A Dashlane, um popular gerenciador de senhas, anunciou a suspensão de contas de usuários após detectar tentativas de invasão em larga escala. O incidente, que começou a ser relatado no final de semana, levou a empresa a investigar a situação e a tomar medidas de segurança. Os usuários afetados relataram dificuldades para acessar suas contas, especialmente após tentativas de alterar a senha mestre. A empresa confirmou que as contas foram alvo de ataques de força bruta, onde invasores tentam adivinhar senhas por meio de combinações exaustivas. Embora a Dashlane tenha reativado as contas afetadas, muitos usuários continuam a enfrentar problemas de acesso, gerando críticas sobre a falta de comunicação clara da empresa. A companhia afirmou que não há evidências de comprometimento de seus sistemas e que o monitoramento do caso continua. Este incidente levanta preocupações sobre a segurança de gerenciadores de senhas e a necessidade de transparência nas comunicações com os usuários.

A Norton VPN anunciou a adição de 25 novas localizações de servidores, elevando seu total para mais de 130 em 90 países. Essa expansão inclui locais na América, Europa, Ásia-Pacífico, África e Oriente Médio, visando melhorar a velocidade de conexão e contornar bloqueios geográficos. Uma nova funcionalidade chamada ‘Rotação Manual de IP’ permite que os usuários troquem seus endereços IP virtuais sob demanda, sem desconectar a sessão VPN. Essa ferramenta é especialmente útil para evitar bloqueios temporários de serviços de streaming. Atualmente, a funcionalidade está disponível para Windows e Mac, com suporte para iOS e Android previsto para breve. A expansão da rede de servidores e a introdução da rotação de IP refletem a crescente demanda dos usuários por flexibilidade e controle em suas experiências online. A Norton destaca que essas melhorias visam proporcionar uma navegação mais privada e acessível, mantendo a proteção que a marca oferece.

Com o aumento do trabalho remoto, a qualidade das chamadas de vídeo se tornou essencial. Muitas pessoas enfrentam problemas de conexão, como buffering e lentidão, mesmo com uma velocidade de Wi-Fi aparentemente adequada. Esses problemas podem ser atribuídos a questões de peering entre provedores de internet (ISPs), que afetam a eficiência da conexão. Uma solução viável é o uso de uma VPN, como a ExpressVPN, que promete resolver esses problemas ao redirecionar o tráfego de internet através de seus servidores. Atualmente, a ExpressVPN está oferecendo um desconto significativo em seus planos de longo prazo, com preços a partir de $2,49 por mês. O plano básico permite a conexão de até 10 dispositivos e inclui ferramentas de proteção de e-mail. Além disso, a ExpressVPN é reconhecida por suas credenciais de segurança e políticas rigorosas de privacidade. Embora existam outras opções no mercado, como NordVPN e Surfshark, a ExpressVPN se destaca pela sua confiabilidade e suporte técnico. Para quem trabalha de casa, investir em uma VPN pode ser uma maneira eficaz de garantir uma experiência de trabalho mais fluida e produtiva.

A Microsoft enfrentou um incidente que impediu alguns usuários de configurar a autenticação multifator (MFA) ou acessar a plataforma My Sign-Ins. O problema, identificado como um erro 504 Gateway Timeout, afetou a capacidade de muitos usuários de acessar o site mysignins.microsoft.com. A empresa reconheceu o problema por volta das 5 AM ET e classificou-o como um incidente em andamento, indicando um impacto significativo nos usuários. Para mitigar a situação, a Microsoft implementou uma infraestrutura alternativa e começou a monitorar a saúde do serviço. Após a identificação de uma mudança recente na configuração de cache como a causa do problema, a empresa reverteu as ações de mitigação e restaurou o tráfego para a infraestrutura original. Este incidente destaca a importância da autenticação multifator na segurança digital e a necessidade de monitoramento contínuo para evitar interrupções nos serviços.

O gerenciamento de incidentes de rede pode ser um desafio significativo para as equipes de TI, especialmente quando os atrasos ocorrem após o alerta inicial. O webinar “Do alerta à resolução: Consertando falhas na resposta a incidentes de rede”, promovido pela BleepingComputer em 2 de junho de 2026, abordará como a automação e os fluxos de trabalho assistidos por IA podem ajudar a reduzir esses atrasos, melhorar a coordenação e acelerar a resolução de incidentes. Com o aumento da adoção de ferramentas de monitoramento e infraestrutura, as equipes frequentemente enfrentam a necessidade de coletar informações manualmente, o que pode atrasar a resposta e aumentar o impacto de interrupções nos serviços.

O Centro de Cibersegurança da Bélgica (CCB) alertou que atacantes estão explorando ativamente uma vulnerabilidade crítica no Windows Netlogon, identificada como CVE-2026-41089. Essa falha, que foi corrigida pela Microsoft em maio de 2026, permite que invasores não privilegiados executem código remotamente em controladores de domínio do Windows. O Netlogon é um serviço essencial que autentica usuários e serviços em redes baseadas em domínio. A vulnerabilidade é classificada com um CVSS de 9.8, indicando seu alto potencial de impacto. O CCB recomendou que administradores de sistemas realizem a atualização imediata de seus servidores vulneráveis. Embora a Microsoft tenha identificado a falha, ainda não há informações detalhadas sobre os ataques em andamento. Além disso, a empresa enfrenta desafios com outras vulnerabilidades zero-day, como a YellowKey e a BlueHammer, que também estão sendo exploradas. O alerta do CCB destaca a urgência de ações corretivas para mitigar riscos de segurança em ambientes corporativos.

Um artigo recente destaca uma vulnerabilidade crítica de execução remota de código (RCE) em um aplicativo VPN amplamente utilizado, que não foi detectada a tempo por serviços de alerta de vulnerabilidades. Em menos de 24 horas, atacantes exploraram essa falha, obtendo acesso à rede da empresa, o que foi finalmente identificado por ferramentas internas de monitoramento. O tempo é um fator crucial em cibersegurança, com um aumento de 67% nas novas vulnerabilidades entre 2023 e 2025 e uma redução no tempo médio para exploração de 4,2 meses para apenas 1,6 dias. Isso evidencia a necessidade urgente de um serviço de alerta de vulnerabilidades que forneça orientações de remediação imediatas. O SecAlerts, uma plataforma que oferece alertas instantâneos sobre vulnerabilidades, promete ajudar as empresas a se manterem à frente das ameaças, permitindo que respondam rapidamente antes que as falhas sejam exploradas. A ferramenta é acessível e pode ser utilizada por empresas de todos os tamanhos, oferecendo uma linha de defesa robusta contra ameaças cibernéticas.

