Grupo hacker TeamPCP ameaça vazar código-fonte da Mistral AI

O grupo hacker TeamPCP está ameaçando vazar o código-fonte do projeto Mistral AI, a menos que um comprador seja encontrado para os dados. Em um post em um fórum de hackers, o grupo está pedindo US$ 25.000 por um conjunto de quase 450 repositórios. A Mistral AI, uma empresa francesa de inteligência artificial, confirmou que hackers comprometeram seu sistema de gerenciamento de código após um ataque à cadeia de suprimentos de software. O incidente começou com a violação de pacotes oficiais da TanStack e da Mistral AI, utilizando credenciais de CI/CD roubadas. O grupo afirma ter roubado cerca de 5 gigabytes de repositórios internos e código-fonte que a Mistral utiliza em seus projetos. Embora a Mistral tenha confirmado a contaminação de alguns de seus pacotes de SDK, a investigação forense revelou que os dados afetados não faziam parte dos repositórios principais. O impacto do ataque se estendeu a outros projetos de software, como UiPath e OpenSearch. A Mistral assegurou que seus serviços hospedados e dados gerenciados não foram comprometidos. O incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante em ambientes de desenvolvimento.

Vulnerabilidade crítica no Cisco Catalyst SD-WAN exige atenção urgente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando o Cisco Catalyst SD-WAN Controller. A falha, identificada como CVE-2026-20182, permite que atacantes remotos não autenticados contornem a autenticação e obtenham privilégios administrativos no sistema. Com uma pontuação de 10.0 no sistema CVSS, a vulnerabilidade é considerada de máxima gravidade. A Cisco alertou que a exploração ativa dessa falha está ligada a um grupo de ameaças identificado como UAT-8616, que também está por trás da exploração de outras vulnerabilidades relacionadas. Os atacantes têm utilizado códigos de exploração disponíveis publicamente para implantar shells web, permitindo a execução de comandos arbitrários. A CISA exige que as agências do governo federal dos EUA remediem a vulnerabilidade até 17 de maio de 2026. Dada a gravidade da situação, a Cisco recomenda que os clientes sigam as orientações para proteger seus ambientes.

Pwn2Own Berlin 2026 R 2,6 milhões em prêmios por zero-days explorados

No primeiro dia do Pwn2Own Berlin 2026, pesquisadores de segurança arrecadaram impressionantes $523,000 em prêmios ao explorar 24 vulnerabilidades zero-day. O destaque do dia foi a apresentação de Orange Tsai, que recebeu $175,000 por escapar de um sandbox no Microsoft Edge ao combinar quatro falhas lógicas. Além disso, o Windows 11 foi comprometido três vezes, com pesquisadores como Angelboy e TwinkleStar03, Marcin Wiązowski e Kentaro Kawane, cada um recebendo $30,000 por novas falhas de escalonamento de privilégios. Valentina Palmiotti, da IBM X-Force, também se destacou, arrecadando $70,000 por explorar vulnerabilidades no Red Hat Linux e no NVIDIA Container Toolkit. O evento, que ocorre entre 14 e 16 de maio, foca em tecnologias empresariais e inteligência artificial, e os participantes têm a chance de ganhar mais de $1,000,000 em prêmios ao explorar produtos amplamente utilizados, como Microsoft SharePoint e Apple Safari. Após a competição, os fornecedores têm 90 dias para corrigir as falhas descobertas. O evento ressalta a importância da segurança cibernética em um cenário onde novas vulnerabilidades são constantemente descobertas e exploradas.

OpenAI sofre ataque na cadeia de suprimentos e troca certificados

A OpenAI confirmou que dispositivos de dois de seus funcionários foram comprometidos em um recente ataque à cadeia de suprimentos, conhecido como TanStack, que afetou centenas de pacotes do npm e PyPI. Apesar da gravidade do incidente, a empresa assegurou que não houve impacto em dados de clientes, sistemas de produção ou propriedade intelectual. O ataque está associado à campanha de extorsão ‘Mini Shai-Hulud’, que introduziu atualizações maliciosas em pacotes de software confiáveis. A OpenAI observou atividades de malware, incluindo acesso não autorizado e exfiltração de credenciais, em um subconjunto limitado de repositórios de código interno. Embora algumas credenciais tenham sido roubadas, não há evidências de que tenham sido utilizadas em ataques adicionais. Como medida de precaução, a OpenAI isolou os sistemas afetados, revogou sessões e rotacionou credenciais. A empresa também está trocando certificados de assinatura de código, exigindo que usuários do macOS atualizem seus aplicativos até junho de 2026. O ataque destaca uma tendência crescente de atacantes visando a cadeia de suprimentos de software, o que pode ter um impacto amplo e rápido nas organizações.

Falha crítica no Cisco Catalyst SD-WAN permite acesso não autorizado

A Cisco alertou sobre uma falha crítica de bypass de autenticação no Catalyst SD-WAN Controller, identificada como CVE-2026-20182, que está sendo ativamente explorada em ataques zero-day. Com uma gravidade máxima de 10.0, a vulnerabilidade afeta tanto o Cisco Catalyst SD-WAN Controller quanto o Cisco Catalyst SD-WAN Manager em implementações locais e na nuvem. A falha se origina de um mecanismo de autenticação de peering que não funciona corretamente, permitindo que atacantes enviem requisições manipuladas para obter privilégios administrativos. Uma vez explorada, a vulnerabilidade permite que o invasor acesse o sistema como um usuário interno de alto privilégio, podendo manipular a configuração da rede SD-WAN. A Cisco detectou a exploração da falha em maio, mas não divulgou detalhes sobre os métodos utilizados. A empresa recomenda que os administradores verifiquem os logs do SD-WAN Controller em busca de eventos de peering não autorizados e restrinjam o acesso às interfaces de gerenciamento. A CISA incluiu a CVE-2026-20182 no catálogo de vulnerabilidades conhecidas e ordenou que agências federais atualizassem os dispositivos afetados até 17 de maio de 2026.

Vulnerabilidade crítica no plugin Burst Statistics do WordPress

Hackers estão explorando uma vulnerabilidade crítica de bypass de autenticação no plugin Burst Statistics do WordPress, que permite acesso administrativo a sites. Este plugin, focado em privacidade, está ativo em aproximadamente 200 mil sites WordPress e é uma alternativa leve ao Google Analytics. A falha, identificada como CVE-2026-8181, foi introduzida na versão 3.4.0 do plugin, lançada em 23 de abril, e também está presente na versão 3.4.1. A vulnerabilidade permite que atacantes não autenticados se façam passar por usuários administradores conhecidos durante requisições da API REST, podendo até criar contas de administrador fraudulentas. O problema decorre da interpretação incorreta dos resultados da função ‘wp_authenticate_application_password()’, que trata um erro como uma autenticação bem-sucedida. A Wordfence, que descobriu a falha, já bloqueou mais de 7.400 tentativas de ataque em 24 horas. Os usuários do plugin são aconselhados a atualizar para a versão 3.4.2 ou desativar o plugin, pois cerca de 115 mil sites ainda estão vulneráveis a ataques de tomada de conta administrativa.

