico, permite acesso remoto, operações de arquivos e gerenciamento de sessões, indicando que seu uso está mais voltado para espionagem do que para objetivos financeiros. Anteriormente, o LOTUSLITE foi utilizado em ataques de spear-phishing direcionados a entidades governamentais dos EUA, com ligações a um grupo de estado-nação chinês conhecido como Mustang Panda. A nova campanha foca principalmente no setor bancário indiano, utilizando arquivos CHM que incorporam cargas maliciosas. O ataque começa com um arquivo CHM que contém um executável legítimo e uma DLL maliciosa, que, ao ser executada, se conecta a um domínio para receber comandos e exfiltrar dados. Além disso, foram encontrados artefatos semelhantes direcionados a entidades sul-coreanas, sugerindo uma ampliação do escopo de ataque do grupo. Essa evolução no uso do malware e a diversificação dos alvos ressaltam a necessidade de vigilância constante e medidas de segurança robustas, especialmente em setores críticos como o bancário.

A Microsoft lançou atualizações fora do ciclo regular para corrigir uma vulnerabilidade crítica no ASP.NET Core, identificada como CVE-2026-40372, que permite a um atacante escalar privilégios. Com uma pontuação CVSS de 9.1, a falha foi descoberta por um pesquisador anônimo e é classificada como importante. A vulnerabilidade resulta de uma verificação inadequada da assinatura criptográfica na biblioteca Microsoft.AspNetCore.DataProtection, que pode permitir que um invasor obtenha privilégios de sistema em aplicações que utilizam versões específicas da biblioteca em sistemas operacionais não-Windows, como Linux e macOS. A Microsoft esclareceu que a exploração bem-sucedida depende de três condições: o uso da versão 10.0.6 da biblioteca, a carga correta da biblioteca em tempo de execução e a execução em um sistema operacional compatível. A atualização para a versão 10.0.7 corrige a falha, mas tokens legítimos emitidos durante a janela de vulnerabilidade permanecem válidos, a menos que a chave de proteção de dados seja rotacionada. A empresa recomenda que os administradores atualizem suas aplicações imediatamente para mitigar riscos de exploração.

Um estudo recente revelou que agentes de inteligência artificial (IA), como o OpenClaw, estão sendo implantados com permissões excessivas, tornando-se alvos fáceis para hackers. A pesquisa identificou mais de 40 mil instâncias do OpenClaw expostas diretamente à internet, com 63% delas vulneráveis a execuções remotas de código. Isso significa que atacantes podem assumir o controle de máquinas sem interação do usuário. As permissões concedidas a esses agentes, que podem acessar e gerenciar e-mails, arquivos e outras funções, são frequentemente configuradas sem as devidas precauções de segurança. Além disso, três vulnerabilidades de alta severidade foram identificadas, com códigos de exploração já disponíveis, facilitando o ataque. A falta de práticas de segurança adequadas durante o desenvolvimento desses sistemas de IA é alarmante, pois muitos usuários não percebem os riscos ao integrar esses agentes em suas rotinas diárias. As autoridades chinesas já restringiram o uso do OpenClaw em ambientes de escritório devido a esses riscos. Especialistas alertam que é crucial que os usuários avaliem cuidadosamente as permissões concedidas a esses sistemas antes de utilizá-los.

