Ataque

Agências de Cibersegurança alertam sobre hackers russos atacando roteadores

Agências de cibersegurança dos Estados Unidos e de oito outros países emitiram um alerta conjunto sobre hackers estatais russos que estão atacando roteadores vulneráveis e mal configurados para infiltrar redes de infraestrutura crítica. O aviso, coautorado pela NSA, FBI e CISA, entre outras agências, atribui os ataques ao Centro 16 do Serviço Federal de Segurança da Rússia (FSB). Este grupo de hackers, conhecido por vários nomes como Berserk Bear e Energetic Bear, utiliza varreduras de SNMP para localizar roteadores que aceitam senhas padrão e, em seguida, executa comandos para copiar arquivos de configuração e exfiltrá-los. Além disso, o FBI já havia alertado sobre a exploração de uma vulnerabilidade crítica no recurso Smart Install de dispositivos Cisco. Os setores mais vulneráveis incluem energia, comunicações, saúde e serviços governamentais. As agências recomendam a atualização para SNMPv3, a desativação do Smart Install e a aplicação de senhas fortes. Este alerta segue uma operação internacional que desmantelou uma campanha de hackers que infectou 18.000 roteadores em 120 países, alterando configurações de DNS para roubar credenciais do Microsoft 365.

União Europeia e Reino Unido sancionam hackers russos

A União Europeia e o Reino Unido impuseram sanções a diversos indivíduos e entidades russas, acusando o país de coordenar uma rede de grupos de hackers responsáveis por ataques cibernéticos na Europa. As sanções incluem nove indivíduos e quatro entidades, entre eles oficiais da inteligência militar russa (GRU) e cibercriminosos. O Reino Unido sancionou 24 indivíduos, incluindo figuras seniores do GRU, que supostamente dirigiram operações cibernéticas. Além disso, membros da empresa IMPULS, acusada de recrutar hackers, e indivíduos ligados à operação de malware Lumma Stealer, que afetou mais de 2.100 vítimas, também foram sancionados. O Conselho da UE identificou o 16º Centro do Serviço Federal de Segurança da Rússia (FSB) como responsável por controlar grupos de ameaças cibernéticas, incluindo o notório grupo de hackers Turla, que tem atacado redes governamentais e infraestrutura crítica em vários países europeus desde 2010. Recentemente, um ataque cibernético em dezembro atingiu a infraestrutura elétrica da Polônia, embora não tenha conseguido interromper o fornecimento de energia. As sanções são uma resposta a atividades maliciosas que visam desestabilizar a UE e seus parceiros internacionais.

Ameaça de cibersegurança invasão com script PowerShell e IA

Pesquisadores de cibersegurança identificaram uma intrusão em que um ator desconhecido utilizou um script PowerShell codificado para enumeração do Active Directory (AD). O ataque, ocorrido em junho de 2026, envolveu o uso de credenciais pré-comprometidas para acessar um servidor Windows e mapear usuários, computadores e domínios. O script, descrito como ‘altamente agressivo’, empregou uma abordagem de cinco etapas para coletar informações do AD, culminando na criação de um relatório HTML sobre a tentativa de enumeração. Além disso, o atacante utilizou ferramentas legítimas como s5cmd e SharpShares para buscar repositórios de dados acessíveis. A pesquisa sugere que a utilização de inteligência artificial (IA) por parte dos atacantes está facilitando a execução de ataques complexos, permitindo que indivíduos menos experientes realizem ações de cibercrime com maior eficácia. A velocidade e a escala dos ataques estão aumentando, tornando mais difícil para as defesas se manterem atualizadas. Este incidente destaca a necessidade urgente de que as organizações revisem suas práticas de segurança e implementem medidas proativas para proteger seus ambientes de TI.

Atividade de espionagem cibernética contra a polícia do Paquistão

Pesquisadores de cibersegurança revelaram uma série de atividades de espionagem cibernética direcionadas a várias organizações de aplicação da lei no Paquistão, supostamente realizadas por atores de ameaças alinhados à China e à Índia entre fevereiro de 2024 e abril de 2026. O foco principal foi a Polícia de Balochistão, onde servidores que hospedam aplicações web gerenciando dados policiais e de cidadãos, como registros criminais e biométricos, foram comprometidos. Um dos aplicativos afetados, o Sistema de Gestão de Reclamações (CMS), foi utilizado para implantar um malware disfarçado de atualização do portal. Além da Polícia de Balochistão, outras organizações, como a Polícia de Khyber Pakhtunkhwa e a Polícia de Islamabad, também foram alvo. Quatro grupos de ameaças distintos foram identificados, utilizando famílias de malware como PlugX, ShadowPad, Cobalt Strike e Remcos RAT. A atividade é notável por envolver tanto aliados quanto adversários do Paquistão, indicando um alto valor estratégico das informações coletadas. A convergência de múltiplos atores de espionagem cibernética contra instituições de segurança de um único estado destaca a importância dessas organizações na segurança interna do país.

Búlgaro é acusado de roubar criptomoeda enquanto estava preso

Rossen G. Iossifov, um cidadão búlgaro de 53 anos, foi acusado de roubar $290.000 em criptomoedas que haviam sido apreendidas pelo governo dos EUA, enquanto cumpria uma pena de 121 meses de prisão por lavagem de dinheiro. Iossifov, que já havia sido condenado em 2021 por operar uma exchange de criptomoedas chamada RG Coins, supostamente conspirou com outros para mover os fundos de uma conta apreendida, utilizando várias exchanges e serviços de mistura para evitar a detecção. O agente especial do Serviço Secreto dos EUA, Robert Holman, afirmou que a tentativa de Iossifov de desviar e lavar fundos legalmente apreendidos é um desafio direto ao sistema de justiça e uma desconsideração pelos direitos das vítimas. Iossifov já havia lavado quase $5 milhões para membros de uma rede de fraude que enganou pelo menos 900 americanos, utilizando anúncios falsos para vender produtos inexistentes. Ele foi condenado a pagar mais de $2,6 milhões em restituição às vítimas e, se condenado pelas novas acusações, pode enfrentar até 25 anos de prisão.

Projeto OpenMandriva Linux sofre tentativa de sabotagem interna

O projeto OpenMandriva Linux, uma distribuição independente de Linux, foi alvo de uma tentativa de sabotagem interna após desavenças entre colaboradores. O incidente envolveu a exclusão de repositórios no GitHub e a publicação de um pacote vazio que poderia prejudicar os sistemas dos usuários. A situação se agravou após comportamentos abusivos de um colaborador, levando a uma série de ações destrutivas por parte de Davide Beatrici, um desenvolvedor que tinha privilégios administrativos. Beatrici deletou partes de um repositório que estava em desenvolvimento há quase uma década e publicou um pacote que obsoletou componentes importantes dos ambientes de desktop Gnome e Cosmic. A equipe do OpenMandriva está atualmente restaurando os repositórios e realizando uma auditoria completa do sistema para identificar outras mudanças não autorizadas. Beatrici, por sua vez, negou as alegações de sabotagem, afirmando que suas ações foram motivadas por desentendimentos sobre a direção do projeto. Apesar da gravidade das ações, a equipe do OpenMandriva decidiu não tomar medidas legais contra Beatrici.

