Ataque

Pesquisadores da Microsoft Defender alertam que atores de ameaças estão utilizando cookies HTTP como um canal de controle para shells web baseados em PHP em servidores Linux, visando a execução remota de código. Essa técnica permite que o código malicioso permaneça inativo durante a execução normal da aplicação, ativando-se apenas quando valores específicos de cookies estão presentes. O uso de cookies para controle de execução oferece uma camada adicional de furtividade, já que esses dados se misturam ao tráfego web normal, dificultando a detecção. As implementações incluem loaders PHP que utilizam ofuscação e verificações em tempo de execução, além de scripts que segmentam dados de cookies para executar cargas úteis secundárias. A pesquisa também revela que os atacantes podem obter acesso inicial ao ambiente Linux da vítima através de credenciais válidas ou exploração de vulnerabilidades conhecidas, configurando tarefas cron para invocar rotinas de shell periodicamente. Para mitigar essa ameaça, a Microsoft recomenda a implementação de autenticação multifator, monitoramento de atividades de login incomuns e auditoria de tarefas cron. Essa abordagem de controle por cookies sugere uma reutilização de técnicas de shell web estabelecidas, permitindo acesso persistente pós-compromisso que pode evadir controles tradicionais de inspeção e registro.

O Drift Protocol, uma plataforma de negociação DeFi baseada na blockchain Solana, sofreu um ataque sofisticado que resultou na perda de pelo menos $280 milhões. O ataque foi atribuído a hackers norte-coreanos, conforme indicado por empresas de inteligência em blockchain, como Elliptic e TRM Labs. Os atacantes utilizaram contas de nonce duráveis e transações pré-assinadas para atrasar a execução de suas ações até um momento escolhido, permitindo que tomassem o controle administrativo da plataforma rapidamente. O ataque ocorreu entre 23 e 30 de março, culminando em uma transação legítima seguida pela execução de transações maliciosas em 1º de abril, o que resultou na transferência de controle administrativo para o hacker. Após a detecção de atividades incomuns, o Drift Protocol emitiu um alerta público e congelou suas operações. A plataforma está colaborando com firmas de segurança e autoridades para rastrear e congelar os fundos roubados, prometendo um relatório detalhado sobre o incidente em breve.

Daniel Rhyne, um ex-engenheiro de infraestrutura, admitiu ter invadido a rede de sua empresa, uma indústria em Nova Jersey, e bloqueado o acesso de administradores a 254 servidores. Entre 9 e 25 de novembro, ele utilizou uma conta de administrador para agendar tarefas que deletaram contas de administradores de rede e alteraram senhas de 13 contas de domínio, além de 301 contas de usuários. Rhyne também programou a alteração de senhas de contas locais que afetariam 3.284 estações de trabalho e 254 servidores, além de desligar servidores aleatórios. Após a invasão, ele enviou um e-mail de extorsão aos colegas, exigindo um resgate de 20 bitcoins (aproximadamente R$ 750 mil) sob a ameaça de desligar 40 servidores diariamente. O ataque foi planejado com pesquisas na internet sobre como manipular logs do Windows e alterar senhas. Rhyne foi preso em agosto e enfrenta até 15 anos de prisão por suas ações. Este incidente destaca a vulnerabilidade das empresas a ataques internos e a necessidade de controles de segurança robustos.

