Ataque

A Jaguar Land Rover (JLR) anunciou a retomada controlada e gradual de suas operações de fabricação após um incidente significativo de cibersegurança que interrompeu a produção no início de setembro de 2025. A empresa está reativando seções-chave de suas linhas de montagem, priorizando áreas de produção não críticas para minimizar a interrupção aos clientes e concessionárias. A JLR está colaborando com especialistas em cibersegurança, agências governamentais e forças de segurança para garantir que o reinício ocorra de forma segura. A primeira fase da recuperação permitirá a fabricação gradual de modelos de alta demanda, com a condição de que todos os sistemas e redes sejam validados quanto à segurança antes da reativação. Embora a JLR não tenha divulgado detalhes sobre a natureza do ataque, a empresa assegurou que dados críticos de clientes e negócios permaneceram seguros durante o incidente. O Centro Nacional de Segurança Cibernética do Reino Unido está apoiando a análise forense da infraestrutura de TI da JLR para identificar a causa raiz do ataque e fortalecer as defesas contra futuras ameaças. A JLR também está reforçando seus protocolos de resposta a incidentes cibernéticos e investindo em ferramentas de monitoramento aprimoradas para detectar anomalias em tempo real.

Um estudo da empresa de cibersegurança Resecurity revelou evidências de colaboração entre três grupos de cibercrime de língua inglesa: LAPSUS$, Scattered Spider e ShinyHunters. Esses grupos formam um ecossistema de crime cibernético adaptável, que tem como alvo corporações da Fortune 100 e agências governamentais entre 2023 e 2025. Em agosto de 2025, eles uniram forças em um canal do Telegram para coordenar ameaças e oferecer um novo serviço de ransomware chamado ‘shinysp1d3r’. A pesquisa indica que Scattered Spider fornece acesso inicial aos alvos, enquanto LAPSUS$ participa de campanhas coordenadas, incluindo ataques a ambientes da Salesforce e Snowflake. Os ataques recentes demonstraram táticas semelhantes entre os grupos, como engenharia social avançada e técnicas de SIM swapping. Entre as vítimas estão grandes companhias aéreas e marcas de luxo, com impactos financeiros significativos. Além disso, há preocupações sobre a violação de sistemas de aplicação da lei, o que representa uma escalada nas ações contra os grupos. Apesar de anunciarem sua ‘aposentadoria’, a Resecurity acredita que eles continuam a operar de forma discreta, exigindo atenção contínua das empresas em relação a essas ameaças emergentes.

A Cloudflare, empresa de segurança e redes, conseguiu mitigar um ataque DDoS que atingiu o pico recorde de 22,2 terabits por segundo (Tbps) e 10,6 bilhões de pacotes por segundo (Bpps). O ataque, que durou apenas 40 segundos, é considerado o maior já registrado na história da internet. Este tipo de ataque visa sobrecarregar sistemas e recursos de rede, tornando serviços lentos ou indisponíveis. A Cloudflare já havia neutralizado um ataque anterior de 11,5 Tbps há três semanas, e um de 7,3 Tbps dois meses antes. O tráfego gerado pelo ataque recente foi comparado a transmitir um milhão de vídeos em 4K simultaneamente. A identidade da vítima não foi divulgada, mas a botnet AISURU, que infectou mais de 300.000 dispositivos, é apontada como responsável pelos ataques. Essa botnet tem como alvo dispositivos como câmeras IP e roteadores, aumentando sua atividade desde abril de 2025, após uma atualização comprometida de firmware de roteadores Totolink. O aumento de 358% nos ataques DDoS em 2025 destaca a crescente preocupação com a segurança cibernética.

Desde 2019, o grupo de hackers APT Salt Typhoon, apoiado pelo Estado chinês, tem conduzido uma campanha de espionagem altamente direcionada contra redes de telecomunicações globais. Este grupo, alinhado ao Ministério da Segurança do Estado da China, utiliza implantes de firmware personalizados e rootkits em roteadores para manter acesso persistente e discreto em ambientes de telecomunicações nos EUA, Reino Unido, Taiwan e na União Europeia.

As operações começam com a exploração de vulnerabilidades conhecidas em dispositivos de rede, como roteadores e firewalls. Após a invasão, o grupo implanta ferramentas que sobrevivem a atualizações de software, permitindo a coleta de dados sensíveis, como registros de chamadas e informações de roteamento SS7. Um ataque em 2024 resultou no roubo de terabytes de metadados de operadoras como AT&T e Verizon.

O relatório Gcore Radar, publicado em setembro de 2025, revela um aumento alarmante de 41% no volume total de ataques DDoS em comparação ao ano anterior, com um pico de ataque atingindo 2,2 Tbps. O número total de ataques subiu de 969 mil no segundo semestre de 2024 para 1,17 milhão no primeiro semestre de 2025. Além do aumento em volume, os ataques estão se tornando mais sofisticados, com durações mais longas e estratégias em múltiplas camadas, refletindo uma mudança nos setores-alvo. O setor de tecnologia agora é o mais atacado, superando o de jogos, enquanto os serviços financeiros continuam a ser alvos frequentes devido ao seu alto potencial de interrupção. Os ataques de camada de aplicação também estão em ascensão, representando 38% do total, um aumento significativo em relação a 28% no final de 2024. O relatório destaca a necessidade urgente de defesas proativas e adaptativas para enfrentar essa nova realidade de cibersegurança.

Um novo relatório da Recorded Future revela que um grupo de ciberespionagem, anteriormente conhecido como TAG-100, foi reclassificado como RedNovember, supostamente patrocinado pelo Estado chinês. Entre junho de 2024 e julho de 2025, o grupo atacou organizações governamentais e do setor privado em várias regiões, incluindo América do Norte, América do Sul e Ásia. Utilizando ferramentas como o backdoor Pantegana e Cobalt Strike, RedNovember explorou vulnerabilidades em dispositivos de segurança de grandes empresas, como Check Point e Cisco. O foco do grupo inclui setores sensíveis, como defesa, aeroespacial e organizações de segurança. Recentemente, o grupo foi associado a ataques a contratantes de defesa dos EUA e a um ministério de relações exteriores na Ásia Central. A utilização de ferramentas de código aberto e serviços de VPN para ocultar suas atividades é uma estratégia comum entre grupos de espionagem, dificultando a atribuição de suas ações. O relatório destaca a necessidade de vigilância contínua e medidas de mitigação para proteger as organizações contra essas ameaças emergentes.

