Ataque

O webinar “Do ruído ao sinal: O que os atores de ameaças estão mirando a seguir”, promovido pela BleepingComputer, abordará como equipes de segurança podem monitorar sinais de alerta precoce em comunidades underground e traduzi-los em defesas acionáveis. A apresentação, que contará com a participação de Tammy Harper, pesquisadora de inteligência de ameaças da RansomLook, examinará o uso de fóruns da dark web, canais do Telegram e marketplaces de corretores de acesso por parte de atores de ameaças para coordenar ataques e compartilhar vulnerabilidades. Esses sinais, embora frequentemente fragmentados e difíceis de interpretar, podem revelar intenções semanas antes de um ataque. A Flare Systems, uma empresa especializada em inteligência de ameaças, ajudará as organizações a detectar esses sinais iniciais, permitindo que as equipes de segurança adotem uma abordagem proativa em vez de reativa. Os participantes aprenderão a identificar sinais significativos na comunicação online, acompanhar as táticas dos adversários e transformar a inteligência em ações defensivas priorizadas. O evento é uma oportunidade valiosa para profissionais de segurança que desejam aprimorar suas estratégias de defesa.

Pesquisadores de cibersegurança revelaram a existência de uma botnet chamada Masjesu, que tem sido utilizada para ataques de negação de serviço distribuída (DDoS) desde 2023. Anunciada como um serviço de DDoS sob demanda no Telegram, a Masjesu se destaca por sua capacidade de atingir uma variedade de dispositivos IoT, como roteadores e câmeras, evitando endereços IP bloqueados para garantir sua sobrevivência a longo prazo. O malware utiliza criptografia baseada em XOR para ocultar dados e comandos, e já foi associado a um operador conhecido como ‘synmaestro’.

O grupo de ameaças avançadas APT28, também conhecido como Forest Blizzard, está associado a uma nova campanha de spear-phishing que visa a Ucrânia e seus aliados, utilizando um malware inédito chamado PRISMEX. Essa campanha, que se acredita estar ativa desde setembro de 2025, tem como alvo setores estratégicos na Ucrânia, incluindo defesa e serviços de emergência, além de parceiros logísticos na Polônia, Romênia e outros países. Os pesquisadores da Trend Micro destacam que a APT28 tem explorado rapidamente vulnerabilidades recém-divulgadas, como CVE-2026-21509 e CVE-2026-21513, para comprometer sistemas antes que as correções sejam disponibilizadas. O PRISMEX utiliza técnicas avançadas de esteganografia e hijacking de componentes para ocultar suas atividades, permitindo a execução de payloads maliciosos sem alertar os usuários. A campanha também é notável por sua capacidade de realizar tanto espionagem quanto sabotagem, com a possibilidade de causar interrupções operacionais significativas. A utilização de serviços de nuvem legítimos para comando e controle (C2) representa uma nova abordagem na execução de ataques cibernéticos, aumentando a complexidade da defesa contra essas ameaças.

A FBI e agências de cibersegurança dos EUA alertaram sobre ataques direcionados a dispositivos de tecnologia operacional (OT) com conexão à internet, como controladores lógicos programáveis (PLCs), por grupos cibernéticos afiliados ao Irã. Esses ataques resultaram em diminuição da funcionalidade dos PLCs, manipulação de dados e, em alguns casos, interrupções operacionais e perdas financeiras. Os alvos incluem PLCs da Rockwell Automation e Allen-Bradley, utilizados em setores críticos como serviços governamentais, sistemas de água e energia. Os atacantes conseguiram acesso inicial utilizando infraestrutura de terceiros e software de configuração, estabelecendo controle remoto através de um software SSH chamado Dropbear. Para mitigar esses riscos, as organizações são aconselhadas a evitar a exposição dos PLCs à internet, implementar autenticação multifatorial e monitorar tráfego incomum. Este cenário se insere em uma escalada de ataques cibernéticos iranianos, que já haviam sido observados anteriormente em redes de OT nos EUA e em Israel. A situação é agravada por um aumento em ataques de negação de serviço distribuído (DDoS) e operações de hack-and-leak por grupos de hacktivistas associados ao Irã.

Hackers associados ao Irã estão atacando controladores lógicos programáveis (PLCs) expostos à Internet em redes de organizações de infraestrutura crítica dos Estados Unidos. O alerta foi emitido por uma parceria entre o FBI, CISA, NSA, EPA, DOE e o Cyber Command dos EUA. Desde março de 2026, esses ataques têm causado perdas financeiras e interrupções operacionais em setores como serviços governamentais, sistemas de água e esgoto e energia. Os hackers têm como objetivo causar distúrbios, manipulando arquivos de projeto e dados exibidos em interfaces HMI e SCADA. A escalada das campanhas de ataque está ligada a tensões entre o Irã e os EUA e Israel. O FBI identificou que esses ataques resultaram na extração de arquivos de projeto e manipulação de dados. Para se proteger, as organizações são aconselhadas a desconectar os PLCs da Internet, implementar autenticação multifatorial e manter os dispositivos atualizados. Além disso, um grupo hacktivista pro-Palestina, Handala, comprometeu cerca de 80 mil dispositivos em uma rede de uma empresa médica dos EUA. O FBI também alertou sobre o uso do Telegram por hackers iranianos em ataques de malware.

O grupo de ameaças ligado à Rússia, conhecido como APT28 ou Forest Blizzard, está associado a uma nova campanha de ciberespionagem que comprometeu roteadores MikroTik e TP-Link inseguros. Desde maio de 2025, a operação, chamada FrostArmada, tem como alvo dispositivos de internet domésticos e de pequenos escritórios (SOHO), explorando vulnerabilidades para redirecionar o tráfego DNS e coletar dados de rede de forma passiva. A técnica utilizada modifica as configurações de DNS dos roteadores comprometidos, permitindo que o tráfego seja desviado para servidores controlados pelos atacantes, onde credenciais de autenticação são capturadas. A campanha teve seu auge em dezembro de 2025, com mais de 18.000 endereços IP únicos de pelo menos 120 países se comunicando com a infraestrutura do APT28. O alvo principal inclui agências governamentais e provedores de serviços de e-mail e nuvem. A Microsoft e outras agências de segurança colaboraram para desativar a infraestrutura maliciosa, mas a natureza oportunista do ataque levanta preocupações sobre a segurança de dispositivos em ambientes corporativos. A exploração de vulnerabilidades, como a CVE-2023-50224, destaca a necessidade urgente de monitoramento e proteção de dispositivos de rede em uso.