No dia 1º de abril de 2026, a exchange descentralizada Drift, baseada em Solana, sofreu um ataque que resultou no roubo de aproximadamente $285 milhões. O ataque foi realizado por um ator malicioso que obteve acesso não autorizado ao Drift Protocol, utilizando uma técnica inovadora envolvendo ‘durable nonces’. Essa abordagem permitiu a pré-assinatura de transações, atrasando sua execução e facilitando a apropriação das permissões administrativas do Conselho de Segurança da plataforma. Importante ressaltar que o ataque não explorou vulnerabilidades nos contratos inteligentes da Drift, nem houve comprometimento de frases-semente. Em vez disso, os atacantes manipularam aprovações de transações, possivelmente através de engenharia social, para executar uma transferência administrativa maliciosa rapidamente. O incidente, que começou a ser preparado em 23 de março, está sendo investigado em colaboração com várias empresas de segurança e autoridades. Relatórios indicam que o ataque pode estar ligado a grupos de hackers da Coreia do Norte, que têm um histórico de roubo de criptomoedas para financiar programas de armas. A evolução das técnicas de engenharia social, aliada ao uso crescente de inteligência artificial, amplia o escopo das ameaças, tornando desenvolvedores e colaboradores de projetos alvos potenciais.

O Drift Protocol, uma plataforma de negociação DeFi baseada na blockchain Solana, sofreu um ataque cibernético que resultou na perda de pelo menos $280 milhões. O invasor conseguiu assumir o controle das funções administrativas do Conselho de Segurança da plataforma por meio de uma operação planejada e sofisticada, utilizando contas de nonce duráveis e transações pré-assinadas. O ataque foi preparado entre 23 e 30 de março, quando o hacker configurou as contas e obteve aprovações de 2/5 dos membros do Conselho de Segurança, permitindo a assinatura de transações maliciosas que não foram executadas imediatamente. No dia 1º de abril, o invasor realizou uma transação legítima e, em seguida, executou as transações maliciosas pré-assinadas, transferindo o controle administrativo para si em questão de minutos. Após o ataque, a Drift emitiu um alerta público, suspendendo depósitos e congelando funções da plataforma. A empresa está colaborando com firmas de segurança e autoridades para rastrear os fundos roubados e promete divulgar um relatório detalhado sobre o incidente em breve.

Um homem de 36 anos, identificado como Jonathan Spalletta, foi preso após roubar 50 milhões de euros em criptomoedas através de ataques cibernéticos. O hacker, que se entregou à polícia, utilizou uma vulnerabilidade na plataforma Uranium Finance para desviar fundos. Inicialmente, ele explorou uma falha no código da plataforma, conseguindo desviar 1,3 milhão de euros, e posteriormente, ao descobrir uma nova vulnerabilidade, conseguiu roubar o montante total. Spalletta usou os fundos para adquirir itens colecionáveis raros, incluindo cartas de Pokémon e Magic: The Gathering, gastando quantias exorbitantes, como 460 mil euros em uma carta Black Lotus. O ataque resultou no colapso da Uranium Finance, impactando severamente seus usuários. As autoridades recuperaram 28 milhões de euros em criptomoedas e apreenderam os itens colecionáveis adquiridos com o dinheiro roubado. Spalletta pode enfrentar até 30 anos de prisão se for considerado culpado. Este caso destaca a vulnerabilidade das plataformas de criptomoedas e a necessidade de medidas de segurança mais robustas.

A Stryker Corporation, uma das principais empresas de tecnologia médica do mundo, anunciou que está totalmente operacional três semanas após um ciberataque que comprometeu muitos de seus sistemas. O ataque, reivindicado pelo grupo hacktivista Handala, vinculado ao Irã, ocorreu em 11 de março, quando os invasores alegaram ter roubado 50 terabytes de dados e apagado quase 80 mil dispositivos. A empresa, que possui mais de 53 mil funcionários e reportou vendas globais de 22,6 bilhões de dólares em 2024, conseguiu restaurar seus sistemas e retomar a produção em níveis pré-ataque. A Stryker destacou que a disponibilidade de produtos permanece saudável e que está trabalhando em parceria com especialistas em cibersegurança e agências governamentais para garantir a proteção do ecossistema de saúde. Embora inicialmente se acreditasse que os atacantes não usaram ferramentas maliciosas, a investigação revelou a presença de um arquivo malicioso que ajudou a ocultar as atividades dos invasores na rede da empresa. O grupo Handala, que surgiu em dezembro de 2023, é conhecido por atacar organizações israelenses e está vinculado ao Ministério da Inteligência e Segurança do Irã.