A Microsoft está lidando com um incidente que impede usuários de abrir arquivos na plataforma Teams e no Office para a web. A empresa confirmou que o problema afeta diversos aplicativos do Office, incluindo Excel e PowerPoint, e exibe uma mensagem de erro informando que os serviços online do Office não estão disponíveis no momento. A Microsoft está investigando a causa raiz do problema e analisando a telemetria dos serviços. Embora não tenha especificado as regiões afetadas ou um cronograma para a resolução completa, a empresa indicou que a análise inicial sugere um problema de cross-service que impacta a experiência do Office online. Além disso, a Microsoft também enfrentou um incidente relacionado à autenticação multifatorial (MFA), que foi atribuído a uma recente alteração na configuração de cache. Este incidente é considerado crítico, pois afeta uma ferramenta amplamente utilizada por empresas e usuários em todo o mundo, incluindo o Brasil.

Uma vulnerabilidade crítica, identificada como CVE-2026-8732, afeta o plugin WP Maps Pro, utilizado em mais de 15.000 sites WordPress. Este problema de escalonamento de privilégios permite que atacantes não autenticados criem contas de administrador, possibilitando o controle total do site. A falha está relacionada a uma funcionalidade de ‘acesso temporário’ destinada ao suporte técnico, que não possui verificações adequadas de autenticação. A exploração dessa vulnerabilidade foi confirmada, com a Wordfence reportando 2.858 tentativas de ataque em apenas 24 horas. A versão 6.1.1 do plugin já corrige a falha, e é crucial que os proprietários de sites atualizem suas instalações para evitar comprometimentos. A vulnerabilidade possui uma pontuação CVSS de 9.8, indicando seu alto risco. Portanto, a atualização imediata é essencial para garantir a segurança dos sites afetados.

Pesquisadores de cibersegurança revelaram uma nova campanha maliciosa de cadeia de suprimentos que visa desenvolvedores utilizando o OpenAI Codex, através de uma interface web remota que parece legítima. O pacote, denominado codexui-android, está disponível no GitHub e npm, com mais de 29.000 downloads semanais. O código malicioso foi inserido em um pacote funcional que passou por desenvolvimento ativo, permitindo a exfiltração silenciosa de tokens de autenticação do Codex para um servidor controlado por atacantes. O código extrai informações sensíveis, como access_token e refresh_token, armazenadas em um arquivo local. A campanha também se estende a um aplicativo Android que utiliza o mesmo pacote npm, aumentando o alcance da ameaça. A situação é agravada pelo fato de que o refresh_token não expira, permitindo acesso contínuo à conta da vítima. A entidade responsável pela publicação do aplicativo, chamada BrutalStrike, já teve mais de 50.000 downloads. A descoberta destaca a crescente preocupação com a segurança de ferramentas de desenvolvimento de IA e a necessidade de vigilância constante contra ataques de cadeia de suprimentos.

Nos últimos anos, a demanda por soluções de cibersegurança para pequenas e médias empresas (PMEs) cresceu significativamente, levando à necessidade de uma nova abordagem nas plataformas de segurança. Em 2026, o conceito de ‘Security Growth Platform’ se destaca como a solução ideal para provedores de serviços gerenciados (MSPs) e provedores de serviços de segurança gerenciados (MSSPs). Essa nova categoria integra gestão de programas de segurança, inteligência de decisão de nível CISO, arquitetura multi-tenant e inteligência de receita em um único sistema.

Uma nova campanha de espionagem cibernética, denominada Operação Dragon Weave, foi identificada como alvo de oficiais e cidadãos na República Tcheca e em Taiwan. A Seqrite Labs relatou que os alvos incluem setores governamentais, de pesquisa, acadêmicos, tecnológicos e serviços financeiros. A campanha utiliza e-mails de spear-phishing com anexos ZIP para iniciar uma cadeia de infecção que emprega um carregador em Rust, resultando na exfiltração de dados e controle remoto. Ao extrair o arquivo ZIP, múltiplos arquivos que aparentam ser legítimos são ativados, mas fazem parte de uma cadeia de infecção estruturada. O ataque pode ser iniciado por um arquivo de atalho malicioso que simula um documento PDF ou diretamente por um binário que atua como um dropper. O malware final, um agente AdaptixC2, se comunica com o armazenamento em nuvem da Microsoft Azure, utilizando um modelo de ‘dead drop’ para troca de dados, evitando comunicação direta. O AdaptixC2 permite uma ampla gama de ações pós-comprometimento, dando ao atacante controle total sobre o endpoint comprometido. A atividade foi atribuída a um grupo de ameaças alinhado à China, que permanece ativo globalmente, com outras operações sendo relatadas em diferentes regiões.

Recentemente, o cenário de cibersegurança tem sido marcado por vulnerabilidades críticas e incidentes ativos que exigem atenção imediata. Um dos destaques é a falha de autenticação no PAN-OS da Palo Alto Networks, identificada como CVE-2026-0257, que está sendo explorada ativamente, permitindo que invasores estabeleçam conexões VPN indevidas. Além disso, a plataforma de Git Gogs enfrenta uma vulnerabilidade zero-day que possibilita a execução remota de código, expondo servidores a ataques severos. A situação é agravada pelo uso crescente de inteligência artificial em campanhas de ciberataques, como demonstrado pelo grupo GREYVIBE, que utiliza modelos de linguagem para realizar ataques direcionados na Ucrânia. A CERT-In, agência de cibersegurança da Índia, alertou sobre a necessidade de corrigir falhas exploradas em um prazo de 12 horas, destacando a velocidade com que as ameaças estão evoluindo. A combinação de falhas críticas, exploração ativa e o uso de AI em ataques torna imperativo que as organizações adotem medidas proativas para proteger seus sistemas.

A ExpressVPN anunciou os resultados de sua 27ª auditoria independente realizada pela Cure53, uma empresa de cibersegurança. Os novos produtos auditados, ExpressMailGuard e Identity Defender, não apresentaram vulnerabilidades significativas, mas foram identificadas áreas que requerem atenção. A auditoria, que durou até 18 dias, revelou 11 preocupações para o Identity Defender, sendo sete classificadas como vulnerabilidades de média gravidade. Entre essas, destacam-se problemas relacionados ao armazenamento de dados não criptografados, que podem facilitar a triangulação de informações por hackers. Para o ExpressMailGuard, foram encontrados 13 problemas, dos quais apenas dois eram vulnerabilidades diretas, incluindo o processamento incorreto de dados de endereços de e-mail, que poderia permitir a falsificação de e-mails. A Cure53 recomendou que a ExpressVPN abordasse essas questões prontamente e realizasse testes regulares para identificar novos riscos. A empresa, que já passou por auditorias desde 2018, reafirma seu compromisso com a segurança e a transparência, enfatizando que a confiança deve ser conquistada e não presumida.