Pesquisadores demonstraram, durante os eventos Black Hat e DEF CON, como a técnica de domain fronting pode ser utilizada para ocultar tráfego malicioso por meio de plataformas populares como Google Meet, YouTube e servidores de atualização do Chrome. Essa técnica explora a discrepância entre os cabeçalhos Server Name Indication (SNI) e HTTP Host em requisições HTTPS, permitindo que atacantes disfarcem suas atividades como chamadas legítimas a domínios confiáveis. Em testes de prova de conceito, foi possível invocar funções maliciosas em infraestrutura controlada por atacantes dentro do Google Cloud Platform (GCP) ao manipular esses cabeçalhos. Essa abordagem representa uma nova forma de ataque, especialmente relevante para equipes de segurança, que agora precisam desenvolver capacidades de inspeção mais profundas para identificar padrões de roteamento incomuns, mesmo em tráfego que parece legítimo. A liberação de um redirecionador de código aberto para facilitar a adoção dessa técnica por equipes vermelhas destaca a necessidade urgente de vigilância e mitigação por parte das organizações, que devem equilibrar a utilização de serviços do Google com a detecção de anomalias para evitar que atacantes se escondam em tráfego aparentemente seguro.

A Jaguar Land Rover (JLR), pertencente ao grupo Tata, anunciou um novo adiamento na reabertura de suas fábricas no Reino Unido devido a um ciberataque sofisticado que interrompeu suas operações de manufatura. As plantas de Solihull, Castle Bromwich e Halewood permanecerão fechadas até 1º de outubro de 2025, enquanto a empresa intensifica sua investigação e análise forense, além de reforçar suas defesas contra possíveis novas ameaças. O ataque explorou uma vulnerabilidade zero-day em uma ferramenta de acesso remoto de terceiros, permitindo que os invasores penetrassem em sistemas críticos. Embora a JLR não tenha confirmado a violação de dados de clientes, padrões de tráfego anômalos indicam tentativas de exfiltração de dados. Durante a paralisação, equipes de cibersegurança internas e especialistas externos trabalharão para reconstruir a linha do tempo do ataque e validar a integridade dos sistemas. A empresa também está auditando as credenciais de seus fornecedores e reforçando as obrigações contratuais de cibersegurança. Apesar da interrupção, a rede de varejo global da JLR continua operando normalmente, e a empresa garantiu que os serviços de pós-venda e pedidos em andamento não serão afetados.

O Serviço Secreto dos EUA anunciou a desarticulação de uma rede de dispositivos eletrônicos na área metropolitana de Nova York, que eram utilizados para ameaçar oficiais do governo e representavam um risco iminente à segurança nacional. A investigação revelou mais de 300 servidores SIM e 100.000 cartões SIM distribuídos em várias localidades, concentrados em um raio de 56 km da Assembleia Geral da ONU. Os dispositivos não apenas emitiram ameaças anônimas, mas também poderiam ser utilizados para atacar a infraestrutura de telecomunicações, desativando torres de celular e facilitando comunicações criptografadas entre potenciais ameaçadores e organizações criminosas. A investigação, conduzida pela Unidade de Interdição de Ameaças Avançadas do Serviço Secreto, também indicou comunicações celulares entre atores de ameaças de estados-nação e indivíduos conhecidos pelas autoridades federais. Embora os detalhes sobre os oficiais ameaçados e as nações envolvidas não tenham sido divulgados, a situação destaca a vulnerabilidade das telecomunicações e a necessidade de vigilância constante. O diretor do Serviço Secreto enfatizou a importância da prevenção e a determinação da agência em neutralizar ameaças iminentes.

Em uma operação coordenada na área metropolitana de Nova York, o Serviço Secreto dos EUA desmantelou uma rede clandestina composta por mais de 300 servidores SIM e mais de 100.000 cartões SIM. Esses dispositivos eram utilizados para realizar ameaças anônimas a altos funcionários do governo e representavam um risco iminente à infraestrutura crítica de telecomunicações, incluindo a capacidade de desativar torres de celular e lançar ataques de negação de serviço. A investigação, que começou como um esforço de inteligência protetiva, revelou que os servidores e cartões estavam estrategicamente posicionados a 35 milhas de Nova York, coincidindo com a Assembleia Geral das Nações Unidas. A análise forense inicial sugere que a operação utilizou técnicas sofisticadas de spoofing de SIM e gerenciamento remoto de clusters de servidores para ocultar identidades e localizações dos usuários. A resposta rápida da Unidade de Interdição de Ameaças Avançadas do Serviço Secreto resultou em uma série de operações simultâneas, destacando a importância da inteligência protetiva e da cooperação interagencial na defesa dos sistemas de comunicação nacionais.

Um novo ataque cibernético, denominado Operação Rewrite, utiliza um módulo malicioso chamado BadIIS para sequestrar servidores web legítimos que operam com o Internet Information Services (IIS). Observada pela primeira vez em março de 2025, essa campanha de envenenamento de SEO redireciona visitantes desavisados para sites fraudulentos e de malware. A análise indica que os atacantes, presumivelmente de origem chinesa, empregam uma abordagem em duas fases: na fase de envenenamento, o BadIIS intercepta solicitações de crawlers de motores de busca e serve conteúdo malicioso que é indexado, enquanto na fase de redirecionamento, usuários reais são levados a sites controlados pelos atacantes. O BadIIS apresenta várias variantes, incluindo um manipulador ASP.NET e um módulo C# que intercepta erros 404 para injetar páginas de golpe. Para mitigar esses ataques, as equipes de segurança devem auditar listas de módulos do IIS e monitorar conexões de saída para domínios de comando e controle identificados. Ferramentas como Palo Alto Networks podem ajudar a bloquear esses conteúdos maliciosos e interromper comunicações com os atacantes.

Pesquisadores de cibersegurança revelaram detalhes sobre a nova botnet ShadowV2, que permite a locação de acesso para realizar ataques de negação de serviço distribuído (DDoS). Essa botnet, identificada pela empresa Darktrace, foca principalmente em containers Docker mal configurados em servidores da Amazon Web Services (AWS). O malware, escrito em Go, transforma sistemas infectados em nós de ataque, integrando-os a uma rede maior de DDoS. A campanha utiliza um framework de comando e controle (C2) baseado em Python, hospedado no GitHub Codespaces, e se destaca pela sofisticação de suas ferramentas de ataque, incluindo métodos avançados como HTTP/2 Rapid Reset e bypass do modo Under Attack da Cloudflare.

A Cloudflare anunciou a mitigação do maior ataque DDoS já registrado, que atingiu picos de 22,2 terabits por segundo (Tbps) e 10,6 bilhões de pacotes por segundo (Bpps). Este ataque, que mais que dobrou o recorde anterior de 11,5 Tbps, durou apenas 40 segundos e utilizou uma estratégia de múltiplos vetores, combinando inundações volumétricas e exploração de protocolos. A rapidez e a intensidade do ataque destacam a crescente capacidade dos atores maliciosos e suas botnets, levantando questões sobre a resiliência da infraestrutura da internet. A Cloudflare conseguiu neutralizar o ataque sem intervenção humana, utilizando detecção de anomalias baseada em aprendizado de máquina e mecanismos automatizados de filtragem. A magnitude deste evento exige que as organizações reavaliem suas estratégias de segurança, considerando se seus provedores têm a capacidade de suportar ataques em velocidade de máquina. Com a evolução das táticas de ataque, a adoção de defesas automatizadas e entregues na borda se torna essencial para garantir a continuidade dos negócios.