Campanhas de ciberataques visam organizações no GitHub

Os Datadog Security Labs alertaram sobre várias campanhas de cibersegurança que estão explorando a API do GitHub para enumerar organizações corporativas, repositórios e contas de usuários. Os atacantes utilizam ferramentas automatizadas de scraping, contas ‘fantasmas’ e tokens de acesso pessoal (PATs) comprometidos para coletar informações, principalmente de dados públicos. No entanto, em alguns casos, esses ataques conseguiram clonar repositórios privados. As contas ‘fantasmas’, criadas há anos e deixadas inativas, são utilizadas para evitar detecções. A atividade dos atacantes se disfarça como uso normal da API, permitindo que eles acessem informações como repositórios públicos, listas de seguidores e gists. Embora a maioria das requisições seja inofensiva isoladamente, a coordenação entre as contas e a possibilidade de clonagem de repositórios privados levantam preocupações significativas sobre a segurança das informações corporativas. As empresas devem estar atentas a essas atividades e implementar medidas de segurança para proteger seus dados no GitHub.

Ataques impulsionados por IA como se proteger com Zero Trust

O artigo da Hacker News destaca como a inteligência artificial (IA) está acelerando a velocidade dos ataques cibernéticos, permitindo que invasores realizem ações que antes levavam dias em apenas minutos. Utilizando modelos como o Mythos, os atacantes conseguem criar iscas personalizadas, selecionar alvos e testar suas estratégias rapidamente, o que coloca as equipes de segurança em desvantagem. Para enfrentar essa nova realidade, o artigo sugere a adoção de uma abordagem de Zero Trust, que visa restringir o acesso e a movimentação lateral dentro da rede. As três principais recomendações incluem: reduzir o que os atacantes podem acessar, eliminando pontos de entrada expostos e aplicando o princípio do menor privilégio; impedir a movimentação lateral, permitindo apenas conexões necessárias; e detectar ataques precocemente, utilizando ’tripwires’ que acionam contenções automáticas antes que um incidente se concretize. O webinar gratuito oferecido pela Zscaler promete fornecer um guia prático para implementar essas estratégias, ajudando as organizações a se prepararem para ataques impulsionados por IA.

HalluSquatting nova ameaça de botnet via assistentes de IA

Um novo tipo de ataque cibernético, denominado HalluSquatting, explora as falhas de assistentes de programação baseados em inteligência artificial (IA) que frequentemente geram informações fictícias. Pesquisadores descobriram que, ao registrar nomes de projetos que a IA tende a inventar, os atacantes podem induzir o assistente a buscar e executar códigos maliciosos. O ataque combina duas características da IA: a ‘alucinação’, onde a IA cria informações falsas, e a ‘injeção de prompt’, que manipula a IA para seguir instruções do atacante. O processo começa com o atacante identificando um recurso popular, repetindo solicitações à IA até que ela produza um nome falso, que é então registrado. Quando um usuário legítimo solicita o recurso, a IA pode acabar puxando a versão maliciosa. Este método é particularmente perigoso, pois não requer senhas ou exploração de rede, tornando-o difícil de detectar por firewalls. O estudo, realizado por pesquisadores de universidades israelenses, destaca a necessidade urgente de melhorias na segurança desses assistentes, como a verificação de nomes antes da execução de comandos. A pesquisa sugere que a combinação de nomes inventados, marketplaces abertos e a capacidade da IA de executar comandos cria um novo vetor de ataque que pode afetar uma ampla gama de dispositivos e sistemas operacionais.

Polícia da Espanha prende suspeito de hacktivismo pró-Rússia

A Polícia Nacional da Espanha prendeu um homem suspeito de ser membro ativo do grupo hacktivista pró-Rússia conhecido como CyberArmy of Russia Reborn (CARR) e Z-Pentest. Esses grupos têm sido associados a vários ataques cibernéticos direcionados a infraestruturas críticas nos Estados Unidos e na Europa. Um dos ataques mais preocupantes, revelado em uma acusação recente, visou instalações de água e processamento de alimentos, colocando em risco a segurança pública. O governo dos EUA já impôs sanções a outros membros do CARR, que também foram implicados em ataques a sistemas SCADA de empresas de energia. O suspeito, residente em Palência, teria fornecido apoio logístico a um hacker ucraniano do CARR e tentado facilitar sua fuga para a Rússia. A investigação, que começou em agosto de 2025 com informações do FBI, resultou em uma operação policial em março de 2026, onde foram apreendidos dispositivos de armazenamento de criptomoedas e computadores. Embora ainda não haja acusações formais, o homem é investigado por associação a organização terrorista e danos computacionais.

Hacker ligado a roubo de dados de joalheria de luxo nos EUA é preso

Um hacker, identificado como Peter Stokes, de 19 anos, foi preso e acusado de envolvimento em um ataque cibernético a uma joalheria de luxo nos Estados Unidos. O ataque ocorreu entre 12 e 15 de maio de 2025, quando os invasores se passaram por funcionários da empresa e conseguiram redefinir senhas e acessar contas críticas. Utilizando ferramentas como ngrok e Teleport, os hackers transferiram pelo menos 77 gigabytes de dados para armazenamento em nuvem. Embora tenham tentado implantar ransomware, a equipe de segurança da joalheria conseguiu bloquear a ação. O ataque resultou em um custo de aproximadamente 2 milhões de dólares para a empresa. A investigação levou à identificação de Stokes através de um identificador de dispositivo da Microsoft, que estava ligado à conta usada para o ataque. Apesar da prisão, especialistas alertam que o grupo Scattered Spider, do qual Stokes faz parte, é uma rede descentralizada e que a captura de um único membro não é suficiente para mitigar a ameaça. O caso destaca a importância de processos rigorosos de verificação de identidade em help desks e a adoção de autenticação multifatorial resistente a phishing.

Repositório GitHub limpo pode enganar Claude Code e abrir shell reverso

Pesquisadores da equipe 0din da Mozilla demonstraram como o Claude Code, uma ferramenta de inteligência artificial, pode ser manipulado para abrir um shell reverso oculto em dispositivos de desenvolvedores. O ataque não exigiu código malicioso no repositório clonado, pois todos os arquivos visíveis passaram por uma revisão normal sem levantar suspeitas. A exploração começou com um arquivo Markdown aparentemente inofensivo que instruía o usuário a executar um comando de configuração. Ao seguir essa instrução, o Claude Code executou um script oculto que consultou um registro DNS controlado pelo atacante, resultando na execução silenciosa de um comando de shell reverso. Esse incidente destaca a falha dos scanners de segurança tradicionais, que não detectaram nada suspeito, já que cada etapa parecia rotineira. Os pesquisadores alertam que desenvolvedores devem ser cautelosos ao executar scripts de repositórios desconhecidos, pois um único link compartilhado pode comprometer a segurança de todos que o acessam. A situação sugere que ferramentas de IA precisam de salvaguardas mais robustas para evitar ataques indiretos semelhantes.

