Pesquisadores de cibersegurança revelaram múltiplas vulnerabilidades que afetam o NGINX Plus e o NGINX Open Source, incluindo uma falha crítica que permaneceu oculta por 18 anos. A vulnerabilidade, identificada como CVE-2026-42945, é um problema de estouro de buffer na pilha que pode permitir a execução remota de código ou causar uma negação de serviço (DoS) através de requisições maliciosas. Essa falha, conhecida como NGINX Rift, pode ser explorada por atacantes não autenticados, tornando-a especialmente perigosa. Além disso, três outras vulnerabilidades foram corrigidas, com pontuações CVSS variando de 6.3 a 8.3, afetando módulos como ngx_http_scgi_module e ngx_http_ssl_module. As versões afetadas foram corrigidas em atualizações lançadas após a divulgação responsável em 21 de abril de 2026. Os usuários são aconselhados a atualizar para as versões mais recentes ou, se não puderem, modificar a configuração de reescrita para mitigar o risco. Essa situação destaca a importância de manter sistemas atualizados e monitorar vulnerabilidades conhecidas.

Uma vulnerabilidade crítica, identificada como CVE-2026-45185, afeta configurações específicas do Exim, um agente de transferência de e-mail open-source amplamente utilizado em servidores Linux e Unix. Essa falha, que impacta versões do Exim anteriores à 4.99.3 que utilizam a biblioteca GNU Transport Layer Security (GnuTLS), pode ser explorada por atacantes remotos não autenticados para executar código arbitrário. O problema é um erro do tipo user-after-free (UAF) que ocorre durante o encerramento do TLS ao lidar com tráfego SMTP chunked. O Exim libera um buffer de transferência TLS, mas continua a usar referências de callback obsoletas, permitindo que dados sejam escritos em uma região de memória liberada, o que pode levar à execução remota de código (RCE). A vulnerabilidade foi descoberta pelo pesquisador Federico Kirschbaum da XBOW, que relatou o problema aos mantenedores do Exim em 1º de maio, recebendo confirmação em 5 de maio. Uma correção foi disponibilizada na versão 4.99.3 do Exim. Os usuários de distribuições Linux baseadas em Ubuntu e Debian são aconselhados a aplicar as atualizações disponíveis para mitigar os riscos associados a essa falha.

O grupo de hackers MuddyWater, vinculado ao Irã, iniciou uma ampla campanha de ciberespionagem que afetou pelo menos nove organizações de destaque em diversos setores e países. Entre as vítimas estão um importante fabricante de eletrônicos da Coreia do Sul, agências governamentais, um aeroporto internacional no Oriente Médio, fabricantes industriais na Ásia e instituições educacionais. Pesquisadores da Symantec relataram que os atacantes permaneceram na rede do fabricante sul-coreano por uma semana em fevereiro de 2026, focando no roubo de propriedade intelectual e espionagem governamental. A campanha utilizou técnicas como o DLL sideloading, onde softwares legítimos carregam DLLs maliciosas, e ferramentas como ChromElevator para roubo de dados de navegadores Chrome. O ataque incluiu a captura de credenciais através de prompts falsos do Windows e modificações no registro para garantir persistência. A exfiltração de dados foi realizada via um serviço de compartilhamento de arquivos público, disfarçando a atividade maliciosa. A campanha é notável pela maturidade operacional dos atacantes e pelo uso de ferramentas legítimas, indicando uma mudança para ataques mais discretos.

A West Pharmaceutical Services, uma empresa americana de fabricação farmacêutica, revelou que foi alvo de um ataque cibernético que resultou em exfiltração de dados e criptografia de sistemas. O incidente foi detectado em 4 de maio de 2026, e a empresa ativou rapidamente seus protocolos de resposta a incidentes, incluindo a desativação global de sistemas para contenção e notificação às autoridades. A investigação em andamento busca determinar a natureza e a extensão do ataque, bem como os dados que foram roubados. Embora a empresa tenha restaurado parcialmente seus sistemas principais, a recuperação total ainda não foi alcançada, e não há previsão para a conclusão desse processo. A West Pharmaceutical Services, que possui receitas anuais superiores a US$ 3 bilhões e mais de 10.800 funcionários, não divulgou estimativas sobre o impacto financeiro do ataque. A empresa também não especificou as medidas tomadas para mitigar a disseminação dos dados exfiltrados, mas confirmou que está trabalhando com especialistas externos para lidar com a situação. Até o momento, nenhum grupo de ransomware reivindicou a responsabilidade pelo ataque.

O relatório M-Trends 2026 da Mandiant revela que, apesar de uma visibilidade sem precedentes nas operações de segurança, as equipes estão lutando para garantir que as correções aplicadas realmente resolvam as vulnerabilidades. O tempo médio para exploração de falhas é estimado em menos de sete dias, enquanto o tempo médio para remediar vulnerabilidades em dispositivos de borda é de 32 dias, segundo o DBIR 2025 da Verizon. A crescente dependência de inteligência artificial (IA) na exploração de vulnerabilidades torna a remediação mais crítica, pois muitos patches podem ser contornáveis ou dependentes de comportamentos específicos dos atacantes. A falta de validação após a aplicação de correções pode levar a uma falsa sensação de segurança. O artigo destaca a importância da revalidação das correções, propondo que cada remediação deve ser testada para garantir que o risco original foi eliminado, e não apenas a via de ataque inicial. A automação e a consolidação de descobertas são necessárias, mas não suficientes; é crucial que as organizações desenvolvam um fluxo de trabalho que integre a validação pós-correção para garantir a eficácia das ações de segurança.

A Foxconn, maior fabricante de eletrônicos do mundo, anunciou que algumas de suas fábricas na América do Norte estão retomando as operações normais após um ataque cibernético. O incidente foi confirmado por um porta-voz da empresa, que relatou que a equipe de cibersegurança ativou imediatamente um mecanismo de resposta e implementou medidas operacionais para garantir a continuidade da produção. O grupo de ransomware Nitrogen reivindicou a responsabilidade pelo ataque, alegando ter roubado 8 TB de dados, incluindo documentos confidenciais de grandes clientes como Apple, Intel e Google. Este não é o primeiro ataque do tipo que a Foxconn enfrenta; a empresa já foi alvo de outras gangues de ransomware, como LockBit e DoppelPaymer, nos últimos anos. A situação destaca a crescente ameaça de ataques cibernéticos a grandes corporações e a importância de medidas robustas de segurança cibernética para proteger informações sensíveis e garantir a continuidade dos negócios.

A Microsoft anunciou a correção de um bug no Windows Autopatch que permitiu a instalação de atualizações de drivers em dispositivos gerenciados, mesmo quando políticas administrativas exigiam aprovação manual. O problema afetou um número limitado de dispositivos com Windows 11 (versões 25H2, 24H2 e 23H2) na União Europeia, resultando em comportamentos inesperados, como reinicializações e, em alguns casos, falhas no sistema. A empresa informou que a correção foi feita por meio de uma atualização do lado do serviço, sem necessidade de ação por parte dos usuários. Este incidente segue uma série de problemas recentes, incluindo um upgrade não autorizado de servidores Windows e dificuldades na instalação do Office em dispositivos Windows 365. A Microsoft enfatizou que a situação foi resolvida e que os clientes não precisam realizar atualizações adicionais para corrigir o problema.