Um ciberataque afetou o sistema de check-in e etiquetagem de bagagens em vários aeroportos da Europa, incluindo Alemanha, Irlanda, Países Baixos e Reino Unido, desde a última sexta-feira (19). O ataque comprometeu o software MUSE, da Collins Aerospace, que é amplamente utilizado para gerenciar o check-in de passageiros. Como resultado, muitos voos foram atrasados ou cancelados, e passageiros enfrentaram longas filas e dificuldades no atendimento. No Aeroporto de Bruxelas, por exemplo, o check-in foi realizado manualmente, com informações anotadas à mão. Embora não haja evidências de que dados pessoais dos passageiros tenham sido roubados, as investigações estão em andamento. A Agência de Cibersegurança da União Europeia sugere que o ataque pode ter sido um ransomware, possivelmente ligado a hackers financiados por estados estrangeiros. Profissionais de cibersegurança alertam que a infraestrutura aeroportuária está cada vez mais vulnerável a tais ataques, o que levanta preocupações sobre a segurança de sistemas críticos de transporte. O impacto do incidente se estendeu até a manhã de segunda-feira (22), afetando a operação de diversos aeroportos europeus.

Recentemente, um novo vetor de ataque tem sido explorado por cibercriminosos, que abusam do Oracle Database Scheduler, um serviço que executa tarefas programadas em servidores de banco de dados Oracle. Os atacantes conseguiram obter acesso remoto ao sistema ao tentar logins repetidamente até conseguir autenticar-se com privilégios SYSDBA, permitindo controle total sobre as operações do banco de dados. Após a infiltração, utilizaram a capacidade do scheduler para executar trabalhos externos, como o processo extjobo.exe, que permite a execução remota de comandos com privilégios elevados. Isso possibilitou a execução de scripts de reconhecimento e o download de cargas úteis de sua infraestrutura de comando e controle (C2). Além disso, os atacantes implementaram túneis criptografados usando Ngrok para manter o acesso sem serem detectados, criando arquivos de configuração que expunham portas de desktop remoto. Durante o movimento lateral, eles escalaram privilégios e implantaram ransomware, que criptografou dados da empresa e deixou notas de resgate. Este incidente destaca a vulnerabilidade crítica do Oracle DBS Job Scheduler, especialmente quando combinado com separação de privilégios fraca e monitoramento insuficiente das atividades agendadas. Para mitigar esses riscos, é essencial que as empresas priorizem a segmentação de rede e monitorem atividades suspeitas no scheduler.

A Real Polícia Montada do Canadá (RCMP) desmantelou a TradeOgre, uma exchange de criptomoedas, após a maior apreensão de criptomoedas da história do país, totalizando mais de $56 milhões. A operação, anunciada em 18 de setembro de 2025, foi motivada por investigações que começaram em junho de 2024, quando a Europol sinalizou atividades suspeitas na plataforma. A TradeOgre era conhecida por permitir negociações anônimas, sem exigir verificação de identidade, o que a tornava um alvo atrativo para organizações criminosas que buscavam lavar dinheiro. A plataforma não estava registrada no Centro de Análise de Transações Financeiras do Canadá (FINTRAC) e não implementava controles de prevenção à lavagem de dinheiro (AML) ou procedimentos de conhecimento do cliente (KYC), exigidos pela legislação canadense. A análise técnica dos dados de transações em blockchain revelou que a maioria dos ativos digitais movimentados pela TradeOgre tinha origem em atividades criminosas. A operação da RCMP não só resultou na apreensão financeira, mas também na interrupção de uma infraestrutura crítica utilizada por criminosos. A investigação continua, com a possibilidade de novas acusações à medida que os dados da plataforma são analisados.

Um grupo de espionagem cibernética vinculado ao Irã, conhecido como UNC1549, está por trás de uma nova campanha que visa empresas de telecomunicações na Europa. A empresa suíça de cibersegurança PRODAFT identificou que o grupo infiltrou 34 dispositivos em 11 organizações localizadas em países como Canadá, França, Emirados Árabes Unidos, Reino Unido e Estados Unidos. Os atacantes se disfarçam como representantes de recursos humanos em plataformas como o LinkedIn, utilizando uma abordagem de recrutamento falsa para enganar funcionários e instalar um backdoor chamado MINIBIKE. Este malware permite a coleta de dados sensíveis, como credenciais do Outlook e informações de navegação. A campanha é caracterizada por um planejamento meticuloso, onde os atacantes realizam reconhecimento extensivo para identificar alvos com acesso elevado a sistemas críticos. Além disso, a operação é apoiada por técnicas avançadas de ofuscação e comunicação, utilizando serviços legítimos de nuvem para evitar detecções. O grupo UNC1549, ativo desde pelo menos junho de 2022, é associado à Guarda Revolucionária Islâmica do Irã e tem como objetivo a coleta de dados estratégicos para espionagem de longo prazo.

Uma análise recente da empresa de inteligência em ameaças KELA revelou paralelos operacionais significativos entre dois grupos cibernéticos ligados ao Iémen: o recém-surgido Belsen Group e o mais estabelecido ZeroSevenGroup. Embora não haja provas definitivas de liderança compartilhada, as táticas, técnicas e procedimentos (TTPs) sobrepostos sugerem uma possível afiliação ou atividade coordenada. Em janeiro de 2025, o Belsen Group publicou 1,6 GB de dados sensíveis de dispositivos Fortinet FortiGate, incluindo endereços IP e credenciais de VPN de mais de 15.000 aparelhos vulneráveis, explorando uma vulnerabilidade crítica (CVE-2022-40684) que foi corrigida em outubro de 2022. O grupo começou a vender acesso a redes corporativas, visando vítimas na África, EUA e Ásia. Por sua vez, o ZeroSevenGroup, que surgiu em julho de 2024, também se destacou por suas operações de exfiltração de dados, incluindo um ataque à Toyota. Ambos os grupos utilizam formatos de postagem semelhantes e hashtags comuns, indicando uma possível colaboração. A análise sugere que a infraestrutura operacional entre os dois grupos pode ser mais interligada do que se pensava anteriormente.

Pesquisadores de segurança descobriram uma sofisticada campanha do Magecart que utiliza JavaScript ofuscado para roubar dados de cartões de pagamento de sites de comércio eletrônico comprometidos. A infraestrutura maliciosa, centrada no domínio cc-analytics[.]com, tem coletado informações sensíveis de clientes por pelo menos um ano. O ataque começa com a injeção de tags de script maliciosas em plataformas de e-commerce vulneráveis, referenciando arquivos JavaScript externos controlados pelos atacantes. O código malicioso emprega técnicas avançadas de ofuscação, como codificação hexadecimal e manipulação de strings, para evitar a detecção por ferramentas de segurança. A análise do JavaScript revela um mecanismo de coleta de dados que monitora formulários de checkout e seleções de métodos de pagamento, capturando em tempo real informações como números de cartões de crédito e endereços de cobrança. A operação se estende por múltiplos domínios relacionados, demonstrando uma infraestrutura criminosa organizada e com capacidades técnicas significativas. Especialistas recomendam a implementação de políticas de segurança de conteúdo e a validação de referências de scripts externos para mitigar esses ataques.