Uma nova campanha de fraude digital, chamada Pushpaganda, está utilizando inteligência artificial para enganar usuários do Google Discover, inundando dispositivos com alertas falsos e notificações enganosas. Segundo a equipe de inteligência de ameaças Satori da HUMAN, essa operação é um exemplo de engenharia social em grande escala. Os golpistas criaram 113 domínios e usaram ferramentas de IA para gerar artigos e imagens sensacionalistas que atraem cliques. Uma vez que o usuário acessa um dos sites manipulados, é incentivado a ativar notificações push, que posteriormente enviam alertas ameaçadores sem relação com o site original. Os tipos de notificações incluem avisos falsos de mandados de prisão, depósitos bancários inexistentes e promessas de smartphones com câmeras de 300MP. A campanha, que inicialmente visava usuários na Índia, se espalhou para países como Estados Unidos, Austrália e Reino Unido, gerando cerca de 240 milhões de solicitações de anúncios em uma semana. A Google afirmou que está combatendo a maioria do spam no Discover, mas recomenda que os usuários não ativem notificações de sites desconhecidos e que revisem suas configurações de notificações para bloquear domínios suspeitos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou as agências governamentais sobre uma vulnerabilidade no Catalyst SD-WAN Manager, que está sendo ativamente explorada em ataques. A falha, identificada como CVE-2026-20133, permite que atacantes remotos não autenticados acessem informações sensíveis em dispositivos não corrigidos. A Cisco já havia lançado um patch para essa vulnerabilidade em fevereiro, mas a CISA agora exige que as agências federais apliquem as correções até 24 de abril. A vulnerabilidade é resultado de restrições insuficientes de acesso ao sistema de arquivos, permitindo que um invasor acesse a API do sistema afetado. Além disso, a CISA incluiu essa falha em seu Catálogo de Vulnerabilidades Conhecidas (KEV) devido a evidências de exploração ativa. A Cisco ainda não confirmou a exploração da falha, mas já havia identificado outras vulnerabilidades críticas em seus produtos. A situação destaca a importância de uma resposta rápida a vulnerabilidades em sistemas amplamente utilizados, como os da Cisco, que são comuns em diversas organizações.

A Ofcom, reguladora independente de comunicações do Reino Unido, iniciou uma investigação sobre o Telegram devido a evidências de que a plataforma está sendo utilizada para compartilhar material de abuso sexual infantil (CSAM). A investigação foi motivada por informações recebidas do Canadian Centre for Child Protection e pela própria avaliação da Ofcom sobre a plataforma. A Ofcom está avaliando se o Telegram está cumprindo suas obrigações de segurança em relação a conteúdos ilegais, conforme estipulado pela Lei de Segurança Online do Reino Unido. Em resposta, o Telegram negou as acusações, afirmando que desde 2018 eliminou praticamente a disseminação pública de CSAM em sua plataforma. Além disso, a Ofcom também está investigando outros sites de bate-papo voltados para adolescentes e a plataforma X, em relação a conteúdos sexualmente explícitos não consensuais. Caso a Ofcom identifique falhas de conformidade, poderá impor multas de até £18 milhões ou 10% da receita mundial qualificada, além de solicitar ordens judiciais que podem resultar na proibição da plataforma no Reino Unido.

A prevenção de fraudes e a experiência do usuário historicamente foram vistas como forças opostas. Aumentar a segurança pode afastar clientes legítimos, enquanto afrouxá-la abre portas para fraudes como roubo de contas e identidades sintéticas. No entanto, plataformas modernas de inteligência contra fraudes estão mudando essa dinâmica. As estratégias mais eficazes operam em segundo plano, combinando sinais de risco em tempo real para bloquear ações maliciosas sem criar obstáculos para usuários legítimos. O artigo destaca que cada fricção desnecessária, como CAPTCHAs ou autenticações adicionais, pode resultar em custos significativos, como aumento nas taxas de abandono de carrinhos e queda nas inscrições de novos usuários. Além disso, a subdetecção de fraudes pode custar até 5% da receita anual das organizações. O processo de inscrição é um ponto crítico, onde a análise de e-mails e números de telefone deve ser rápida e precisa. A fraude no login, especialmente o roubo de contas, é outro vetor de ataque significativo, exigindo detecções de anomalias que não penalizem usuários legítimos. O artigo conclui apresentando a IPQS, uma plataforma que oferece soluções de prevenção de fraudes em tempo real, utilizando uma abordagem de múltiplos sinais para otimizar a tomada de decisões.