A Microsoft anunciou a resolução de um problema que fazia com que alguns sistemas Windows 11 entrassem no modo de recuperação do BitLocker após a instalação das atualizações de segurança de abril de 2026. O BitLocker é um recurso de segurança que criptografa unidades de armazenamento para proteger dados contra roubo. O problema, que também afetou dispositivos com Windows 10 e Windows Server, foi reconhecido pela Microsoft em 14 de abril e estava relacionado a uma configuração de Política de Grupo do BitLocker considerada ’não recomendada’. A empresa informou que, após a instalação da atualização, alguns dispositivos poderiam exigir a chave de recuperação do BitLocker no primeiro reinício. A correção foi disponibilizada apenas para sistemas Windows 11 25H2, enquanto os usuários de Windows 10 e Windows Server ainda aguardam uma solução. A Microsoft aconselhou administradores de TI a remover a configuração de Política de Grupo que poderia causar o problema antes de aplicar as atualizações de abril de 2026. Este incidente destaca a importância de manter as configurações de segurança adequadas para evitar interrupções no acesso a dados críticos.

Os ataques cibernéticos modernos estão cada vez mais sofisticados, visando contornar defesas, interromper operações e atrasar a recuperação após uma violação. Um webinar ao vivo, promovido pela BleepingComputer, abordará a necessidade de as organizações repensarem suas estratégias de segurança e recuperação, especialmente diante da evolução rápida de ameaças como phishing impulsionado por IA, ransomware e comprometimento de e-mails corporativos. Os atacantes utilizam infraestrutura confiável e serviços em nuvem legítimos para acessar ambientes empresariais, tornando a detecção e contenção de incidentes um desafio. O webinar destacará a importância de combinar controles de segurança robustos com estratégias de backup e recuperação, essenciais para a resiliência cibernética moderna. A falta de estratégias de recuperação eficazes pode resultar em longos períodos de inatividade e custos elevados após a identificação de incidentes. Os participantes aprenderão sobre as falhas comuns nas estratégias de segurança e a importância do planejamento de recuperação e backup em SaaS. Essa discussão é crucial para que as organizações não apenas se defendam contra ataques, mas também se recuperem rapidamente.

Um pesquisador de cibersegurança, conhecido como Chaotic Eclipse, divulgou exploits de prova de conceito (PoC) para duas vulnerabilidades não corrigidas do Microsoft Windows, chamadas YellowKey e GreenPlasma. A vulnerabilidade YellowKey é um bypass do BitLocker, que permite acesso não autorizado a volumes protegidos, enquanto GreenPlasma é uma falha de escalonamento de privilégios que pode conceder permissões de sistema a usuários não privilegiados. O pesquisador alega que a vulnerabilidade YellowKey funciona como uma porta dos fundos, pois está presente apenas no Ambiente de Recuperação do Windows (WinRE). A divulgação pública dessas falhas foi motivada pela insatisfação com a forma como a Microsoft lida com relatórios de bugs. Chaotic Eclipse prometeu continuar vazando exploits para vulnerabilidades não documentadas, levantando preocupações sobre a segurança dos sistemas Windows, especialmente no Brasil, onde muitas empresas utilizam essas tecnologias. A Microsoft, por sua vez, afirmou estar comprometida em investigar problemas de segurança reportados e atualizar dispositivos afetados rapidamente.

Na última terça-feira, a Microsoft lançou atualizações para 138 vulnerabilidades de segurança em seu portfólio de produtos. Dentre essas falhas, 30 foram classificadas como Críticas e 104 como Importantes. A maioria das vulnerabilidades está relacionada a elevações de privilégio e execução remota de código. Um dos destaques é a CVE-2026-41096, uma falha de buffer overflow que pode permitir que atacantes não autorizados executem código remotamente em sistemas Windows. Além disso, a Microsoft corrigiu vulnerabilidades críticas em serviços como Azure DevOps e Microsoft Dynamics 365, que podem expor informações sensíveis e permitir a execução de código malicioso. A empresa também enfatizou a importância de atualizar os certificados de Secure Boot antes da expiração em junho de 2026, para evitar falhas de segurança. A crescente descoberta de vulnerabilidades, impulsionada por abordagens de inteligência artificial, sugere que o volume de correções deve aumentar nos próximos meses. Com mais de 500 CVEs corrigidos em 2026 até agora, a situação exige atenção constante das organizações para mitigar riscos potenciais.

O artigo da The Hacker News destaca a crescente preocupação com a segurança cibernética, enfatizando que muitos sistemas de segurança estão gerando um número excessivo de alertas irrelevantes, comparáveis a alarmes de fumaça disparados por um simples pedaço de pão queimado. Essa ‘fadiga de alertas’ pode levar as equipes de segurança a ignorar ameaças reais. Os hackers, em vez de buscar uma única vulnerabilidade significativa, estão cada vez mais utilizando uma abordagem que conecta pequenas falhas, como bugs de codificação e configurações inadequadas na nuvem, formando uma ‘Cadeia Letal’ que pode levar a dados sensíveis. O artigo convida os profissionais de segurança a participarem de um briefing com especialistas da Wiz, onde serão discutidos padrões de ataque atuais, a importância de mapear caminhos de ataque e como priorizar alertas relevantes. O evento também contará com uma sessão de perguntas e respostas, permitindo que os participantes abordem desafios específicos de suas arquiteturas. A mensagem central é que, para uma defesa eficaz, é crucial ter uma visão holística da segurança, em vez de se concentrar em alertas isolados.

Um grupo de hackers associado à China, conhecido como FamousSparrow, está vinculado a uma série de intrusões em uma empresa de petróleo e gás do Azerbaijão entre dezembro de 2025 e fevereiro de 2026. A Bitdefender, empresa de cibersegurança, atribui a atividade com confiança moderada a alta a esse grupo, que já possui um histórico de ataques em outras regiões. A campanha de ataque foi caracterizada por uma ‘intrusão em múltiplas ondas’, utilizando dois tipos distintos de backdoors: Deed RAT e TernDoor. Os atacantes exploraram uma vulnerabilidade no Microsoft Exchange Server, utilizando a cadeia ProxyNotShell para obter acesso inicial. O que chama a atenção é a persistência dos atacantes em reutilizar o mesmo ponto de entrada vulnerável, mesmo após tentativas de remediação. Além disso, a técnica de side-loading de DLL foi aprimorada para evitar detecções. O ataque destaca a importância de uma vigilância contínua e a necessidade de remediação eficaz de vulnerabilidades, especialmente em um contexto onde a segurança energética da Europa está em jogo.