Hackers estão explorando uma vulnerabilidade crítica no plugin WP Maps Pro, que permite a criação de contas de administrador sem autenticação. A falha, identificada como CVE-2026-8732, afeta versões 6.1.0 e anteriores do plugin, que é amplamente utilizado para criar mapas interativos em sites de negócios, imobiliárias e turismo. A vulnerabilidade foi descoberta pelo pesquisador de segurança David Brown e se deve a uma funcionalidade de ‘acesso temporário’ que deveria permitir suporte técnico, mas que foi mal implementada, permitindo acesso não autenticado. Isso possibilita que atacantes enviem requisições manipuladas para criar novos usuários com privilégios de administrador, gerando URLs de login sem senha. A empresa de segurança Wordfence já bloqueou mais de 3.600 tentativas de exploração em um único dia. A versão 6.1.1 do WP Maps Pro foi lançada em 20 de maio de 2026, corrigindo a falha. Administradores de sites são aconselhados a atualizar seus plugins imediatamente, dado o aumento da atividade maliciosa.

As autoridades da Holanda anunciaram a desativação de uma botnet que controlava milhões de dispositivos infectados, incluindo computadores, tablets, smartphones e dispositivos IoT. A operação, realizada pela Polícia Holandesa e pelo Centro Nacional de Segurança Cibernética (NCSC), revelou que a rede bot consistia em pelo menos 17 milhões de dispositivos comprometidos, com mais de 200 servidores na Holanda servindo como infraestrutura de backend. Embora o nome da botnet não tenha sido explicitamente divulgado, fontes locais indicam que a Asocks, uma empresa que oferece proxies residenciais, estava envolvida. Em abril de 2024, a equipe de inteligência de ameaças da HUMAN identificou uma campanha chamada PROXYLIB, que utilizava dispositivos Android infectados com software de proxy da LumiApps e Asocks. A NCSC alertou que dispositivos podem ser incorporados a uma botnet quando acessíveis a atacantes, que podem instalar malware para controle remoto. Para mitigar esses riscos, recomenda-se manter sistemas operacionais atualizados, usar senhas fortes e habilitar autenticação de dois fatores. Essa situação destaca a necessidade de vigilância constante e práticas de segurança robustas para proteger dispositivos conectados à internet.

Com a aproximação da Copa do Mundo de 2026, um aumento alarmante de sites falsos de venda de ingressos da FIFA foi identificado. Pesquisadores da Group-IB relataram a existência de mais de 4.300 domínios fraudulentos que imitam a presença oficial da FIFA, muitos dos quais estão ativos desde 2025, aguardando fãs desesperados por ingressos. Um grupo criminoso conhecido como Ghost Stadium é o principal responsável, criando uma réplica quase perfeita do site oficial da FIFA, utilizando um kit de phishing compartilhado. Os golpistas atraem vítimas através de anúncios no Facebook que prometem preços muito abaixo do mercado, levando-as a páginas falsas onde são induzidas a inserir suas credenciais. Uma vez que as informações são capturadas, os golpistas mudam as senhas das contas legítimas e revendem os ingressos. Além disso, os novos compradores são levados a preencher formulários que coletam dados pessoais e informações de pagamento, sem que os ingressos sejam entregues. As perdas financeiras decorrentes dessa fraude podem variar entre 71 milhões e 474 milhões de dólares. Para se proteger, os usuários devem sempre verificar o domínio do site e evitar anúncios suspeitos nas redes sociais.

Com o aumento constante de golpistas e spammers, a segurança nas comunicações se torna uma prioridade. O artigo destaca a Surfshark, uma VPN que oferece uma gama de ferramentas de segurança, incluindo um gerador de alias de e-mail, bloqueador de anúncios e cobertura ilimitada de dispositivos. A Surfshark não apenas protege a privacidade do usuário, mas também oferece funcionalidades como alertas de vazamento de dados pessoais e proteção contra e-mails fraudulentos. Os planos começam a partir de $1,99 por mês, com promoções que incluem cartões-presente da Amazon. Além das funções típicas de uma VPN, como acesso a conteúdos restritos geograficamente, a Surfshark se destaca pela proteção de identidade, permitindo que os usuários se registrem em sites com informações alternativas, reduzindo o risco de roubo de dados. A análise também menciona concorrentes como Proton VPN e NordVPN, mas enfatiza a vantagem da Surfshark em termos de cobertura de dispositivos e custo-benefício. Com a crescente incidência de fraudes, a adoção de ferramentas como a Surfshark se torna essencial para garantir uma navegação segura e protegida.

A Palo Alto Networks emitiu um alerta sobre a exploração de uma falha de bypass de autenticação no GlobalProtect, identificada como CVE-2026-0257. Essa vulnerabilidade permite que atacantes estabeleçam conexões VPN não autorizadas em dispositivos que não foram atualizados. Inicialmente classificada como de gravidade média, a falha teve sua classificação elevada para alta após a empresa identificar tentativas de exploração ativas em dispositivos não corrigidos. A Rapid7 também relatou que a exploração começou em 17 de maio de 2026, com hackers utilizando cookies de autenticação forjados para acessar contas de administrador local. Embora alguns atacantes tenham conseguido conectar-se via VPN, muitos não conseguiram estabelecer uma sessão VPN completa. A falha decorre da validação inadequada dos cookies de autenticação pelo PAN-OS, que não realiza verificação de assinatura. Organizações que utilizam dispositivos GlobalProtect devem aplicar imediatamente as atualizações de segurança disponíveis e considerar desativar a função de override de autenticação para mitigar o risco.

Uma nova vulnerabilidade de escalonamento de privilégios local, chamada ‘CIFSwitch’, foi descoberta no kernel Linux. Essa falha permite que atacantes forjem descrições de chaves de autenticação CIFS, abusem do mecanismo de solicitação de chaves do kernel e obtenham privilégios de root. O problema afeta várias distribuições Linux que utilizam combinações vulneráveis do kernel CIFS e cifs-utils, especialmente nas versões 6.14 e superiores. O CIFS (Common Internet File System) é um protocolo de rede que permite o acesso a arquivos e dispositivos em uma rede local. A vulnerabilidade se origina da falha do subsistema CIFS do kernel em verificar a origem das solicitações de chave cifs.spnego, permitindo que um usuário não privilegiado crie uma solicitação forjada e inicie o fluxo normal de autenticação. O pesquisador Asim Viladi Oglu Manizada, que descobriu a falha, publicou um relatório técnico detalhando a exploração da vulnerabilidade. Embora a falha tenha sido introduzida em 2007, sua exploração depende de fatores como a versão do kernel e a configuração do SELinux/AppArmor. A correção foi disponibilizada através de um patch que valida as origens das solicitações de chave. É recomendado que os usuários desativem ou removam o módulo CIFS se não estiver em uso e desativem namespaces de usuários não privilegiados.