O grupo de hackers TA415, associado ao governo chinês, intensificou suas operações de ciberespionagem entre julho e agosto de 2025, visando entidades governamentais dos EUA, think tanks e organizações acadêmicas focadas nas relações econômicas entre EUA e China. Utilizando técnicas avançadas de phishing, os atacantes enviaram e-mails disfarçados como comunicações de autoridades americanas, visando especialistas em comércio internacional e políticas econômicas. A abordagem do TA415 inclui o uso de serviços de nuvem legítimos, como Google Sheets e Google Calendar, para comunicações de comando e controle, o que dificulta a detecção por sistemas de segurança tradicionais. A cadeia de infecção começa com arquivos compactados protegidos por senha, que, ao serem executados, instalam um loader Python chamado WhirlCoil. Este malware coleta informações do sistema e as exfiltra para serviços de registro de requisições. A operação do TA415 é considerada uma ameaça significativa, especialmente em um contexto de negociações econômicas entre os EUA e a China, destacando a evolução das táticas de atores patrocinados pelo estado, que agora utilizam infraestrutura de nuvem legítima para manter acesso persistente e evitar detecções.

Pesquisadores de cibersegurança da ReliaQuest identificaram uma nova onda de ataques cibernéticos direcionados ao setor financeiro, atribuídos ao grupo de cibercrime conhecido como Scattered Spider. Este grupo, que havia anunciado uma suposta interrupção de suas atividades, agora demonstra um foco renovado em instituições financeiras, conforme evidenciado por um aumento no registro de domínios semelhantes e uma recente invasão direcionada a um banco nos EUA. Os atacantes conseguiram acesso inicial por meio de engenharia social, comprometendo a conta de um executivo e utilizando o Azure Active Directory para redefinir senhas. A partir daí, acessaram documentos sensíveis e comprometeram a infraestrutura de VMware ESXi, permitindo a extração de credenciais e a infiltração na rede. Além disso, tentaram exfiltrar dados de plataformas como Snowflake e AWS. A ReliaQuest alerta que a alegação de aposentadoria do grupo deve ser vista com ceticismo, já que a história mostra que grupos cibercriminosos frequentemente se reagrupam ou rebatizam para evitar a pressão da lei. A situação destaca a necessidade de vigilância contínua por parte das organizações, especialmente em um cenário onde a segurança cibernética é cada vez mais crítica.

A Google confirmou que cibercriminosos conseguiram criar uma conta fraudulenta em seu Sistema de Requerimentos de Garantidores da Lei (LERS), utilizado por autoridades para solicitar dados oficiais. Embora a conta tenha sido desativada e não haja indícios de que dados tenham sido acessados, o incidente levanta preocupações sobre a segurança de informações sensíveis. O grupo de hackers, conhecido como Scattered Lapsus$ Hunters, afirmou ter acesso ao portal LERS e ao sistema de checagem de antecedentes do FBI, o eCheck. Capturas de tela foram divulgadas como supostas provas do acesso. Este grupo já havia atacado outras grandes empresas, como Salesforce e Cloudflare, utilizando engenharia social. A Inteligência Contra Ameaças da Google (Mandiant) está monitorando a situação, mas especialistas duvidam que o grupo realmente cesse suas atividades. O acesso não autorizado a sistemas utilizados por agências de segurança pode permitir que hackers se façam passar por oficiais da lei, aumentando o risco de exposição de dados sensíveis de usuários.

O FBI emitiu um alerta sobre atividades de dois grupos hackers, UNC6040 e UNC6395, que atacaram plataformas Salesforce de várias empresas, incluindo Google e Cloudflare. Os ataques, que começaram no final de 2024, utilizam engenharia social e vishing, onde os golpistas se passam por suporte técnico para induzir funcionários a conectar aplicativos OAuth falsos. Isso resultou no vazamento de dados sensíveis e extorsão por parte do grupo ShinyHunters. O UNC6395, por sua vez, explorou brechas na atualização da plataforma Salesforce Drift, permitindo acesso a informações críticas, como senhas e tokens de autenticação. O FBI ainda investiga os responsáveis, mas o grupo ShinyHunters já reivindicou a autoria dos ataques, que também comprometeram sistemas do FBI. As empresas afetadas incluem gigantes como Adidas, Cisco e Palo Alto Networks, levantando preocupações sobre a segurança de dados e a conformidade com a LGPD no Brasil.

Um novo ataque à cadeia de suprimentos afetou pacotes npm mantidos pela conta da CrowdStrike, intensificando a campanha conhecida como “Shai-Halud”. Pesquisadores de segurança descobriram que pacotes da CrowdStrike estavam infectados com um código malicioso que coleta credenciais, injeta fluxos de trabalho não autorizados e exfiltra segredos. O script malicioso, chamado bundle.js, baixa e utiliza o TruffleHog, uma ferramenta legítima, para escanear o sistema em busca de tokens e chaves de API. Após a coleta, o malware cria fluxos de trabalho não autorizados no GitHub e exfiltra os dados para um endpoint específico. A CrowdStrike e os mantenedores do npm estão colaborando para analisar a situação e desenvolver remediações. Organizações que utilizam pacotes comprometidos devem desinstalá-los imediatamente, monitorar publicações no npm e auditar segredos de credenciais. A situação destaca a necessidade urgente de proteger ambientes de desenvolvimento e prevenir a execução de códigos não autorizados.

Pesquisadores de segurança da Kaspersky revelaram como o Modelo de Protocolo de Contexto (MCP), um novo padrão da Anthropic para integrações de assistentes de IA, pode ser explorado como um vetor sofisticado de ataque à cadeia de suprimentos. O estudo de prova de conceito demonstra que servidores MCP aparentemente legítimos podem coletar silenciosamente credenciais sensíveis de desenvolvedores e dados de ambiente. O MCP atua como um ‘barramento de plug-ins’, permitindo que assistentes de IA, como Claude e Cursor, se conectem a ferramentas externas e fontes de dados através de comandos em linguagem natural. No entanto, essa arquitetura cria superfícies de ataque significativas que estão sendo exploradas por atores maliciosos. Técnicas de exploração incluem confusão de nomes, envenenamento de ferramentas e cenários de ‘rug pull’, onde servidores legítimos são substituídos por versões comprometidas. O conceito de ataque demonstrado envolveu a criação de um pacote malicioso que, uma vez instalado, realizava operações de coleta de dados sofisticadas, visando arquivos sensíveis, como chaves SSH e credenciais de API. A exfiltração de dados era disfarçada como tráfego normal do GitHub, dificultando a detecção. As equipes de segurança devem implementar fluxos de aprovação rigorosos e monitorar interações para mitigar esses riscos emergentes.