A Microsoft apresentou o MDASH, um novo sistema de inteligência artificial (IA) projetado para facilitar a descoberta e remediação de vulnerabilidades em larga escala. O MDASH, que significa multi-model agentic scanning harness, utiliza mais de 100 agentes de IA especializados para identificar, validar e comprovar falhas exploráveis em códigos complexos, como o Windows. Diferente de abordagens de modelo único, o sistema orquestra uma série de agentes que atuam em diferentes etapas do processo, desde a análise do código-fonte até a validação das descobertas. Recentemente, o MDASH foi testado e conseguiu identificar 16 vulnerabilidades que foram corrigidas na atualização de Patch Tuesday deste mês, incluindo duas falhas críticas que poderiam permitir a execução remota de código. A iniciativa da Microsoft segue o lançamento de outros projetos de IA voltados para a cibersegurança, destacando a crescente importância da IA na defesa contra ameaças cibernéticas. O impacto estratégico é significativo, pois a descoberta de vulnerabilidades por IA passou de uma curiosidade de pesquisa para uma defesa em escala empresarial, com um foco em sistemas de agentes ao invés de modelos isolados.

O Google anunciou uma nova funcionalidade chamada Intrusion Logging, disponível no modo de proteção avançada do Android, que permite o registro forense de atividades em dispositivos para análise de ataques sofisticados de spyware. Desenvolvido em parceria com a Anistia Internacional e Repórteres Sem Fronteiras, o recurso registra atividades diárias do dispositivo, como comportamento de aplicativos, conexões de rede e transferências de arquivos. Os dados são criptografados de ponta a ponta e armazenados em servidores do Google, garantindo que nem mesmo a empresa tenha acesso a eles, exceto o proprietário do dispositivo. Os registros são mantidos por 12 meses e podem ser baixados offline, mas uma vez baixados, a segurança dos dados fica sob responsabilidade do usuário. A funcionalidade também registra eventos de navegação no Chrome em modo incógnito, o que pode levantar preocupações sobre privacidade. O objetivo é fornecer a indivíduos de alto risco, que possam ser alvos de ferramentas de vigilância, a capacidade de compartilhar logs de atividade com especialistas em segurança para investigação. Além disso, o Google anunciou melhorias em segurança e privacidade no Android, incluindo proteção contra fraudes em chamadas financeiras e detecção de ameaças em tempo real.

Pesquisadores de cibersegurança alertam para a campanha GemStuffer, que tem como alvo o repositório RubyGems, utilizando mais de 150 gems para exfiltração de dados ao invés de distribuição de malware. De acordo com a empresa Socket, os pacotes não visam comprometer massivamente desenvolvedores, pois muitos têm pouca ou nenhuma atividade de download e seus payloads são repetitivos e barulhentos. Os scripts envolvidos na campanha acessam portais de serviços democráticos do governo local do Reino Unido, coletando informações como calendários de reuniões, listas de itens de agenda e documentos PDF, que são então empacotados em arquivos .gem e publicados de volta no RubyGems com credenciais de API codificadas. A campanha levanta preocupações sobre o uso do RubyGems como um canal de armazenamento para dados coletados, o que pode indicar uma capacidade de ataque contra a infraestrutura governamental. A situação se agrava com a desativação temporária do registro de novas contas no RubyGems, após um ataque malicioso significativo. Embora a informação coletada seja publicamente acessível, a sistemática coleta e arquivamento de dados pode ter implicações mais amplas, incluindo possíveis testes de abuso de registro de pacotes.

O Comitê de Segurança Nacional da Câmara dos EUA convocou executivos da Instructure para depor sobre dois ataques cibernéticos realizados pelo grupo de extorsão ShinyHunters, que afetaram a plataforma Canvas da empresa. Os ataques resultaram no roubo de dados de milhões de estudantes e na interrupção de atividades escolares durante períodos críticos, como as provas finais. A Instructure confirmou que, em 29 de abril, detectou a invasão, que expôs informações como nomes, endereços de e-mail e números de identificação de estudantes, mas não incluiu senhas ou dados financeiros. O ShinyHunters reivindicou a responsabilidade, alegando ter roubado 280 milhões de registros de 8.809 instituições educacionais. Após o segundo ataque, que desfigurou portais de login do Canvas, a Instructure anunciou ter chegado a um acordo com o grupo para interromper a divulgação pública dos dados. O Comitê expressou preocupações sobre a capacidade de resposta da Instructure a incidentes e solicitou uma reunião até 21 de maio para discutir as intrusões e as medidas tomadas. O incidente levanta questões sérias sobre a segurança dos dados armazenados pela empresa e sua responsabilidade em proteger as informações de estudantes e educadores.

A Fortinet divulgou atualizações de segurança para corrigir duas vulnerabilidades críticas em seus produtos FortiSandbox e FortiAuthenticator, que podem permitir que atacantes executem comandos ou códigos arbitrários em sistemas não corrigidos. A primeira vulnerabilidade, identificada como CVE-2026-44277, afeta a solução de Gerenciamento de Identidade e Acesso (IAM) FortiAuthenticator, permitindo que um atacante não autenticado execute código não autorizado por meio de requisições manipuladas. Essa falha foi corrigida nas versões 6.5.7, 6.6.9 e 8.0.3 do FortiAuthenticator. A segunda vulnerabilidade, CVE-2026-26083, refere-se ao FortiSandbox e pode ser explorada para execução remota de código em sistemas vulneráveis, permitindo que atacantes não autenticados executem comandos não autorizados via requisições HTTP. Embora a Fortinet não tenha indicado que essas falhas estejam sendo ativamente exploradas, a empresa tem um histórico de vulnerabilidades que são frequentemente utilizadas em ataques de ransomware e espionagem cibernética. A CISA, agência de segurança cibernética dos EUA, já adicionou 24 vulnerabilidades da Fortinet ao seu catálogo de falhas ativamente exploradas nos últimos anos, destacando a necessidade de atenção e ação imediata por parte das organizações.

A Microsoft lançou a atualização de segurança KB5087544 para o Windows 10, visando corrigir vulnerabilidades identificadas durante o Patch Tuesday de maio de 2026. Esta atualização é aplicável para usuários do Windows 10 Enterprise LTSC e aqueles que participam do programa ESU. Após a instalação, a versão do Windows 10 será atualizada para a build 19045.7291, enquanto o Windows 10 Enterprise LTSC 2021 será atualizado para a build 19044.7291.

O foco principal da KB5087544 é a correção de 120 vulnerabilidades, incluindo um problema conhecido relacionado ao aviso de segurança do Remote Desktop, que poderia ser exibido incorretamente em configurações de múltiplos monitores. Além disso, a atualização melhora o relatório dinâmico do status do Secure Boot e inclui ajustes para o horário de verão no Egito. A Microsoft também alertou sobre um problema que pode solicitar a chave de recuperação do BitLocker após a instalação de atualizações recentes, afetando sistemas com uma configuração específica de Política de Grupo do BitLocker. Para contornar esse problema, a empresa recomenda a remoção da configuração afetada e a suspensão e retomada do BitLocker.