Um novo malware de destruição de dados, chamado Lotus, foi utilizado em ataques direcionados a organizações de energia e serviços públicos na Venezuela no ano passado. O malware, que foi analisado pela Kaspersky, foi carregado em uma plataforma pública em dezembro e é projetado para eliminar completamente sistemas comprometidos, sobrescrevendo drives físicos e eliminando opções de recuperação. Os ataques começam com scripts em lote que desativam serviços do Windows e preparam o sistema para a fase final de destruição. O Lotus opera em um nível mais baixo, interagindo diretamente com os discos, apagando pontos de restauração e sobrescrevendo setores físicos. A atividade observada coincide com tensões geopolíticas na região, especialmente após a captura do ex-presidente Nicolás Maduro. Embora a empresa estatal Petróleos de Venezuela (PDVSA) tenha sofrido um ataque cibernético que desativou seus sistemas de entrega, não há evidências públicas de que seus sistemas tenham sido apagados. A Kaspersky recomenda que administradores de sistemas monitorem mudanças em compartilhamentos NETLOGON e o uso inesperado de comandos como ‘diskpart’ e ‘robocopy’. Manter backups offline regulares é uma medida preventiva contra esse tipo de malware.

A Agência Nacional de Documentos Seguros da França (ANTS) anunciou um vazamento de dados após um ataque cibernético que comprometeu informações de cidadãos. O incidente, detectado em 15 de abril de 2026, pode ter exposto dados como endereços de e-mail, datas de nascimento, identificadores de conta, endereços postais, locais de nascimento e números de telefone de um número não divulgado de indivíduos. Embora a ANTS tenha afirmado que as informações expostas não permitem acesso não autorizado aos seus portais eletrônicos, os dados podem ser utilizados em ataques de phishing e engenharia social. A agência está notificando os afetados e alertou para a necessidade de vigilância em relação a comunicações suspeitas. Um ator de ameaças, conhecido como ‘breach3d’, reivindicou a responsabilidade pelo ataque, alegando ter em sua posse até 19 milhões de registros, que incluem nomes completos, detalhes de contato e informações pessoais. A ANTS notificou as autoridades de proteção de dados e a agência nacional de cibersegurança da França, ressaltando que a venda ou disseminação dos dados é ilegal.

As equipes de segurança frequentemente utilizam o MTTR (Mean Time to Recovery) como um KPI interno, mas a liderança vê isso de forma diferente: cada hora em que uma ameaça permanece no ambiente é uma hora de potencial exfiltração de dados, interrupção de serviços e danos à marca. O artigo destaca que a causa raiz do MTTR lento não é a falta de analistas, mas sim a inteligência sobre ameaças que existe fora do fluxo de trabalho. Para melhorar a eficiência, os Centros de Operações de Segurança (SOCs) maduros integram a inteligência diretamente em seus processos.

O grupo de ransomware conhecido como The Gentlemen, que opera sob o modelo de ransomware-as-a-service (RaaS), está utilizando um malware proxy chamado SystemBC para expandir suas operações. De acordo com a pesquisa da Check Point, o servidor de comando e controle (C2) associado ao SystemBC revelou uma botnet com mais de 1.570 vítimas em todo o mundo. O SystemBC estabelece túneis de rede SOCKS5 e pode baixar e executar malware adicional, complicando a defesa das vítimas. Desde sua aparição em julho de 2025, The Gentlemen já reivindicou mais de 320 vítimas em seu site de vazamento de dados, utilizando um modelo de dupla extorsão. As táticas do grupo incluem o uso de objetos de política de grupo (GPOs) para comprometer domínios inteiros e a desativação de ferramentas de segurança como o Windows Defender. A pesquisa também destaca que a velocidade dos ataques está aumentando, com a maioria das tentativas ocorrendo durante a noite e nos fins de semana, visando maximizar o impacto antes que as defesas possam reagir. O cenário atual de ransomware é caracterizado por uma evolução para operações mais disciplinadas e especializadas, com um aumento significativo nos ataques a pequenas e médias empresas e setores críticos.