Pacotes npm node-ipc comprometidos com malware

Pesquisadores de cibersegurança alertam sobre a presença de atividades maliciosas em versões recentes do pacote npm node-ipc. Três versões específicas – node-ipc@9.1.6, node-ipc@9.2.3 e node-ipc@12.0.1 – foram identificadas como comprometidas, contendo comportamentos de roubo de dados e backdoor. O malware é capaz de coletar informações sensíveis, como credenciais de serviços em nuvem (AWS, Google Cloud, Azure), chaves SSH e senhas de banco de dados, e tenta exfiltrar esses dados para um servidor de comando e controle (C2) através de um domínio falso. A análise revela que o código malicioso é ativado quando o pacote é requisitado em tempo de execução, utilizando técnicas de ofuscação para evitar detecções. Além disso, o malware implementa um canal de exfiltração alternativo, codificando dados roubados em registros DNS TXT, o que dificulta a identificação do tráfego malicioso. Os usuários são aconselhados a remover as versões comprometidas e reinstalar versões seguras, além de auditar suas credenciais e atividades de publicação no npm. Este incidente destaca a vulnerabilidade de pacotes de código aberto e a necessidade de vigilância constante na segurança da cadeia de suprimentos de software.

Falha crítica de autenticação no Cisco Catalyst SD-WAN

A Cisco divulgou atualizações para corrigir uma falha de autenticação crítica no Catalyst SD-WAN Controller, identificada como CVE-2026-20182, que possui uma pontuação CVSS de 10.0. Essa vulnerabilidade permite que um atacante remoto não autenticado contorne a autenticação e obtenha privilégios administrativos no sistema afetado. O problema está relacionado ao mecanismo de autenticação de peering, que pode ser explorado através do envio de requisições manipuladas. A exploração bem-sucedida da falha permite que o invasor acesse o sistema como um usuário interno de alto privilégio, possibilitando a manipulação da configuração da rede SD-WAN. A vulnerabilidade afeta diversas implementações, incluindo a Cisco SD-WAN Cloud e a versão para governo (FedRAMP). A Cisco alertou sobre a exploração limitada da falha em maio de 2026 e recomendou que os clientes apliquem as atualizações imediatamente, especialmente aqueles que têm sistemas expostos à internet. Além disso, a empresa sugere que os clientes auditem logs de autenticação para identificar acessos não autorizados.

Foxconn, fornecedora da Apple, sofre ataque e perde 8 TB de dados

A Foxconn, uma das principais fornecedoras de eletrônicos do mundo e fabricante de chips para a Apple, confirmou que suas operações na América do Norte foram alvo de um ataque de ransomware. O incidente, que ocorreu no dia 1º de maio, comprometeu servidores e sistemas operacionais em fábricas localizadas no México e nos Estados Unidos, resultando em uma interrupção temporária das atividades. Os invasores conseguiram acessar documentos internos da empresa e roubaram 8 TB de dados, que incluem informações sobre projetos de clientes como Dell, Google, Apple e NVIDIA. A extensão do vazamento ainda está sendo investigada, e a Foxconn afirmou que já acionou seus protocolos de segurança e iniciou o processo de restauração dos sistemas afetados. Este não é o primeiro ataque que a Foxconn enfrenta; em dezembro de 2020, a instalação mexicana já havia sido atacada, resultando em um roubo de dados e exigência de resgate em bitcoins. O ataque atual destaca a crescente preocupação com a segurança cibernética em grandes corporações, especialmente aquelas que lidam com informações sensíveis de clientes.

Clínica de Denver confirma vazamento de dados de 113 mil pacientes

A Western Orthopaedics, localizada em Denver, Colorado, notificou 113.330 pessoas sobre um vazamento de dados ocorrido em setembro de 2025. O incidente comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados financeiros, informações de seguro de saúde e registros médicos. A clínica tomou conhecimento do ataque em outubro, após um terceiro não autorizado acessar sua rede e roubar dados. O grupo de ransomware PEAR reivindicou a responsabilidade pelo ataque, alegando ter roubado 1,7 TB de dados, que foram publicados em seu site de vazamento no final de setembro. A Western Orthopaedics está oferecendo monitoramento de crédito e proteção contra roubo de identidade aos afetados. Este incidente destaca a crescente ameaça de ataques cibernéticos no setor de saúde, que já registrou 139 ataques confirmados em 2025, comprometendo mais de 12 milhões de registros pessoais. O grupo PEAR, que se especializa em roubo de dados sem criptografia, já foi responsável por 82 ataques, incluindo vários a prestadores de serviços de saúde.

KongTuke usa Microsoft Teams para ataques de engenharia social

O grupo de cibercriminosos KongTuke, conhecido como um corretor de acesso inicial, começou a utilizar o Microsoft Teams para realizar ataques de engenharia social, conseguindo acesso persistente a redes corporativas em apenas cinco minutos. Os atacantes convencem os usuários a executar um comando PowerShell que instala o malware ModeloRAT, já observado em ataques anteriores. Essa mudança de tática marca a primeira vez que KongTuke utiliza uma plataforma de colaboração para obter acesso inicial, além de suas abordagens anteriores baseadas na web. Os pesquisadores da ReliaQuest notaram que a campanha está ativa desde pelo menos abril de 2026, com o grupo alternando entre cinco locatários do Microsoft 365 para evitar bloqueios. O comando PowerShell malicioso baixa um arquivo ZIP do Dropbox que contém um ambiente WinPython portátil, que por sua vez executa o malware. O ModeloRAT evoluiu, apresentando uma arquitetura de comando e controle mais resiliente, múltiplos caminhos de acesso independentes e mecanismos de persistência expandidos. Para se proteger contra esses ataques, recomenda-se restringir a federação externa do Microsoft Teams e utilizar indicadores de comprometimento para detectar atividades suspeitas.

Crimes Cibernéticos no Transporte O Novo Roteiro do Ransomware

O artigo de Ben Wilkens destaca a crescente ameaça de crimes cibernéticos no setor de transporte, onde técnicas de ransomware estão sendo adaptadas para roubar cargas. Em 2025, perdas de aproximadamente US$ 725 milhões foram relatadas devido a crimes de carga na América do Norte, enquanto o FBI registrou perdas de cerca de US$ 21 bilhões em crimes cibernéticos. Os criminosos utilizam e-mails de phishing para obter credenciais e, em vez de implantar ransomware, redirecionam cargas legítimas para locais controlados por eles. Essa abordagem tem se tornado comum, especialmente entre grupos de crime organizado internacionais. A maioria das empresas de transporte, especialmente as de pequeno e médio porte, carece de recursos para implementar medidas de segurança cibernética adequadas, tornando-se alvos fáceis. O artigo também menciona a publicação de um guia pela NMFTA para ajudar as empresas a se protegerem contra esses crimes, destacando a necessidade urgente de uma mudança de paradigma na segurança do setor.

Vulnerabilidade crítica no servidor NGINX pode causar execução remota de código

Uma falha de segurança de 18 anos no servidor web de código aberto NGINX, identificada por um sistema de varredura autônomo, pode ser explorada para causar negação de serviço e, em certas condições, execução remota de código. A vulnerabilidade, rastreada como CVE-2026-42945, recebeu uma classificação de severidade crítica de 9,2 no sistema CVSS. A falha, um estouro de buffer na heap no módulo ngx_http_rewrite_module, afeta versões do NGINX de 0.6.27 a 1.30.0. O problema ocorre quando as configurações do NGINX utilizam as diretivas ‘rewrite’ e ‘set’, uma prática comum em gateways de API e configurações de proxy reverso. Pesquisadores demonstraram que a exploração pode ser realizada através de requisições HTTP especialmente elaboradas, levando à execução de código não autenticado. Embora a execução remota de código tenha sido demonstrada em um ambiente sem proteção ASLR, a exploração em sistemas com ASLR habilitado é considerada complexa. Outras três falhas de segurança de gravidade média também foram descobertas. A F5, empresa que mantém o NGINX, já disponibilizou correções para as versões afetadas, e recomenda que os usuários atualizem ou modifiquem suas regras de reescrita para mitigar os riscos.