Com a guerra entre Rússia e Ucrânia se arrastando para o final de 2024, o ciberespaço se tornou um campo de batalha crucial, com grupos de hackers pró-russos intensificando suas operações contra indústrias globais. Um grupo identificado como SectorJ149, também conhecido como UAC-0050, está vinculado a ataques sofisticados nos setores de manufatura, energia e semicondutores da Coreia do Sul. As investigações revelaram que esses ataques utilizam malware personalizado adquirido em mercados da dark web, evidenciando a crescente conexão entre conflitos geopolíticos e a interrupção econômica habilitada por ciberataques.

Uma nova ferramenta de teste de penetração, chamada Villager, desenvolvida por uma empresa chinesa, já foi baixada quase 11.000 vezes no repositório Python Package Index (PyPI). A ferramenta, que automatiza fluxos de trabalho de testes de segurança, levanta preocupações sobre seu uso potencial por cibercriminosos. Villager é uma criação da Cyberspike, que também lançou ferramentas como o HexStrike AI, utilizadas para explorar vulnerabilidades recentemente divulgadas. A automação proporcionada por essas ferramentas permite que até mesmo atacantes menos experientes realizem intrusões sofisticadas, reduzindo o tempo e o esforço necessários para executar ataques. A Cyberspike, que surgiu em 2023, integrou componentes de ferramentas de acesso remoto (RAT) em seus produtos, permitindo vigilância invasiva e controle sobre as vítimas. A arquitetura da Villager, que utiliza inteligência artificial para orquestrar ferramentas com base em objetivos, representa uma mudança significativa na condução de ataques cibernéticos. A natureza efêmera dos contêineres criados pela ferramenta dificulta a detecção e a análise forense, aumentando o risco para as organizações. Especialistas alertam que a rápida disponibilidade e as capacidades de automação da Villager podem torná-la um recurso valioso para atores maliciosos, semelhante ao que ocorreu com o Cobalt Strike.

Um ataque DDoS sem precedentes, com pico de 1,5 bilhão de pacotes por segundo, foi detectado e mitigado pela FastNetMon. O ataque, que visou um fornecedor de mitigação DDoS na Europa Ocidental, utilizou dispositivos IoT e roteadores MikroTik comprometidos, abrangendo mais de 11.000 redes ao redor do mundo. O tráfego malicioso foi predominantemente um flood UDP, e a resposta rápida da FastNetMon permitiu que a empresa alvo resistisse ao ataque sem interrupções visíveis em seus serviços. Pavel Odintsov, fundador da FastNetMon, alertou que esse evento é parte de uma tendência perigosa, onde dispositivos de consumo podem ser facilmente sequestrados para realizar ataques em larga escala. A empresa enfatizou a necessidade de filtragem em nível de ISP para prevenir futuros ataques dessa magnitude. O incidente segue um ataque volumétrico anterior, que alcançou 11,5 Tbps, destacando um aumento nas inundações de pacotes e largura de banda, o que pressiona as capacidades das plataformas de mitigação em todo o mundo.

O FBI emitiu um alerta sobre dois grupos cibercriminosos, UNC6040 e UNC6395, que têm realizado ataques de roubo de dados e extorsão, visando plataformas Salesforce. O grupo UNC6395 foi responsável por uma campanha de roubo de dados em agosto de 2025, explorando tokens OAuth comprometidos do aplicativo Salesloft Drift, que teve sua conta do GitHub violada entre março e junho de 2025. Em resposta, a Salesloft isolou sua infraestrutura e desativou o aplicativo. O grupo UNC6040, ativo desde outubro de 2024, tem utilizado campanhas de vishing para obter acesso inicial e roubar dados em larga escala, utilizando uma versão modificada do aplicativo Data Loader do Salesforce. Após as intrusões, o grupo também se envolveu em atividades de extorsão, que foram atribuídas a um outro grupo chamado UNC6240, que se identifica como ShinyHunters. Recentemente, houve uma união entre ShinyHunters, Scattered Spider e LAPSUS$, que anunciaram a suspensão de suas atividades, embora especialistas alertem que isso pode ser uma estratégia para evitar a atenção das autoridades. As organizações devem permanecer vigilantes, pois o silêncio de um grupo de ameaças não significa que o risco desapareceu.

Um dos maiores ataques a pacotes do npm foi detectado pela Aikido Security, envolvendo 18 pacotes populares, como chalk e debug, que foram comprometidos para roubar carteiras de criptomoedas. O ataque ocorreu após a invasão de um mantenedor confiável, conhecido como qix, que caiu em um golpe de phishing. Esses pacotes, que somam mais de 2 bilhões de downloads semanais, impactaram um grande número de usuários. O malware injetado altera transações de criptomoedas feitas por navegadores, redirecionando fundos para endereços controlados pelos hackers, mesmo que a interface mostre informações corretas. A detecção do ataque foi rápida, ocorrendo em cinco minutos, e a contenção foi realizada em uma hora, minimizando os danos. Especialistas recomendam que desenvolvedores revertam para versões anteriores dos pacotes afetados e monitorem transações de criptomoedas para evitar perdas. Este incidente destaca a vulnerabilidade de ambientes de desenvolvimento e a necessidade de vigilância constante contra ataques de phishing e malware.

Em 1º de setembro de 2025, a Qrator.AntiDDoS conseguiu neutralizar um dos maiores ataques de negação de serviço distribuído (DDoS) da camada 7 já registrados, que envolveu 5,76 milhões de endereços IP únicos. O alvo foi uma organização do setor público, e o ataque ocorreu em duas ondas distintas. A primeira onda, com 2,8 milhões de dispositivos comprometidos, lançou um ataque de inundação HTTP, enquanto uma segunda onda, com cerca de 3 milhões de dispositivos, se juntou uma hora depois para intensificar o ataque. A Qrator bloqueou todos os IPs maliciosos, garantindo a continuidade dos serviços. Desde sua primeira aparição em março de 2025, a botnet cresceu rapidamente, com um aumento de 25% em três meses, sendo o Brasil o maior contribuinte, seguido por países como Vietnã e Estados Unidos. A botnet utiliza técnicas avançadas para contornar medidas de mitigação, ajustando dinamicamente os cabeçalhos das requisições e alternando entre ataques de alta intensidade e tráfego sustentado para esgotar os recursos dos servidores. Especialistas alertam que a rápida evolução dessa botnet exige que as organizações adotem estratégias de defesa em múltiplas camadas para se proteger contra esses ataques.