Ataques a contas Microsoft 365 81 milhões de tentativas de login

Um ataque de password-spraying comprometeu contas do Microsoft 365, resultando em mais de 81 milhões de tentativas de login em um período de duas semanas. Os hackers utilizaram credenciais roubadas e exploraram políticas de acesso condicional mal configuradas para contornar a autenticação multifator (MFA). A campanha, observada pela empresa de cibersegurança Huntress, afetou 78 contas Microsoft em 64 organizações entre 12 e 26 de junho de 2026. Muitas das empresas visadas não tinham MFA implementada ou a aplicavam de forma inadequada, permitindo que os atacantes enviassem senhas diretamente ao endpoint de token sem um prompt de MFA interativo. Para mitigar esses riscos, recomenda-se que as organizações implementem MFA para todos os usuários e aplicativos em nuvem, restrinjam o uso do Azure CLI e respondam com base na validade das credenciais em vez do volume de tentativas de login.

Cidadão dual dos EUA e Estônia extraditado por cibercrime

Peter Stokes, um cidadão dual dos Estados Unidos e da Estônia, foi extraditado para os EUA após ser acusado de ser membro do coletivo de hackers Scattered Spider. O jovem de 19 anos foi preso na Finlândia enquanto tentava embarcar para o Japão e é acusado de extorquir milhões de dólares de várias empresas de renome mundial. Documentos judiciais revelam que Stokes esteve envolvido em pelo menos quatro invasões do Scattered Spider, incluindo um ataque em março de 2023 a uma plataforma de comunicação online, quando tinha apenas 16 anos. Durante um ataque em maio de 2025, os hackers se passaram por funcionários de uma empresa de itens de luxo, solicitando um resgate de 8 milhões de dólares, embora a empresa tenha se recusado a pagar, resultando em perdas de mais de 2 milhões de dólares devido a interrupções operacionais. O grupo Scattered Spider, que surgiu em 2022, é conhecido por usar engenharia social e ataques de phishing para roubar credenciais e documentos sensíveis. O FBI informou que o grupo já esteve envolvido em mais de 100 intrusões, resultando em pagamentos de resgate superiores a 100 milhões de dólares.

Adolescente extraditado por envolvimento em grupo de hackers nos EUA

Um adolescente de 19 anos, Peter Stokes, foi extraditado da Finlândia para os Estados Unidos, onde enfrenta acusações de conspiração, invasão de computadores e fraude, conforme anunciado pelo Departamento de Justiça dos EUA. Stokes, que possui cidadania dupla dos EUA e Estônia, foi preso em abril sob um Aviso Vermelho da Interpol e compareceu a um tribunal federal em Chicago no dia 30 de junho, onde foi mantido sob custódia. Ele é acusado de fazer parte do grupo de hackers Scattered Spider, conhecido por ataques a cassinos, varejistas e companhias aéreas. O grupo utiliza engenharia social para obter acesso a sistemas, enganando funcionários de suporte técnico para que resetem senhas. Em um dos ataques, Stokes e outros invadiram uma joalheria de luxo, roubaram dados e exigiram um resgate de cerca de 8 milhões de dólares em criptomoeda. O caso de Stokes é parte de uma série de prisões relacionadas ao grupo, que já está associado a mais de 100 intrusões em redes, resultando em pagamentos de resgate superiores a 100 milhões de dólares. Especialistas em segurança alertam que a vulnerabilidade principal reside nos serviços de suporte técnico, e recomendações incluem a implementação de verificações de identidade mais rigorosas.

Campanha de ataque a senhas atinge 81 milhões de tentativas em Microsoft 365

Uma intensa campanha de ataque de password-spraying direcionada a ambientes Microsoft 365 resultou em mais de 81 milhões de tentativas de login em um período de duas semanas. Os atacantes tentaram autenticar-se utilizando combinações de nomes de usuário e senhas que foram expostas em brechas anteriores. O ataque foi realizado através da interface de linha de comando do Azure da Microsoft, que permite a administração de recursos em nuvem. Ao encontrar uma combinação válida, os hackers conseguiram autenticar-se usando o mecanismo OAuth ROPC (Resource Owner Password Credentials), contornando a autenticação multifator (MFA) em muitos casos devido a políticas de Acesso Condicional inseguras. A empresa de cibersegurança Huntress monitorou a campanha entre 12 e 26 de junho, confirmando que 78 contas Microsoft foram comprometidas em 64 organizações. Apesar de muitas dessas empresas terem implementado MFA, a configuração não cobria o fluxo específico utilizado pelos atacantes. A Huntress observou um aumento de mais de 155 vezes nos ataques de password-spraying, com uma média de 1.964 tentativas de login falhadas por inquilino a cada mês. O ataque teve seu pico em 22 de junho e, embora a origem do ataque seja desconhecida, foi identificado um intervalo IPv6 pertencente à LSHIY LLC.

DHS investiga ataque cibernético à rede de informações de segurança

O Departamento de Segurança Interna dos EUA (DHS) está investigando um ataque cibernético que comprometeu a Homeland Security Information Network (HSIN), uma plataforma sensível de compartilhamento de informações utilizada por parceiros do governo e do setor privado. O ataque, realizado por um ator de ameaça desconhecido, ocorreu entre o final de maio e início de junho de 2023. A investigação ainda não atribuiu a responsabilidade a nenhum ator específico ou governo estrangeiro, e não está claro se documentos foram roubados do sistema. Os invasores miraram servidores do HSIN e um sistema SharePoint usado para colaboração. O HSIN é crucial para a comunicação em tempo real e a gestão de incidentes, especialmente em um momento em que os EUA estão supervisionando a segurança de eventos como a Copa do Mundo. O DHS confirmou que sistemas classificados não foram afetados e que ações imediatas foram tomadas para isolar os sistemas comprometidos e mitigar a vulnerabilidade. Este incidente segue um problema anterior em 2023, onde uma configuração inadequada expôs dados restritos dentro do HSIN-Intel, a seção de inteligência da plataforma.

Ataque automatizado de spray de senhas compromete contas do Azure

Pesquisadores de cibersegurança alertaram sobre um ataque automatizado em larga escala, conhecido como ‘password spray’, direcionado à interface de linha de comando (CLI) do Azure da Microsoft. Entre 12 e 26 de junho de 2026, o atacante realizou mais de 81 milhões de tentativas de login, comprometendo pelo menos 78 contas de Microsoft em 64 organizações. O ataque se aproveitou de senhas comuns, utilizando uma técnica chamada Resource Owner Password Credentials (ROPC), que foi descontinuada no OAuth 2.1 e é incompatível com a autenticação multifator (MFA). Apesar de muitas das organizações afetadas terem políticas de Acesso Condicional (CAP) ativas, o uso do ROPC permitiu que os atacantes contornassem essas proteções. A maioria das contas comprometidas estava associada a empresas que não aplicavam MFA de forma abrangente, revelando falhas na configuração das políticas de segurança. Para mitigar esses riscos, recomenda-se que as organizações exijam MFA para todos os usuários e aplicativos em nuvem, além de restringir o acesso à CLI do Azure para usuários não administrativos.