Riscos de segurança cibernética devido a alucinações de IA

As alucinações de IA, que se referem a respostas apresentadas com confiança, mas que são factualmente incorretas, estão introduzindo riscos significativos na tomada de decisões em infraestruturas críticas. Um estudo de 2025 avaliou 40 modelos de IA e descobriu que a maioria deles tende a fornecer respostas incorretas em vez de corretas em questões complexas. Isso é preocupante, especialmente em ambientes de cibersegurança, onde decisões erradas podem resultar em interrupções operacionais e novas vulnerabilidades. As alucinações ocorrem devido a dados de treinamento falhos, viés nos dados de entrada e falta de validação das respostas. Três formas principais de impacto incluem ameaças não detectadas, ameaças fabricadas e remediações incorretas. Para mitigar esses riscos, as organizações devem exigir revisão humana antes de ações críticas, tratar os dados de treinamento como ativos de segurança e implementar acesso de menor privilégio para sistemas de IA. A educação sobre como formular prompts específicos também é essencial para reduzir a ambiguidade nas respostas geradas pela IA.

Ameaça de Exploração de Vulnerabilidade no PraisonAI

Recentemente, uma vulnerabilidade crítica foi identificada no PraisonAI, um framework de orquestração multi-agente de código aberto. A falha, classificada como CVE-2026-44338, possui um escore CVSS de 7.3 e se refere à falta de autenticação, permitindo que qualquer pessoa acesse endpoints sensíveis sem a necessidade de um token. O servidor API legado, baseado em Flask, vem com a autenticação desativada por padrão, expondo funcionalidades protegidas. A exploração dessa vulnerabilidade pode resultar em enumeração não autenticada do arquivo de agentes e ativação de fluxos de trabalho configurados, além de consumo indevido de quotas de modelo/API. A falha afeta todas as versões do pacote Python do PraisonAI, com correção disponível na versão 4.6.34. A Sysdig, empresa de segurança em nuvem, relatou que tentativas de exploração foram observadas apenas quatro horas após a divulgação pública da vulnerabilidade, destacando a rapidez com que atores maliciosos estão adotando novas falhas. Os usuários são aconselhados a aplicar as correções imediatamente, auditar implantações existentes e revisar atividades suspeitas relacionadas ao uso do PraisonAI.

Grupo Ghostwriter intensifica ataques cibernéticos na Ucrânia

O grupo de ameaças alinhado à Bielorrússia, conhecido como Ghostwriter, está realizando uma nova onda de ataques direcionados a organizações governamentais na Ucrânia. Desde 2016, o grupo tem sido associado a operações de espionagem cibernética e influência, especialmente em países vizinhos. Recentemente, foram identificados ataques que utilizam um malware chamado PicassoLoader, que serve como um canal para o Cobalt Strike Beacon e njRAT. Em 2023, o Ghostwriter explorou uma vulnerabilidade no WinRAR (CVE-2023-38831) para implantar seu malware. Além disso, uma campanha de phishing em 2024 utilizou uma falha no Roundcube (CVE-2024-42009) para capturar credenciais de e-mail. Os ataques mais recentes, iniciados em março de 2026, envolvem o envio de PDFs maliciosos que disfarçam links para arquivos RAR contendo um payload JavaScript, visando entidades governamentais ucranianas. O grupo também implementou técnicas de anti-análise, como verificação de geolocalização, para evitar detecções. A atividade do Ghostwriter é uma preocupação crescente, especialmente para setores críticos como defesa e governo na Ucrânia, mas também pode ter implicações para organizações no Brasil, dada a natureza global das ameaças cibernéticas.

Cibersegurança Vulnerabilidades e Ameaças Emergentes em 2026

O cenário de cibersegurança continua alarmante, com uma série de vulnerabilidades e ataques sendo reportados. A Palo Alto Networks divulgou correções para uma falha crítica (CVE-2026-0300) no serviço User-ID Authentication Portal do PAN-OS, que permite a execução de código arbitrário por atacantes não autenticados. Além disso, uma empresa de tecnologia de defesa expôs dados sensíveis devido a falhas de autorização em suas APIs. Em outra frente, a Meta lançou o Incognito Chat, prometendo privacidade nas interações com IA. O relatório também destaca campanhas de phishing patrocinadas por estados, como a Operation GriefLure, que visa setores estratégicos no Vietnã e nas Filipinas, e a Operation HumanitarianBait, que utiliza temas de ajuda humanitária para enganar usuários. A nova técnica GhostLock permite que usuários com acesso limitado bloqueiem arquivos, causando interrupções semelhantes a ataques de ransomware. O artigo enfatiza a necessidade urgente de ações corretivas e vigilância contínua para mitigar esses riscos.

O Dia Q Quântico pode chegar antes da AGI

O conceito de ‘Q-Day’, ou Dia Q, refere-se ao momento em que um computador quântico suficientemente avançado é capaz de quebrar a criptografia assimétrica que protege a maioria dos dados e comunicações atuais, como RSA e Diffie-Hellman. Com empresas como Google e Cloudflare antecipando suas preparações para 2029, a urgência em migrar para criptografia pós-quântica (PQC) se torna evidente. A criptografia atual, que é fundamental para a segurança da internet e de dispositivos eletrônicos, pode ser vulnerável a ataques quânticos, que poderiam decifrar chaves de criptografia em questão de segundos, algo impossível para computadores clássicos. Para se preparar, as organizações devem educar suas lideranças sobre os riscos, criar projetos dedicados à transição para PQC, realizar inventários de dados e implementar as mudanças necessárias. A pressão para a adoção de PQC está aumentando, com prazos sendo antecipados para 2027 em alguns casos. Assim, é crucial que as empresas comecem a agir agora para proteger suas informações antes que o Dia Q chegue.

Vulnerabilidade Fragnasia permite escalonamento de privilégios no Linux

Recentemente, distribuições Linux começaram a lançar patches para uma nova vulnerabilidade de alta severidade, conhecida como Fragnasia (CVE-2026-46300). Essa falha de segurança, descoberta por William Bowling, permite que atacantes locais não privilegiados executem código malicioso com privilégios de root, explorando um erro lógico no subsistema XFRM ESP-in-TCP do Linux. O ataque é realizado através da escrita de bytes arbitrários no cache de página do kernel de arquivos somente leitura, sem a necessidade de condições de corrida. Bowling também revelou um exploit de prova de conceito que corrompe a memória do cache de página do binário /usr/bin/su, possibilitando acesso root em sistemas vulneráveis. A vulnerabilidade Fragnasia pertence à classe de vulnerabilidades Dirty Frag, que afeta todos os kernels Linux lançados antes de 13 de maio de 2026. Para mitigar os riscos, os usuários do Linux são aconselhados a aplicar atualizações de kernel imediatamente. Caso não consigam, devem remover módulos vulneráveis, embora isso possa impactar sistemas de arquivos distribuídos e VPNs IPsec. A divulgação da Fragnasia ocorre em um momento em que outras vulnerabilidades, como a Copy Fail, também estão sendo exploradas ativamente, aumentando a urgência para que as organizações atualizem suas defesas.