A FastNetMon, uma das principais fornecedoras de soluções de detecção e mitigação de DDoS, anunciou que conseguiu identificar e mitigar um ataque de negação de serviço distribuído (DDoS) sem precedentes, gerando 1,5 bilhão de pacotes por segundo (Gpps) contra um grande fornecedor na Europa Ocidental. Este ataque, que começou nas primeiras horas de 8 de setembro de 2025, foi principalmente um ataque de inundação UDP, projetado para sobrecarregar a capacidade do alvo de processar pacotes, em vez de saturar a largura de banda. Os atacantes utilizaram uma botnet composta por mais de 11.000 dispositivos, incluindo roteadores domésticos e câmeras IP, que foram comprometidos devido a vulnerabilidades não corrigidas e credenciais padrão. Pavel Odintsov, fundador da FastNetMon, alertou sobre o crescente uso de dispositivos de consumo inseguros como ferramentas de ataque. O incidente destaca a necessidade de estratégias de mitigação especializadas, uma vez que ataques de alta taxa de pacotes podem explorar gargalos de processamento, exigindo detecções e respostas rápidas. A situação é um lembrete da crescente complexidade e sofisticação das ameaças cibernéticas atuais.

Um novo ataque cibernético, denominado GhostAction, comprometeu mais de 3.300 chaves de acesso e credenciais no GitHub, conforme revelado pela empresa de segurança GitGuardian. O ataque, que começou a ser detectado em 2 de setembro de 2025, utiliza uma técnica que insere arquivos maliciosos no fluxo de trabalho do GitHub Actions, permitindo que os hackers leiam e enviem chaves de programação armazenadas em ambientes de projetos para servidores externos. Até o momento, foram identificados 817 repositórios afetados, abrangendo pacotes npm e PyPl, e comprometendo credenciais de serviços como AWS e Cloudflare. A GitGuardian notificou o GitHub e outras plataformas sobre a situação, e recomenda que os usuários afetados revoguem suas credenciais imediatamente para evitar a publicação de versões maliciosas de seus softwares. O ataque é semelhante a um incidente anterior, mas não há evidências de conexão entre eles. A situação destaca a vulnerabilidade da cadeia de abastecimento de software e a necessidade de vigilância constante por parte dos desenvolvedores e empresas que utilizam o GitHub.

O grupo APT DarkSamurai, associado ao Patchwork, tem realizado uma campanha de ataques cibernéticos direcionados a instituições estratégicas no Paquistão. Utilizando arquivos MSC disfarçados como PDFs, os atacantes implantaram trojans de acesso remoto (RATs) para infiltrar redes e exfiltrar dados sensíveis. A operação começa com e-mails de spear-phishing que imitam entidades governamentais, levando as vítimas a abrir um arquivo malicioso que ativa um controle ActiveX. Este controle executa um script JScript que busca um payload JavaScript ofuscado, resultando na instalação de um RAT personalizado. O ataque é caracterizado por técnicas de evasão de detecção, como a polimorfia do script e o uso de tarefas agendadas para manter a persistência. A análise do payload final revelou um RAT chamado Mythic, que se comunica com um servidor de comando e controle usando criptografia AES-256-HMAC. A operação DarkSamurai é, na verdade, uma manobra de falsa bandeira para desviar a atenção das atividades do Patchwork, que tem um histórico de ataques a organizações militares e diplomáticas na Ásia do Sul. Este caso destaca a necessidade de uma investigação rigorosa e atribuição de ameaças para proteger infraestruturas críticas contra espionagem patrocinada por estados.

O Comitê Selecionado da Câmara dos EUA sobre a China emitiu um alerta sobre uma série de campanhas de espionagem cibernética altamente direcionadas, supostamente ligadas à República Popular da China (RPC), em meio a negociações comerciais tensas entre os EUA e a China. As campanhas têm como alvo organizações e indivíduos envolvidos na política comercial e diplomática entre os dois países, incluindo agências governamentais dos EUA, empresas, escritórios de advocacia em Washington e grupos de reflexão. Os atacantes, identificados como APT41, usaram e-mails de phishing se passando pelo congressista republicano John Robert Moolenaar para enganar os destinatários e obter acesso não autorizado a sistemas e informações sensíveis. O objetivo final era roubar dados valiosos, utilizando serviços de software e nuvem para ocultar suas atividades. O ataque mais recente envolveu um e-mail que continha um anexo malicioso que, ao ser aberto, implantava malware para coletar dados sensíveis. O comitê acredita que essas ações são parte de uma operação de espionagem cibernética apoiada pelo estado chinês, visando influenciar as deliberações políticas dos EUA e obter vantagens nas negociações comerciais.

O Departamento do Tesouro dos EUA, através do Escritório de Controle de Ativos Estrangeiros (OFAC), impôs sanções a uma vasta rede de centros de golpes cibernéticos no Sudeste Asiático, que têm fraudado cidadãos americanos em bilhões de dólares. A ação, anunciada pelo Subsecretário John K. Hurley, designou 19 entidades e indivíduos em Mianmar e Camboja, congelando ativos nos EUA e proibindo transações com as partes bloqueadas. Entre os alvos estão operadores em Shwe Kokko, um conhecido centro de fraudes cibernéticas, que opera sob a proteção do Exército Nacional Karen (KNA). Os golpistas utilizam táticas de coerção, como trabalho forçado e abuso físico, para executar fraudes relacionadas a investimentos em criptomoedas. Em Camboja, antigos cassinos foram transformados em centros de golpes, onde trabalhadores traficados realizam fraudes online. Com perdas superiores a 10 bilhões de dólares para os americanos em 2024, um aumento de 66% em relação ao ano anterior, as sanções visam desmantelar as estruturas financeiras que sustentam esses crimes. A partir de agora, pessoas e entidades nos EUA devem bloquear todas as transações com as partes designadas, sob pena de sanções civis e criminais.

Pesquisadores de segurança cibernética identificaram um conjunto de 45 domínios associados a grupos de ameaças ligados à China, como Salt Typhoon e UNC4841, com registros que datam de maio de 2020. A análise, realizada pela Silent Push, revela que esses domínios compartilham infraestrutura com atividades anteriores, incluindo a exploração de uma vulnerabilidade crítica (CVE-2023-2868) em dispositivos Barracuda Email Security Gateway. Salt Typhoon, ativo desde 2019, ganhou notoriedade por atacar provedores de telecomunicações nos EUA e é supostamente operado pelo Ministério da Segurança do Estado da China. A pesquisa também destacou o uso de endereços de e-mail Proton Mail para registrar domínios com informações falsas. A recomendação é que organizações que possam estar em risco de espionagem chinesa verifiquem seus logs DNS dos últimos cinco anos em busca desses domínios e seus subdomínios. O alerta é especialmente relevante considerando a crescente preocupação com a cibersegurança em um cenário global cada vez mais complexo.