A Palo Alto Networks alertou sobre uma vulnerabilidade de média severidade, identificada como CVE-2026-0257, que afeta o software PAN-OS e o Prisma Access. Essa falha, com uma pontuação CVSS de 7.8, permite que atacantes contornem a autenticação e estabeleçam conexões VPN não autorizadas. O problema ocorre especificamente em firewalls que têm o portal ou gateway GlobalProtect configurados, especialmente quando os cookies de substituição de autenticação estão habilitados. Desde a divulgação da vulnerabilidade, foram observadas tentativas de exploração ativa, com a Rapid7 relatando que ataques bem-sucedidos foram detectados em diversos clientes, começando em 17 de maio de 2026. A Palo Alto Networks recomenda que as organizações afetadas atualizem seus dispositivos com um patch fornecido pelo fornecedor com urgência. Como medidas temporárias, sugere-se desativar a funcionalidade de substituição de autenticação ou gerar um novo certificado para essa função. A exploração dessa vulnerabilidade pode ter um impacto significativo nas organizações afetadas, especialmente em relação à segurança da rede interna.

Um relatório recente da Bloomberg indica um aumento alarmante de 75% nos ataques físicos, conhecidos como ‘crypto wrench attacks’, direcionados a detentores de criptomoedas, especialmente os chamados ‘whales’, ou grandes investidores. Esses ataques incluem sequestros e agressões físicas, motivados pela transparência inerente ao blockchain, que permite a identificação de grandes detentores de ativos digitais. Os criminosos veem esses alvos como de baixo risco e alta recompensa, especialmente devido à natureza irreversível das transações em criptomoedas. Em resposta, muitas exchanges e investidores estão intensificando suas medidas de segurança, incluindo a contratação de seguranças e a implementação de protocolos de proteção mais rigorosos. Além disso, a cultura de ostentação entre alguns investidores, que se destacam em conferências e redes sociais, também contribui para a exposição a esses riscos. O aumento dos ataques físicos levanta preocupações significativas sobre a segurança no espaço das criptomoedas, especialmente em um cenário onde muitos casos podem não ser reportados, devido ao medo de represálias ou à natureza delicada das perdas financeiras.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade no OpenAI ChatGPT, que explora a confiança implícita do assistente de inteligência artificial em links e imagens em Markdown. Denominada ChatGPhish pela Permiso Security, a técnica permite que um ator malicioso insira um pequeno payload em uma página da web que o usuário solicita para ser resumida pelo ChatGPT. Isso pode resultar na exposição de informações como IP, User-Agent e Referer do usuário, além de permitir que links maliciosos sejam apresentados como elementos clicáveis na interface do assistente. A vulnerabilidade se torna crítica à medida que mais organizações utilizam o ChatGPT para pesquisa e resumo, pois qualquer página maliciosa processada pode transformar o assistente em uma superfície de phishing. A Permiso destaca que a mudança do e-mail para o navegador amplia significativamente a superfície de ataque, tornando a interação com páginas da web potencialmente arriscada. Este achado se junta a outras técnicas de ataque recentes que visam agentes de codificação de IA, evidenciando a necessidade de vigilância constante e mitigação de riscos em ambientes corporativos.

O FBI emitiu um alerta sobre o aumento de sites falsificados da FIFA, com pelo menos 35 domínios identificados que imitam o site oficial da organização. Esses sites fraudulentos têm como objetivo roubar informações pessoais e financeiras dos fãs, utilizando táticas de engenharia social. Os cibercriminosos costumam alterar levemente a grafia dos domínios legítimos ou usar domínios de nível superior alternativos para enganar os usuários. O FBI recomenda que os usuários acessem o site da FIFA digitando o endereço diretamente em vez de clicar em resultados patrocinados em motores de busca, que podem ser imitações pagas. A prática de criar sites falsos em torno de eventos populares, como a Copa do Mundo, não é nova, e já foi observada em ocasiões anteriores, como nas Olimpíadas e durante a pandemia de Covid-19. O alerta destaca a importância de estar atento a essas fraudes, especialmente com a proximidade do evento esportivo em 2026.

A Industrial Acceptance Corporation (IAC) confirmou que notificou 79.216 pessoas sobre uma violação de dados ocorrida em fevereiro de 2025, que comprometeu nomes, números de Seguro Social e números de carteira de motorista. O ataque foi atribuído ao grupo de ransomware conhecido como Inc, que, embora não tenha listado a IAC em seu site de vazamento de dados, foi responsável por 783 ataques de ransomware até o momento. Em março de 2025, outro grupo chamado Akira reivindicou um ataque à IAC, alegando ter roubado 60 GB de dados, mas a IAC não confirmou essa alegação. A empresa tomou medidas imediatas, desconectando seus sistemas para restaurar operações de forma segura. Para os afetados, a IAC está oferecendo 12 meses de monitoramento de crédito através da Cyberscout. O ataque destaca a crescente ameaça de ransomware, que não apenas rouba dados, mas também bloqueia sistemas até que um resgate seja pago. Em 2025, foram registrados 69 ataques confirmados a empresas financeiras nos EUA, comprometendo 1,5 milhão de registros pessoais. A situação ressalta a necessidade de vigilância contínua e medidas de segurança robustas para proteger informações sensíveis.

As autoridades holandesas desmantelaram uma botnet composta por 17 milhões de dispositivos, apreendendo mais de 200 servidores de um provedor local que apoiava suas operações. A ação foi resultado de uma investigação conjunta da polícia e do Centro Nacional de Segurança Cibernética (NCSC) do país. Os servidores apreendidos eram responsáveis por controlar computadores, tablets e smartphones para realizar ciberataques, como ataques de negação de serviço distribuídos (DDoS) e mineração de criptomoedas. Embora a botnet não tenha sido nomeada oficialmente, a mídia local sugere que ela estava associada ao serviço Asocks, que oferece proxies para atividades online. A NCSC destacou que os proprietários dos dispositivos infectados não estavam cientes de que estavam contribuindo para atividades criminosas. Para prevenir infecções por botnets, as autoridades recomendam a alteração de credenciais padrão, a atualização do firmware e a desativação de painéis de administração remota quando não forem necessários.

Os ataques de negação de serviço distribuída (DDoS) têm se tornado uma ameaça crescente para serviços online, com um aumento significativo na oferta de serviços DDoS como um produto acessível. O artigo destaca que, em 2025, Cloudflare e Microsoft relataram ataques massivos, com picos de 31,4 Tbps e 15,72 Tbps, respectivamente. A pesquisa da Flare revelou que, entre 2023 e 2026, houve um aumento de 10 vezes nos anúncios de serviços DDoS, com uma mudança de scripts e tutoriais para ofertas mais estruturadas e fáceis de usar. Os atacantes agora podem acessar painéis de controle e escolher alvos com apenas alguns cliques, tornando o DDoS-as-a-service uma opção viável para indivíduos com pouca habilidade técnica. Os preços para esses serviços são alarmantemente baixos, com ataques a partir de US$ 5. Essa evolução no mercado de DDoS representa um risco significativo para organizações, especialmente aquelas que dependem de serviços online, exigindo que as equipes de segurança estejam atentas e preparadas para mitigar esses ataques.