Pesquisadores alertam que proxies residenciais, utilizados para redirecionar tráfego malicioso, representam um grande problema para sistemas de reputação de IPs, pois não há uma distinção clara entre atacantes e usuários legítimos. Um estudo da plataforma de inteligência em cibersegurança GreyNoise analisou um conjunto de dados massivo de 4 bilhões de sessões maliciosas ao longo de três meses, revelando que cerca de 39% dessas sessões parecem originar-se de redes domésticas, muitas delas parte de proxies residenciais. A pesquisa indicou que 78% dessas sessões são invisíveis para os feeds de reputação. A maioria dos IPs residenciais é utilizada uma ou duas vezes antes de desaparecer, dificultando a catalogação por sistemas de defesa. Além disso, 89,7% dos IPs residenciais estão ativos em operações maliciosas por menos de um mês. Os pesquisadores também notaram que o tráfego de proxies residenciais é gerado por dois ecossistemas distintos: botnets de IoT e computadores infectados. A China, Índia e Brasil são os principais contribuidores para esse tráfego. A GreyNoise sugere que as táticas de evasão de proxies residenciais exigem uma mudança de foco, priorizando o comportamento em vez da reputação do IP.

O relatório anual de ameaças de 2026 da Blackpoint Cyber revela uma mudança significativa no comportamento de atacantes, que agora utilizam credenciais válidas e ferramentas legítimas para realizar intrusões em organizações. O estudo, baseado em milhares de investigações de segurança, destaca que 32,8% dos incidentes analisados envolveram abuso de VPN SSL, onde os atacantes se autenticaram com credenciais comprometidas, permitindo acesso a redes internas sem acionar alarmes. Além disso, 30,3% dos casos envolveram o uso indevido de ferramentas de Monitoramento e Gerenciamento Remoto (RMM), como o ScreenConnect, que se misturaram com atividades normais de TI. O relatório também aponta que campanhas de engenharia social, como as que utilizam CAPTCHAs falsos, foram responsáveis por 57,5% dos incidentes, mostrando que a interação do usuário é um fator crítico. Apesar da implementação de autenticação multifator (MFA) em muitos ambientes de nuvem, ataques de phishing ainda resultaram em compromissos de contas, com 16% dos casos documentados. O relatório sugere que as equipes de segurança tratem o acesso remoto como uma atividade de alto risco e mantenham um inventário rigoroso das ferramentas de RMM utilizadas.

O Google atribuiu formalmente a violação da cadeia de suprimentos do popular pacote Axios npm a um grupo de ameaças da Coreia do Norte, identificado como UNC1069. Este ataque, que visa roubar criptomoedas, ocorreu quando os invasores assumiram o controle da conta do mantenedor do pacote, permitindo a distribuição de versões trojanizadas que introduziram uma dependência maliciosa chamada ‘plain-crypto-js’. Essa dependência é utilizada para implantar um backdoor multiplataforma que afeta sistemas Windows, macOS e Linux. O ataque se destaca pela sua sofisticação, utilizando um hook de pós-instalação no arquivo ‘package.json’ para executar código malicioso de forma discreta. O backdoor, denominado WAVESHAPER.V2, é uma versão atualizada de um malware anterior e suporta comandos para executar scripts e coletar informações do sistema. Para mitigar os riscos, os usuários são aconselhados a auditar suas dependências, bloquear domínios de comando e controle e isolar sistemas afetados. Este incidente ressalta a necessidade de uma vigilância contínua sobre as dependências de software, especialmente em ambientes de desenvolvimento.