Autoridades federais dos Estados Unidos estão investigando um sofisticado ataque de malware que visou partes interessadas nas negociações comerciais entre os EUA e a China. Especialistas em cibersegurança associam a operação aos serviços de inteligência chineses. O ataque foi realizado por meio de um e-mail fraudulento que parecia ser enviado pelo representante John Moolenaar, presidente do Comitê Selecionado da Câmara sobre Competição Estratégica entre os EUA e o Partido Comunista Chinês. A mensagem maliciosa foi distribuída em julho para grupos comerciais, escritórios de advocacia e agências governamentais envolvidos nas discussões bilaterais. A campanha de phishing, atribuída ao grupo APT41, utilizou táticas de engenharia social, solicitando que os destinatários revisassem uma legislação proposta em um anexo. A abertura desse anexo poderia ter implantado malware, permitindo acesso extensivo à rede dos atacantes. A investigação, que envolve o FBI e a Polícia do Capitólio dos EUA, foi desencadeada após questionamentos sobre os e-mails suspeitos. A embaixada chinesa em Washington negou envolvimento, afirmando que a China se opõe a todos os tipos de ciberataques. A investigação continua ativa para determinar se os sistemas ou informações sensíveis foram comprometidos.

Um ataque cibernético conhecido como GhostAction comprometeu 327 usuários do GitHub e 817 repositórios, destacando a sofisticação dos atacantes em manter a infraestrutura maliciosa apenas pelo tempo necessário para coletar credenciais. A análise da GitGuardian revelou que a infraestrutura foi desativada rapidamente após o início das divulgações, indicando um nível profissional de inteligência de ameaças. O ataque não apresentou sobreposição com a recente campanha S1ngularity, sugerindo que diferentes grupos de ameaças estão operando de forma independente. A resposta imediata de organizações e registros de pacotes, como o PyPI, que rapidamente colocou projetos comprometidos em modo somente leitura, ajudou a evitar uma contaminação generalizada da cadeia de suprimentos de software. O incidente ressalta a importância da gestão de segredos em ambientes de CI/CD e a necessidade de monitoramento de segurança aprimorado nos fluxos de trabalho do GitHub Actions. As organizações devem implementar varreduras de segurança abrangentes, rotacionar credenciais comprometidas imediatamente e monitorar modificações não autorizadas nos fluxos de trabalho para prevenir ataques semelhantes.

O artigo aborda a crescente ameaça de fraudes na contratação, onde atacantes se infiltram em empresas disfarçados de funcionários legítimos. O caso de ‘Jordan de Colorado’ ilustra como um novo contratado pode ter um histórico impecável, mas na verdade ser um invasor. Com o aumento do trabalho remoto, as organizações perderam as proteções intuitivas das entrevistas presenciais, permitindo que indivíduos mal-intencionados utilizem identidades falsas, referências forjadas e até deepfakes para obter acesso a sistemas críticos. Um relatório recente revelou que mais de 320 operativos norte-coreanos se infiltraram em empresas como trabalhadores de TI remotos, utilizando perfis gerados por IA e manipulação em tempo real para passar por processos de seleção. O artigo sugere a implementação de um modelo de ‘Zero Standing Privileges’ (ZSP), que limita o acesso a informações e sistemas apenas ao necessário, garantindo que mesmo após a contratação, o acesso seja sempre verificado e controlado. Essa abordagem visa equilibrar segurança e produtividade, evitando que a rigidez das políticas de segurança atrapalhe o fluxo de trabalho.

Os ataques de roubo de contas (Account Takeover - ATO) estão em ascensão, representando uma ameaça significativa no cenário digital atual. Com bilhões de credenciais comprometidas disponíveis no dark web e ferramentas automatizadas que testam milhares de tentativas de login por segundo, cada página de login se torna um alvo potencial. Os atacantes evoluíram suas táticas, utilizando phishing, engenharia social e troca de SIM para contornar autenticações de dois fatores. O artigo destaca cinco soluções eficazes para prevenir ATOs em 2025: Lunar, Telesign, Feedzai, Kount e Sift. Essas plataformas oferecem recursos como monitoramento em tempo real, análise comportamental, autenticação multifatorial e inteligência de risco. A solução Lunar, por exemplo, se destaca por sua ampla cobertura de dados e capacidade de detectar ameaças emergentes rapidamente. A necessidade de soluções robustas contra ATOs é imperativa, especialmente para empresas que não possuem segurança em camadas e detecção de ameaças em tempo real. Com a crescente complexidade dos ataques, as organizações devem adotar medidas proativas para proteger suas credenciais e dados sensíveis.

Um novo conjunto de ataques cibernéticos, denominado Operação BarrelFire, foi atribuído a um grupo de ameaças possivelmente de origem russa, conhecido como Noisy Bear. Os ataques visam especificamente a KazMunaiGas, uma empresa do setor de energia do Cazaquistão, e começaram em abril de 2025. Os atacantes utilizaram e-mails de phishing com documentos falsos que simulavam comunicações internas da empresa, incluindo temas como atualizações de políticas e procedimentos de certificação. O vetor inicial da infecção é um arquivo ZIP que contém um atalho do Windows (LNK) que baixa um script malicioso e um programa chamado ‘KazMunayGaz_Viewer’. O ataque culmina na instalação de um implante DLL que permite o controle remoto do sistema comprometido. Além disso, a infraestrutura dos atacantes está hospedada em um provedor de serviços de hospedagem à prova de balas na Rússia, sancionado pelos EUA. Em paralelo, outras campanhas de ciberespionagem têm sido observadas, incluindo ataques a empresas na Polônia e na Ucrânia, utilizando técnicas semelhantes de engenharia social e malware. Esses incidentes destacam a crescente complexidade e a sofisticação das ameaças cibernéticas na região.

A Bridgestone Americas confirmou um “incidente cibernético limitado” que afetou temporariamente a fabricação em várias instalações na América do Norte. O ataque foi detectado por volta das 2h da manhã, quando a equipe de segurança da empresa notou tráfego de rede incomum e tentativas de acesso não autorizado aos sistemas de controle de produção, especificamente na rede SCADA (Supervisory Control and Data Acquisition). A resposta ao incidente incluiu a segmentação das VLANs afetadas, a ativação de uma equipe de resposta a incidentes e a verificação da integridade dos backups. Embora a produção tenha sido interrompida em locais como as fábricas em Aiken County, Carolina do Sul, e Joliette, Quebec, a empresa garantiu que não houve comprometimento de dados de clientes ou funcionários. A investigação forense está em andamento para identificar o vetor de ataque e as possíveis vulnerabilidades exploradas. A Bridgestone destacou que sua estrutura de cibersegurança, que inclui autenticação multifatorial e monitoramento contínuo, foi crucial para a rápida contenção do incidente. A empresa planeja publicar um relatório pós-incidente para reforçar a confiança entre seus colaboradores e clientes.