O Procurador-Geral da Califórnia, Rob Bonta, processou a empresa 23andMe, agora Chrome Holding Co., devido à falha em proteger informações genéticas e pessoais sensíveis de seus clientes. Um ataque de credential stuffing em 2023 expôs dados de aproximadamente 6,9 milhões de usuários, incluindo 855.541 californianos. O incidente foi revelado em outubro de 2023, quando criminosos cibernéticos tentaram vender os dados roubados e divulgaram amostras para comprovar sua autenticidade. A 23andMe confirmou que os dados vazados eram reais e que a violação ocorreu após a exploração de contas com credenciais fracas. O ataque afetou usuários que optaram pela funcionalidade ‘DNA Relatives’ e outros que não a utilizaram. Além das falhas de segurança, o processo destaca declarações enganosas da empresa sobre suas práticas de segurança. O Procurador-Geral argumenta que essas ações violaram várias leis estaduais, incluindo a Lei de Privacidade de Informações Genéticas da Califórnia e a Lei de Privacidade do Consumidor da Califórnia (CCPA). O processo busca impedir novas violações e impor penalidades que podem variar de US$ 1.000 a US$ 7.500 por infração. A 23andMe já enfrenta múltiplas ações judiciais e investigações que podem resultar em multas milionárias, levando a empresa a considerar a falência.

Recentemente, um novo ataque cibernético foi identificado, onde atores maliciosos estão explorando a funcionalidade de compartilhamento de conteúdo do ChatGPT para criar páginas falsas de indisponibilidade da OpenAI. Essa campanha, chamada ‘LLMShare’, foi descoberta pela Push Security e utiliza anúncios do Google para direcionar usuários que buscam pelo ChatGPT a uma página maliciosa hospedada no domínio legítimo chatgpt.com. Ao clicar no anúncio, os usuários são levados a uma página que simula uma mensagem de erro, informando que a versão web está indisponível e sugerindo o download de um aplicativo de desktop falso. Essa mensagem, que afirma que o site está temporariamente fora do ar devido ao alto tráfego, é gerada através das capacidades de renderização do ChatGPT, utilizando HTML e CSS personalizados. Se o usuário clicar no botão de download, ele é redirecionado para um site que imita o portal de download do aplicativo da OpenAI, mas que na verdade instala malware em dispositivos. As versões para macOS e Windows do suposto aplicativo contêm infostealers, que podem roubar informações sensíveis. Essa técnica de cloaking permite que o site mostre conteúdo inofensivo para plataformas de segurança, dificultando a detecção do ataque. A exploração de funcionalidades de compartilhamento em plataformas de IA para disseminar malware não é nova, e campanhas anteriores já utilizaram métodos semelhantes para enganar usuários.

Um ator de ameaça desconhecido utilizou um agente de modelo de linguagem grande (LLM) para realizar ações pós-comprometimento após explorar uma vulnerabilidade crítica no Marimo, uma plataforma de notebooks acessível pela internet. A vulnerabilidade, identificada como CVE-2026-39987, permite a execução remota de comandos arbitrários por atacantes não autenticados. Após comprometer um notebook Marimo, o atacante extraiu credenciais de nuvem e obteve uma chave SSH do AWS Secrets Manager, utilizando-a para acessar um servidor bastião e exfiltrar um banco de dados PostgreSQL interno em menos de dois minutos. O uso do LLM permitiu que o atacante improvisasse ações sem conhecimento prévio do ambiente, demonstrando uma adaptabilidade que torna a defesa mais complexa. A Sysdig, empresa de segurança em nuvem, recomenda que os usuários atualizem para a versão mais recente do Marimo e realizem auditorias em ambientes acessíveis publicamente, além de rotacionar credenciais e chaves de API. Este incidente destaca a necessidade urgente de medidas de segurança robustas em face de ameaças que utilizam inteligência artificial.

A emissora ABC, pertencente ao grupo Disney, está em conflito com a Comissão Federal de Comunicações (FCC) dos EUA após a exigência da FCC para que a rede solicitasse a renovação de suas licenças de transmissão com dois anos de antecedência, em vez dos quatro meses habituais. A FCC justificou a medida alegando que as políticas de Diversidade, Equidade e Inclusão (DEI) da ABC estão sob investigação. A ABC considera essa exigência uma forma de retaliação política, especialmente devido a críticas feitas em programas como ‘Jimmy Kimmel Live’ e ‘The View’ ao governo e ao ex-presidente Donald Trump. A emissora protocolou as renovações ‘sob protesto’, afirmando que a ação da FCC representa uma ameaça à Primeira Emenda da Constituição dos EUA, que garante a liberdade de expressão. A FCC, por sua vez, defendeu sua posição, afirmando que está analisando as estruturas de propriedade para garantir que as emissoras atendam às necessidades de suas comunidades locais. O caso levanta preocupações sobre a liberdade de imprensa e a possibilidade de censura em um ambiente político polarizado.

A gangue de extorsão ShinyHunters anunciou ter roubado informações pessoais de 4,9 milhões de contas após invadir a Charter Communications, uma das maiores operadoras de telecomunicações dos EUA, em abril. A empresa, que atende mais de 32 milhões de clientes, confirmou a violação, mas afirmou que dados sensíveis não foram comprometidos. No entanto, a ShinyHunters alegou que obteve acesso a 42 milhões de registros do Salesforce da Charter, incluindo nomes, endereços de e-mail, números de telefone e informações de planos. Após a recusa da Charter em pagar o resgate, os dados foram divulgados em um site da dark web. A análise do Have I Been Pwned confirmou que os dados vazados afetaram 4,9 milhões de contas, expondo informações como nomes, endereços físicos e números de telefone. A gangue tem um histórico de ataques a clientes do Salesforce, e o FBI aconselhou as vítimas a não cederem às exigências de resgate, pois isso não garante a segurança dos dados. A Charter também foi alvo de um ataque por um grupo de ameaças apoiado pelo estado chinês, o Salt Typhoon.