Administrador do Dream Market é indiciado por lavagem de dinheiro

O principal administrador do Dream Market, Owe Martin Andresen, foi indiciado nos Estados Unidos por lavagem de dinheiro, enfrentando até 20 anos de prisão por cada uma das 12 acusações. Arrestado na Alemanha, ele é acusado de movimentar milhões de dólares de carteiras de criptomoedas do mercado, que operou entre 2013 e 2019, facilitando a venda de substâncias ilegais como cocaína e fentanil. A investigação revelou que, entre agosto de 2023 e abril de 2025, Andresen teria lavado mais de 2 milhões de dólares, utilizando um serviço de criptomoedas para comprar barras de ouro, que foram enviadas para sua residência na Alemanha. As autoridades alemãs também encontraram 1,7 milhão de dólares em barras de ouro e 23 mil dólares em dinheiro durante buscas em sua casa. O Dream Market, que chegou a ter cerca de 100 mil anúncios, foi um dos maiores mercados da dark web, especialmente após o fechamento de concorrentes como Hansa e AlphaBay.

Dell confirma falhas no SupportAssist que causam telas azuis

A Dell confirmou que seu software SupportAssist está provocando falhas de tela azul em alguns sistemas Windows, após um aumento de relatos de reinicializações aleatórias em dispositivos Dell. O SupportAssist é uma suíte de software desenvolvida pela Dell, pré-instalada na maioria dos novos computadores Dell que operam com Windows 10 ou Windows 11. Um representante da Dell informou que a atualização mais recente do serviço de Remediação do SupportAssist é a responsável pelos erros 0xEF_DellSupportAss_BUGCHECK_CRITICAL_PROCESS, recomendando que os usuários removam o serviço para resolver os problemas. A versão 5.5.16.0 do serviço de Remediação está causando as telas azuis, e a Dell sugere desativar ou desinstalar o aplicativo como solução temporária. Contudo, é importante ressaltar que pontos de recuperação do sistema criados pelo Dell OS SupportAssist Recovery podem não estar disponíveis após a desinstalação. A empresa também alertou que, caso os problemas persistam após a remoção do serviço, os usuários devem entrar em contato com o suporte. Este não é o primeiro incidente desse tipo, já que atualizações anteriores do software da Dell também causaram problemas significativos, incluindo falhas de inicialização em diversos modelos de laptops e desktops.

Nova vulnerabilidade Linux permite escalonamento de privilégios locais

Uma nova variante da vulnerabilidade Dirty Frag, chamada Fragnesia, foi identificada no núcleo do Linux, permitindo que atacantes locais não privilegiados obtenham acesso root. Classificada como CVE-2026-46300, a vulnerabilidade apresenta um CVSS de 7.8 e está relacionada ao subsistema XFRM ESP-in-TCP do kernel. Descoberta por William Bowling da equipe de segurança V12, a falha permite a modificação de conteúdos de arquivos somente leitura na cache de página do kernel, utilizando uma lógica defeituosa que não requer condições de corrida. A Fragnesia é semelhante a outras vulnerabilidades recentes, como Copy Fail e Dirty Frag, e já possui um exploit de prova de conceito disponível. Várias distribuições Linux, incluindo Amazon Linux e Red Hat Enterprise Linux, emitiram avisos sobre a necessidade de aplicar patches. Embora não tenha sido observada exploração ativa até o momento, especialistas recomendam que usuários e organizações apliquem as correções imediatamente. Medidas de mitigação incluem desabilitar funcionalidades relacionadas ao IPsec e aumentar a vigilância sobre atividades anormais de escalonamento de privilégios.

Novas vulnerabilidades do Microsoft Defender expõem riscos críticos

Um pesquisador anônimo de cibersegurança revelou duas novas vulnerabilidades no Microsoft Defender, conhecidas como YellowKey e GreenPlasma. A primeira, YellowKey, permite a contornagem do BitLocker, funcionando como uma porta dos fundos, e afeta o Windows 11 e Windows Server 2022/2025. O exploit se dá através da manipulação de arquivos ‘FsTx’ em um drive USB, permitindo que um invasor acesse um shell de comando com o BitLocker desbloqueado. O pesquisador destacou que a falha está oculta e que medidas como TPM+PIN não são eficazes. A segunda vulnerabilidade, GreenPlasma, refere-se a uma escalada de privilégios no Windows CTFMON, permitindo que usuários não privilegiados criem objetos de seção de memória arbitrários, potencialmente manipulando serviços ou drivers privilegiados. Essas falhas surgem em um contexto onde o pesquisador já havia denunciado outras vulnerabilidades que foram exploradas ativamente. A Microsoft, por sua vez, afirmou que investiga as questões de segurança reportadas, mas a resposta tem sido criticada por sua lentidão e falta de transparência.

Vulnerabilidades críticas afetam NGINX Plus e Open Source

Pesquisadores de cibersegurança revelaram múltiplas vulnerabilidades que afetam o NGINX Plus e o NGINX Open Source, incluindo uma falha crítica que permaneceu oculta por 18 anos. A vulnerabilidade, identificada como CVE-2026-42945, é um problema de estouro de buffer na pilha que pode permitir a execução remota de código ou causar uma negação de serviço (DoS) através de requisições maliciosas. Essa falha, conhecida como NGINX Rift, pode ser explorada por atacantes não autenticados, tornando-a especialmente perigosa. Além disso, três outras vulnerabilidades foram corrigidas, com pontuações CVSS variando de 6.3 a 8.3, afetando módulos como ngx_http_scgi_module e ngx_http_ssl_module. As versões afetadas foram corrigidas em atualizações lançadas após a divulgação responsável em 21 de abril de 2026. Os usuários são aconselhados a atualizar para as versões mais recentes ou, se não puderem, modificar a configuração de reescrita para mitigar o risco. Essa situação destaca a importância de manter sistemas atualizados e monitorar vulnerabilidades conhecidas.

Vulnerabilidade crítica no Exim permite execução remota de código

Uma vulnerabilidade crítica, identificada como CVE-2026-45185, afeta configurações específicas do Exim, um agente de transferência de e-mail open-source amplamente utilizado em servidores Linux e Unix. Essa falha, que impacta versões do Exim anteriores à 4.99.3 que utilizam a biblioteca GNU Transport Layer Security (GnuTLS), pode ser explorada por atacantes remotos não autenticados para executar código arbitrário. O problema é um erro do tipo user-after-free (UAF) que ocorre durante o encerramento do TLS ao lidar com tráfego SMTP chunked. O Exim libera um buffer de transferência TLS, mas continua a usar referências de callback obsoletas, permitindo que dados sejam escritos em uma região de memória liberada, o que pode levar à execução remota de código (RCE). A vulnerabilidade foi descoberta pelo pesquisador Federico Kirschbaum da XBOW, que relatou o problema aos mantenedores do Exim em 1º de maio, recebendo confirmação em 5 de maio. Uma correção foi disponibilizada na versão 4.99.3 do Exim. Os usuários de distribuições Linux baseadas em Ubuntu e Debian são aconselhados a aplicar as atualizações disponíveis para mitigar os riscos associados a essa falha.