O FBI confirmou que a conta de e-mail pessoal de seu diretor, Kash Patel, foi comprometida por hackers do grupo Handala, associado ao Irã. A violação ocorreu em meio a um contexto de tensões entre os Estados Unidos e o Irã, com os hackers alegando ter acessado ‘sistemas impenetráveis’ da agência em poucas horas. Embora dados tenham sido roubados, o FBI assegurou que nenhuma informação confidencial do governo foi exposta. Entre os materiais vazados estão imagens e documentos pessoais de Patel, além de e-mails e conversas. A ação foi uma retaliação às operações do FBI, que apreendeu domínios do grupo e ofereceu uma recompensa de até US$ 10 milhões por informações sobre seus membros. O FBI declarou que tomou medidas para mitigar os riscos associados à violação e continua a investigar o incidente.

Jonathan Spalletta, um homem de 36 anos de Maryland, foi acusado de roubar mais de US$ 53 milhões após invadir a exchange de criptomoedas Uranium Finance em duas ocasiões. A primeira invasão ocorreu em abril de 2021, quando ele explorou uma falha no código do contrato inteligente da exchange, drenando cerca de US$ 1,4 milhão do fundo de liquidez. Após a primeira invasão, Spalletta extorquiu a Uranium, exigindo quase US$ 386 mil como um falso ‘bug bounty’ em troca do retorno de parte dos fundos. Na segunda invasão, ele aproveitou um erro de codificação que permitiu retirar quase 90% dos ativos da exchange, totalizando aproximadamente US$ 53,3 milhões. Spalletta utilizou um mixer de criptomoedas para lavar os ativos roubados e gastou os lucros em itens de alto valor, como cartas de Magic: The Gathering e um conjunto completo de cartas Pokémon. Ele enfrenta até 30 anos de prisão por fraude e lavagem de dinheiro. Este caso destaca a vulnerabilidade das exchanges descentralizadas e a necessidade de medidas de segurança robustas para proteger os ativos dos usuários.

O popular cliente HTTP Axios foi alvo de um ataque de cadeia de suprimentos, resultando na publicação de versões comprometidas do pacote npm. As versões 1.14.1 e 0.30.4 introduziram uma dependência maliciosa chamada ‘plain-crypto-js’ na versão 4.2.1, que atua como um trojan de acesso remoto (RAT). O ataque foi realizado utilizando credenciais comprometidas do mantenedor principal do Axios, permitindo que os invasores contornassem o pipeline de CI/CD do projeto. O malware, uma vez instalado, se conecta a um servidor de comando e controle e executa scripts maliciosos específicos para macOS, Windows e Linux. Os usuários que instalarem essas versões devem reverter imediatamente para versões seguras e rotacionar suas credenciais. O ataque destaca a vulnerabilidade das dependências em projetos de código aberto e a necessidade de vigilância constante em ambientes de desenvolvimento. Com mais de 83 milhões de downloads semanais, o Axios é amplamente utilizado em aplicações JavaScript, tornando este incidente particularmente preocupante para desenvolvedores e empresas que dependem dessa tecnologia.

Três grupos de atividade de ameaças associados à China têm como alvo uma organização governamental no Sudeste Asiático, em uma operação complexa e bem financiada. As campanhas resultaram na utilização de diversas famílias de malware, incluindo HIUPAN, PUBLOAD, e FluffyGh0st, entre outros. Os pesquisadores da Palo Alto Networks identificaram três clusters de atividade: Mustang Panda, CL-STA-1048 e CL-STA-1049, que demonstram sobreposição em táticas e técnicas, sugerindo uma coordenação entre os grupos. A atividade do Mustang Panda, registrada entre junho e agosto de 2025, utilizou malware USB para implantar backdoors, enquanto o CL-STA-1049 fez uso de um novo loader DLL, o Hypnosis Loader, para instalar o FluffyGh0st RAT. A intenção dos atacantes parece ser a obtenção de acesso persistente a redes governamentais sensíveis, em vez de causar apenas interrupções. A convergência dessas atividades destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger informações críticas.