O aplicativo Signal introduziu novas confirmações e mensagens de alerta dentro do app para aumentar a segurança contra tentativas de phishing e engenharia social, que podem resultar em fraudes. O objetivo é criar um nível de fricção que permita aos usuários avaliar a segurança de solicitações externas. Recentemente, ataques direcionados a usuários de alto perfil foram relatados, envolvendo alertas falsos de ‘Suporte do Signal’, conforme destacado pelo FBI e autoridades da Alemanha e Países Baixos. Esses incidentes foram atribuídos a hackers patrocinados pelo estado russo, que exploraram a funcionalidade de Dispositivos Vinculados para acessar contas, chats e listas de contatos das vítimas. O ataque convencía as vítimas a escanear códigos QR ou compartilhar códigos de verificação, permitindo que os atacantes vinculassem seus dispositivos às contas-alvo. Para mitigar esses riscos, o Signal agora exibe mensagens como ‘Nome não verificado’ e ‘Sem grupos em comum’ para contatos que iniciam comunicação, além de alertar os usuários sobre a impossibilidade de solicitar códigos de registro ou PINs. As novas funcionalidades visam educar os usuários sobre perfis fraudulentos e reforçar a segurança contra ataques de engenharia social.

O artigo destaca que muitos incidentes de rede não se intensificam devido à falta de visibilidade, mas sim pela dificuldade das equipes de TI em gerenciar alertas e coordenar respostas em sistemas diversos durante situações de alta pressão. Um webinar promovido pela BleepingComputer em 2 de junho de 2026, em parceria com a Tines, abordará a importância de fluxos de trabalho de resposta mais coordenados para reduzir o tempo de resposta e evitar interrupções. Com o aumento da complexidade dos ambientes de TI, os alertas provenientes de plataformas de monitoramento, sistemas de infraestrutura e ferramentas de segurança estão crescendo em volume, enquanto muitas equipes ainda dependem de investigações manuais, o que atrasa a resolução de incidentes. A Tines oferece soluções que combinam automação e inteligência artificial para otimizar a resposta a incidentes, minimizando o trabalho repetitivo e melhorando a coordenação entre sistemas. O webinar abordará como os incidentes evoluem, onde ocorrem falhas nos fluxos de trabalho e técnicas para enriquecer e priorizar alertas automaticamente, promovendo uma resposta mais integrada e eficiente.

O Escritório do Comissário de Informação do Reino Unido multou a South Staffordshire Water Plc e sua controladora em £963,900 (cerca de R$ 6,3 milhões) devido a um ciberataque que expôs os dados pessoais de 663,887 clientes e funcionários. A empresa, que fornece 330 milhões de litros de água potável diariamente para 1,6 milhão de consumidores, sofreu o ataque que comprometeu suas operações de TI em 2022. Embora a gangue de ransomware Cl0p tenha inicialmente reivindicado a responsabilidade, a investigação do ICO confirmou a autenticidade dos dados vazados, que incluíam nomes completos, endereços, e informações bancárias. O ataque, que começou em setembro de 2020, foi facilitado por um ataque de phishing que permitiu a instalação de malware em seus sistemas, permanecendo indetectado por 20 meses. O ICO identificou falhas significativas na segurança da empresa, como controles insuficientes para prevenir a escalada de privilégios e o uso de software obsoleto. A multa foi reduzida em 40% devido à cooperação da empresa durante a investigação.

A Exim, um agente de transferência de e-mail de código aberto, lançou atualizações de segurança para corrigir uma vulnerabilidade crítica, identificada como CVE-2026-45185, também conhecida como Dead.Letter. Essa falha, classificada como uma vulnerabilidade de uso após liberação (use-after-free), afeta versões do Exim entre 4.97 e 4.99.2 que utilizam a biblioteca GnuTLS. O problema ocorre durante o processamento de mensagens BDAT quando um cliente envia um alerta de fechamento TLS antes da conclusão da transferência do corpo da mensagem, resultando em corrupção de memória e potencial execução de código malicioso. O especialista Federico Kirschbaum, do XBOW, destacou que a exploração dessa vulnerabilidade requer pouca configuração especial no servidor. A Exim já lançou a versão 4.99.3, que corrige a falha, e recomenda que todos os usuários atualizem imediatamente, pois não há mitigações disponíveis. Essa não é a primeira vez que falhas críticas são descobertas no Exim, levantando preocupações sobre a segurança contínua do software.

Uma pesquisa realizada pela empresa britânica Cifas revelou dados alarmantes sobre a disposição de funcionários em vender acesso a sistemas corporativos. De acordo com o estudo, 13% dos trabalhadores britânicos admitiram já ter vendido suas credenciais ou conhecer alguém que o fez. O relatório, intitulado ‘Tendências de Fraude no Ambiente de Trabalho’, também indicou que 32% dos gerentes e 43% dos executivos de alto escalão consideram essa prática justificável. Os motivos para essa atitude incluem problemas financeiros, a crença de que a venda é uma ação inofensiva e descontentamento com o trabalho. Os setores de TI e telecomunicações apresentaram a maior tolerância a esse tipo de fraude. Embora a venda de acesso a sistemas tenha sido uma das fraudes menos comuns abordadas, a pesquisa destaca a necessidade de as empresas desenvolverem uma cultura anti-fraude, conscientizando os funcionários sobre suas responsabilidades e as consequências de suas ações. A Cifas enfatiza que as organizações devem estar atentas a essa disposição dos funcionários, especialmente em um cenário onde a fraude pode ter impactos significativos na segurança e na integridade dos dados corporativos.

O Google Threat Intelligence Group (GTIG) anunciou a detecção e interrupção de um ataque de dia zero que utilizou inteligência artificial (IA) pela primeira vez. O ataque, realizado por um grupo de cibercriminosos ainda não identificado, visava explorar uma vulnerabilidade em uma ferramenta de administração de sistemas open-source. O código malicioso, embutido em um script Python, permitia contornar a autenticação de dois fatores, embora os invasores ainda precisassem de credenciais válidas para acessar a plataforma. O GTIG identificou que a IA foi utilizada para descobrir e transformar a vulnerabilidade em um exploit, com evidências no código que indicam a utilização de um modelo de IA para mapear brechas e desenvolver malware. O Google trabalhou com o fornecedor afetado para corrigir a falha, e uma atualização já foi disponibilizada. Este incidente destaca uma tendência crescente entre grupos hackers que estão utilizando IA para aumentar a eficácia de seus ataques, com foco em grupos ligados à China e à Coreia do Norte, que demonstraram interesse em explorar vulnerabilidades através de técnicas avançadas.