O Hospital Caribbean Medical Center, localizado em Porto Rico, registrou uma violação de dados que afetou 92.000 registros no portal de violações do Departamento de Saúde e Serviços Humanos dos EUA. O ataque, reivindicado pelo grupo de ransomware The Gentlemen, ocorreu em fevereiro de 2026. Em março, o hospital confirmou que conseguiu conter o ataque, que impactou parte de seus sistemas de informação. A detecção precoce permitiu a implementação de medidas de contenção com o apoio de especialistas em cibersegurança. Embora o hospital tenha notificado as autoridades competentes e esteja colaborando na análise técnica do incidente, não confirmou se um resgate foi exigido ou pago. Este ataque é o quarto confirmado contra provedores de saúde, destacando a crescente ameaça de ransomware no setor. Em 2026, já foram registrados 27 ataques confirmados a instituições de saúde em todo o mundo, com o Hospital Caribbean Medical Center sendo o segundo maior em termos de registros afetados. A situação ressalta a necessidade urgente de medidas de segurança robustas para proteger dados sensíveis na área da saúde.

A Southern Illinois Dermatology confirmou que notificou 160.312 pessoas sobre uma violação de dados ocorrida em novembro de 2025, que comprometeu informações sensíveis, incluindo números de Seguro Social, números de telefone, endereços de e-mail e registros médicos. O incidente foi classificado como um ‘incidente de cibersegurança’, onde um grupo criminoso chamado Insomnia reivindicou a responsabilidade pelo ataque, alegando ter acessado e roubado dados dos pacientes. O grupo publicou amostras de documentos supostamente roubados em seu site de vazamento de dados, e notificou a clínica sobre o ataque em 28 de novembro de 2025, possivelmente exigindo um resgate. A clínica não confirmou a reivindicação do grupo e não se sabe como a violação ocorreu, nem se um resgate foi pago. Este ataque é um dos maiores registrados, com 135 ataques de ransomware em provedores de saúde dos EUA em 2025, comprometendo mais de 11,9 milhões de registros pessoais e médicos. A Southern Illinois Dermatology opera 13 clínicas em várias cidades do estado, e a situação destaca a crescente ameaça de ataques cibernéticos no setor de saúde.

O setor de cibersegurança enfrenta um desafio crescente com ataques baseados em identidade, que continuam a ser a principal porta de entrada para invasores. Apesar do foco em ameaças sofisticadas, como exploits de zero-day e compromissos de cadeia de suprimentos, as credenciais roubadas permanecem a forma mais comum de acesso inicial. Os atacantes utilizam técnicas como credential stuffing, password spraying e phishing para obter credenciais válidas, permitindo que se infiltrar nas redes sem levantar suspeitas. Uma vez dentro, eles podem se mover lateralmente e expandir seu controle rapidamente, levando a incidentes graves, como ataques de ransomware.

Pesquisadores de cibersegurança descobriram uma nova versão do malware NGate, que agora abusa de um aplicativo legítimo chamado HandyPay. O malware, que permite a transferência de dados NFC de cartões de pagamento para dispositivos dos atacantes, foi identificado como uma ameaça crescente, especialmente no Brasil. O ataque ocorre quando os usuários são enganados a baixar uma versão comprometida do HandyPay, disfarçada como um aplicativo de proteção de cartão ou um site de loteria. Após a instalação, o aplicativo solicita que o usuário defina o HandyPay como o aplicativo de pagamento padrão e insira o PIN do cartão, permitindo que o malware capture e retransmita os dados do cartão para os criminosos. Essa campanha, que começou em novembro de 2025, destaca a crescente utilização de inteligência artificial por cibercriminosos para desenvolver malware, mesmo sem experiência técnica avançada. A ESET, empresa de segurança que identificou a ameaça, alerta que a fraude NFC está em ascensão, e a escolha do HandyPay pelos atacantes pode estar relacionada ao seu custo mais baixo e à ausência de permissões suspeitas.