Uma operação internacional coordenada por autoridades de segurança e empresas privadas desmantelou a campanha FrostArmada, vinculada ao grupo de ameaças persistentes avançadas (APT) APT28, também conhecido como Fancy Bear. Este grupo, associado ao GRU da Rússia, comprometeu principalmente roteadores MikroTik e TP-Link, alterando suas configurações de DNS para redirecionar o tráfego de autenticação de contas da Microsoft. No auge da campanha, em dezembro de 2025, cerca de 18.000 dispositivos em 120 países foram infectados, com alvos como agências governamentais e provedores de serviços de TI. A operação contou com a colaboração da Microsoft, Black Lotus Labs e apoio do FBI e do Departamento de Justiça dos EUA. Os atacantes exploraram vulnerabilidades em roteadores expostos à internet, redirecionando tráfego para servidores maliciosos, onde coletaram credenciais de login e tokens OAuth. A Microsoft e o NCSC do Reino Unido alertaram sobre a natureza oportunista dos ataques, que afetaram tanto sessões de navegador quanto aplicativos de desktop. A operação resultou na desativação da infraestrutura maliciosa, mas destaca a necessidade de medidas de segurança robustas, como o uso de pinagem de certificados e a atualização de equipamentos obsoletos.

O conceito de ’ecossistema de espionagem’ refere-se a organizações complexas, geralmente patrocinadas por estados autoritários, que utilizam tecnologias sofisticadas para realizar atividades de espionagem. Essas entidades visam desde a interrupção de cadeias de suprimento até o roubo de informações sensíveis, como planos de produtos e estratégias legais. Ao contrário de ataques rápidos, essas operações buscam acesso profundo e de longo prazo às redes críticas das organizações, muitas vezes infiltrando-se através de funcionários desprevenidos.

Um novo ataque, denominado GPUBreach, foi desenvolvido por pesquisadores da Universidade de Toronto e pode induzir falhas de bit Rowhammer em memórias GDDR6 de GPUs, resultando em escalonamento de privilégios e comprometimento total do sistema. O ataque explora a corrupção de tabelas de páginas da GPU (PTEs), permitindo que um kernel CUDA não privilegiado obtenha acesso de leitura/escrita arbitrário à memória da GPU. Isso pode ser encadeado para uma escalada de privilégios no lado da CPU, aproveitando falhas de segurança na driver da NVIDIA, sem a necessidade de desativar a proteção do Unidade de Gerenciamento de Memória de Entrada e Saída (IOMMU). Embora o IOMMU seja uma medida eficaz contra muitos ataques de acesso direto à memória, ele não impede o GPUBreach. Os pesquisadores destacam que, ao corromper as tabelas de páginas da GPU, é possível obter privilégios de root, mesmo com o IOMMU ativado, tornando o GPUBreach uma ameaça mais significativa do que ataques anteriores. O ataque foi demonstrado em uma GPU NVIDIA RTX A6000, amplamente utilizada em desenvolvimento e treinamento de IA. Os detalhes completos do estudo serão apresentados no IEEE Symposium on Security & Privacy em 13 de abril de 2025.

Um ator de ameaça vinculado ao Irã está por trás de uma campanha de password spraying direcionada a ambientes Microsoft 365 em Israel e nos Emirados Árabes Unidos (EAU), conforme relatado pela empresa de cibersegurança Check Point. A atividade, que ocorre em três ondas distintas, afetou mais de 300 organizações em Israel e mais de 25 nos EAU, com alvos que incluem entidades governamentais, empresas de tecnologia, transporte e energia. O password spraying é uma técnica de ataque que tenta usar uma única senha comum em múltiplos nomes de usuário, sendo uma abordagem mais eficaz para descobrir credenciais fracas sem acionar defesas de limitação de taxa. Além disso, o grupo de ransomware iraniano Pay2Key também voltou a atacar, visando uma organização de saúde nos EUA, utilizando técnicas avançadas de evasão e execução. A campanha de ransomware, que não resultou em exfiltração de dados, destaca a crescente integração de operações cibernéticas com objetivos políticos por parte do Irã. As organizações são aconselhadas a monitorar logs de acesso, aplicar controles de acesso condicionais e implementar autenticação multifator (MFA) para mitigar esses riscos.

Nesta semana, o cenário de cibersegurança foi marcado por incidentes significativos, incluindo o comprometimento do pacote npm Axios por hackers norte-coreanos, que introduziram uma versão maliciosa contendo o malware WAVESHAPER.V2. Este ataque destaca a vulnerabilidade de pacotes amplamente utilizados, que podem afetar rapidamente uma vasta gama de sistemas. Além disso, o Google lançou atualizações de segurança para o Chrome, corrigindo 21 vulnerabilidades, incluindo uma falha zero-day que já estava sendo explorada. Outro incidente relevante foi a exploração de uma vulnerabilidade zero-day no software de videoconferência TrueConf, que afetou entidades governamentais no Sudeste Asiático. A Fortinet também emitiu patches para uma falha crítica em seu FortiClient EMS, que estava sendo ativamente explorada. Por fim, a Apple expandiu a disponibilidade de correções para dispositivos mais antigos, visando proteger usuários contra o kit de exploração DarkSword. Esses eventos ressaltam a importância de monitorar e proteger ferramentas de desenvolvimento e dependências de software, uma vez que os atacantes estão cada vez mais focados em comprometer os processos de construção e distribuição de software.

As Galerias Uffizi, um dos museus mais renomados da Itália, localizado em Florença, confirmou ter sido alvo de um ataque cibernético em fevereiro de 2026. Durante o incidente, hackers acessaram os servidores do museu e supostamente roubaram um arquivo fotográfico completo. No entanto, a instituição afirmou que possuía backups adequados, permitindo a restauração rápida dos dados perdidos. Relatos indicam que os atacantes também teriam acessado informações sensíveis, como códigos, senhas e mapas internos, mas o museu negou essas alegações, afirmando que não há evidências de que esses dados tenham sido comprometidos. A Uffizi está atualmente substituindo seu hardware, uma atualização que já estava planejada antes do ataque, e tomou medidas adicionais para proteger suas coleções, incluindo o armazenamento de itens valiosos em um cofre no Banco da Itália. Os hackers tentaram extorquir o museu, ameaçando divulgar os arquivos roubados na dark web, mas até o momento, nada foi vazado. Este incidente destaca a crescente vulnerabilidade de instituições culturais a ataques cibernéticos e a importância de manter sistemas de segurança atualizados.

Um ataque cibernético ocorrido em 1º de abril de 2026 resultou no roubo de US$ 285 milhões de uma exchange descentralizada baseada em Solana, revelando uma operação de engenharia social meticulosamente planejada pela Coreia do Norte. O grupo de hackers, conhecido como UNC4736, é associado a diversas campanhas de roubo no setor de criptomoedas desde 2018. A análise da Drift, a exchange atacada, indica que o ataque foi o resultado de meses de interação com colaboradores da empresa, onde os atacantes, disfarçados como uma empresa de trading, estabeleceram relações de confiança. Durante esse período, eles conseguiram integrar um Ecosystem Vault na plataforma, o que facilitou o acesso a ativos criptográficos. O ataque pode ter sido realizado através de dois vetores principais: a clonagem de um repositório de código malicioso e o download de um aplicativo de carteira comprometido. A investigação também destaca a evolução do ecossistema de malware da Coreia do Norte, que se tornou mais fragmentado e resistente a atribuições, dificultando a identificação de suas operações. Este incidente ressalta a necessidade de vigilância constante e medidas de segurança robustas no setor de fintech e criptomoedas.