Recentemente, especialistas em cibersegurança alertaram sobre uma nova campanha de malware que visa usuários de Mac, utilizando chats do Claude e anúncios do Google para enganar as vítimas. Os golpistas exploraram a funcionalidade de ‘Shared Chats’ do Claude, criando conversas fraudulentas que fornecem instruções falsas para a instalação de um assistente de codificação chamado Claude Code. Essas instruções, na verdade, são um golpe do tipo ClickFix, que leva à infecção por malware do tipo infostealer. Para aumentar a credibilidade, os golpistas se apresentaram como ‘Apple Support’ e usaram anúncios pagos no Google para garantir que suas conversas fraudulentas aparecessem no topo dos resultados de busca. O link parecia legítimo, levando os usuários a acreditar que estavam acessando um conteúdo seguro. Embora o número de vítimas não tenha sido especificado, a pesquisa indicou que o malware não funciona em sistemas com idioma russo, sugerindo que os criminosos estão evitando esse público. Essa situação destaca a necessidade de vigilância constante e educação sobre segurança cibernética entre os usuários de Mac.

O American Lending Center (ALC), um credor de pequenas empresas da Califórnia, notificou 123.158 pessoas sobre uma violação de dados ocorrida em julho de 2025, resultante de um ataque de ransomware. A empresa revelou que o invasor comprometeu sua rede interna, executou o ataque e acessou arquivos que podem conter informações pessoais sensíveis, como nomes, números de Seguro Social e datas de nascimento. Até o momento, não se sabe como os atacantes conseguiram acessar a rede da ALC ou se um resgate foi pago. Para mitigar os danos, a ALC está oferecendo monitoramento de crédito gratuito e um seguro contra roubo de identidade de até 1 milhão de dólares através da IDX. Em 2025, foram registrados 67 ataques de ransomware em empresas financeiras dos EUA, afetando cerca de 1,4 milhão de pessoas. O ataque à ALC foi o terceiro maior em termos de registros comprometidos, atrás de incidentes em outras empresas financeiras. Os ataques de ransomware têm se tornado uma preocupação crescente, pois não apenas roubam dados, mas também podem paralisar sistemas, exigindo resgates para a restauração. A ALC gerencia ativos de 3,1 bilhões de dólares e financiou 110 projetos em todos os estados dos EUA.

O Android 17, previsto para ser lançado no próximo mês, introduzirá várias funcionalidades de segurança e privacidade, focando em roubo de dispositivos, detecção de ameaças e chamadas fraudulentas relacionadas a bancos. A Google ampliará as proteções contra golpistas que falsificam IDs de chamadas para se passar por instituições financeiras, ajudando a evitar que usuários transfiram dinheiro ou revelem informações sensíveis. O sistema operacional trabalhará em conjunto com aplicativos bancários para detectar chamadas fraudulentas e encerrar automaticamente a conexão quando um golpe for identificado. Além disso, a detecção de ameaças em tempo real será aprimorada para identificar técnicas de abuso adicionais, como o uso indevido de encaminhamento de SMS e sobreposições de acessibilidade ocultas. Para aumentar a proteção contra roubo, a nova funcionalidade ‘Marcar como perdido’ permitirá bloquear o dispositivo com autenticação biométrica, impedindo que ladrões desativem o rastreamento do aparelho. Outras melhorias incluem a verificação de autenticidade de chamadas, escaneamento de APKs para malware e compartilhamento temporário de localização precisa. Embora algumas funcionalidades sejam lançadas inicialmente em dispositivos Pixel, a Google promete disponibilizá-las para versões do Android 11 em diante.

A Škoda Auto, subsidiária do Grupo Volkswagen, confirmou um vazamento de dados após um ataque cibernético que comprometeu seu portal de e-commerce. Os invasores exploraram uma vulnerabilidade não especificada no software da loja online, obtendo acesso a informações pessoais de clientes, incluindo nomes, endereços, informações de contato e credenciais de login. A empresa assegurou que dados financeiros, como detalhes completos de cartões de crédito, não foram acessados, pois são processados exclusivamente por provedores de pagamento. Após a detecção do ataque, a Škoda notificou as autoridades competentes e corrigiu a falha de segurança. A empresa alertou os clientes afetados sobre possíveis tentativas de phishing e recomendou que ficassem atentos a comunicações suspeitas relacionadas à Škoda. Este incidente segue uma série de ataques cibernéticos que afetaram outras montadoras, como Renault e Jaguar Land Rover, destacando a crescente vulnerabilidade do setor automotivo a ameaças digitais.

As equipes de operações de segurança (SOC) enfrentam um desafio crescente: a sobrecarga de alertas. Um relatório recente da The Hacker News destaca que os alertas mais perigosos, como os relacionados a WAF (Web Application Firewall), DLP (Data Loss Prevention), IoT/OT, inteligência da dark web e sinais da cadeia de suprimentos, frequentemente não são investigados. O problema não é apenas a quantidade de alertas, mas sim a falta de capacidade e expertise especializada nas equipes. Muitas vezes, os analistas estão sobrecarregados com alertas rotineiros e não conseguem se aprofundar em eventos complexos que exigem conhecimento específico. Além disso, as plataformas de automação de SOC baseadas em IA têm limitações, pois geralmente operam com um número restrito de categorias de alerta e não conseguem lidar com ameaças novas ou desconhecidas. Para abordar essa lacuna, a Radiant Security e a Cirosec realizarão um webinar técnico em 21 de maio de 2026, onde discutirão as razões estruturais por trás dessa falta de cobertura e apresentarão uma solução inovadora que utiliza IA para gerar lógica de triagem personalizada em tempo real, abordando alertas que normalmente ficariam sem resposta.

Pesquisadores de cibersegurança identificaram uma nova versão do trojan bancário TrickMo, que utiliza a blockchain TON para suas comunicações de comando e controle. Observada entre janeiro e fevereiro de 2026, essa variante tem como alvo usuários de bancos e carteiras de criptomoedas na França, Itália e Áustria. O TrickMo, ativo desde 2019, é um malware que se aproveita dos serviços de acessibilidade do Android para sequestrar senhas de uso único (OTPs) e possui uma gama de funcionalidades, como phishing de credenciais, registro de teclas e interceptação de mensagens SMS. A nova versão, chamada TrickMo C, é distribuída por meio de aplicativos dropper que se disfarçam como versões de TikTok e Google Play Services. Uma mudança significativa na arquitetura do malware é a implementação de um proxy SOCKS5, que transforma dispositivos comprometidos em nós de saída de rede, permitindo que o tráfego malicioso seja roteado sem ser detectado. Além disso, o TrickMo inclui funcionalidades inativas que podem ser ativadas no futuro, indicando uma intenção de expandir suas capacidades. Essa evolução no malware representa um risco elevado, especialmente para instituições financeiras e usuários de criptomoedas, devido à sua capacidade de operar de forma furtiva e eficiente.