Michele Spagnuolo, engenheiro de segurança da Google, foi acusado de insider trading após lucrar US$ 1,2 milhão utilizando informações confidenciais da empresa. Ele teria acessado dados internos do Google, especificamente do relatório ‘Year in Search’, para fazer apostas na plataforma de previsão descentralizada Polymarket. Spagnuolo, que trabalha na Google desde 2014 e reside na Suíça, usou um pseudônimo, ‘AlphaRaccoon’, para realizar suas apostas com uma precisão quase perfeita em cerca de 25 resultados improváveis. Após a divulgação pública dos dados em 4 de dezembro de 2025, ele recebeu aproximadamente US$ 1,2 milhão em ganhos. O FBI rastreou sua conta até um processador de pagamentos registrado em seu nome. As autoridades alegam que ele moveu os lucros ilegais através de serviços de troca de criptomoedas. O caso destaca a seriedade das violações de confidencialidade corporativa e as consequências legais que podem advir, incluindo penas de até 20 anos de prisão por fraude e lavagem de dinheiro.

Troy Murray, um homem de 57 anos da Carolina do Norte, foi condenado a mais de 10 anos de prisão por vender informações pessoais de mais de 7 milhões de idosos americanos a golpistas jamaicanos. Ele se declarou culpado de conspiração para cometer fraude eletrônica e foi sentenciado a 121 meses de prisão, além de três anos de liberdade supervisionada e a devolução de US$ 5,2 milhões. Entre 2016 e 2023, Murray comercializou listas de leads contendo nomes, números de telefone, endereços físicos e e-mails de idosos, que foram utilizados em fraudes de loteria. Ele cobrava entre US$ 500 por listas com 100 a 300 nomes, gerando lucros de mais de US$ 5,2 milhões e causando perdas superiores a US$ 9,5 milhões para as vítimas. O aumento da fraude contra idosos é alarmante, com o FBI relatando um aumento de 37% nas reclamações de fraudes entre pessoas com 60 anos ou mais, totalizando quase US$ 7,8 bilhões em perdas em 2025. O caso de Murray destaca a vulnerabilidade dos idosos e a necessidade de medidas de proteção mais robustas contra fraudes.

O Google anunciou que a funcionalidade Chrome Device Bound Session Credentials (DBSC) está agora disponível para todos os usuários, com o objetivo de prevenir o sequestro de contas. Desde abril, a DBSC estava em versão beta e foi projetada para vincular criptograficamente os cookies de sessão a um dispositivo específico, dificultando o uso de cookies roubados por hackers para contornar a autenticação multifatorial (MFA). A tecnologia utiliza chaves públicas e privadas geradas por chips de segurança do hardware, como o Trusted Platform Module (TPM) em Windows e o Secure Enclave em macOS, garantindo que essas chaves não possam ser roubadas. Com a DBSC, mesmo que um malware esteja presente no dispositivo do usuário, o risco de roubo de sessão é reduzido, tornando mais difícil para os atacantes explorarem cookies de sessão furtados. A funcionalidade será ativada por padrão para todos os clientes do Google Workspace, e os administradores não poderão desativá-la. O Google também destacou que a DBSC representa uma mudança significativa na defesa contra ameaças, passando de uma abordagem reativa para uma preventiva. Essa inovação é especialmente relevante em um cenário onde ataques a cookies de autenticação têm sido uma preocupação crescente.

Pesquisadores de cibersegurança descobriram um pacote NuGet malicioso que se disfarça como um kit de desenvolvimento de software C# para o Sicoob, um dos maiores sistemas financeiros cooperativos do Brasil. As versões 2.0.0 a 2.0.4 do pacote ‘Sicoob.Sdk’ foram projetadas para exfiltrar informações sensíveis, como IDs de clientes e certificados PFX, que são usados para autenticar empresas na rede bancária do Sicoob. O pacote, que foi baixado quase 500 vezes, captura dados ao instanciar o cliente Sicoob e envia informações para um endpoint Sentry de terceiros. Além disso, o pacote também coleta respostas da API de Boleto, expondo detalhes de transações financeiras. A exploração desses dados pode permitir que atacantes se façam passar pela integração da API bancária do Sicoob. Após a divulgação responsável, o pacote foi bloqueado pelo NuGet, mas o perfil responsável ainda possui outros pacotes com cerca de 6.000 downloads. Este incidente destaca a crescente sofisticação dos ataques à cadeia de suprimentos de software, que podem comprometer a segurança de sistemas financeiros críticos.

O conceito de Shadow AI evoluiu de simples interações com chatbots para a criação de aplicações completas por funcionários, sem a supervisão de equipes de segurança ou TI. Um relatório recente da Red Access revelou mais de 380 mil ativos web acessíveis publicamente em plataformas de vibe coding, com cerca de 2 mil aplicações contendo dados sensíveis de empresas. Esses aplicativos, muitas vezes publicados sem controles de acesso adequados, representam um risco significativo, pois podem ser acessados por qualquer pessoa que tenha o link. A prática de vibe coding permite que não desenvolvedores criem soluções rapidamente, conectando-as a sistemas corporativos, mas sem as devidas salvaguardas. Isso contrasta com o antigo conceito de Shadow IT, onde as ferramentas eram limitadas a softwares não autorizados. A falta de visibilidade e controle em relação a essas novas aplicações torna difícil para as organizações monitorarem e protegerem seus dados. Para mitigar esses riscos, recomenda-se que as empresas realizem um inventário das aplicações criadas, estabeleçam caminhos sancionados para o uso de plataformas de desenvolvimento e adotem uma postura de descoberta contínua para acompanhar a criação de novas aplicações.

O grupo de ciberespionagem GREYVIBE, atribuído a atores de língua russa, tem realizado ataques persistentes contra a Ucrânia e entidades relacionadas desde agosto de 2025. De acordo com a WithSecure, a atividade do grupo está alinhada com os interesses do Estado russo, especialmente no contexto da guerra em curso entre Rússia e Ucrânia. GREYVIBE utiliza uma variedade de vetores de ataque, incluindo e-mails de spear-phishing, páginas falsas de captcha e sites fraudulentos de clubes adultos ucranianos para disseminar malware. Os alvos incluem organizações militares, governamentais e civis. O grupo também se destaca por utilizar inteligência artificial generativa para aprimorar suas operações, o que indica um nível de sofisticação moderado, embora com falhas de segurança operacional. As campanhas observadas incluem o uso de ferramentas como PhantomMail e PhantomRelay, que permitem acesso remoto e coleta de dados sensíveis. A conexão do GREYVIBE com o ecossistema de cibercrime russo sugere que seus membros podem ser ex-cibercriminosos, complicando a atribuição de suas atividades. A utilização de IA, embora traga vantagens, também introduziu falhas no design do malware, indicando que o grupo pode não ser totalmente estatal. Essa situação representa um desafio significativo para a segurança cibernética, especialmente para países como o Brasil, que podem ser afetados por táticas semelhantes.