Uma nova campanha de hackers está em andamento, visando roubar credenciais de forma automatizada ao explorar a vulnerabilidade React2Shell (CVE-2025-55182) em aplicativos Next.js. Até o momento, 766 hosts em diferentes provedores de nuvem e regiões foram comprometidos, resultando na coleta de dados sensíveis, como credenciais de banco de dados, chaves privadas SSH, chaves de API e segredos de ambiente. A operação utiliza um framework chamado NEXUS Listener e scripts automatizados para extrair e exfiltrar dados de diversas aplicações. Os pesquisadores da Cisco Talos conseguiram acessar uma instância exposta do NEXUS Listener, permitindo a análise dos dados coletados e do funcionamento da aplicação. A coleta de dados ocorre em pacotes, enviados via requisições HTTP para um servidor de comando e controle. As recomendações de defesa incluem a aplicação de atualizações de segurança, auditoria da exposição de dados e rotação imediata de credenciais suspeitas. A situação é crítica, pois os dados roubados podem levar a invasões de contas em nuvem e ataques à cadeia de suprimentos.

Os mantenedores do popular cliente HTTP Axios relataram um ataque de engenharia social que comprometeu a conta de um desenvolvedor, resultando na publicação de versões maliciosas do Axios no registro de pacotes npm. Durante um período de aproximadamente três horas, duas versões (1.14.1 e 0.30.4) injetaram uma dependência chamada plain-crypto-js, que instalou um trojan de acesso remoto (RAT) em sistemas macOS, Windows e Linux. O ataque foi atribuído ao grupo de hackers norte-coreano UNC1069, que utiliza táticas de engenharia social para enganar desenvolvedores. O principal alvo, Jason Saayman, foi induzido a instalar um malware disfarçado de atualização do Microsoft Teams após ser convidado para um espaço de trabalho Slack falso. Os mantenedores do Axios já tomaram medidas para mitigar o incidente, incluindo a redefinição de credenciais e a limpeza de sistemas afetados. Este ataque destaca a crescente preocupação com a segurança da cadeia de suprimentos, especialmente em projetos de código aberto amplamente utilizados.

Pesquisadores da Microsoft Defender alertam que atores de ameaças estão utilizando cookies HTTP como um canal de controle para shells web baseados em PHP em servidores Linux, visando a execução remota de código. Essa técnica permite que o código malicioso permaneça inativo durante a execução normal da aplicação, ativando-se apenas quando valores específicos de cookies estão presentes. O uso de cookies para controle de execução oferece uma camada adicional de furtividade, já que esses dados se misturam ao tráfego web normal, dificultando a detecção. As implementações incluem loaders PHP que utilizam ofuscação e verificações em tempo de execução, além de scripts que segmentam dados de cookies para executar cargas úteis secundárias. A pesquisa também revela que os atacantes podem obter acesso inicial ao ambiente Linux da vítima através de credenciais válidas ou exploração de vulnerabilidades conhecidas, configurando tarefas cron para invocar rotinas de shell periodicamente. Para mitigar essa ameaça, a Microsoft recomenda a implementação de autenticação multifator, monitoramento de atividades de login incomuns e auditoria de tarefas cron. Essa abordagem de controle por cookies sugere uma reutilização de técnicas de shell web estabelecidas, permitindo acesso persistente pós-compromisso que pode evadir controles tradicionais de inspeção e registro.

O Drift Protocol, uma plataforma de negociação DeFi baseada na blockchain Solana, sofreu um ataque sofisticado que resultou na perda de pelo menos $280 milhões. O ataque foi atribuído a hackers norte-coreanos, conforme indicado por empresas de inteligência em blockchain, como Elliptic e TRM Labs. Os atacantes utilizaram contas de nonce duráveis e transações pré-assinadas para atrasar a execução de suas ações até um momento escolhido, permitindo que tomassem o controle administrativo da plataforma rapidamente. O ataque ocorreu entre 23 e 30 de março, culminando em uma transação legítima seguida pela execução de transações maliciosas em 1º de abril, o que resultou na transferência de controle administrativo para o hacker. Após a detecção de atividades incomuns, o Drift Protocol emitiu um alerta público e congelou suas operações. A plataforma está colaborando com firmas de segurança e autoridades para rastrear e congelar os fundos roubados, prometendo um relatório detalhado sobre o incidente em breve.

Daniel Rhyne, um ex-engenheiro de infraestrutura, admitiu ter invadido a rede de sua empresa, uma indústria em Nova Jersey, e bloqueado o acesso de administradores a 254 servidores. Entre 9 e 25 de novembro, ele utilizou uma conta de administrador para agendar tarefas que deletaram contas de administradores de rede e alteraram senhas de 13 contas de domínio, além de 301 contas de usuários. Rhyne também programou a alteração de senhas de contas locais que afetariam 3.284 estações de trabalho e 254 servidores, além de desligar servidores aleatórios. Após a invasão, ele enviou um e-mail de extorsão aos colegas, exigindo um resgate de 20 bitcoins (aproximadamente R$ 750 mil) sob a ameaça de desligar 40 servidores diariamente. O ataque foi planejado com pesquisas na internet sobre como manipular logs do Windows e alterar senhas. Rhyne foi preso em agosto e enfrenta até 15 anos de prisão por suas ações. Este incidente destaca a vulnerabilidade das empresas a ataques internos e a necessidade de controles de segurança robustos.

No dia 1º de abril de 2026, a exchange descentralizada Drift, baseada em Solana, sofreu um ataque que resultou no roubo de aproximadamente $285 milhões. O ataque foi realizado por um ator malicioso que obteve acesso não autorizado ao Drift Protocol, utilizando uma técnica inovadora envolvendo ‘durable nonces’. Essa abordagem permitiu a pré-assinatura de transações, atrasando sua execução e facilitando a apropriação das permissões administrativas do Conselho de Segurança da plataforma. Importante ressaltar que o ataque não explorou vulnerabilidades nos contratos inteligentes da Drift, nem houve comprometimento de frases-semente. Em vez disso, os atacantes manipularam aprovações de transações, possivelmente através de engenharia social, para executar uma transferência administrativa maliciosa rapidamente. O incidente, que começou a ser preparado em 23 de março, está sendo investigado em colaboração com várias empresas de segurança e autoridades. Relatórios indicam que o ataque pode estar ligado a grupos de hackers da Coreia do Norte, que têm um histórico de roubo de criptomoedas para financiar programas de armas. A evolução das técnicas de engenharia social, aliada ao uso crescente de inteligência artificial, amplia o escopo das ameaças, tornando desenvolvedores e colaboradores de projetos alvos potenciais.