Pesquisadores da Amazon identificaram e neutralizaram uma tentativa de invasão ao Microsoft 365, realizada pelo grupo de hackers conhecido como Midnight Blizzard, ou APT29, que é apoiado pelo governo russo. Utilizando uma técnica chamada Oásis, os cibercriminosos replicaram sites que os alvos costumam acessar, facilitando o roubo de senhas e a autorização de dispositivos maliciosos. A investigação revelou que o grupo comprometeu diversos sites legítimos e ocultou códigos maliciosos em codificação base64. Os hackers redirecionaram cerca de 10% dos visitantes de domínios afetados para páginas que imitavam a verificação do Cloudflare, levando os usuários a um fluxo de autenticação falso da Microsoft. Após a descoberta, a Amazon isolou as instâncias EC2 utilizadas pelos criminosos e colaborou com a Cloudflare e a Microsoft para interromper as atividades. A empresa recomenda que os usuários verifiquem autorizações de dispositivos e ativem a autenticação de dois fatores para aumentar a segurança. Embora a campanha não tenha comprometido a infraestrutura da Amazon, a situação destaca a necessidade de vigilância constante contra ataques cibernéticos.

Um ciberataque ocorrido em 29 de agosto de 2025, afetou a Sinqia, empresa responsável por conectar diversos bancos brasileiros ao sistema de pagamentos instantâneos Pix. Os hackers conseguiram desviar aproximadamente R$ 710 milhões, sendo R$ 670 milhões do HSBC e R$ 41 milhões da fintech Artta. O Banco Central do Brasil, ao perceber a tentativa de acesso malicioso, bloqueou R$ 589 milhões, o que representa cerca de 83% do total desviado. A investigação revelou que a invasão foi realizada por meio de credenciais comprometidas de funcionários de TI, evidenciando a vulnerabilidade de senhas estáticas e métodos de proteção inadequados. A Sinqia não poderá retomar suas operações no Pix até que o Banco Central avalie e aprove as novas medidas de segurança implementadas. Este incidente destaca um aumento alarmante no uso de credenciais roubadas, que representaram 16% dos incidentes de invasão em 2024, e um crescimento de 800% no roubo de credenciais na primeira metade de 2025. O ataque ressalta a necessidade urgente de reforçar a segurança cibernética nas instituições financeiras brasileiras.

A Cloudflare, empresa especializada em infraestrutura digital, anunciou a neutralização do maior ataque DDoS da história, que atingiu um pico de 11,5 terabits por segundo (Tbps). O ataque, que durou aproximadamente 35 segundos, foi realizado a partir de uma combinação de fontes, incluindo Google Cloud e dispositivos da Internet das Coisas (IoT), como câmeras de segurança e computadores comprometidos. Este incidente é parte de um aumento alarmante nos ataques DDoS, que cresceram 358% em 2025 em comparação ao ano anterior. A Cloudflare também relatou que mitigou 21,3 milhões de ataques DDoS em 2024, com um aumento significativo de 509% nas tentativas de ataque a nível de rede. O aumento na frequência e na intensidade desses ataques levanta preocupações sobre a segurança digital, especialmente para empresas que dependem de serviços online. O Brasil, em particular, se tornou um dos principais alvos de ataques DDoS na América Latina, o que destaca a necessidade de medidas de segurança robustas para proteger a infraestrutura digital do país.

A Jaguar Land Rover (JLR) anunciou que sofreu um ciberataque em seus sistemas nos dias 30 e 31 de agosto de 2025, resultando na interrupção indefinida da produção e no desligamento de vários sistemas. A empresa, que produz mais de 400 mil veículos anualmente e tem um retorno anual de US$ 38 bilhões, informou que as vendas e a produção foram severamente afetadas, especialmente no Reino Unido. Embora não haja evidências de roubo de dados, a companhia está trabalhando para retomar suas atividades globais. Os primeiros relatos de problemas vieram de vendedores britânicos, que não conseguiam registrar novos carros ou peças. A fábrica de Solihull, responsável pela produção de modelos como o Land Rover Discovery e o Range Rover, foi uma das mais impactadas. O ataque ocorreu durante o final de semana, um período em que as empresas têm menos capacidade de resposta. Até o momento, não foram divulgados detalhes sobre a autoria do ataque nem se algum grupo de ransomware se manifestou. A JLR ainda não informou quando as operações serão normalizadas.

Recentemente, o pacote npm ’nx’, amplamente utilizado para gerenciamento de código, foi alvo de um ataque cibernético que comprometeu a segurança de cerca de 100 mil contas. Os hackers exploraram uma vulnerabilidade na cadeia logística do pacote, permitindo a publicação de versões maliciosas que escaneavam sistemas de arquivos em busca de credenciais. Essas informações eram então enviadas para um repositório no GitHub sob a conta da vítima. O ataque afetou principalmente usuários de sistemas Linux e macOS, e as versões comprometidas foram rapidamente removidas do registro. A vulnerabilidade foi introduzida em um workflow do GitHub em 21 de agosto e, apesar de ter sido revertida, os criminosos conseguiram explorar um branch desatualizado. Pesquisadores de segurança alertam que este é o primeiro incidente conhecido a utilizar assistentes de desenvolvimento com IA, como Claude Code e Google Gemini CLI, para burlar a segurança. Os usuários afetados são aconselhados a alterar suas credenciais e verificar arquivos de configuração em busca de instruções maliciosas.

A Jaguar Land Rover (JLR) enfrentou um ataque cibernético que causou interrupções significativas em suas operações de produção e varejo. A empresa confirmou o incidente em seu site corporativo, informando que tomou medidas imediatas para mitigar os danos, incluindo o desligamento proativo de seus sistemas. O ataque, que ocorreu no último domingo, afetou principalmente duas de suas principais fábricas no Reino Unido, resultando na suspensão das atividades e na orientação para que os funcionários ficassem em casa. Embora a empresa tenha afirmado que não há evidências de roubo de dados de clientes, as operações de varejo e produção foram severamente impactadas. A Tata Motors, controladora da JLR, descreveu o evento como um ‘incidente de segurança de TI’ que está causando problemas globais. Até o momento, nenhum grupo assumiu a responsabilidade pelo ataque, e a natureza exata do mesmo permanece incerta, embora a possibilidade de ransomware ou roubo de dados seja considerada. A Agência Nacional do Crime do Reino Unido está colaborando com a JLR para entender melhor o impacto do incidente.

O BruteForceAI é uma nova ferramenta de teste de penetração que utiliza Modelos de Linguagem de Grande Escala (LLMs) para automatizar e otimizar ataques de força bruta em páginas de login. Desenvolvido pelo pesquisador de cibersegurança Mor David, o BruteForceAI apresenta um fluxo de trabalho de ataque em duas etapas: a primeira envolve uma análise inteligente do formulário de login, onde um LLM identifica elementos como nome de usuário e senha, reduzindo a necessidade de configuração manual. A segunda etapa executa ataques de alta velocidade, utilizando modos como força bruta clássica e Password Spray, que aplica uma única senha a múltiplos usuários.