A Anthropic confirmou que planeja disponibilizar seus modelos da classe Mythos ao público, após adiar o lançamento devido a preocupações de segurança. Inicialmente anunciado em abril como um modelo restrito, o Mythos foi disponibilizado apenas para empresas selecionadas, incluindo pesquisadores de segurança, devido a riscos significativos associados. A empresa alertou que, no curto prazo, esses modelos poderiam beneficiar atacantes se não fossem lançados com cautela. No entanto, a longo prazo, espera-se que defensores utilizem esses modelos para melhorar a segurança e corrigir falhas antes que novos códigos sejam implementados. A Anthropic afirma ter desenvolvido salvaguardas robustas para evitar o uso indevido do modelo Mythos, que é considerado mais poderoso que outros modelos disponíveis atualmente. Embora a empresa tenha começado a permitir que um número limitado de organizações utilize uma prévia do Claude Mythos para trabalho em cibersegurança, ainda não está claro se o mesmo modelo será lançado publicamente. A expectativa é que os modelos Mythos sejam disponibilizados nas próximas semanas, mas sem um cronograma específico definido.

O grupo de ameaças patrocinado pelo Estado norte-coreano, conhecido como Kimsuky, foi responsável por uma nova onda de ataques cibernéticos direcionados a entidades militares e corporativas da Coreia do Sul entre março e abril de 2026. Utilizando táticas de engenharia social, como páginas falsas de instalação de software de segurança e reuniões do Webex, o grupo conseguiu disseminar uma variante de malware chamada HTTPSpy. Este malware, disfarçado como instaladores de software de segurança sul-coreano, permite acesso remoto completo aos sistemas comprometidos. Os ataques foram projetados para atingir administradores de mensagens em ambientes corporativos, utilizando páginas fraudulentas que simulavam serviços legítimos. Além disso, o Kimsuky evoluiu suas técnicas, incorporando ferramentas como o Microsoft Visual Studio Code para estabelecer acesso remoto, o que representa uma mudança significativa nas suas táticas. A análise destaca a necessidade de atenção redobrada por parte das organizações, especialmente em setores críticos, devido ao potencial impacto em conformidade com a LGPD e à segurança de dados sensíveis.

O FBI emitiu um alerta sobre a criação de sites falsos que se passam pela FIFA, visando roubar informações pessoais e financeiras dos usuários, além de vender ingressos e pacotes de hospitalidade falsos para a Copa do Mundo de 2026, que ocorrerá entre 11 de junho e 19 de julho nos Estados Unidos, Canadá e México. Os criminosos cibernéticos estão utilizando centenas de sites de phishing que imitam o domínio oficial fifa.com, fazendo pequenas alterações que podem passar despercebidas, como fiffa[.]com, e utilizando domínios alternativos como .org e .xyz. Esses sites fraudulentos coletam dados sensíveis, como nomes, endereços e informações bancárias, que podem ser usados para fraudes financeiras e roubo de identidade. Pesquisas de empresas de cibersegurança, como a Group-IB e a Bitdefender, revelaram campanhas de malvertising relacionadas à Copa do Mundo, promovidas em plataformas como Google Search e Facebook. Para se proteger, o FBI recomenda que os usuários acessem o site oficial digitando o endereço diretamente no navegador, evitem anúncios patrocinados e verifiquem a autenticidade dos sites antes de inserir dados sensíveis. Os usuários também são incentivados a relatar incidentes ao IC3 do FBI.

O BTMOB é um trojan de acesso remoto para Android que está sendo oferecido a cibercriminosos com uma interface de construção para gerar cargas de malware personalizadas, especialmente voltadas para iscas de phishing. Este malware possui uma ampla gama de funcionalidades, incluindo roubo de dados específicos, interceptação de transações financeiras, captura de telas e controle remoto do dispositivo. Segundo a empresa de cibersegurança ESET, o BTMOB é promovido abertamente na internet e opera como uma plataforma de malware como serviço (MaaS). Os criminosos podem personalizar as permissões solicitadas pelo aplicativo durante a instalação e definir ações como desativar o Google Play e ocultar o ícone do aplicativo. O BTMOB é mais ativo no Brasil e na América Latina, e suas vendas ocorrem em canais privados do Telegram, com assinaturas mensais de US$ 700 ou uma licença vitalícia por US$ 5.000. O malware é distribuído por meio de sites de phishing que se disfarçam de serviços de streaming e plataformas de mineração de criptomoedas, redirecionando as vítimas para portais que imitam o Google Play. A ESET recomenda que os usuários do Android instalem apenas aplicativos da loja oficial e revoguem permissões arriscadas.

O grupo de ameaças cibernéticas, identificado como GreyVibe, vinculado à Rússia, tem utilizado iscas geradas por inteligência artificial e um conjunto diversificado de ferramentas de malware para atacar entidades nos setores militar, governamental, civil e empresarial. A campanha de ciberespionagem, que está ativa desde pelo menos agosto de 2025, foca em organizações ucranianas ou relacionadas à Ucrânia. A pesquisa da empresa de cibersegurança WithSecure revelou que GreyVibe emprega várias cadeias de ataque, incluindo e-mails de spear-phishing com arquivos maliciosos, páginas falsas que imitam serviços populares e sites de namoro falsos que distribuem spyware. A utilização de ferramentas de IA, como ChatGPT, para criar conteúdo realista e detalhado para as iscas é um aspecto notável da operação. Embora a atividade do GreyVibe seja consistente com operações de estado-nação, a falta de sofisticação e disciplina operacional sugere que o grupo pode incluir atores cibercriminosos. As organizações podem se proteger utilizando os indicadores de compromisso (IoCs) fornecidos pela WithSecure.

Os Provedores de Serviços Gerenciados (MSPs) enfrentam um volume crescente de alertas de segurança diariamente, mas muitos ainda têm dificuldade em distinguir o ruído operacional das ameaças reais que colocam seus clientes em risco. A fragmentação das ferramentas de segurança é um dos principais fatores que contribuem para essa situação, resultando em alertas duplicados e lacunas de visibilidade. Em vez de obter uma visão clara, os MSPs se veem obrigados a reunir informações de múltiplos consoles, o que gera ineficiências operacionais e fadiga de alertas. A adoção de plataformas de segurança unificadas, como o SIEM, é essencial para melhorar a visibilidade e a eficiência operacional. O SIEM oferece uma visão centralizada das atividades em todo o ambiente, correlacionando eventos relacionados em um fluxo de investigação único, permitindo que as equipes de MSPs identifiquem e respondam a ameaças de forma mais rápida e eficaz. Além disso, a crescente demanda por maturidade em segurança por parte dos clientes torna o SIEM uma ferramenta estratégica para MSPs que buscam se diferenciar no mercado. Com a capacidade de automatizar respostas e melhorar a detecção de ameaças, o SIEM se torna um ativo valioso para a continuidade dos negócios e a conformidade regulatória.