O RubyGems, gerenciador de pacotes padrão da linguagem de programação Ruby, suspendeu temporariamente o cadastro de novas contas após um ataque malicioso significativo. Maciej Mensfeld, gerente de produto sênior da Mend.io, responsável pela segurança do RubyGems, confirmou que o ataque envolve centenas de pacotes, com foco principal na plataforma, mas também com alguns pacotes que carregam exploits. A página de cadastro do RubyGems agora exibe uma mensagem informando que o registro de novas contas está temporariamente desativado. A Mend.io planeja fornecer mais detalhes assim que a situação for controlada. Este incidente ocorre em um contexto de aumento de ataques à cadeia de suprimentos de software, onde grupos de ameaças, como o TeamPCP, têm comprometido pacotes amplamente utilizados para distribuir malware que rouba credenciais e dados sensíveis. Um relatório do Google revelou que as credenciais roubadas estão sendo monetizadas através de parcerias com grupos de ransomware e extorsão de dados. O impacto total do ataque ainda não é conhecido, e a situação está em desenvolvimento.

Um estudo da Global Anti-Scam Alliance (GASA) revela que 70% dos brasileiros foram vítimas de golpes digitais nos últimos 12 meses, com uma média de 252 tentativas de fraude por pessoa. Em resposta a esse cenário alarmante, o governo federal sancionou a Lei 15.397/2026, que tipifica a ‘fraude eletrônica’ no Código Penal, estabelecendo penas de quatro a oito anos para crimes cometidos por meio de redes sociais, e-mails e ligações. A nova legislação também criminaliza o uso de ‘contas laranja’, com pena de até cinco anos. Apesar do endurecimento das penas, especialistas como Renata Salvini, da GASA, alertam que a lei sozinha não resolverá o problema, enfatizando a importância da identificação e especialização das forças de segurança. Os dados mostram que 65% dos golpes começam por ligações telefônicas, enquanto 60% das vítimas relatam perdas financeiras em compras online. O impacto emocional é significativo, com 86% das vítimas relatando estresse elevado. A GASA lançou um site para ajudar os usuários a verificar links suspeitos e acessar orientações de proteção.

A Instructure, empresa responsável pelo Canvas, um sistema de gestão de aprendizagem amplamente utilizado, anunciou que chegou a um acordo com o grupo de cibercrime ShinyHunters para evitar a divulgação de dados roubados em uma recente violação de segurança. O ataque afetou mais de 30 milhões de educadores e alunos em mais de 8.000 instituições de ensino ao redor do mundo. O grupo ShinyHunters reivindicou a responsabilidade pelo ataque, que resultou no roubo de mais de 3,6 TB de dados, explorando vulnerabilidades no ambiente Free-for-Teacher do Canvas. Apesar do retorno dos dados e da confirmação de sua destruição, especialistas alertam que o pagamento de resgates não garante a proteção contra futuras extorsões ou vendas dos dados a outros criminosos. A Instructure informou que está tomando medidas para reforçar a segurança de seus sistemas e que mais informações sobre o incidente serão compartilhadas em um webinar. A empresa também suspendeu temporariamente as contas Free-for-Teacher enquanto trabalha para resolver as falhas de segurança identificadas. Este incidente destaca a crescente ameaça de grupos de cibercrime e a necessidade de vigilância constante na proteção de dados educacionais.

A SAP lançou atualizações de segurança em maio de 2026 que corrigem 15 vulnerabilidades em diversos produtos, incluindo duas falhas críticas no Commerce Cloud e no S/4HANA. A primeira falha crítica, identificada como CVE-2026-34263, permite que atacantes não autenticados executem código em servidores vulneráveis devido a uma configuração inadequada do Spring Security. Isso pode resultar em uma execução arbitrária de código, comprometendo a confidencialidade, integridade e disponibilidade da aplicação. A segunda vulnerabilidade crítica, CVE-2026-34260, permite que atacantes com privilégios básicos injetem comandos SQL maliciosos, o que pode levar ao acesso não autorizado a informações sensíveis do banco de dados e até mesmo à queda da aplicação. Além dessas falhas críticas, a SAP também corrigiu uma falha de alta severidade e 11 problemas de severidade média, incluindo injeção de comandos e XSS. Embora a SAP não tenha encontrado evidências de exploração ativa dessas vulnerabilidades, a CISA já adicionou 14 falhas de segurança da SAP ao seu catálogo de vulnerabilidades conhecidas exploradas. A empresa, que é a maior fornecedora de software empresarial do mundo, atende a 99 das 100 maiores empresas globais, destacando a importância de uma resposta rápida a essas vulnerabilidades.

Uma nova campanha de supply-chain chamada Shai-Hulud comprometeu centenas de pacotes nas plataformas npm e PyPI, visando roubar credenciais de desenvolvedores. O ataque, atribuído ao grupo de ameaças TeamPCP, começou com pacotes da TanStack e Mistral AI, mas rapidamente se espalhou para projetos populares como Guardrails AI e UiPath. Os atacantes utilizaram tokens OpenID Connect (OIDC) válidos para publicar versões maliciosas de pacotes, que aparentavam ter origem legítima devido a atestações de proveniência. Entre os pacotes comprometidos estão o Bitwarden CLI e pacotes oficiais da SAP. A última onda de ataques ocorreu recentemente, com a publicação de pacotes infectados na namespace TanStack no npm. Os atacantes exploraram vulnerabilidades em workflows do GitHub, resultando na publicação de 84 versões maliciosas em 42 pacotes da TanStack. O malware é projetado para roubar segredos de desenvolvedores, incluindo tokens do GitHub Actions, credenciais do AWS e tokens do HashiCorp Vault. Para mitigar os riscos, especialistas recomendam que equipes de segurança verifiquem versões afetadas, rotacionem credenciais e bloqueiem a infraestrutura de comando e controle dos atacantes.

A OpenAI anunciou o lançamento do Daybreak, uma nova iniciativa de cibersegurança que combina capacidades avançadas de inteligência artificial (IA) com o Codex Security. O objetivo é ajudar organizações a identificar e corrigir vulnerabilidades antes que atacantes possam explorá-las. A plataforma permite que os defensores integrem revisões de código seguro, modelagem de ameaças e validação de patches no ciclo de desenvolvimento de software, aumentando a resiliência desde o início. O Daybreak utiliza três modelos de IA, incluindo o GPT-5.5, que possui salvaguardas para uso geral e versões específicas para trabalho defensivo e testes de penetração. A iniciativa já conta com a colaboração de grandes empresas como Akamai, Cisco e Cloudflare, que estão integrando essas capacidades em suas operações. O uso de ferramentas de IA tem acelerado a descoberta de problemas de segurança, mas também gerado um fenômeno conhecido como ‘fadiga de triagem’, onde mantenedores de projetos enfrentam um volume crescente de relatórios de vulnerabilidades, alguns dos quais podem ser falsos positivos gerados por IA. A discussão sobre a eficácia do prazo de divulgação de 90 dias para vulnerabilidades também foi levantada, dado que a velocidade de identificação e exploração de falhas tem diminuído esse intervalo.