Angelo Martino, um negociador de ransomware de 41 anos, se declarou culpado por realizar ataques de ransomware contra empresas nos Estados Unidos em 2023. Ele colaborou com o grupo criminoso BlackCat, fornecendo informações confidenciais sobre as posições de negociação de cinco vítimas, sem o conhecimento ou consentimento delas. Essas informações incluíam limites de apólices de seguro e estratégias internas, o que resultou em resgates mais altos. Martino foi compensado financeiramente por essas informações. Além disso, ele admitiu ter trabalhado com outros dois respondentes a incidentes para implantar o ransomware BlackCat em várias vítimas entre abril e novembro de 2023, extorquindo uma delas em aproximadamente 1,2 milhão de dólares em Bitcoin. As autoridades confiscam 10 milhões de dólares em ativos de Martino, incluindo criptomoedas e veículos. Ele enfrenta uma pena máxima de 20 anos de prisão e está programado para ser sentenciado em julho de 2026. O caso destaca a traição de confiança em um setor que deveria proteger as vítimas de ataques cibernéticos.

Pesquisadores de cibersegurança identificaram 22 novas vulnerabilidades em conversores serial-IP populares da Lantronix e Silex, que podem ser exploradas para sequestrar dispositivos vulneráveis e adulterar dados trocados por eles. As falhas, coletivamente chamadas de BRIDGE:BREAK, foram descobertas pela Forescout Research Vedere Labs, que encontrou quase 20.000 conversores Serial-to-Ethernet expostos online em todo o mundo. Entre as vulnerabilidades, destacam-se a execução remota de código, a execução de código do lado do cliente, negação de serviço, bypass de autenticação e a possibilidade de assumir o controle dos dispositivos. A exploração bem-sucedida dessas falhas pode permitir que atacantes interrompam comunicações seriais com ativos de campo e alterem valores de sensores. A Lantronix e a Silex já disponibilizaram atualizações de segurança para corrigir as falhas identificadas. Além de aplicar patches, os usuários são aconselhados a substituir credenciais padrão, evitar senhas fracas e segmentar redes para proteger os conversores de IP serial. Este cenário destaca a importância da segurança em ambientes críticos, onde esses dispositivos são cada vez mais utilizados para conectar equipamentos legados a redes IP.

A Microsoft emitiu um alerta sobre fraudes no Microsoft Teams, onde hackers estão se passando por funcionários de TI para obter acesso remoto a sistemas corporativos. Os atacantes utilizam a funcionalidade de chat entre locatários para se comunicar com as vítimas, mesmo não pertencendo à organização. Eles convencem os usuários a conceder acesso remoto por meio de ferramentas legítimas, como o Quick Assist, que permite suporte técnico remoto. Após obter acesso, os criminosos podem executar códigos maliciosos disfarçados de programas confiáveis, movendo-se lateralmente pela rede da empresa e coletando dados sensíveis. Essa técnica é eficaz porque se disfarça de atividades normais de suporte de TI, não acionando alarmes de segurança. A Microsoft observou que os atacantes também instalam ferramentas de gerenciamento remoto, como o Rclone, para exfiltrar dados para armazenamento em nuvem. O alerta destaca a importância de conscientizar os usuários sobre esses tipos de ataques, que podem passar despercebidos devido à sua natureza camuflada.

Uma nova variante do malware NGate, que rouba dados de pagamentos NFC, está atacando usuários de Android ao se esconder em uma versão trojanizada do aplicativo HandyPay, uma ferramenta legítima de processamento de pagamentos móveis. Originalmente documentado em meados de 2024, o NGate utiliza o chip de comunicação de campo próximo (NFC) dos dispositivos móveis para capturar informações de cartões de pagamento, que são enviadas ao atacante para criar cartões virtuais usados em compras não autorizadas ou saques em caixas eletrônicos. A nova variante, descoberta pela ESET, foi injetada com código malicioso e contém emojis, sugerindo o uso de ferramentas de IA generativa em seu desenvolvimento. O HandyPay, disponível no Google Play desde 2021, permite transmissões de dados baseadas em NFC, que o NGate explora para exfiltrar informações de cartões. A campanha, ativa desde novembro de 2025, utiliza dois métodos de distribuição: um aplicativo falso chamado “Proteção Cartão” e um site de loteria falso que redireciona os usuários para o WhatsApp, onde são levados a baixar o APK malicioso. Após a instalação, o aplicativo solicita que o usuário o defina como o aplicativo de pagamento NFC padrão e pede o PIN do cartão, além de instruções para ler o cartão no telefone. As informações coletadas são enviadas para um e-mail do atacante codificado no aplicativo.