Uma vulnerabilidade zero-day não corrigida no serviço de Git auto-hospedado Gogs pode permitir que atacantes realizem execução remota de código (RCE) em instâncias expostas à Internet. O Gogs, que é uma alternativa ao GitHub Enterprise e GitLab, é frequentemente utilizado para colaboração remota e, por padrão, permite registro aberto e criação ilimitada de repositórios. Isso significa que um atacante não autenticado pode facilmente criar uma conta e um repositório em uma instância configurada com as definições padrão. Uma vez registrado, o usuário pode habilitar a mesclagem rebase, permitindo que o atacante injete comandos maliciosos durante operações de mesclagem, comprometendo assim o servidor. A falha afeta as versões mais recentes do Gogs (0.14.2 e 0.15.0+dev) e ainda não recebeu um ID CVE. O pesquisador Jonah Burges, que descobriu a vulnerabilidade, alertou que ela permite que atacantes leiam repositórios privados, capturem credenciais e comprometam outros sistemas acessíveis na rede. A Gogs ainda não lançou um patch, apesar de ter reconhecido o problema. A situação é preocupante, especialmente considerando que mais de 2.400 servidores Gogs estão expostos online, com a maioria localizada na Ásia e Europa.

Hackers estão explorando uma vulnerabilidade crítica de bypass de autenticação (CVE-2026-35616) no FortiClient Enterprise Management Server (EMS) para implantar um malware chamado EKZ, que rouba credenciais. O ataque se disfarça como uma atualização legítima para endpoints da Fortinet e é executado através de fluxos de trabalho de script VPN gerenciados pelo FortiClient. Essa falha de controle de acesso inadequado permite que atacantes remotos não autenticados executem comandos arbitrários. A Fortinet confirmou a exploração da vulnerabilidade em abril e lançou correções de emergência para as versões 7.4.5 e 7.4.6 do produto. A CISA emitiu uma ordem para que agências federais protegessem suas instâncias rapidamente, enquanto a Arctic Wolf observou ataques que utilizam essa vulnerabilidade para entregar o infostealer EKZ. O malware é capaz de extrair dados sensíveis, como credenciais e informações de cartões de crédito, e opera de forma furtiva, utilizando scripts maliciosos que são executados após a conexão de um túnel IPsec. Os pesquisadores recomendam que as organizações fiquem atentas a anomalias de autenticação de certificados e atividades administrativas suspeitas.

O cenário de cibersegurança continua a apresentar desafios significativos, com a descoberta de mais de 1.350 servidores de comando e controle (C2) no Oriente Médio, representando 96,8% das atividades maliciosas na região. A Saudi Telecom Company (STC) é responsável por 72,4% dessa infraestrutura. Além disso, uma falha crítica de escalonamento de privilégios no Azure Backup da Microsoft foi corrigida, permitindo que usuários com permissões mínimas obtivessem acesso total a clusters AKS. Um cidadão romeno foi condenado a 56 meses de prisão por ataques cibernéticos nos EUA, destacando a gravidade das ameaças. A CISA adicionou um ataque à cadeia de suprimentos do software DAEMON Tools ao seu catálogo de vulnerabilidades exploradas, exigindo ações corretivas imediatas. A Apple, por sua vez, lançou implementações de criptografia pós-quântica, enquanto o grupo Silent Ransom Group tem atacado escritórios de advocacia nos EUA, utilizando engenharia social para roubar dados sensíveis. Por fim, campanhas de phishing estão em alta, com a distribuição de malware através de instaladores falsos e e-mails enganosos.

A Microsoft reafirmou seu apoio à Divulgação Coordenada de Vulnerabilidades (CVD) após uma série de vulnerabilidades zero-day serem divulgadas sem aviso prévio, colocando em risco a segurança de seus usuários. O pesquisador conhecido como Chaotic Eclipse revelou falhas críticas em componentes do Windows, como o Defender e o BitLocker, resultando em exploração ativa das vulnerabilidades BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) e UnDefend (CVE-2026-45498). A empresa expressou preocupação com o impacto dessas divulgações não coordenadas, que dificultam a proteção de seus clientes e podem ser exploradas por agentes maliciosos. A Microsoft também destacou a importância do diálogo com a comunidade de pesquisa em segurança, embora tenha enfrentado críticas por sua abordagem ao processo de divulgação. O incidente levou à suspensão da conta do pesquisador no GitHub, que se manifestou publicamente contra a empresa, prometendo novas divulgações em julho de 2026. A situação ressalta a necessidade de um processo mais colaborativo e seguro para a comunicação de vulnerabilidades entre pesquisadores e fornecedores.

Recentemente, um grupo de cibercriminosos explorou uma falha crítica no FortiClient Endpoint Management Server (EMS), que já foi corrigida, para distribuir malware que rouba credenciais. A campanha utilizou a infraestrutura de gerenciamento de endpoints confiável para implantar o malware disfarçado como uma atualização legítima do Fortinet. A vulnerabilidade, identificada como CVE-2026-35616, possui uma pontuação CVSS de 9.1 e permite a escalada de privilégios por meio de um bypass de autenticação de API. Após a exploração, os atacantes modificaram configurações para atrasar lembretes de atualização de firmware e injetaram scripts maliciosos em dispositivos gerenciados. O malware, chamado ‘FortiEndpoint_Patch.exe’, é um ladrão de informações que coleta dados sensíveis, como senhas e informações de cartões de crédito, e os envia para um servidor controlado pelos atacantes. A utilização de comandos PowerShell para executar essas ações destaca a gravidade da situação, pois cada endpoint gerenciado se torna um alvo potencial sem a necessidade de uma intrusão separada.

O FBI emitiu um alerta sobre um novo método de ataque cibernético em que hackers, conhecidos como Silent Ransom Group (SRG), se apresentam como suporte técnico nas empresas para instalar malware e roubar dados. Este grupo, ativo desde 2022, tem como alvo principal escritórios de advocacia nos Estados Unidos. O ataque geralmente começa com uma ligação de ‘vishing’ (phishing por voz), onde tentam convencer a vítima a instalar um software de gerenciamento remoto. Se essa abordagem falhar, os hackers se dirigem fisicamente ao local, portando dispositivos como pen drives e discos externos para realizar a intrusão. Uma vez dentro, eles copiam arquivos sensíveis e instalam malware, escalando privilégios antes de se retirarem. Posteriormente, eles extorquem as vítimas através de e-mails de resgate e chamadas, ameaçando divulgar os dados roubados. O SRG é também conhecido por manter um site de vazamento de dados, onde expõem as vítimas que não pagam o resgate. Este tipo de ataque representa um risco significativo, especialmente para setores que lidam com informações sensíveis, como o jurídico.