A Instructure, empresa americana de tecnologia educacional e responsável pela plataforma Canvas, anunciou que chegou a um acordo com um grupo de cibercriminosos após uma violação de sua rede. O ataque resultou na ameaça de vazamento de dados de aproximadamente 9.000 instituições de ensino, incluindo escolas e universidades. A empresa revelou que decidiu pagar um resgate para evitar a divulgação das informações roubadas, que incluíam 275 milhões de registros, como nomes de usuários, endereços de e-mail e informações de matrícula. A Instructure afirmou que os dados foram devolvidos e que a destruição digital das informações foi confirmada. Além disso, a empresa está colaborando com especialistas para melhorar sua segurança cibernética e realizar uma análise forense do incidente. O ataque, atribuído ao grupo ShinyHunters, explorou uma vulnerabilidade relacionada a tickets de suporte na versão Free-for-Teacher do Canvas. Após a violação, a Instructure suspendeu temporariamente as contas dessa versão e implementou medidas de segurança adicionais. O incidente destaca a necessidade de vigilância constante contra ataques cibernéticos, especialmente em ambientes educacionais, onde dados sensíveis estão em risco.

O grupo de ameaças TeamPCP está por trás de uma recente onda de ataques à cadeia de suprimentos, comprometendo pacotes npm e PyPI de empresas como TanStack, UiPath e Mistral AI. Os pacotes npm afetados foram alterados para incluir um arquivo JavaScript ofuscado, projetado para roubar credenciais de provedores de nuvem, carteiras de criptomoedas e ferramentas de IA. Os dados são exfiltrados para um domínio que parece legítimo, dificultando a detecção. O ataque utiliza infraestrutura do Session Protocol, o que torna a detecção ainda mais desafiadora. Além disso, o malware é capaz de se manter ativo mesmo após reinicializações, injetando serviços maliciosos em ambientes de desenvolvimento como o Visual Studio Code. A TanStack identificou que o ataque envolveu um comprometimento em um fork do GitHub, permitindo que o código malicioso fosse publicado como parte de versões legítimas. Este incidente, classificado como CVE-2026-45321, possui uma pontuação CVSS de 9.6, indicando severidade crítica, afetando 42 pacotes e 84 versões no ecossistema TanStack. A campanha Mini Shai-Hulud também se espalhou para outros pacotes, incluindo alguns no PyPI, destacando a gravidade e a abrangência do ataque.

A Apple anunciou a liberação oficial do iOS 26.5, que inclui suporte para criptografia de ponta a ponta (E2EE) em mensagens de Rich Communication Services (RCS) na versão beta. Essa atualização faz parte de um esforço conjunto da indústria para substituir o SMS tradicional por uma alternativa mais segura. A funcionalidade de E2EE está disponível para usuários de iPhone com iOS 26.5 e para usuários de Android que utilizam a versão mais recente do Google Messages. A criptografia é ativada por padrão em novas e antigas conversas, garantindo que as mensagens não possam ser lidas durante a transmissão entre dispositivos. A Apple destacou que os usuários poderão identificar conversas criptografadas pelo ícone de cadeado que aparecerá nas mensagens RCS. A implementação da E2EE foi testada inicialmente em versões beta anteriores e, em 2025, a GSMA anunciou apoio à criptografia para proteger mensagens enviadas via protocolo RCS. A colaboração entre Apple, Google e a GSMA é vista como um avanço significativo na segurança das comunicações móveis, estabelecendo uma base reconhecida globalmente para serviços seguros.

Um site falso que imita a IA Claude, da Anthropic, está sendo utilizado para disseminar a backdoor Beagle, que afeta sistemas Windows. A Malwarebytes identificou a ameaça, e a Sophos X-Ops aprofundou a investigação. O domínio malicioso, claude-pro.com, apresenta uma interface semelhante à da IA original e oferece um programa fictício chamado Claude-Pro Relay, destinado a desenvolvedores. Ao baixar o arquivo ZIP de 505MB, os usuários instalam um instalador MSI que, além de um atualizador de antivírus legítimo disfarçado, contém um arquivo DLL malicioso. Este DLL carrega um payload que instala a backdoor Beagle, capaz de executar comandos, transferir arquivos e até se autodeletar. A campanha está ativa desde abril de 2026 e utiliza anúncios patrocinados no Google para atrair vítimas. Este é o terceiro incidente em 2026 em que ferramentas de IA são exploradas para fins maliciosos.

Recentemente, a Nvidia confirmou um vazamento de dados relacionado ao seu serviço de jogos em nuvem, GeForce NOW. O incidente ocorreu devido a uma falha na infraestrutura de um parceiro regional, a GFN.am, que gerencia operações em países como Azerbaijão e Geórgia. Os dados comprometidos incluem nomes, endereços de e-mail, nomes de usuário, datas de nascimento e status de autenticação em dois fatores (2FA), mas não houve comprometimento de senhas. O vazamento afetou apenas usuários na Armênia, e a Nvidia afirmou que não houve impacto em seus serviços operados diretamente. O grupo de hackers, que se apresentou como ShinyHunters, foi identificado como um impostor, e a GFN.am está colaborando com a Nvidia para investigar o incidente. Embora o vazamento tenha gerado preocupações, a empresa garantiu que a maioria dos usuários não foi afetada, especialmente aqueles que se registraram após 9 de março de 2026. O valor de venda dos dados vazados foi estimado em US$ 100.000, pagos em criptomoedas como Bitcoin ou Monero.

O grupo de ransomware Genesis reivindicou um ataque cibernético à CarePoint Health, uma clínica médica em Ontário, que resultou em um vazamento de dados em março de 2026. A clínica confirmou que informações sensíveis, como nomes, dados médicos, endereços e números de telefone, foram comprometidas. Genesis alegou ter roubado 70 GB de dados médicos, operacionais e financeiros da CarePoint, publicando a reivindicação em seu site de vazamento de dados. Até o momento, a CarePoint não confirmou oficialmente a alegação do grupo e não se sabe quantas pessoas foram afetadas ou se um resgate foi pago. O ataque à CarePoint é o primeiro incidente confirmado de 2026 para o grupo, que já atacou outras quatro organizações de saúde desde seu início em 2025. Os ataques de ransomware têm se tornado uma preocupação crescente no Canadá, com sete incidentes confirmados em 2026 até agora, destacando o risco significativo que essas ameaças representam para a segurança de dados e a continuidade dos serviços de saúde.

Um pesquisador de segurança lançou uma ferramenta chamada GhostLock, que demonstra como a API de arquivos do Windows pode ser explorada para bloquear o acesso a arquivos armazenados localmente ou em compartilhamentos de rede SMB. A técnica, desenvolvida por Kim Dvash da Israel Aerospace Industries, utiliza a função ‘CreateFileW’ e o parâmetro ‘dwShareMode’ para garantir acesso exclusivo a arquivos, impedindo que outros usuários ou aplicações os abram. A ferramenta automatiza o ataque, abrindo recursivamente um grande número de arquivos em compartilhamentos SMB, resultando em falhas de acesso com o erro ‘STATUS_SHARING_VIOLATION’. O ataque pode ser realizado por usuários comuns de domínio, sem necessidade de privilégios elevados, e se torna mais eficaz se executado a partir de múltiplos dispositivos comprometidos. Dvash classifica a técnica como um ataque de interrupção, semelhante a um ataque de negação de serviço, que pode ser usado como uma distração durante intrusões. Embora a técnica não cause perda de dados, ela pode sobrecarregar as equipes de TI, permitindo que atacantes realizem atividades maliciosas em outras partes do ambiente. O pesquisador também forneceu consultas SIEM e regras de detecção para ajudar as equipes de segurança a identificar esse tipo de ataque.