O Drift Protocol, uma plataforma de negociação DeFi baseada na blockchain Solana, sofreu um ataque cibernético que resultou na perda de pelo menos $280 milhões. O invasor conseguiu assumir o controle das funções administrativas do Conselho de Segurança da plataforma por meio de uma operação planejada e sofisticada, utilizando contas de nonce duráveis e transações pré-assinadas. O ataque foi preparado entre 23 e 30 de março, quando o hacker configurou as contas e obteve aprovações de 2/5 dos membros do Conselho de Segurança, permitindo a assinatura de transações maliciosas que não foram executadas imediatamente. No dia 1º de abril, o invasor realizou uma transação legítima e, em seguida, executou as transações maliciosas pré-assinadas, transferindo o controle administrativo para si em questão de minutos. Após o ataque, a Drift emitiu um alerta público, suspendendo depósitos e congelando funções da plataforma. A empresa está colaborando com firmas de segurança e autoridades para rastrear os fundos roubados e promete divulgar um relatório detalhado sobre o incidente em breve.

Um homem de 36 anos, identificado como Jonathan Spalletta, foi preso após roubar 50 milhões de euros em criptomoedas através de ataques cibernéticos. O hacker, que se entregou à polícia, utilizou uma vulnerabilidade na plataforma Uranium Finance para desviar fundos. Inicialmente, ele explorou uma falha no código da plataforma, conseguindo desviar 1,3 milhão de euros, e posteriormente, ao descobrir uma nova vulnerabilidade, conseguiu roubar o montante total. Spalletta usou os fundos para adquirir itens colecionáveis raros, incluindo cartas de Pokémon e Magic: The Gathering, gastando quantias exorbitantes, como 460 mil euros em uma carta Black Lotus. O ataque resultou no colapso da Uranium Finance, impactando severamente seus usuários. As autoridades recuperaram 28 milhões de euros em criptomoedas e apreenderam os itens colecionáveis adquiridos com o dinheiro roubado. Spalletta pode enfrentar até 30 anos de prisão se for considerado culpado. Este caso destaca a vulnerabilidade das plataformas de criptomoedas e a necessidade de medidas de segurança mais robustas.

A Stryker Corporation, uma das principais empresas de tecnologia médica do mundo, anunciou que está totalmente operacional três semanas após um ciberataque que comprometeu muitos de seus sistemas. O ataque, reivindicado pelo grupo hacktivista Handala, vinculado ao Irã, ocorreu em 11 de março, quando os invasores alegaram ter roubado 50 terabytes de dados e apagado quase 80 mil dispositivos. A empresa, que possui mais de 53 mil funcionários e reportou vendas globais de 22,6 bilhões de dólares em 2024, conseguiu restaurar seus sistemas e retomar a produção em níveis pré-ataque. A Stryker destacou que a disponibilidade de produtos permanece saudável e que está trabalhando em parceria com especialistas em cibersegurança e agências governamentais para garantir a proteção do ecossistema de saúde. Embora inicialmente se acreditasse que os atacantes não usaram ferramentas maliciosas, a investigação revelou a presença de um arquivo malicioso que ajudou a ocultar as atividades dos invasores na rede da empresa. O grupo Handala, que surgiu em dezembro de 2023, é conhecido por atacar organizações israelenses e está vinculado ao Ministério da Inteligência e Segurança do Irã.

Pesquisadores alertam que proxies residenciais, utilizados para redirecionar tráfego malicioso, representam um grande problema para sistemas de reputação de IPs, pois não há uma distinção clara entre atacantes e usuários legítimos. Um estudo da plataforma de inteligência em cibersegurança GreyNoise analisou um conjunto de dados massivo de 4 bilhões de sessões maliciosas ao longo de três meses, revelando que cerca de 39% dessas sessões parecem originar-se de redes domésticas, muitas delas parte de proxies residenciais. A pesquisa indicou que 78% dessas sessões são invisíveis para os feeds de reputação. A maioria dos IPs residenciais é utilizada uma ou duas vezes antes de desaparecer, dificultando a catalogação por sistemas de defesa. Além disso, 89,7% dos IPs residenciais estão ativos em operações maliciosas por menos de um mês. Os pesquisadores também notaram que o tráfego de proxies residenciais é gerado por dois ecossistemas distintos: botnets de IoT e computadores infectados. A China, Índia e Brasil são os principais contribuidores para esse tráfego. A GreyNoise sugere que as táticas de evasão de proxies residenciais exigem uma mudança de foco, priorizando o comportamento em vez da reputação do IP.

O relatório anual de ameaças de 2026 da Blackpoint Cyber revela uma mudança significativa no comportamento de atacantes, que agora utilizam credenciais válidas e ferramentas legítimas para realizar intrusões em organizações. O estudo, baseado em milhares de investigações de segurança, destaca que 32,8% dos incidentes analisados envolveram abuso de VPN SSL, onde os atacantes se autenticaram com credenciais comprometidas, permitindo acesso a redes internas sem acionar alarmes. Além disso, 30,3% dos casos envolveram o uso indevido de ferramentas de Monitoramento e Gerenciamento Remoto (RMM), como o ScreenConnect, que se misturaram com atividades normais de TI. O relatório também aponta que campanhas de engenharia social, como as que utilizam CAPTCHAs falsos, foram responsáveis por 57,5% dos incidentes, mostrando que a interação do usuário é um fator crítico. Apesar da implementação de autenticação multifator (MFA) em muitos ambientes de nuvem, ataques de phishing ainda resultaram em compromissos de contas, com 16% dos casos documentados. O relatório sugere que as equipes de segurança tratem o acesso remoto como uma atividade de alto risco e mantenham um inventário rigoroso das ferramentas de RMM utilizadas.

O Google atribuiu formalmente a violação da cadeia de suprimentos do popular pacote Axios npm a um grupo de ameaças da Coreia do Norte, identificado como UNC1069. Este ataque, que visa roubar criptomoedas, ocorreu quando os invasores assumiram o controle da conta do mantenedor do pacote, permitindo a distribuição de versões trojanizadas que introduziram uma dependência maliciosa chamada ‘plain-crypto-js’. Essa dependência é utilizada para implantar um backdoor multiplataforma que afeta sistemas Windows, macOS e Linux. O ataque se destaca pela sua sofisticação, utilizando um hook de pós-instalação no arquivo ‘package.json’ para executar código malicioso de forma discreta. O backdoor, denominado WAVESHAPER.V2, é uma versão atualizada de um malware anterior e suporta comandos para executar scripts e coletar informações do sistema. Para mitigar os riscos, os usuários são aconselhados a auditar suas dependências, bloquear domínios de comando e controle e isolar sistemas afetados. Este incidente ressalta a necessidade de uma vigilância contínua sobre as dependências de software, especialmente em ambientes de desenvolvimento.