Grupo de hackers MuddyWater lança campanha de ciberespionagem

O grupo de hackers MuddyWater, vinculado ao Irã, iniciou uma ampla campanha de ciberespionagem que afetou pelo menos nove organizações de destaque em diversos setores e países. Entre as vítimas estão um importante fabricante de eletrônicos da Coreia do Sul, agências governamentais, um aeroporto internacional no Oriente Médio, fabricantes industriais na Ásia e instituições educacionais. Pesquisadores da Symantec relataram que os atacantes permaneceram na rede do fabricante sul-coreano por uma semana em fevereiro de 2026, focando no roubo de propriedade intelectual e espionagem governamental. A campanha utilizou técnicas como o DLL sideloading, onde softwares legítimos carregam DLLs maliciosas, e ferramentas como ChromElevator para roubo de dados de navegadores Chrome. O ataque incluiu a captura de credenciais através de prompts falsos do Windows e modificações no registro para garantir persistência. A exfiltração de dados foi realizada via um serviço de compartilhamento de arquivos público, disfarçando a atividade maliciosa. A campanha é notável pela maturidade operacional dos atacantes e pelo uso de ferramentas legítimas, indicando uma mudança para ataques mais discretos.

West Pharmaceutical Services sofre ataque cibernético com vazamento de dados

A West Pharmaceutical Services, uma empresa americana de fabricação farmacêutica, revelou que foi alvo de um ataque cibernético que resultou em exfiltração de dados e criptografia de sistemas. O incidente foi detectado em 4 de maio de 2026, e a empresa ativou rapidamente seus protocolos de resposta a incidentes, incluindo a desativação global de sistemas para contenção e notificação às autoridades. A investigação em andamento busca determinar a natureza e a extensão do ataque, bem como os dados que foram roubados. Embora a empresa tenha restaurado parcialmente seus sistemas principais, a recuperação total ainda não foi alcançada, e não há previsão para a conclusão desse processo. A West Pharmaceutical Services, que possui receitas anuais superiores a US$ 3 bilhões e mais de 10.800 funcionários, não divulgou estimativas sobre o impacto financeiro do ataque. A empresa também não especificou as medidas tomadas para mitigar a disseminação dos dados exfiltrados, mas confirmou que está trabalhando com especialistas externos para lidar com a situação. Até o momento, nenhum grupo de ransomware reivindicou a responsabilidade pelo ataque.

Segurança em Nuvem O Desafio da Validação de Remediações

O relatório M-Trends 2026 da Mandiant revela que, apesar de uma visibilidade sem precedentes nas operações de segurança, as equipes estão lutando para garantir que as correções aplicadas realmente resolvam as vulnerabilidades. O tempo médio para exploração de falhas é estimado em menos de sete dias, enquanto o tempo médio para remediar vulnerabilidades em dispositivos de borda é de 32 dias, segundo o DBIR 2025 da Verizon. A crescente dependência de inteligência artificial (IA) na exploração de vulnerabilidades torna a remediação mais crítica, pois muitos patches podem ser contornáveis ou dependentes de comportamentos específicos dos atacantes. A falta de validação após a aplicação de correções pode levar a uma falsa sensação de segurança. O artigo destaca a importância da revalidação das correções, propondo que cada remediação deve ser testada para garantir que o risco original foi eliminado, e não apenas a via de ataque inicial. A automação e a consolidação de descobertas são necessárias, mas não suficientes; é crucial que as organizações desenvolvam um fluxo de trabalho que integre a validação pós-correção para garantir a eficácia das ações de segurança.

Foxconn retoma operações após ataque cibernético em fábricas da América do Norte

A Foxconn, maior fabricante de eletrônicos do mundo, anunciou que algumas de suas fábricas na América do Norte estão retomando as operações normais após um ataque cibernético. O incidente foi confirmado por um porta-voz da empresa, que relatou que a equipe de cibersegurança ativou imediatamente um mecanismo de resposta e implementou medidas operacionais para garantir a continuidade da produção. O grupo de ransomware Nitrogen reivindicou a responsabilidade pelo ataque, alegando ter roubado 8 TB de dados, incluindo documentos confidenciais de grandes clientes como Apple, Intel e Google. Este não é o primeiro ataque do tipo que a Foxconn enfrenta; a empresa já foi alvo de outras gangues de ransomware, como LockBit e DoppelPaymer, nos últimos anos. A situação destaca a crescente ameaça de ataques cibernéticos a grandes corporações e a importância de medidas robustas de segurança cibernética para proteger informações sensíveis e garantir a continuidade dos negócios.

Microsoft corrige bug no Windows Autopatch que afetou dispositivos na UE

A Microsoft anunciou a correção de um bug no Windows Autopatch que permitiu a instalação de atualizações de drivers em dispositivos gerenciados, mesmo quando políticas administrativas exigiam aprovação manual. O problema afetou um número limitado de dispositivos com Windows 11 (versões 25H2, 24H2 e 23H2) na União Europeia, resultando em comportamentos inesperados, como reinicializações e, em alguns casos, falhas no sistema. A empresa informou que a correção foi feita por meio de uma atualização do lado do serviço, sem necessidade de ação por parte dos usuários. Este incidente segue uma série de problemas recentes, incluindo um upgrade não autorizado de servidores Windows e dificuldades na instalação do Office em dispositivos Windows 365. A Microsoft enfatizou que a situação foi resolvida e que os clientes não precisam realizar atualizações adicionais para corrigir o problema.

Microsoft corrige problema de recuperação do BitLocker no Windows 11

A Microsoft anunciou a resolução de um problema que fazia com que alguns sistemas Windows 11 entrassem no modo de recuperação do BitLocker após a instalação das atualizações de segurança de abril de 2026. O BitLocker é um recurso de segurança que criptografa unidades de armazenamento para proteger dados contra roubo. O problema, que também afetou dispositivos com Windows 10 e Windows Server, foi reconhecido pela Microsoft em 14 de abril e estava relacionado a uma configuração de Política de Grupo do BitLocker considerada ’não recomendada’. A empresa informou que, após a instalação da atualização, alguns dispositivos poderiam exigir a chave de recuperação do BitLocker no primeiro reinício. A correção foi disponibilizada apenas para sistemas Windows 11 25H2, enquanto os usuários de Windows 10 e Windows Server ainda aguardam uma solução. A Microsoft aconselhou administradores de TI a remover a configuração de Política de Grupo que poderia causar o problema antes de aplicar as atualizações de abril de 2026. Este incidente destaca a importância de manter as configurações de segurança adequadas para evitar interrupções no acesso a dados críticos.

Da phishing ao impacto Por que MSPs devem repensar segurança e recuperação

Os ataques cibernéticos modernos estão cada vez mais sofisticados, visando contornar defesas, interromper operações e atrasar a recuperação após uma violação. Um webinar ao vivo, promovido pela BleepingComputer, abordará a necessidade de as organizações repensarem suas estratégias de segurança e recuperação, especialmente diante da evolução rápida de ameaças como phishing impulsionado por IA, ransomware e comprometimento de e-mails corporativos. Os atacantes utilizam infraestrutura confiável e serviços em nuvem legítimos para acessar ambientes empresariais, tornando a detecção e contenção de incidentes um desafio. O webinar destacará a importância de combinar controles de segurança robustos com estratégias de backup e recuperação, essenciais para a resiliência cibernética moderna. A falta de estratégias de recuperação eficazes pode resultar em longos períodos de inatividade e custos elevados após a identificação de incidentes. Os participantes aprenderão sobre as falhas comuns nas estratégias de segurança e a importância do planejamento de recuperação e backup em SaaS. Essa discussão é crucial para que as organizações não apenas se defendam contra ataques, mas também se recuperem rapidamente.