Novo ataque de injeção de prompt pode comprometer navegadores de IA

Um novo ataque de injeção de prompt, chamado ‘BioShocking’, foi identificado por pesquisadores da LayerX, que pode enganar navegadores baseados em IA, levando-os a tratar ações arriscadas do mundo real como parte de um cenário fictício. O ataque foi testado com sucesso em seis navegadores populares, incluindo o ChatGPT Atlas e o Claude Chrome plugin, com apenas um deles implementando uma correção após o relatório. O conceito de prova (PoC) envolveu um jogo de quebra-cabeça temático de BioShock, onde respostas erradas eram recompensadas, ensinando ao agente de controle do navegador que as regras normais não se aplicavam. Na etapa final do jogo, o agente foi instruído a acessar um repositório do GitHub e compartilhar dados sensíveis, como senhas. Os pesquisadores descobriram que os agentes de IA não conseguiam distinguir entre operações sensíveis do mundo real e cenários fictícios, resultando em falhas na identificação de ações que violavam suas diretrizes de segurança. A LayerX recomenda que os fornecedores implementem confirmações explícitas de ações sensíveis e verificações de contexto mais rigorosas. Os usuários também devem restringir o acesso de navegadores de IA a serviços sensíveis.

Pesquisas da Microsoft revelam riscos de agentes de IA na segurança

Uma nova pesquisa da Microsoft destaca como atacantes podem sequestrar agentes de inteligência artificial (IA) que atuam em nome dos usuários, utilizando descrições de ferramentas envenenadas para transferir dados corporativos para fora da empresa. O estudo, realizado pela equipe de resposta a incidentes da Microsoft, revela que esses agentes, como o Microsoft 365 Copilot, podem executar ações como enviar e-mails e acessar sistemas empresariais, tornando-se alvos mais vulneráveis. A técnica de injeção de comandos permite que um agente siga ordens ocultas disfarçadas em descrições de ferramentas, sem disparar alarmes, pois cada ação parece legítima. A pesquisa sugere que as empresas tratem cada ferramenta conectada como parte de sua cadeia de suprimentos, revisando descrições de ferramentas e implementando aprovações humanas para ações críticas. Com a crescente adoção de IA nas empresas, a segurança desses agentes se torna uma preocupação central, especialmente considerando que ataques semelhantes já foram documentados e têm uma taxa de sucesso alarmante.

Nova técnica de ataque em repositórios do GitHub pode comprometer desenvolvedores

Pesquisadores da Mozilla, através da plataforma 0DIN, revelaram uma nova técnica de ataque que pode comprometer desenvolvedores ao clonar repositórios aparentemente inofensivos no GitHub. O ataque ocorre sem a necessidade de código malicioso explícito, explorando um fluxo de execução que engana tanto ferramentas de segurança quanto usuários. A técnica envolve três componentes principais: um repositório limpo com instruções padrão, um pacote Python que gera um erro ao ser executado e um script que, quando chamado, busca uma configuração em um registro DNS controlado pelo atacante. Isso resulta na execução de um shell interativo com privilégios do desenvolvedor, permitindo acesso a variáveis de ambiente e chaves de API. Embora a técnica ainda seja conceitual, a 0DIN alerta que atores maliciosos podem disseminar esses repositórios por meio de postagens de emprego falsas e tutoriais. Para mitigar esses riscos, recomenda-se que agentes de IA revelem toda a cadeia de execução dos comandos de configuração, incluindo scripts dinâmicos.

Gigante do mercado de previsões Polymarket sofre ataque cibernético

A plataforma de previsões Polymarket foi alvo de um ataque cibernético que resultou no roubo de aproximadamente US$ 3 milhões em criptomoedas de cerca de 11 usuários. O ataque ocorreu devido à exploração de uma vulnerabilidade em um fornecedor terceirizado, que permitiu a injeção de scripts maliciosos na interface da plataforma. A Polymarket confirmou o incidente em uma postagem na rede social X, informando que já tomou medidas para conter a situação e removeu a dependência afetada, embora não tenha revelado qual fornecedor foi comprometido. A empresa está reembolsando integralmente os usuários afetados, mas não divulgou o número total de vítimas ou o montante exato perdido por cada uma. A reação da comunidade foi crítica, com alguns usuários sugerindo que a Polymarket havia provocado os hackers anteriormente. O ataque destaca a importância da segurança em plataformas que lidam com transações financeiras e a necessidade de vigilância constante em relação a fornecedores terceirizados.

Por que o sistema da Defesa Civil foi invadido tão facilmente

No último dia 20 de junho de 2026, um alerta falso disparado pelo sistema da Defesa Civil Nacional causou pânico em milhões de brasileiros, com mensagens que incluíam termos como ‘misantropia’. O incidente resultou na retirada temporária da plataforma do ar e na investigação pela Polícia Federal, revelando falhas críticas de segurança em um sistema destinado a emergências. Mirella Kurata, especialista em cibersegurança, destacou que a invasão não foi resultado de um ataque sofisticado, mas sim de uma série de falhas, como o uso de credenciais fracas e a falta de autenticação em dois fatores. Durante o evento, foram enviados 10 alertas, sendo a maioria via Cell Broadcast, tecnologia que permite o envio de mensagens mesmo em celulares no modo silencioso. O Brasil, que registrou mais de 314 bilhões de tentativas de ataques cibernéticos no primeiro semestre de 2025, enfrenta um cenário preocupante, com a população ainda despreparada em relação à segurança digital. Kurata enfatizou a importância de tratar a cibersegurança como uma estratégia e não como um custo, especialmente em um contexto onde a LGPD impõe obrigações rigorosas sobre o tratamento de dados pessoais.

Polônia prende membros de grupo de cibercrime por ataques SIM-swap

As autoridades polonesas prenderam quatro indivíduos ligados a um grupo de cibercrime organizado, acusados de realizar ataques de SIM-swapping. A operação foi conduzida pelo Escritório de Cibercrime da Polônia (CBZC), com apoio do FBI e do Departamento de Segurança Interna dos EUA. Os suspeitos teriam utilizado técnicas sofisticadas, incluindo engenharia social e software especializado, para obter dados de telecomunicações e acessar contas de e-mail de funcionários de empresas parceiras. Com isso, conseguiram sequestrar números de telefone, interceptar mensagens SMS e e-mails, e controlar contas em exchanges de criptomoedas. Estima-se que milhões de dólares tenham sido roubados e lavados através de uma rede financeira distribuída. Os quatro detidos enfrentam acusações de participação em organização criminosa, invasão de sistemas de TI para roubo e lavagem de dinheiro, com penas que podem chegar a 25 anos de prisão. Um dos indivíduos foi identificado como Wojtek Kulisz, conhecido como ‘Merry’.

Desmantelamento de rede de pirataria esportiva PirloTV

Uma grande operação contra a pirataria esportiva resultou no desmantelamento de 44 domínios associados à plataforma PirloTV, que é conhecida por agregar links para transmissões ao vivo de eventos esportivos, especialmente futebol. A ação foi realizada pela Alliance for Creativity and Entertainment (ACE), em colaboração com a UEFA, UC3 e autoridades mexicanas, e visou interromper um serviço que gerava mais de 950 milhões de visitas anuais, com destaque para 230 milhões apenas do México. A PirloTV tem sido particularmente popular na América Latina, atraindo audiência significativa em países como México e Colômbia, além de tráfego considerável de mercados como Espanha e Estados Unidos. A operação ocorreu antes da final da UEFA Champions League e em um momento em que a Copa do Mundo da FIFA está em andamento, o que pode impactar significativamente o ecossistema de pirataria na região. Apesar da ação, a PirloTV é conhecida por sua rápida migração para novos domínios, e ainda existem sites que oferecem streaming ilegal de eventos esportivos. A ACE também destacou que esta foi a primeira colaboração com o Instituto Mexicano de Propriedade Industrial (IMPI) para fortalecer a cooperação anti-pirataria.