O FBI confirmou que a conta de e-mail pessoal de seu diretor, Kash Patel, foi comprometida por hackers do grupo Handala, associado ao Irã. A violação ocorreu em meio a um contexto de tensões entre os Estados Unidos e o Irã, com os hackers alegando ter acessado ‘sistemas impenetráveis’ da agência em poucas horas. Embora dados tenham sido roubados, o FBI assegurou que nenhuma informação confidencial do governo foi exposta. Entre os materiais vazados estão imagens e documentos pessoais de Patel, além de e-mails e conversas. A ação foi uma retaliação às operações do FBI, que apreendeu domínios do grupo e ofereceu uma recompensa de até US$ 10 milhões por informações sobre seus membros. O FBI declarou que tomou medidas para mitigar os riscos associados à violação e continua a investigar o incidente.

Jonathan Spalletta, um homem de 36 anos de Maryland, foi acusado de roubar mais de US$ 53 milhões após invadir a exchange de criptomoedas Uranium Finance em duas ocasiões. A primeira invasão ocorreu em abril de 2021, quando ele explorou uma falha no código do contrato inteligente da exchange, drenando cerca de US$ 1,4 milhão do fundo de liquidez. Após a primeira invasão, Spalletta extorquiu a Uranium, exigindo quase US$ 386 mil como um falso ‘bug bounty’ em troca do retorno de parte dos fundos. Na segunda invasão, ele aproveitou um erro de codificação que permitiu retirar quase 90% dos ativos da exchange, totalizando aproximadamente US$ 53,3 milhões. Spalletta utilizou um mixer de criptomoedas para lavar os ativos roubados e gastou os lucros em itens de alto valor, como cartas de Magic: The Gathering e um conjunto completo de cartas Pokémon. Ele enfrenta até 30 anos de prisão por fraude e lavagem de dinheiro. Este caso destaca a vulnerabilidade das exchanges descentralizadas e a necessidade de medidas de segurança robustas para proteger os ativos dos usuários.

O popular cliente HTTP Axios foi alvo de um ataque de cadeia de suprimentos, resultando na publicação de versões comprometidas do pacote npm. As versões 1.14.1 e 0.30.4 introduziram uma dependência maliciosa chamada ‘plain-crypto-js’ na versão 4.2.1, que atua como um trojan de acesso remoto (RAT). O ataque foi realizado utilizando credenciais comprometidas do mantenedor principal do Axios, permitindo que os invasores contornassem o pipeline de CI/CD do projeto. O malware, uma vez instalado, se conecta a um servidor de comando e controle e executa scripts maliciosos específicos para macOS, Windows e Linux. Os usuários que instalarem essas versões devem reverter imediatamente para versões seguras e rotacionar suas credenciais. O ataque destaca a vulnerabilidade das dependências em projetos de código aberto e a necessidade de vigilância constante em ambientes de desenvolvimento. Com mais de 83 milhões de downloads semanais, o Axios é amplamente utilizado em aplicações JavaScript, tornando este incidente particularmente preocupante para desenvolvedores e empresas que dependem dessa tecnologia.

Três grupos de atividade de ameaças associados à China têm como alvo uma organização governamental no Sudeste Asiático, em uma operação complexa e bem financiada. As campanhas resultaram na utilização de diversas famílias de malware, incluindo HIUPAN, PUBLOAD, e FluffyGh0st, entre outros. Os pesquisadores da Palo Alto Networks identificaram três clusters de atividade: Mustang Panda, CL-STA-1048 e CL-STA-1049, que demonstram sobreposição em táticas e técnicas, sugerindo uma coordenação entre os grupos. A atividade do Mustang Panda, registrada entre junho e agosto de 2025, utilizou malware USB para implantar backdoors, enquanto o CL-STA-1049 fez uso de um novo loader DLL, o Hypnosis Loader, para instalar o FluffyGh0st RAT. A intenção dos atacantes parece ser a obtenção de acesso persistente a redes governamentais sensíveis, em vez de causar apenas interrupções. A convergência dessas atividades destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger informações críticas.

O artigo explora como as táticas de falsificação de Elmyr de Hory, um notório forjador de obras de arte, oferecem lições valiosas para a cibersegurança moderna. Nos dias atuais, os atacantes cibernéticos utilizam inteligência artificial (IA) para imitar comportamentos legítimos e se infiltrar em redes, tornando-se cada vez mais difíceis de detectar. Com 81% dos ataques sendo livres de malware, os invasores empregam técnicas como Living-off-the-Land (LotL), que utilizam ferramentas e credenciais legítimas para realizar suas atividades maliciosas.

Uma campanha de espionagem cibernética atribuída a um ator de ameaça vinculado à China tem se infiltrado em redes de telecomunicações para atacar redes governamentais. O grupo, conhecido como Red Menshen, tem um histórico de ataques a provedores de telecomunicações no Oriente Médio e na Ásia desde 2021. A Rapid7 descreveu os mecanismos de acesso como “algumas das células digitais mais furtivas” já encontradas. A campanha utiliza implantes em nível de kernel, backdoors passivos e ferramentas de coleta de credenciais, destacando um backdoor Linux chamado BPFDoor. Este malware é notável por não expor portas de escuta, ativando-se apenas quando recebe um pacote de ativação específico. Os ataques começam com a exploração de infraestruturas expostas, como dispositivos VPN e firewalls. Após obter acesso, são implantados frameworks de comando e controle para facilitar atividades pós-exploração. O BPFDoor permite monitorar protocolos nativos de telecomunicações, oferecendo visibilidade sobre o comportamento e a localização de assinantes. Uma variante recente do BPFDoor foi encontrada, que se camufla dentro do tráfego HTTPS, aumentando sua evasão. Essa evolução nas táticas de ataque destaca a necessidade de vigilância contínua em ambientes críticos de telecomunicações.

O FBI, em colaboração com o Departamento de Justiça dos EUA e autoridades internacionais, desativou quatro botnets conhecidas como Aisuru, KimWolf, JackSkid e Mossad, que impactaram mais de 3 milhões de dispositivos domésticos com ataques de Negação de Serviço Distribuído (DDoS). Esses ataques, considerados sem precedentes, conseguiram transferir até 30 terabits de dados por segundo, o que poderia paralisar a infraestrutura da internet. As botnets operavam sob um modelo de Crime como Serviço (CaaS), comercializando ferramentas ilegais para hackers, o que ampliou a escala dos ataques. A operação incluiu a apreensão de domínios e servidores, interrompendo a comunicação entre os hackers e os dispositivos infectados. Especialistas alertam que os danos financeiros decorrentes desses ataques podem ser significativos, especialmente na recuperação dos sistemas afetados.