Pesquisador vaza exploits de vulnerabilidades do Windows

Um pesquisador de cibersegurança, conhecido como Chaotic Eclipse, divulgou exploits de prova de conceito (PoC) para duas vulnerabilidades não corrigidas do Microsoft Windows, chamadas YellowKey e GreenPlasma. A vulnerabilidade YellowKey é um bypass do BitLocker, que permite acesso não autorizado a volumes protegidos, enquanto GreenPlasma é uma falha de escalonamento de privilégios que pode conceder permissões de sistema a usuários não privilegiados. O pesquisador alega que a vulnerabilidade YellowKey funciona como uma porta dos fundos, pois está presente apenas no Ambiente de Recuperação do Windows (WinRE). A divulgação pública dessas falhas foi motivada pela insatisfação com a forma como a Microsoft lida com relatórios de bugs. Chaotic Eclipse prometeu continuar vazando exploits para vulnerabilidades não documentadas, levantando preocupações sobre a segurança dos sistemas Windows, especialmente no Brasil, onde muitas empresas utilizam essas tecnologias. A Microsoft, por sua vez, afirmou estar comprometida em investigar problemas de segurança reportados e atualizar dispositivos afetados rapidamente.

Microsoft corrige 138 vulnerabilidades de segurança em seus produtos

Na última terça-feira, a Microsoft lançou atualizações para 138 vulnerabilidades de segurança em seu portfólio de produtos. Dentre essas falhas, 30 foram classificadas como Críticas e 104 como Importantes. A maioria das vulnerabilidades está relacionada a elevações de privilégio e execução remota de código. Um dos destaques é a CVE-2026-41096, uma falha de buffer overflow que pode permitir que atacantes não autorizados executem código remotamente em sistemas Windows. Além disso, a Microsoft corrigiu vulnerabilidades críticas em serviços como Azure DevOps e Microsoft Dynamics 365, que podem expor informações sensíveis e permitir a execução de código malicioso. A empresa também enfatizou a importância de atualizar os certificados de Secure Boot antes da expiração em junho de 2026, para evitar falhas de segurança. A crescente descoberta de vulnerabilidades, impulsionada por abordagens de inteligência artificial, sugere que o volume de correções deve aumentar nos próximos meses. Com mais de 500 CVEs corrigidos em 2026 até agora, a situação exige atenção constante das organizações para mitigar riscos potenciais.

Pare de Perseguir Alertas Falsos e Entenda a Cadeia Letal dos Hackers

O artigo da The Hacker News destaca a crescente preocupação com a segurança cibernética, enfatizando que muitos sistemas de segurança estão gerando um número excessivo de alertas irrelevantes, comparáveis a alarmes de fumaça disparados por um simples pedaço de pão queimado. Essa ‘fadiga de alertas’ pode levar as equipes de segurança a ignorar ameaças reais. Os hackers, em vez de buscar uma única vulnerabilidade significativa, estão cada vez mais utilizando uma abordagem que conecta pequenas falhas, como bugs de codificação e configurações inadequadas na nuvem, formando uma ‘Cadeia Letal’ que pode levar a dados sensíveis. O artigo convida os profissionais de segurança a participarem de um briefing com especialistas da Wiz, onde serão discutidos padrões de ataque atuais, a importância de mapear caminhos de ataque e como priorizar alertas relevantes. O evento também contará com uma sessão de perguntas e respostas, permitindo que os participantes abordem desafios específicos de suas arquiteturas. A mensagem central é que, para uma defesa eficaz, é crucial ter uma visão holística da segurança, em vez de se concentrar em alertas isolados.

Grupo de hackers ligado à China ataca empresa de petróleo no Azerbaijão

Um grupo de hackers associado à China, conhecido como FamousSparrow, está vinculado a uma série de intrusões em uma empresa de petróleo e gás do Azerbaijão entre dezembro de 2025 e fevereiro de 2026. A Bitdefender, empresa de cibersegurança, atribui a atividade com confiança moderada a alta a esse grupo, que já possui um histórico de ataques em outras regiões. A campanha de ataque foi caracterizada por uma ‘intrusão em múltiplas ondas’, utilizando dois tipos distintos de backdoors: Deed RAT e TernDoor. Os atacantes exploraram uma vulnerabilidade no Microsoft Exchange Server, utilizando a cadeia ProxyNotShell para obter acesso inicial. O que chama a atenção é a persistência dos atacantes em reutilizar o mesmo ponto de entrada vulnerável, mesmo após tentativas de remediação. Além disso, a técnica de side-loading de DLL foi aprimorada para evitar detecções. O ataque destaca a importância de uma vigilância contínua e a necessidade de remediação eficaz de vulnerabilidades, especialmente em um contexto onde a segurança energética da Europa está em jogo.

Microsoft lança sistema de IA para descoberta de vulnerabilidades

A Microsoft apresentou o MDASH, um novo sistema de inteligência artificial (IA) projetado para facilitar a descoberta e remediação de vulnerabilidades em larga escala. O MDASH, que significa multi-model agentic scanning harness, utiliza mais de 100 agentes de IA especializados para identificar, validar e comprovar falhas exploráveis em códigos complexos, como o Windows. Diferente de abordagens de modelo único, o sistema orquestra uma série de agentes que atuam em diferentes etapas do processo, desde a análise do código-fonte até a validação das descobertas. Recentemente, o MDASH foi testado e conseguiu identificar 16 vulnerabilidades que foram corrigidas na atualização de Patch Tuesday deste mês, incluindo duas falhas críticas que poderiam permitir a execução remota de código. A iniciativa da Microsoft segue o lançamento de outros projetos de IA voltados para a cibersegurança, destacando a crescente importância da IA na defesa contra ameaças cibernéticas. O impacto estratégico é significativo, pois a descoberta de vulnerabilidades por IA passou de uma curiosidade de pesquisa para uma defesa em escala empresarial, com um foco em sistemas de agentes ao invés de modelos isolados.

Google lança recurso de registro de intrusões para Android

O Google anunciou uma nova funcionalidade chamada Intrusion Logging, disponível no modo de proteção avançada do Android, que permite o registro forense de atividades em dispositivos para análise de ataques sofisticados de spyware. Desenvolvido em parceria com a Anistia Internacional e Repórteres Sem Fronteiras, o recurso registra atividades diárias do dispositivo, como comportamento de aplicativos, conexões de rede e transferências de arquivos. Os dados são criptografados de ponta a ponta e armazenados em servidores do Google, garantindo que nem mesmo a empresa tenha acesso a eles, exceto o proprietário do dispositivo. Os registros são mantidos por 12 meses e podem ser baixados offline, mas uma vez baixados, a segurança dos dados fica sob responsabilidade do usuário. A funcionalidade também registra eventos de navegação no Chrome em modo incógnito, o que pode levantar preocupações sobre privacidade. O objetivo é fornecer a indivíduos de alto risco, que possam ser alvos de ferramentas de vigilância, a capacidade de compartilhar logs de atividade com especialistas em segurança para investigação. Além disso, o Google anunciou melhorias em segurança e privacidade no Android, incluindo proteção contra fraudes em chamadas financeiras e detecção de ameaças em tempo real.