Jovem é condenado por hackeamento de contas da DraftKings

Nathan Austad, um jovem de 21 anos do Minnesota, foi condenado a 18 meses de prisão por seu envolvimento em um ataque cibernético que comprometeu 60 mil contas de usuários da plataforma de apostas e esportes fantasy DraftKings em novembro de 2022. Durante o ataque, os hackers adicionaram métodos de pagamento sob seu controle a 1.600 contas e roubaram cerca de 600 mil dólares. O ataque foi realizado por meio de ‘credential stuffing’, uma técnica que explora senhas fracas ou reutilizadas. Embora a DraftKings tenha inicialmente relatado um roubo de menos de 300 mil dólares, um mês depois, o número de contas comprometidas foi revisado para quase 68 mil. Além de Austad, outros conspiradores foram acusados, incluindo Joseph Garrison e Kamerin Stokes, que também foram condenados. O Departamento de Justiça dos EUA revelou que Austad lucrou com a venda de acessos a contas hackeadas, recebendo aproximadamente 465 mil dólares em criptomoedas. Além da pena de prisão, Austad foi condenado a três anos de liberdade supervisionada e a pagar mais de 1,3 milhão de dólares em restituição e confisco.

Deepfake como serviço tem aumento de 39 em conversas na dark web

Um novo relatório da plataforma de gerenciamento de exposição a ameaças, NordStellar, revela um aumento de 39% nas discussões sobre ‘deepfake as a service’ (DFaaS) na dark web, com 924 postagens entre janeiro e maio de 2026. Essa tendência é impulsionada pelos avanços em inteligência artificial generativa, que facilitam a criação de deepfakes hiper-realistas, tornando ataques como os de ‘fake boss’ mais acessíveis a criminosos. O ‘Business Email Compromise’ (BEC), uma forma de golpe que utiliza e-mails falsos, já causou perdas superiores a US$ 3 bilhões no último ano. Especialistas alertam que a educação dos funcionários e o monitoramento de dados vazados são essenciais para mitigar esses riscos. A capacidade de criar deepfakes convincentes pode levar a ataques mais sofisticados, exigindo uma resposta proativa das empresas para proteger suas informações e evitar fraudes.

Operação FortiBleed Broker de Acesso Inicial Ataca Firewalls FortiGate

Um broker de acesso inicial de língua russa, motivado por ganhos financeiros, está por trás de uma operação de coleta de credenciais em larga escala chamada FortiBleed, que já afetou mais de 430.000 firewalls FortiGate em todo o mundo desde fevereiro de 2026. A campanha envolve a coleta de listas de credenciais, busca por serviços expostos e ataques de força bruta em sistemas acessíveis. Os atacantes utilizam uma ferramenta chamada FortigateSniffer, que captura credenciais em texto claro e hashes de senhas de tráfego que passa por dispositivos comprometidos. A operação é focada em pequenas e médias empresas, especialmente nos setores de TI, nos Estados Unidos e na Índia. Além disso, a FortiBleed faz parte de uma operação mais ampla que também visa dispositivos de outros fornecedores, como Synology e Sophos. Até agora, os atacantes identificaram mais de 110 milhões de credenciais, incluindo 14,8 milhões de credenciais RADIUS e 89 milhões de tokens de autenticação MySQL. A campanha é caracterizada por um ciclo de 300 minutos de operações, com uma taxa de validação de 90% nas primeiras tentativas. A situação é crítica, pois os atacantes estão utilizando métodos sofisticados e automatizados para explorar vulnerabilidades em dispositivos amplamente utilizados.

Membros do grupo Scattered Spider se declaram culpados por ataque cibernético ao TfL

Dois membros do grupo de cibercrime ‘Scattered Spider’, Thalha Jubair (20) e Owen Flowers (18), se declararam culpados por invadir os sistemas do Transport for London (TfL) entre 31 de agosto e 3 de setembro de 2024, resultando em perdas financeiras significativas. Inicialmente, ambos negaram envolvimento, mas mudaram suas declarações no primeiro dia do julgamento no Woolwich Crown Court. O ataque comprometeu o sistema de reembolso do TfL, atrasando a devolução de valores a clientes e resultando no roubo de dados de usuários. A National Crime Agency (NCA) do Reino Unido confirmou que o ataque causou danos financeiros de £29 milhões (aproximadamente R$ 230 milhões) e forçou 28 mil funcionários a redefinir suas senhas. As investigações revelaram que Flowers estava também ligado a invasões em organizações de saúde nos EUA. O caso destaca a importância da colaboração entre empresas e autoridades para mitigar ataques cibernéticos e proteger infraestruturas críticas.

Campanha FortiBleed compromete dispositivos Fortinet em larga escala

A empresa de segurança SOCRadar revelou que a campanha FortiBleed, que visa dispositivos Fortinet FortiGate, utiliza ferramentas personalizadas para coletar segredos de autenticação de firewalls comprometidos. O relatório indica que mais de 430 mil firewalls foram alvos desde fevereiro de 2026, resultando na coleta de credenciais de VPN de mais de 80 mil URLs de firewall em todo o mundo. Os atacantes, atuando como corretores de acesso inicial, empregam técnicas como credential stuffing e brute-force para obter acesso a redes corporativas. Um dos principais instrumentos utilizados é o ‘FortigateSniffer’, uma ferramenta baseada em Golang que explora a funcionalidade de diagnóstico do FortiOS para capturar tráfego de autenticação. O tráfego é monitorado em 24 protocolos, e os dados coletados são processados para extrair credenciais e hashes de senhas. Os atacantes também teriam baixado arquivos de configuração do FortiGate para obter credenciais hash, que foram quebradas usando clusters de GPU. A situação é preocupante para organizações que utilizam dispositivos Fortinet, que devem investigar se foram afetadas por essa campanha.

Bot de MEV do JaredFromSubway sofre perda de US 15 milhões

O bot de MEV (Maximal Extractable Value) conhecido como JaredFromSubway sofreu uma perda significativa de US$ 15 milhões após um ataque que manipulou sua lógica de detecção de oportunidades. O ataque foi identificado pela empresa de segurança blockchain Blockaid, que revelou que o invasor criou pools e tokens falsos para enganar o bot, levando-o a aprovar contratos controlados pelo atacante. O bot, que opera de forma automatizada, analisava rotas e oportunidades de negociação que pareciam lucrativas, gerando transações que concediam permissões de gastos a contratos do invasor. O planejamento do ataque foi meticuloso, com transações iniciais servindo como testes para confirmar as rotinas de ação do bot. O invasor acumulou permissões de gastos válidas, totalizando 92,1614 WETH, que foram posteriormente retiradas do contrato do bot. Em resposta, o JaredFromSubway ofereceu recompensas crescentes para a devolução dos fundos, mas até o momento não obteve sucesso. Este incidente destaca os riscos associados aos bots de MEV, que, embora possam gerar lucros, também podem ser alvos de ataques sofisticados.