Em 24 de março de 2026, o pacote LiteLLM foi alvo de um ataque à cadeia de suprimentos realizado pelo grupo TeamPCP. Duas versões maliciosas (1.82.7 e 1.82.8) foram publicadas no PyPi, executando automaticamente um payload para roubo de credenciais e permitindo a exfiltração de dados sensíveis, como tokens de API, dados em nuvem e chaves SSH. O LiteLLM, uma biblioteca Python de código aberto, é amplamente utilizada, com cerca de 97 milhões de downloads mensais, o que aumenta a gravidade do incidente. Estima-se que cerca de 500.000 credenciais já tenham sido comprometidas, e especialistas alertam que isso pode ser apenas o começo de um ataque maior. Ferramentas de segurança tradicionais falharam em detectar a exploração, e muitos desenvolvedores podem não estar cientes de que o LiteLLM é uma dependência em seus projetos. Em resposta, a Point Wild desenvolveu um scanner de IA chamado ‘who-touched-my-packages’ para detectar comportamentos maliciosos em pacotes de terceiros. O TeamPCP também é responsável por outros ataques recentes, incluindo a distribuição de malware via o scanner de vulnerabilidades Trivy e uma campanha que visa clusters Kubernetes. Os ataques à cadeia de suprimentos estão se tornando uma prioridade para hackers, pois permitem acesso a múltiplas organizações a partir de uma única fonte.

O Escritório de Relações Exteriores, Comunidade e Desenvolvimento do Reino Unido (FCDO) impôs sanções ao Xinbi, um mercado online em língua chinesa que comercializa dados roubados e equipamentos de internet via satélite, supostamente utilizado por redes de fraude no Sudeste Asiático. O Xinbi, que opera via Telegram, é acusado de ajudar atores de ameaças da Coreia do Norte a lavar criptomoedas obtidas em grandes roubos. Entre 2021 e 2025, o mercado processou mais de $19,9 bilhões, facilitando desde negociações não licenciadas até a venda de bancos de dados pessoais roubados. As sanções também atingem o #8 Park, um grande centro de fraudes em Camboja, e a Legend Innovation Co, operadora do local. O FCDO busca isolar o Xinbi do ecossistema legítimo de criptomoedas, dificultando suas operações financeiras. O governo britânico enfatiza que não tolerará abusos de direitos humanos associados a esses centros de fraude, que frequentemente coagem trabalhadores a participar de esquemas criminosos globais, como fraudes de investimento em criptomoedas. As sanções são parte de uma ação mais ampla contra redes criminosas que exploram pessoas vulneráveis, com o Reino Unido liderando esforços internacionais para combater o financiamento ilícito.

Uma operação conjunta entre a Europol e a polícia alemã resultou na desativação de 373 mil sites criminosos na dark web, todos operados por um homem de 35 anos na China. A investigação, conhecida como ‘Operação Alice’, começou no início de março e envolveu agências de 23 países. Os sites ofereciam uma variedade de serviços ilegais, incluindo conteúdos de abuso sexual infantil e fraudes financeiras, coletando criptomoedas de usuários. Estima-se que o suspeito tenha lucrado mais de € 345 mil com aproximadamente 10 mil clientes. Para dificultar o rastreamento, o criminoso criou milhares de sites temporários. Durante a operação, mais de 100 servidores e dispositivos eletrônicos foram apreendidos, e cerca de 440 usuários da plataforma ilegal foram identificados, com mais de 100 casos ainda sob investigação. Essa ação é considerada uma das maiores operações de combate ao crime cibernético na história recente.

Em setembro de 2025, a Anthropic revelou que um ator de ameaça patrocinado por um estado utilizou um agente de codificação de IA para conduzir uma campanha de espionagem cibernética autônoma contra 30 alvos globais. O agente de IA executou de 80% a 90% das operações táticas de forma independente, realizando reconhecimento, escrevendo códigos de exploração e tentando movimentação lateral em alta velocidade. O artigo destaca uma preocupação ainda maior: a possibilidade de um atacante comprometer um agente de IA já presente no ambiente de uma organização, que possui acesso e permissões legítimas para se mover pelos sistemas. O modelo tradicional de cadeia de ataque cibernético, desenvolvido pela Lockheed Martin, presume que os atacantes precisam conquistar cada passo de acesso, mas os agentes de IA não seguem esse padrão. Uma vez comprometido, um agente de IA pode fornecer ao atacante um mapa completo do ambiente, acesso amplo e uma justificativa legítima para movimentar dados, tornando a detecção extremamente difícil. O artigo também menciona a crise do OpenClaw, onde 12% das habilidades em seu mercado público eram maliciosas, evidenciando o risco de agentes de IA comprometidos. Para mitigar esses riscos, a Reco oferece uma solução que descobre e mapeia agentes de IA, avaliando suas permissões e ajudando a identificar comportamentos anômalos.

O grupo de hackers TeamPCP lançou um ataque à cadeia de suprimentos, comprometendo o popular pacote Python LiteLLM, que possui mais de 3,4 milhões de downloads diários. As versões maliciosas 1.82.7 e 1.82.8 foram publicadas no repositório PyPI, contendo um infostealer que coleta dados sensíveis de dispositivos. A pesquisa da Endor Labs revelou que o código malicioso é ativado quando o pacote é importado, permitindo a coleta de credenciais, chaves SSH, tokens de nuvem e segredos do Kubernetes. O ataque é semelhante a uma violação anterior do scanner de vulnerabilidades Trivy, também atribuída ao TeamPCP. A quantidade de dados exfiltrados é estimada em cerca de 500 mil, embora a confirmação independente desses números não tenha sido possível. As versões comprometidas foram removidas do PyPI, e a versão 1.82.6 é agora a mais recente e limpa. Organizações que utilizam o LiteLLM são aconselhadas a verificar instalações das versões afetadas e a rotacionar imediatamente todas as credenciais e segredos expostos.

Os hackers do TeamPCP, responsáveis pelo ataque à cadeia de suprimentos Trivy, continuam a direcionar suas ações contra a Aqua Security, comprometendo sua organização no GitHub e publicando imagens Docker maliciosas. O ataque, que ocorreu após a violação do pipeline de construção do GitHub do Trivy, resultou na entrega de malware voltado para roubo de informações. O Trivy, amplamente utilizado para detectar vulnerabilidades e configurações inadequadas, teve suas versões 0.69.5 e 0.69.6 publicadas sem correspondência nas liberações do GitHub, levantando suspeitas de comprometimento. A Aqua Security, após identificar a violação, lançou novas versões seguras do Trivy e contratou uma empresa de resposta a incidentes para investigar a situação. Apesar de novas atividades suspeitas terem sido detectadas, a empresa afirma que o Trivy não foi impactado. A análise sugere que o acesso dos hackers se deu por meio de uma conta de serviço com um token de acesso pessoal, que não possui proteção de autenticação multifatorial. A situação destaca a importância da segurança na cadeia de suprimentos e a necessidade de vigilância contínua em ambientes de desenvolvimento.