Campanha GemStuffer usa RubyGems para exfiltração de dados

Pesquisadores de cibersegurança alertam para a campanha GemStuffer, que tem como alvo o repositório RubyGems, utilizando mais de 150 gems para exfiltração de dados ao invés de distribuição de malware. De acordo com a empresa Socket, os pacotes não visam comprometer massivamente desenvolvedores, pois muitos têm pouca ou nenhuma atividade de download e seus payloads são repetitivos e barulhentos. Os scripts envolvidos na campanha acessam portais de serviços democráticos do governo local do Reino Unido, coletando informações como calendários de reuniões, listas de itens de agenda e documentos PDF, que são então empacotados em arquivos .gem e publicados de volta no RubyGems com credenciais de API codificadas. A campanha levanta preocupações sobre o uso do RubyGems como um canal de armazenamento para dados coletados, o que pode indicar uma capacidade de ataque contra a infraestrutura governamental. A situação se agrava com a desativação temporária do registro de novas contas no RubyGems, após um ataque malicioso significativo. Embora a informação coletada seja publicamente acessível, a sistemática coleta e arquivamento de dados pode ter implicações mais amplas, incluindo possíveis testes de abuso de registro de pacotes.

Comitê de Segurança Nacional dos EUA investiga ataques cibernéticos à Instructure

O Comitê de Segurança Nacional da Câmara dos EUA convocou executivos da Instructure para depor sobre dois ataques cibernéticos realizados pelo grupo de extorsão ShinyHunters, que afetaram a plataforma Canvas da empresa. Os ataques resultaram no roubo de dados de milhões de estudantes e na interrupção de atividades escolares durante períodos críticos, como as provas finais. A Instructure confirmou que, em 29 de abril, detectou a invasão, que expôs informações como nomes, endereços de e-mail e números de identificação de estudantes, mas não incluiu senhas ou dados financeiros. O ShinyHunters reivindicou a responsabilidade, alegando ter roubado 280 milhões de registros de 8.809 instituições educacionais. Após o segundo ataque, que desfigurou portais de login do Canvas, a Instructure anunciou ter chegado a um acordo com o grupo para interromper a divulgação pública dos dados. O Comitê expressou preocupações sobre a capacidade de resposta da Instructure a incidentes e solicitou uma reunião até 21 de maio para discutir as intrusões e as medidas tomadas. O incidente levanta questões sérias sobre a segurança dos dados armazenados pela empresa e sua responsabilidade em proteger as informações de estudantes e educadores.

Fortinet lança atualizações para vulnerabilidades críticas em sistemas

A Fortinet divulgou atualizações de segurança para corrigir duas vulnerabilidades críticas em seus produtos FortiSandbox e FortiAuthenticator, que podem permitir que atacantes executem comandos ou códigos arbitrários em sistemas não corrigidos. A primeira vulnerabilidade, identificada como CVE-2026-44277, afeta a solução de Gerenciamento de Identidade e Acesso (IAM) FortiAuthenticator, permitindo que um atacante não autenticado execute código não autorizado por meio de requisições manipuladas. Essa falha foi corrigida nas versões 6.5.7, 6.6.9 e 8.0.3 do FortiAuthenticator. A segunda vulnerabilidade, CVE-2026-26083, refere-se ao FortiSandbox e pode ser explorada para execução remota de código em sistemas vulneráveis, permitindo que atacantes não autenticados executem comandos não autorizados via requisições HTTP. Embora a Fortinet não tenha indicado que essas falhas estejam sendo ativamente exploradas, a empresa tem um histórico de vulnerabilidades que são frequentemente utilizadas em ataques de ransomware e espionagem cibernética. A CISA, agência de segurança cibernética dos EUA, já adicionou 24 vulnerabilidades da Fortinet ao seu catálogo de falhas ativamente exploradas nos últimos anos, destacando a necessidade de atenção e ação imediata por parte das organizações.

Atualização de segurança KB5087544 da Microsoft corrige vulnerabilidades

A Microsoft lançou a atualização de segurança KB5087544 para o Windows 10, visando corrigir vulnerabilidades identificadas durante o Patch Tuesday de maio de 2026. Esta atualização é aplicável para usuários do Windows 10 Enterprise LTSC e aqueles que participam do programa ESU. Após a instalação, a versão do Windows 10 será atualizada para a build 19045.7291, enquanto o Windows 10 Enterprise LTSC 2021 será atualizado para a build 19044.7291.

O foco principal da KB5087544 é a correção de 120 vulnerabilidades, incluindo um problema conhecido relacionado ao aviso de segurança do Remote Desktop, que poderia ser exibido incorretamente em configurações de múltiplos monitores. Além disso, a atualização melhora o relatório dinâmico do status do Secure Boot e inclui ajustes para o horário de verão no Egito. A Microsoft também alertou sobre um problema que pode solicitar a chave de recuperação do BitLocker após a instalação de atualizações recentes, afetando sistemas com uma configuração específica de Política de Grupo do BitLocker. Para contornar esse problema, a empresa recomenda a remoção da configuração afetada e a suspensão e retomada do BitLocker.

Signal implementa novas confirmações para combater phishing

O aplicativo Signal introduziu novas confirmações e mensagens de alerta dentro do app para aumentar a segurança contra tentativas de phishing e engenharia social, que podem resultar em fraudes. O objetivo é criar um nível de fricção que permita aos usuários avaliar a segurança de solicitações externas. Recentemente, ataques direcionados a usuários de alto perfil foram relatados, envolvendo alertas falsos de ‘Suporte do Signal’, conforme destacado pelo FBI e autoridades da Alemanha e Países Baixos. Esses incidentes foram atribuídos a hackers patrocinados pelo estado russo, que exploraram a funcionalidade de Dispositivos Vinculados para acessar contas, chats e listas de contatos das vítimas. O ataque convencía as vítimas a escanear códigos QR ou compartilhar códigos de verificação, permitindo que os atacantes vinculassem seus dispositivos às contas-alvo. Para mitigar esses riscos, o Signal agora exibe mensagens como ‘Nome não verificado’ e ‘Sem grupos em comum’ para contatos que iniciam comunicação, além de alertar os usuários sobre a impossibilidade de solicitar códigos de registro ou PINs. As novas funcionalidades visam educar os usuários sobre perfis fraudulentos e reforçar a segurança contra ataques de engenharia social.

Do alerta à resolução Corrigindo falhas na resposta a incidentes de rede

O artigo destaca que muitos incidentes de rede não se intensificam devido à falta de visibilidade, mas sim pela dificuldade das equipes de TI em gerenciar alertas e coordenar respostas em sistemas diversos durante situações de alta pressão. Um webinar promovido pela BleepingComputer em 2 de junho de 2026, em parceria com a Tines, abordará a importância de fluxos de trabalho de resposta mais coordenados para reduzir o tempo de resposta e evitar interrupções. Com o aumento da complexidade dos ambientes de TI, os alertas provenientes de plataformas de monitoramento, sistemas de infraestrutura e ferramentas de segurança estão crescendo em volume, enquanto muitas equipes ainda dependem de investigações manuais, o que atrasa a resolução de incidentes. A Tines oferece soluções que combinam automação e inteligência artificial para otimizar a resposta a incidentes, minimizando o trabalho repetitivo e melhorando a coordenação entre sistemas. O webinar abordará como os incidentes evoluem, onde ocorrem falhas nos fluxos de trabalho e técnicas para enriquecer e priorizar alertas automaticamente, promovendo uma resposta mais integrada e eficiente.