Mercado de Credenciais Roubadas Uma Nova Ameaça Cibernética

O artigo analisa a crescente atividade de atores de ameaças que transformam grandes coleções de credenciais roubadas em serviços subterrâneos pesquisáveis. Pesquisadores da Flare examinaram 470 postagens em fóruns underground entre janeiro de 2025 e junho de 2026, revelando que esses serviços permitem que compradores solicitem credenciais específicas de empresas, plataformas ou tipos de contas. Os resultados mostram uma camada de serviço dedicada entre infecções por infostealers e atividades de roubo de contas, onde os atores funcionam como corretores de credenciais, monetizando a capacidade de filtrar e entregar resultados direcionados. A análise indica que, embora os vendedores prometam acesso a grandes bases de dados, o feedback dos compradores revela uma discrepância entre o que é anunciado e a realidade, com muitas credenciais sendo inválidas ou duplicadas. Este modelo de serviço representa um exemplo prático de coleta de informações de identidade de vítimas, onde os adversários pesquisam e adquirem credenciais antes da exploração. O artigo destaca a importância de monitorar esses serviços para prevenir incidentes de segurança, especialmente em um cenário onde ataques à cadeia de suprimentos estão se tornando mais comuns.

Campanha FortiBleed e novas ameaças em cibersegurança

Nesta semana, o cenário de cibersegurança apresenta ameaças recorrentes, incluindo a campanha FortiBleed, que comprometeu mais de 80 mil dispositivos Fortinet FortiGate em todo o mundo. A campanha, que começou em fevereiro de 2026, utiliza credenciais reutilizadas de incidentes anteriores e técnicas de força bruta, destacando a importância de práticas de segurança robustas, como a autenticação multifator (MFA). Além disso, a Salesforce desativou a integração do aplicativo Klue após um incidente de extorsão que resultou no acesso não autorizado a dados de clientes. A operação de ransomware Gentlemen também está desenvolvendo ferramentas para desativar produtos de detecção de endpoint, enquanto uma nova vulnerabilidade no Splunk permite a execução remota de código sem autenticação. Por fim, um exploit de hardware, chamado usbliter8, afeta chips Apple A12 e A13, sendo impossível de ser corrigido. Essas ameaças ressaltam a necessidade de vigilância contínua e atualização das práticas de segurança em ambientes corporativos.

Serviço de Espionagem do Canadá Neutraliza Botnets Estrangeiras

O Serviço Canadense de Inteligência de Segurança (CSIS) obteve autorização judicial para neutralizar duas botnets operadas por estrangeiros que estavam infectando servidores e dispositivos IoT no Canadá. A decisão, divulgada em 15 de junho de 2026, marca a primeira vez que o CSIS utiliza suas novas capacidades de redução de ameaças para agir diretamente em dispositivos infectados. O juiz Catherine Kane concedeu o mandado em 1º de maio de 2024, permitindo que o CSIS alterasse e destruísse dados das botnets em equipamentos como roteadores e câmeras de segurança. A operação foi justificada pela iminente ameaça à segurança do Canadá, com foco em dispositivos e não em usuários. A corte destacou que a operação visava proteger a infraestrutura crítica do país, especialmente no setor energético. Embora a decisão tenha identificado a presença de adversários estrangeiros, não revelou suas identidades. A abordagem do CSIS se assemelha a operações anteriores do FBI nos EUA, que também realizaram limpezas de botnets, mas com diferenças nas autoridades legais. O artigo ressalta a importância da manutenção de equipamentos de rede, já que muitos ataques exploram dispositivos negligenciados e desatualizados.

Investigação sobre alertas não autorizados da Defesa Civil

Na madrugada do dia 20 de junho de 2026, o Ministério da Integração e do Desenvolvimento Regional desativou a plataforma Defesa Civil Alerta após o envio de dez mensagens de alerta não autorizadas para celulares em várias regiões do Brasil. As mensagens, que continham o termo ‘misantropi4’, foram enviadas através da tecnologia Cell Broadcast e SMS, atingindo milhões de pessoas em estados como São Paulo, Rio de Janeiro, e Paraná. O secretário nacional de Proteção e Defesa Civil, Wolnei Wolff, informou que a origem dos alertas está sendo investigada pela Polícia Federal, com indícios de um crime cibernético. As contas utilizadas para o envio das mensagens foram bloqueadas, e o retorno do sistema de alertas depende da revisão dos mecanismos de acesso. A Anatel confirmou que os alertas não foram enviados pelas autoridades competentes e orientou os usuários a desconsiderá-los. Este incidente levanta preocupações sobre a segurança das plataformas de comunicação de emergência e a proteção de dados pessoais.

Grupo de hackers norte-coreano compromete 140 pacotes npm

A Microsoft atribuiu um recente ataque à cadeia de suprimentos do Mastra AI, que comprometeu mais de 140 pacotes npm, ao grupo de hackers norte-coreano Sapphire Sleet, também conhecido como BlueNoroff. O ataque começou com a violação da conta de um mantenedor do npm, permitindo que os atacantes publicassem atualizações maliciosas. As atualizações incluíam uma dependência chamada ’easy-day-js’, que é uma imitação da popular biblioteca JavaScript dayjs. Quando os pacotes comprometidos eram instalados, a dependência maliciosa executava um script que implantava um dropper de malware nos dispositivos dos desenvolvedores, com o objetivo de roubar credenciais sensíveis, chaves de API e carteiras de criptomoedas. O malware, que é projetado para ser multiplataforma, coleta informações sobre o sistema e verifica a presença de extensões de carteira de criptomoeda. A Microsoft observou que a comunicação com os servidores de comando e controle dos atacantes resultou em atividades adicionais, incluindo a implantação de um backdoor PowerShell. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante na segurança cibernética.

CISA alerta sobre ataque FortiBleed a dispositivos Fortinet

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou os clientes da Fortinet sobre uma campanha de ataque chamada FortiBleed, que comprometeu mais de 86 mil dispositivos FortiGate acessíveis pela internet. Acredita-se que o ataque seja realizado por atores de ameaça de língua russa, que utilizam uma abordagem automatizada para explorar credenciais padrão e específicas de organizações. Dados da SOCRadar indicam que 35% das credenciais comprometidas são contas administrativas genéricas, enquanto 28,3% são contas do sistema Fortinet. Os setores mais afetados incluem telecomunicações, governo e educação, com a maioria das exposições localizadas na Índia, EUA, México, Colômbia e Tailândia. O ataque envolve a varredura em massa de dispositivos Fortinet e o uso de combinações conhecidas de login e senha para obter acesso. A CISA recomenda que as organizações terminem todas as sessões ativas, redefinam senhas e implementem autenticação multifator (MFA) para mitigar os riscos. O incidente destaca a importância de práticas adequadas de segurança de senhas e a vulnerabilidade de dispositivos de segurança de perímetro a ataques automatizados.