Pesquisadores de cibersegurança descobriram artefatos maliciosos distribuídos via Docker Hub após um ataque à cadeia de suprimentos do Trivy, um popular scanner de vulnerabilidades de código aberto mantido pela Aqua Security. As versões comprometidas 0.69.4, 0.69.5 e 0.69.6 foram removidas do repositório, sendo que a última versão limpa conhecida é a 0.69.3. O ataque permitiu que os invasores utilizassem credenciais comprometidas para inserir um ladrão de credenciais em versões trojanizadas do Trivy e em duas ações do GitHub relacionadas. Além disso, os atacantes conseguiram comprometer pacotes npm, distribuindo um worm autossustentável chamado CanisterWorm. O grupo responsável, identificado como TeamPCP, também defaceou repositórios internos da Aqua Security no GitHub, expondo-os publicamente. A análise forense sugere que um token de conta de serviço comprometido foi o vetor do ataque. A crescente sofisticação dos atacantes é evidenciada pela introdução de um novo malware que apaga clusters Kubernetes, especialmente em sistemas iranianos. Diante da gravidade do incidente, é crucial que as organizações revisem o uso do Trivy em seus pipelines de CI/CD e evitem as versões afetadas.

O Salt Typhoon é um grupo de hackers associado ao governo chinês, que ganhou notoriedade por suas invasões a infraestruturas críticas, incluindo uma recente violação da rede do FBI. Este grupo, que surgiu em 2020, se destaca por sua abordagem discreta e técnica, utilizando ataques indiretos através de roteadores de provedores de internet, o que dificulta a detecção por sistemas de segurança. Em 2024, o Salt Typhoon invadiu sistemas de telecomunicações como AT&T e Verizon, obtendo acesso a informações sensíveis sobre investigações governamentais. A violação do FBI permitiu que os hackers acessassem dados confidenciais, incluindo mandados da Lei de Vigilância de Inteligência Estrangeira (FISA), possibilitando a eles monitorar e até alterar informações sobre alvos de vigilância. Este incidente evidencia como a ciberespionagem pode impactar a segurança nacional e a integridade de informações estratégicas. A atuação do Salt Typhoon ressalta a necessidade de vigilância constante e de medidas de segurança robustas para proteger dados sensíveis em um mundo cada vez mais digital.

A Operação Alice, uma ação internacional de combate ao cibercrime, resultou no fechamento de mais de 373 mil sites na dark web que ofereciam pacotes fraudulentos de material de abuso sexual infantil (CSAM). A investigação, liderada pela Alemanha e apoiada pela Europol, começou em meados de 2021 e focou em uma plataforma chamada ‘Alice with Violence CP’, operada por um suspeito de 35 anos na China. Os sites enganavam os usuários ao mostrar prévias de pacotes de CSAM, cobrando entre 17 e 250 euros em Bitcoin, mas nunca entregando o material prometido. Aproximadamente 10 mil usuários foram enganados, resultando em um prejuízo de cerca de 400 mil dólares para os operadores. Embora os usuários não tenham recebido o material ilegal, suas tentativas de compra demonstram intenção criminosa, o que pode levar a processos em várias jurisdições. A infraestrutura da rede de fraudes incluía 287 servidores, dos quais 105 estavam na Alemanha, todos agora apreendidos. As autoridades alemãs emitiram um mandado de prisão internacional para o operador chinês. A Europol também destacou suas iniciativas de proteção infantil, como a plataforma Help4U e a campanha ‘Stop Child Abuse – Trace an Object’.

As tensões geopolíticas estão se refletindo cada vez mais no ciberespaço, com ataques motivados pela desestabilização em vez de lucro financeiro. Grupos de atores estatais, como os iranianos, têm utilizado malware destrutivo, conhecido como wiper, para causar caos operacional em organizações e infraestruturas críticas. Um exemplo recente é o ataque do grupo Handala à Stryker, que resultou na destruição de milhares de dispositivos e na interrupção das operações em 79 países. Para os líderes de segurança, a questão não é apenas como prevenir intrusões, mas como sobreviver a elas. O artigo apresenta uma estratégia em cinco etapas para os CISOs, focando na contenção e no controle interno. As etapas incluem: impedir o roubo de credenciais, prevenir o movimento lateral através de portas administrativas, restringir contas privilegiadas, detectar caminhos de acesso não autorizados e conter atividades destrutivas rapidamente. A eficácia dessas medidas depende da capacidade de limitar o movimento dos atacantes dentro da rede, uma vez que a maioria dos ataques destrutivos não requer malware sofisticado, mas sim acesso irrestrito.

Autoridades dos Estados Unidos, Alemanha e Canadá realizaram uma operação conjunta para desmantelar a infraestrutura de Comando e Controle (C2) utilizada pelas botnets Aisuru, KimWolf, JackSkid e Mossad, que infectavam dispositivos da Internet das Coisas (IoT). Essa ação visou servidores virtuais, domínios da internet e outras infraestruturas que possibilitaram a realização de centenas de milhares de ataques de negação de serviço distribuído (DDoS) em todo o mundo, incluindo endereços IP pertencentes à rede de informações do Departamento de Defesa dos EUA. A botnet Aisuru, por exemplo, estabeleceu um recorde em dezembro com um ataque DDoS que atingiu 31,4 Tbps e 200 milhões de requisições por segundo, afetando principalmente empresas do setor de telecomunicações. As investigações revelaram que essas botnets infectaram mais de três milhões de dispositivos IoT, como câmeras de segurança e roteadores WiFi, muitos localizados nos EUA. Os operadores das botnets vendiam acesso a outros cibercriminosos, permitindo ataques que resultaram em perdas financeiras significativas. A operação conjunta teve como objetivo interromper as comunicações associadas a essas botnets e prevenir novas infecções.