Angelo Martino, ex-funcionário da DigitalMint, admitiu sua culpa em ataques de ransomware BlackCat (ALPHV) direcionados a empresas dos EUA em 2023. Juntamente com outros dois negociadores de resgates, Martino foi acusado de conspiração para interferir no comércio interestadual por extorsão e danos intencionais a computadores protegidos. Durante seu trabalho como negociador, ele compartilhou informações confidenciais sobre as vítimas com os operadores do ransomware, facilitando a extorsão de valores elevados. Entre abril de 2023 e abril de 2025, Martino e seus cúmplices exigiram pagamentos de resgate, ameaçando vazar dados antes de criptografar os sistemas das vítimas. O impacto financeiro foi significativo, com uma empresa de serviços financeiros pagando mais de 25 milhões de dólares e uma organização sem fins lucrativos mais de 26 milhões. A operação BlackCat, associada a mais de 60 violações, arrecadou pelo menos 300 milhões de dólares em pagamentos de resgate até setembro de 2023. A DigitalMint condenou as ações de seus ex-funcionários e os demitiu assim que as irregularidades foram descobertas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu recentemente oito novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), destacando três falhas críticas que afetam o Cisco Catalyst SD-WAN Manager. Entre as vulnerabilidades, a CVE-2025-32975 se destaca com um escore CVSS de 10.0, permitindo que atacantes se façam passar por usuários legítimos sem credenciais válidas. Outras falhas incluem a CVE-2023-27351, que permite a bypass de autenticação no PaperCut NG/MF, e a CVE-2024-27199, que possibilita ações administrativas limitadas no JetBrains TeamCity. A CISA recomenda que as agências do governo federal dos EUA abordem as vulnerabilidades da Cisco até 23 de abril de 2026, e as demais até 4 de maio de 2026. A exploração ativa dessas falhas foi observada, com grupos de ameaças conhecidos, como Lace Tempest, utilizando-as em ataques de ransomware. A situação é crítica, pois as falhas podem comprometer a segurança de sistemas amplamente utilizados, exigindo atenção imediata das organizações para evitar possíveis incidentes de segurança.

A Interconnection Academy e a Global Cyber Alliance disponibilizaram um treinamento gratuito focado em capacitar profissionais de TI para enfrentar crimes cibernéticos em infraestruturas de rede. A iniciativa surge em resposta ao aumento de ataques como DDoS, spoofing e man-in-the-middle, que têm se tornado cada vez mais comuns. O curso enfatiza a aplicação prática de protocolos de segurança, com destaque para o padrão MANRS (Mutually Agreed Norms for Routing Security), que visa garantir a integridade do roteamento na internet.

Uma nova campanha de phishing tem afetado usuários de iPhone, conforme reportado pelo BleepingComputer. O golpe inicia com o envio de um e-mail que simula um alerta de segurança da Apple, informando sobre uma suposta alteração na conta do usuário. Os criminosos utilizam servidores da Apple para enviar mensagens que parecem legítimas, contornando filtros de spam e aumentando a confiança das vítimas. O e-mail menciona uma compra de iPhone no valor de US$ 899, feita via PayPal, e orienta o usuário a entrar em contato com um número de telefone para cancelar a transação. Ao ligar, a vítima é submetida a um ataque de vishing, onde os golpistas tentam convencê-la a instalar um software de acesso remoto, alegando que a conta foi comprometida. Para dar credibilidade ao golpe, os hackers criam um ID Apple e manipulam as informações de envio do e-mail. Especialistas recomendam cautela com alertas inesperados e nunca permitir acesso remoto a desconhecidos.