Multa de 963,900 para South Staffordshire Water por ciberataque

O Escritório do Comissário de Informação do Reino Unido multou a South Staffordshire Water Plc e sua controladora em £963,900 (cerca de R$ 6,3 milhões) devido a um ciberataque que expôs os dados pessoais de 663,887 clientes e funcionários. A empresa, que fornece 330 milhões de litros de água potável diariamente para 1,6 milhão de consumidores, sofreu o ataque que comprometeu suas operações de TI em 2022. Embora a gangue de ransomware Cl0p tenha inicialmente reivindicado a responsabilidade, a investigação do ICO confirmou a autenticidade dos dados vazados, que incluíam nomes completos, endereços, e informações bancárias. O ataque, que começou em setembro de 2020, foi facilitado por um ataque de phishing que permitiu a instalação de malware em seus sistemas, permanecendo indetectado por 20 meses. O ICO identificou falhas significativas na segurança da empresa, como controles insuficientes para prevenir a escalada de privilégios e o uso de software obsoleto. A multa foi reduzida em 40% devido à cooperação da empresa durante a investigação.

Exim corrige vulnerabilidade crítica que pode permitir execução remota de código

A Exim, um agente de transferência de e-mail de código aberto, lançou atualizações de segurança para corrigir uma vulnerabilidade crítica, identificada como CVE-2026-45185, também conhecida como Dead.Letter. Essa falha, classificada como uma vulnerabilidade de uso após liberação (use-after-free), afeta versões do Exim entre 4.97 e 4.99.2 que utilizam a biblioteca GnuTLS. O problema ocorre durante o processamento de mensagens BDAT quando um cliente envia um alerta de fechamento TLS antes da conclusão da transferência do corpo da mensagem, resultando em corrupção de memória e potencial execução de código malicioso. O especialista Federico Kirschbaum, do XBOW, destacou que a exploração dessa vulnerabilidade requer pouca configuração especial no servidor. A Exim já lançou a versão 4.99.3, que corrige a falha, e recomenda que todos os usuários atualizem imediatamente, pois não há mitigações disponíveis. Essa não é a primeira vez que falhas críticas são descobertas no Exim, levantando preocupações sobre a segurança contínua do software.

1 a cada 8 funcionários justifica vender acesso a sistemas da empresa

Uma pesquisa realizada pela empresa britânica Cifas revelou dados alarmantes sobre a disposição de funcionários em vender acesso a sistemas corporativos. De acordo com o estudo, 13% dos trabalhadores britânicos admitiram já ter vendido suas credenciais ou conhecer alguém que o fez. O relatório, intitulado ‘Tendências de Fraude no Ambiente de Trabalho’, também indicou que 32% dos gerentes e 43% dos executivos de alto escalão consideram essa prática justificável. Os motivos para essa atitude incluem problemas financeiros, a crença de que a venda é uma ação inofensiva e descontentamento com o trabalho. Os setores de TI e telecomunicações apresentaram a maior tolerância a esse tipo de fraude. Embora a venda de acesso a sistemas tenha sido uma das fraudes menos comuns abordadas, a pesquisa destaca a necessidade de as empresas desenvolverem uma cultura anti-fraude, conscientizando os funcionários sobre suas responsabilidades e as consequências de suas ações. A Cifas enfatiza que as organizações devem estar atentas a essa disposição dos funcionários, especialmente em um cenário onde a fraude pode ter impactos significativos na segurança e na integridade dos dados corporativos.

Google bloqueia ataque de dia zero utilizando inteligência artificial

O Google Threat Intelligence Group (GTIG) anunciou a detecção e interrupção de um ataque de dia zero que utilizou inteligência artificial (IA) pela primeira vez. O ataque, realizado por um grupo de cibercriminosos ainda não identificado, visava explorar uma vulnerabilidade em uma ferramenta de administração de sistemas open-source. O código malicioso, embutido em um script Python, permitia contornar a autenticação de dois fatores, embora os invasores ainda precisassem de credenciais válidas para acessar a plataforma. O GTIG identificou que a IA foi utilizada para descobrir e transformar a vulnerabilidade em um exploit, com evidências no código que indicam a utilização de um modelo de IA para mapear brechas e desenvolver malware. O Google trabalhou com o fornecedor afetado para corrigir a falha, e uma atualização já foi disponibilizada. Este incidente destaca uma tendência crescente entre grupos hackers que estão utilizando IA para aumentar a eficácia de seus ataques, com foco em grupos ligados à China e à Coreia do Norte, que demonstraram interesse em explorar vulnerabilidades através de técnicas avançadas.

Cuidado, usuários de Mac golpistas estão usando chats do Claude para espalhar malware

Recentemente, especialistas em cibersegurança alertaram sobre uma nova campanha de malware que visa usuários de Mac, utilizando chats do Claude e anúncios do Google para enganar as vítimas. Os golpistas exploraram a funcionalidade de ‘Shared Chats’ do Claude, criando conversas fraudulentas que fornecem instruções falsas para a instalação de um assistente de codificação chamado Claude Code. Essas instruções, na verdade, são um golpe do tipo ClickFix, que leva à infecção por malware do tipo infostealer. Para aumentar a credibilidade, os golpistas se apresentaram como ‘Apple Support’ e usaram anúncios pagos no Google para garantir que suas conversas fraudulentas aparecessem no topo dos resultados de busca. O link parecia legítimo, levando os usuários a acreditar que estavam acessando um conteúdo seguro. Embora o número de vítimas não tenha sido especificado, a pesquisa indicou que o malware não funciona em sistemas com idioma russo, sugerindo que os criminosos estão evitando esse público. Essa situação destaca a necessidade de vigilância constante e educação sobre segurança cibernética entre os usuários de Mac.

American Lending Center confirma violação de dados em julho de 2025

O American Lending Center (ALC), um credor de pequenas empresas da Califórnia, notificou 123.158 pessoas sobre uma violação de dados ocorrida em julho de 2025, resultante de um ataque de ransomware. A empresa revelou que o invasor comprometeu sua rede interna, executou o ataque e acessou arquivos que podem conter informações pessoais sensíveis, como nomes, números de Seguro Social e datas de nascimento. Até o momento, não se sabe como os atacantes conseguiram acessar a rede da ALC ou se um resgate foi pago. Para mitigar os danos, a ALC está oferecendo monitoramento de crédito gratuito e um seguro contra roubo de identidade de até 1 milhão de dólares através da IDX. Em 2025, foram registrados 67 ataques de ransomware em empresas financeiras dos EUA, afetando cerca de 1,4 milhão de pessoas. O ataque à ALC foi o terceiro maior em termos de registros comprometidos, atrás de incidentes em outras empresas financeiras. Os ataques de ransomware têm se tornado uma preocupação crescente, pois não apenas roubam dados, mas também podem paralisar sistemas, exigindo resgates para a restauração. A ALC gerencia ativos de 3,1 bilhões de dólares e financiou 110 projetos em todos os estados dos EUA.