O Departamento de Justiça dos EUA anunciou a desarticulação de infraestruturas de comando e controle (C2) de várias botnets de Internet das Coisas (IoT), incluindo AISURU, Kimwolf, JackSkid e Mossad. Essa operação, que contou com a colaboração de autoridades do Canadá e da Alemanha, resultou na interrupção de ataques de negação de serviço distribuído (DDoS) que alcançaram picos de até 30 Terabits por segundo. As botnets, que infectaram mais de 3 milhões de dispositivos em todo o mundo, foram responsáveis por ataques massivos, como o de 31,4 Tbps em novembro de 2025. O Kimwolf, em particular, destacou-se por explorar redes proxy residenciais, permitindo acesso a dispositivos tradicionalmente protegidos. A operação envolveu empresas de tecnologia como Amazon Web Services e Cloudflare, que auxiliaram na investigação e mitigação dos ataques. Embora a desarticulação tenha sido um avanço significativo, especialistas alertam que a resiliência das botnets e a proliferação de novas variantes continuam a representar um risco elevado para a segurança cibernética global.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para empresas americanas após um ataque cibernético devastador ao grupo Stryker, onde hackers iranianos do coletivo Handala comprometeram uma conta administrativa do Microsoft Intune. Os atacantes roubaram 50 terabytes de dados e apagaram quase 80 mil dispositivos da empresa em poucas horas, forçando-a a operar manualmente. A CISA recomenda que as empresas adotem práticas de segurança mais rigorosas, como o princípio do menor privilégio para funções administrativas, autenticação multifator resistente a phishing e aprovações de múltiplos administradores para mudanças sensíveis. O ataque é visto como uma retaliação a ações dos EUA e Israel contra o Irã, destacando a importância de fortalecer a segurança cibernética em um cenário de ameaças emergentes. As recomendações da CISA são aplicáveis não apenas ao Intune, mas a outros softwares de gerenciamento de endpoints, visando prevenir incidentes semelhantes.

A Bitrefill, uma plataforma de e-commerce que permite a compra de cartões-presente com criptomoedas, sofreu um ataque cibernético no início do mês, supostamente perpetrado pelo grupo de hackers norte-coreano Bluenoroff. Durante a investigação, a empresa identificou semelhanças com ataques anteriores atribuídos a esse grupo, incluindo o uso de malware específico e endereços IP e e-mails reutilizados. O ataque foi originado a partir de um laptop comprometido de um funcionário, onde os atacantes conseguiram roubar credenciais e acessar informações sensíveis, incluindo partes da infraestrutura da Bitrefill e algumas carteiras de criptomoedas. Aproximadamente 18.500 registros de compras, que continham endereços de e-mail e IP de clientes, foram expostos, embora a empresa tenha assegurado que os saldos dos usuários não foram afetados. A Bitrefill, que opera em 150 países e suporta mais de 600 operadores móveis, está implementando medidas de segurança adicionais e revisando seus controles de acesso. Apesar da gravidade do ataque, a empresa conseguiu minimizar as perdas, que serão cobertas por seu capital. A Bitrefill acredita que os atacantes estavam mais interessados em criptomoedas e no estoque de cartões-presente do que nas informações dos clientes.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para organizações americanas sobre a necessidade de fortalecer as configurações do Microsoft Intune, após um ataque cibernético que comprometeu os sistemas da Stryker Corporation, uma gigante da tecnologia médica. O ataque, reivindicado pelo grupo hacktivista Handala, resultou no roubo de 50 terabytes de dados e na utilização do comando de limpeza do Intune para apagar quase 80 mil dispositivos. Os hackers conseguiram criar uma nova conta de Administrador Global após comprometer uma conta de administrador existente. A CISA recomenda que as organizações adotem uma abordagem de menor privilégio para funções administrativas, implementem autenticação multifator (MFA) e exijam aprovação de múltiplos administradores para ações sensíveis, como a limpeza de dispositivos. Essas práticas visam aumentar a resiliência das organizações contra ataques semelhantes. O grupo Handala, vinculado ao Irã, é conhecido por suas operações de hacktivismo e por vazar dados sensíveis de sistemas comprometidos. O alerta da CISA destaca a importância de medidas proativas para proteger ambientes de gerenciamento de endpoints.

O FBI confiscou dois domínios utilizados pelo grupo hacktivista Handala, após um ataque cibernético devastador à gigante de tecnologia médica Stryker, que resultou na exclusão de aproximadamente 80.000 dispositivos. Os sites handala-redwanted[.]to e handala-hack[.]to agora exibem um aviso de apreensão, indicando que a ação foi realizada com um mandado emitido pelo Tribunal Distrital de Maryland. O aviso menciona que os domínios foram usados para facilitar atividades cibernéticas maliciosas em coordenação com um ator estatal estrangeiro. O Handala, vinculado ao Irã, é conhecido por realizar ataques direcionados a organizações israelenses, utilizando malware destrutivo. Após o ataque à Stryker, que envolveu a criação de uma conta de administrador global e o envio de um comando de ‘wipe’ pelo Microsoft Intune, a empresa e a CISA emitiram orientações para reforçar a segurança dos domínios Windows e do Intune. O Handala reconheceu a apreensão e afirmou que está trabalhando na criação de novas plataformas digitais para continuar suas operações.

A Polícia Federal (PF) deflagrou a ‘Operação Cofre Digital’ para investigar um grupo criminoso que desviou R$ 710 milhões por meio de ciberataques e lavagem de dinheiro. O esquema envolvia a violação da segurança de uma empresa de tecnologia que atuava como intermediária entre instituições financeiras e sistemas de pagamento instantâneo, como o Pix. Os criminosos utilizaram empresas de fachada para ocultar a origem dos recursos, convertendo o dinheiro roubado em criptomoedas, o que dificultou a detecção das atividades ilícitas. A operação, realizada em conjunto com o Ministério Público do Estado de São Paulo (MPSP), resultou na prisão temporária de três suspeitos e na busca e apreensão de bens em São Paulo e Paraná. Além disso, a PF bloqueou R$ 28 milhões em ativos de 32 pessoas e empresas investigadas. O ataque ocorreu em agosto de 2025 e destaca a vulnerabilidade das plataformas digitais que conectam serviços financeiros, evidenciando a necessidade de medidas de segurança mais robustas para proteger dados e transações financeiras.

Na semana passada, a Stryker, gigante da tecnologia médica, sofreu um ciberataque que afetou seu ambiente interno da Microsoft, resultando na remoção remota de dados de cerca de 80 mil dispositivos de funcionários. A empresa afirmou que todos os seus dispositivos médicos permanecem seguros, mas os sistemas de pedidos eletrônicos estão fora do ar, obrigando os clientes a realizarem pedidos manualmente. O ataque, reivindicado pelo grupo hacktivista Handala, supostamente ligado ao Irã, não envolveu ransomware nem a instalação de malware, embora os atacantes tenham alegado ter apagado mais de 200 mil sistemas e roubado 50 terabytes de dados. A investigação está sendo conduzida pela equipe DART da Microsoft, em colaboração com especialistas em cibersegurança da Palo Alto Unit 42. A Stryker está focada na recuperação de seus sistemas e na normalização do fluxo de pedidos e entregas. A empresa assegura que todos os produtos em seu portfólio global, incluindo tecnologias conectadas e de salvamento, estão seguros para uso.