Homem de Nova York enfrenta acusações de ciberstalking com IA

Anthony Belford, um homem de 21 anos de Nova York, foi indiciado por ciberstalking após supostamente compartilhar imagens nuas geradas por IA e mensagens racistas fabricadas para assediar uma estudante universitária da Geórgia. Belford e a vítima frequentaram a mesma faculdade durante o ano acadêmico de 2023-2024. Após a transferência da vítima para uma instituição na Geórgia em agosto de 2024, Belford começou a persegui-la online. Entre janeiro e março de 2025, ele criou perfis falsos em diversas redes sociais, como Instagram e LinkedIn, para se passar pela vítima e disseminar imagens nuas geradas por IA, além de alegações falsas sobre comentários racistas atribuídos à estudante. O Departamento de Justiça dos EUA enfatizou que a lei federal proíbe a divulgação de imagens íntimas sem consentimento, incluindo aquelas geradas por IA, e encorajou as vítimas a reportarem tais violações ao FBI. Este caso destaca a crescente preocupação com o uso de tecnologias de IA para facilitar o assédio online e a importância de medidas de proteção e denúncia para as vítimas.

Especialistas revelam rede de fraude de trabalhadores de TI da Coreia do Norte

Um relatório da Nisos revelou uma operação de fraude de emprego em larga escala, patrocinada pelo governo da Coreia do Norte, que visa infiltrar agentes em empresas de tecnologia dos Estados Unidos. Entre dezembro de 2024 e setembro de 2025, 22 operativos submeteram mais de 166 mil candidaturas, resultando em mais de 21 mil entrevistas e 76 ofertas de emprego. A operação utilizou identidades roubadas, ferramentas de inteligência artificial (IA) e até mesmo representantes locais para aumentar a legitimidade das candidaturas. Os fraudadores focaram principalmente em cargos de engenharia de software e dados, com salários variando de US$ 55 mil a US$ 230 mil. A Nisos destacou que essa abordagem combina engano humano com táticas técnicas e recursos de IA, permitindo que esses agentes não apenas recebam salários, mas também acessem sistemas e dados, gerando receita para o regime norte-coreano. O uso de IA para criar currículos, treinar para entrevistas e gerar respostas em tempo real foi fundamental para o sucesso da operação, que representa uma evolução significativa nas táticas de cibercrime.

Ataque cibernético revela falhas em segurança de pequenas empresas

Um ataque cibernético a uma pequena empresa automotiva na França, realizado por um invasor de língua francesa, expôs vulnerabilidades significativas em segurança. O atacante, identificado como ‘Poisson’, implantou um keylogger para roubar credenciais bancárias e de e-mail. O que se destacou foi a instalação de OpenSSH e Tailscale na máquina da vítima, criando um acesso persistente que não dependia do servidor de comando e controle (C2). Após o C2 ficar offline, o acesso do invasor permaneceu ativo, permitindo que ele se reconectasse automaticamente dias depois. O ataque foi documentado em detalhes por pesquisadores da Cato Networks, que capturaram 339 comandos executados ao longo de 33 dias. O invasor utilizou ferramentas comuns e deixou rastros, como a exposição de seu diretório pessoal e a nomeação de buckets de armazenamento com seu próprio nome. O ataque destaca a importância de não apenas desativar o C2, mas também de identificar e eliminar portas de acesso alternativas que possam ter sido criadas. Para pequenas empresas, a exposição financeira decorrente do roubo de credenciais é uma preocupação crítica.

Mais de 1 milhão de sites WordPress em risco após plugin popular ser hackeado

Mais de um milhão de sites WordPress estão em risco de serem comprometidos devido a uma vulnerabilidade no plugin UpdraftPlus, que foi explorada em um ataque de cadeia de suprimentos. O ataque, identificado pela empresa de segurança Sansec, afetou o servidor de marketing da Awesome Motive, responsável por produtos populares como OptinMonster. Os hackers conseguiram acessar credenciais do servidor e injetar scripts JavaScript maliciosos que só eram ativados quando administradores logados visitavam os sites afetados. Isso permitiu que os atacantes coletassem tokens de autenticação e criassem contas de administrador falsas, possibilitando o controle total dos sites. Os proprietários de sites são aconselhados a verificar a presença de contas de administrador não autorizadas e a realizar varreduras de malware. Além disso, é recomendado que senhas e chaves de API sejam rotacionadas para mitigar o risco de comprometimento contínuo.

Grupo de espionagem ligado à China compromete redes de pesquisa na América do Norte

Um grupo de espionagem vinculado à China infiltrou-se em redes de pesquisa médica, acadêmica e militar na América do Norte por mais de um ano, roubando informações sensíveis. A entrada ocorreu através de uma porta dos fundos em servidores REDCap, utilizados para gerenciar bancos de dados de estudos. Os atacantes implementaram um malware chamado INFINITERED, que permitiu o roubo de credenciais e o controle do sistema. O método de exfiltração foi inovador: os atacantes manipularam regras de conformidade de conteúdo do Google Workspace para copiar e-mails que correspondiam a palavras-chave específicas para uma conta de e-mail controlada por eles. O Google identificou a campanha e notificou as organizações afetadas, interrompendo a infraestrutura do grupo. A vulnerabilidade inicial não foi especificada, mas o Google observou que o grupo estava explorando versões antigas e vulneráveis do REDCap. A exfiltração de e-mails foi realizada sem a necessidade de malware adicional no servidor de e-mail, utilizando apenas uma funcionalidade legítima do Google Workspace. Este incidente destaca a importância de revisar e proteger as regras de conformidade de conteúdo em ambientes de nuvem.

Plugins do WordPress comprometidos em ataque à cadeia de suprimentos

Recentemente, os plugins OptinMonster, TrustPulse e PushEngage do WordPress foram alvo de um ataque à cadeia de suprimentos que afetou a rede de distribuição de conteúdo (CDN) da Awesome Motive. O ataque, descoberto pela empresa de segurança Sansec, ocorreu entre 22:17 e 22:42 UTC na sexta-feira, resultando na injeção de scripts maliciosos em sites que utilizam os plugins. O OptinMonster, que possui mais de 1,2 milhão de usuários, foi o mais impactado. Os atacantes exploraram uma vulnerabilidade conhecida no plugin UpdraftPlus para acessar um servidor que continha credenciais da CDN, permitindo a modificação de arquivos JavaScript e a distribuição de código malicioso. O malware coletava tokens de autenticação, criando contas de administrador não autorizadas e instalando um plugin backdoor que permitia controle remoto total dos sites comprometidos. A Awesome Motive já tomou medidas para remediar a situação, migrando o site afetado para um novo servidor e rotacionando todas as credenciais. Os proprietários de sites afetados são aconselhados a verificar e remover contas de administrador não autorizadas e a realizar varreduras de malware em seus servidores.

Ataque a plugins do WordPress compromete mais de 1,2 milhão de sites

Um ataque cibernético recente comprometeu arquivos JavaScript de plugins populares do WordPress, incluindo PushEngage, OptinMonster e TrustPulse, permitindo que um invasor criasse uma conta de administrador sob seu controle. O ataque ocorreu quando um administrador do site estava logado e carregou o código malicioso, que não afetou visitantes comuns. A empresa Awesome Motive, responsável pelos plugins, ainda não se manifestou sobre a situação. A empresa de segurança Sansec revelou que o código malicioso foi detectado em todos os três plugins, com PushEngage sendo o mais afetado, com uma janela de exposição que durou várias horas. O invasor utilizou uma chave de API do CDN para modificar os arquivos entregues aos sites, o que levanta preocupações sobre a segurança de sistemas de terceiros. Os sites afetados devem ser considerados comprometidos, e recomenda-se uma verificação completa do servidor para detectar possíveis backdoors. A situação é crítica, pois o ataque pode ter consequências sérias para a segurança e a privacidade dos dados dos usuários.