O site da Seiko USA foi alvo de um ataque cibernético no último fim de semana, resultando em uma deface que exibia uma mensagem de extorsão. Os atacantes alegam ter acessado o banco de dados de clientes da plataforma Shopify da empresa e ameaçam divulgar as informações a menos que um resgate seja pago. A página comprometida, localizada na seção ‘Press Lounge’, substituiu o conteúdo normal por um aviso de violação de dados e uma demanda de resgate. Os hackers afirmam ter obtido dados sensíveis, incluindo nomes, e-mails, números de telefone, histórico de pedidos e detalhes de envio. A mensagem de extorsão também especificava um prazo de 72 horas para que a Seiko USA iniciasse negociações, utilizando um e-mail associado a uma conta de cliente identificada. Até o momento, a Seiko não confirmou publicamente o incidente, mas removeu a mensagem de extorsão do site. A situação levanta preocupações sobre a segurança dos dados de clientes e a eficácia das medidas de proteção em plataformas de e-commerce como o Shopify.

Uma botnet de malware proxy chamada SystemBC, composta por mais de 1.570 hosts, foi descoberta após investigações relacionadas a um ataque de ransomware conhecido como Gentlemen. Este ransomware, que surgiu em meados de 2025, utiliza um serviço de ransomware como serviço (RaaS) e é capaz de criptografar sistemas Windows, Linux, NAS e BSD, além de hipervisores ESXi. A Check Point, responsável pela investigação, identificou que a maioria das vítimas está localizada nos Estados Unidos, Reino Unido, Alemanha, Austrália e Romênia, com um foco claro em ambientes corporativos.

Um conjunto de 26 aplicativos maliciosos foi identificado na Apple App Store, disfarçando-se como carteiras populares como Metamask, Coinbase, Trust Wallet e OneKey. Esses aplicativos têm como objetivo roubar frases de recuperação ou seed phrases, drenando os ativos em criptomoedas dos usuários. Os atacantes utilizaram métodos como typosquatting e branding falso para enganar usuários na China, publicando os aplicativos como jogos ou calculadoras, na tentativa de contornar as restrições do país. Os pesquisadores da Kaspersky nomearam essa campanha de FakeWallet, associando-a à operação SparkKitty. Ao serem abertos, os aplicativos redirecionam os usuários para páginas de phishing que imitam portais legítimos de serviços de criptomoedas. Essas páginas convencem as vítimas a baixar aplicativos de carteira trojanizados, que interceptam as frases mnemônicas durante a configuração ou recuperação da carteira, criptografando-as e enviando-as para os atacantes. Embora a campanha tenha como alvo principal usuários na China, o malware não possui restrições geográficas, podendo afetar usuários globalmente. A Kaspersky recomenda que os detentores de criptomoedas verifiquem sempre o editor dos aplicativos que baixam, mesmo em lojas oficiais. Após a divulgação responsável da Kaspersky, a Apple removeu todos os 26 aplicativos da App Store.

Hackers patrocinados pelo Estado da Coreia do Norte são suspeitos de estarem por trás de um roubo de criptomoedas que afetou o projeto KelpDAO, resultando em perdas de aproximadamente US$ 290 milhões. O ataque também impactou protocolos de empréstimo como Compound, Euler e Aave, levando a Aave a congelar novos depósitos e empréstimos utilizando o token rsETH como colateral. O KelpDAO, um projeto de finanças descentralizadas (DeFi) na rede Ethereum, permite que os usuários depositem ETH, que são então restaked para gerar um token líquido chamado rsETH. No dia 18 de abril, o KelpDAO detectou atividades suspeitas relacionadas ao rsETH, o que levou à suspensão dos contratos. A investigação revelou que cerca de 116.500 rsETH foram roubados e enviados através do Tornado Cash para ocultar a trilha. Os atacantes comprometeram nós RPC usados para validar mensagens cross-chain, injetando dados falsificados e realizando ataques DDoS em nós saudáveis. A LayerZero, que está ajudando na investigação, acredita que o grupo Lazarus, conhecido por suas operações sofisticadas, é o responsável pelo ataque. Embora o incidente tenha causado uma perda significativa, a LayerZero afirma que não houve contágio em outros aplicativos ou ativos.