A Checkmarx alertou sobre a publicação de uma versão comprometida de seu plugin Jenkins Application Security Testing (AST) no Jenkins Marketplace, atribuída ao grupo hacker TeamPCP. Este incidente faz parte de uma série de ataques à cadeia de suprimentos, que também afetaram outras ferramentas como npm e Trivy. O plugin AST da Checkmarx é amplamente utilizado para integrar a segurança em pipelines automatizados de desenvolvimento. Os hackers conseguiram acessar os repositórios do GitHub da Checkmarx e injetar código malicioso, utilizando credenciais obtidas em um ataque anterior ao Trivy. A Checkmarx confirmou que a versão maliciosa do plugin foi publicada fora do pipeline oficial e não seguiu os padrões de versionamento adequados. A empresa recomendou que os usuários verifiquem se estão utilizando a versão correta do plugin e alertou que aqueles que baixaram a versão comprometida devem considerar suas credenciais como comprometidas e realizar uma rotação de segredos. A Checkmarx também disponibilizou indicadores de comprometimento (IoCs) para ajudar na detecção de possíveis infecções em ambientes de desenvolvimento.

O Procurador-Geral da Califórnia, Rob Bonta, anunciou um acordo de liquidação de US$ 12,75 milhões com a General Motors (GM) devido a alegações de violação da Lei de Privacidade do Consumidor da Califórnia (CCPA). As acusações surgiram a partir de investigações que indicaram que a GM coletou e vendeu ilegalmente dados de direção e localização de motoristas californianos para corretores de dados, como Verisk Analytics e LexisNexis Risk Solutions, entre 2020 e 2024. A coleta de dados foi realizada através da subsidiária OnStar da GM e do sistema ‘Smart Driver’, destinado a produtos de pontuação de motoristas relacionados a seguros. Além da multa, a GM deve interromper a venda de dados de direção por cinco anos, excluir dados retidos em 180 dias, solicitar a exclusão dos dados já vendidos e implementar um programa de conformidade de privacidade mais robusto. Este caso é o primeiro a focar em regras de minimização de dados e representa um marco na proteção da privacidade dos consumidores na Califórnia.

Um ator de ameaças identificado como Mr_Rot13 está explorando uma vulnerabilidade crítica no cPanel, conhecida como CVE-2026-41940, que permite a bypass de autenticação e controle remoto do painel de controle. Após a divulgação pública da falha, mais de 2.000 IPs de atacantes em todo o mundo, incluindo Brasil, foram identificados realizando ataques automatizados. A exploração envolve o uso de um script que baixa um infector baseado em Go, que implantam uma chave SSH para acesso persistente e um shell PHP para execução remota de comandos. O shell é utilizado para injetar código JavaScript que redireciona usuários para uma página de login falsa, coletando credenciais que são enviadas para um sistema controlado pelo atacante. O backdoor, denominado Filemanager, é capaz de infectar sistemas Windows, macOS e Linux, e coleta informações sensíveis do host comprometido. A operação parece ter sido realizada de forma discreta por anos, com baixa taxa de detecção em produtos de segurança. A situação exige atenção urgente das empresas que utilizam cPanel e WHM.

A Checkmarx confirmou a publicação de uma versão modificada do plugin Jenkins AST no Jenkins Marketplace, alertando os usuários para utilizarem a versão 2.0.13-829.vc72453fa_1c16, lançada em 17 de dezembro de 2025, ou versões anteriores. A nova versão, 2.0.13-848.v76e89de8a_053, foi disponibilizada, mas a empresa ainda está trabalhando em uma nova atualização. O ataque foi atribuído ao grupo cibercriminoso TeamPCP, que já havia comprometido anteriormente a imagem Docker KICS da Checkmarx, extensões do VS Code e um fluxo de trabalho do GitHub Actions para implantar malware que rouba credenciais. O acesso não autorizado ao repositório do plugin no GitHub permitiu que o grupo renomeasse o repositório para uma mensagem provocativa, evidenciando a falha na rotação de segredos por parte da Checkmarx. A rápida reentrada do TeamPCP sugere que a remediação inicial pode ter sido incompleta ou que o grupo ainda mantém um ponto de acesso não identificado. Este incidente destaca a vulnerabilidade da cadeia de suprimentos de software e a necessidade de vigilância contínua contra tais ameaças.

Recentemente, especialistas propuseram a implementação de um mecanismo de ‘killswitch’ no kernel Linux, que permitiria desativar temporariamente funções vulneráveis em tempo de execução. Essa proposta surge em resposta a falhas críticas como Copy Fail e Dirty Frag, que expõem sistemas a riscos elevados. O ‘killswitch’ seria acessível através da interface securityfs, permitindo que administradores desabilitem funções problemáticas rapidamente, evitando que vulnerabilidades causem danos significativos até que correções adequadas sejam disponibilizadas. Embora a ideia apresente um potencial de mitigação, ela não resolve os problemas subjacentes e pode causar instabilidade no sistema. A proposta está atualmente em revisão pela comunidade Linux e não deve ser vista como um substituto para o patching adequado. A adoção dessa funcionalidade pode ser um recurso útil para prevenir a escalada de problemas de segurança enquanto as correções são desenvolvidas.

Os ataques cibernéticos modernos evoluíram, combinando técnicas como phishing gerado por IA, comprometimento de e-mails corporativos, ransomware e abuso de SaaS para acessar ambientes empresariais e interromper operações. O webinar ‘Da phishing ao impacto: Por que MSPs devem repensar segurança e recuperação’, promovido pela BleepingComputer, abordará a necessidade de as organizações não se basearem apenas na prevenção, mas também em estratégias de backup e recuperação, que se tornaram essenciais para a resiliência cibernética. Os atacantes estão cada vez mais utilizando infraestruturas confiáveis e plataformas SaaS legítimas para contornar defesas tradicionais, e muitas vezes as organizações têm dificuldade em conter ataques antes que ocorram interrupções operacionais ou perda de dados. O evento discutirá como as equipes de TI e os provedores de serviços gerenciados (MSPs) podem mitigar o impacto de ataques modernos, fortalecendo tanto a postura de segurança quanto a prontidão para recuperação. Serão abordados tópicos como a evolução do phishing impulsionado por IA, a importância de backups de SaaS e a necessidade de um plano de continuidade de negócios (BCDR) como camadas críticas de resiliência cibernética.