Ex-funcionário de escola nos EUA é condenado por ciberataques

Ezekiel Dean Potter, um ex-especialista em TI do distrito escolar Saydel, em Iowa, foi condenado a 21 meses de prisão por realizar uma série de ciberataques que causaram sérios danos à instituição. Após sua demissão, Potter manteve acesso não autorizado aos sistemas da escola e, ao longo de 21 meses, deletou contas de funcionários, desativou plataformas educacionais e comprometeu a operação das aulas. Os ataques começaram logo após sua saída, com a exclusão da página do Facebook da escola e se estenderam a contas de gerenciamento de dispositivos Apple, dificultando o acesso dos funcionários. Além disso, ele acessou o sistema de gerenciamento de aprendizagem Schoology, impactando as aulas por cerca de duas horas. O custo total dos danos foi estimado em dezenas de milhares de dólares. Potter foi condenado a pagar quase 60 mil dólares em restituição e terá sua liberdade supervisionada após a prisão, com restrições em relação ao uso de tecnologia. Este caso destaca a importância da segurança cibernética em instituições educacionais e a necessidade de monitoramento rigoroso de acessos a sistemas críticos.

Hackers chineses mantêm controle por 10 anos em rede crítica

Um grupo de hackers chineses conhecido como Velvet Ant comprometeu a infraestrutura crítica de uma grande organização, mantendo acesso por uma década. A operação, chamada de ‘Operation Highland’, começou em 2016, quando os atacantes exploraram sistemas vulneráveis expostos à internet antes de se infiltrar em uma rede isolada, sem conexão direta com a internet. A intrusão foi caracterizada pela instalação de um shell reverso modificado e um proxy SOCKS5, permitindo que os hackers se conectassem a sistemas internos. Além disso, eles substituíram módulos de autenticação do Linux por versões maliciosas, coletando credenciais de usuários e monitorando atividades administrativas. A complexidade da limpeza da rede comprometida foi elevada, pois a remoção dos componentes alterados poderia causar interrupções operacionais. Especialistas recomendam que as organizações tratem componentes de autenticação como ativos críticos e implementem medidas de segurança robustas, como autenticação multifatorial e monitoramento contínuo. A operação destaca a necessidade de vigilância constante e a importância de um plano de recuperação offline para mitigar riscos futuros.

Grupo ligado à China compromete sistema de login do Linux

Um grupo de cibercriminosos conhecido como Velvet Ant, vinculado à China, conseguiu se infiltrar no sistema de login do Linux, especificamente nos componentes PAM e OpenSSH, por quase uma década. Em vez de utilizar malware visível, os atacantes modificaram os programas de login confiáveis, permitindo acesso não detectado e a coleta de credenciais de usuários. A operação começou em 2016 e foi caracterizada por uma abordagem furtiva, onde o grupo utilizou servidores expostos à internet como ponte para acessar redes isoladas. A pesquisa revelou nove versões diferentes do módulo de login PAM comprometido, que registravam senhas e comandos sem que os usuários percebessem. A complexidade da situação é agravada pelo fato de que a simples reinicialização de senhas não é eficaz, uma vez que o sistema que valida as credenciais está sob controle do atacante. A recomendação para mitigar esses riscos inclui monitorar alterações nos arquivos de login e realizar verificações rigorosas de integridade. O caso destaca a necessidade de uma vigilância mais abrangente sobre sistemas que normalmente não estão sob monitoramento constante.

Ataques à cadeia de suprimentos sinais de alerta e riscos ocultos

Os ataques à cadeia de suprimentos são frequentemente discutidos após se tornarem evidentes, como pacotes maliciosos ou atualizações de software comprometidas. No entanto, sinais de alerta podem surgir antes que um incidente se torne público. Pesquisadores da Flare investigaram fóruns underground e descobriram que acessos a repositórios privados, chaves de API e credenciais em nuvem podem indicar riscos à cadeia de suprimentos. Esses ataques visam ferramentas e fornecedores confiáveis, permitindo que invasores alcancem clientes e sistemas internos através de acessos legítimos. Um exemplo notável foi o incidente da Vercel em abril de 2026, que demonstrou como um comprometimento de um fornecedor confiável pode gerar preocupações de segurança mais amplas. Os pesquisadores enfatizam a importância de monitorar acessos a plataformas como GitHub e dados de CI/CD, pois a exposição de credenciais pode revelar caminhos de acesso e relacionamentos de confiança que aumentam o risco. Portanto, as equipes de segurança devem estar atentas a sinais de alerta em fóruns underground, pois esses dados podem prever futuros ataques à cadeia de suprimentos.

Nova técnica de ataque pode comprometer agentes de IA em desenvolvimento

Pesquisadores de cibersegurança identificaram uma nova classe de ataque chamada ‘Agentjacking’, que pode enganar agentes de codificação de inteligência artificial (IA) a executar códigos maliciosos em máquinas de desenvolvedores. O ataque, descrito pela Tenet Security, utiliza um relatório de erro falso criado com a plataforma Sentry, que é amplamente utilizada para rastreamento de erros e monitoramento de desempenho. A vulnerabilidade reside em uma falha arquitetônica crítica que permite a injeção de entradas manipuladas em eventos de erro do Sentry, que são interpretados como passos legítimos de resolução por agentes de codificação como Claude Code e Cursor. Isso pode expor dados sensíveis, como variáveis de ambiente e credenciais do Git, sem depender de métodos tradicionais de ataque, como phishing. A Tenet Security identificou mais de 2.388 organizações expostas com DSNs válidos, testando o ataque em mais de 100 delas com uma taxa de sucesso de 85%. Embora a Sentry tenha reconhecido o problema, optou por não corrigi-lo, alegando que não é defensável tecnicamente. A pesquisa destaca que, à medida que as empresas adotam agentes de codificação de IA, esses agentes se tornam a nova superfície de ataque, colocando em risco a segurança dos desenvolvedores que confiam neles.

Grupo OceanLotus realiza ataques cibernéticos no Vietnã

O grupo de ameaças cibernéticas OceanLotus, alinhado ao Vietnã, foi responsável por duas campanhas distintas de espionagem cibernética, utilizando um backdoor conhecido como SPECTRALVIPER. As operações visaram uma corporação de construção de infraestrutura e transporte no Vietnã entre meados de 2024 e fevereiro de 2026, além de um ataque à cadeia de suprimentos que explorou o FireAnt Metakit, uma plataforma popular entre investidores de ações no país. A ESET, empresa de cibersegurança, observou uma mudança no foco operacional do grupo, que agora prioriza a espionagem doméstica em vez de alvos externos. O ataque ao FireAnt Metakit, que começou em outubro de 2025, utilizou um URL de atualização legítimo para distribuir SPECTRALVIPER a um subconjunto de investidores. A falta de validação de integridade no arquivo de configuração permitiu que o malware fosse executado como uma atualização legítima. Além disso, OceanLotus manteve acesso a uma empresa de construção até fevereiro de 2026, explorando vulnerabilidades em servidores SQL da Microsoft. A ESET sugere que o grupo adotou uma abordagem mais seletiva após a exposição de sua empresa de fachada em 2020, focando em alvos domésticos e demonstrando táticas agressivas e sofisticadas.