O artigo explora como as táticas de falsificação de Elmyr de Hory, um notório forjador de obras de arte, oferecem lições valiosas para a cibersegurança moderna. Nos dias atuais, os atacantes cibernéticos utilizam inteligência artificial (IA) para imitar comportamentos legítimos e se infiltrar em redes, tornando-se cada vez mais difíceis de detectar. Com 81% dos ataques sendo livres de malware, os invasores empregam técnicas como Living-off-the-Land (LotL), que utilizam ferramentas e credenciais legítimas para realizar suas atividades maliciosas.

Uma campanha de espionagem cibernética atribuída a um ator de ameaça vinculado à China tem se infiltrado em redes de telecomunicações para atacar redes governamentais. O grupo, conhecido como Red Menshen, tem um histórico de ataques a provedores de telecomunicações no Oriente Médio e na Ásia desde 2021. A Rapid7 descreveu os mecanismos de acesso como “algumas das células digitais mais furtivas” já encontradas. A campanha utiliza implantes em nível de kernel, backdoors passivos e ferramentas de coleta de credenciais, destacando um backdoor Linux chamado BPFDoor. Este malware é notável por não expor portas de escuta, ativando-se apenas quando recebe um pacote de ativação específico. Os ataques começam com a exploração de infraestruturas expostas, como dispositivos VPN e firewalls. Após obter acesso, são implantados frameworks de comando e controle para facilitar atividades pós-exploração. O BPFDoor permite monitorar protocolos nativos de telecomunicações, oferecendo visibilidade sobre o comportamento e a localização de assinantes. Uma variante recente do BPFDoor foi encontrada, que se camufla dentro do tráfego HTTPS, aumentando sua evasão. Essa evolução nas táticas de ataque destaca a necessidade de vigilância contínua em ambientes críticos de telecomunicações.

O FBI, em colaboração com o Departamento de Justiça dos EUA e autoridades internacionais, desativou quatro botnets conhecidas como Aisuru, KimWolf, JackSkid e Mossad, que impactaram mais de 3 milhões de dispositivos domésticos com ataques de Negação de Serviço Distribuído (DDoS). Esses ataques, considerados sem precedentes, conseguiram transferir até 30 terabits de dados por segundo, o que poderia paralisar a infraestrutura da internet. As botnets operavam sob um modelo de Crime como Serviço (CaaS), comercializando ferramentas ilegais para hackers, o que ampliou a escala dos ataques. A operação incluiu a apreensão de domínios e servidores, interrompendo a comunicação entre os hackers e os dispositivos infectados. Especialistas alertam que os danos financeiros decorrentes desses ataques podem ser significativos, especialmente na recuperação dos sistemas afetados.

Em 24 de março de 2026, o pacote LiteLLM foi alvo de um ataque à cadeia de suprimentos realizado pelo grupo TeamPCP. Duas versões maliciosas (1.82.7 e 1.82.8) foram publicadas no PyPi, executando automaticamente um payload para roubo de credenciais e permitindo a exfiltração de dados sensíveis, como tokens de API, dados em nuvem e chaves SSH. O LiteLLM, uma biblioteca Python de código aberto, é amplamente utilizada, com cerca de 97 milhões de downloads mensais, o que aumenta a gravidade do incidente. Estima-se que cerca de 500.000 credenciais já tenham sido comprometidas, e especialistas alertam que isso pode ser apenas o começo de um ataque maior. Ferramentas de segurança tradicionais falharam em detectar a exploração, e muitos desenvolvedores podem não estar cientes de que o LiteLLM é uma dependência em seus projetos. Em resposta, a Point Wild desenvolveu um scanner de IA chamado ‘who-touched-my-packages’ para detectar comportamentos maliciosos em pacotes de terceiros. O TeamPCP também é responsável por outros ataques recentes, incluindo a distribuição de malware via o scanner de vulnerabilidades Trivy e uma campanha que visa clusters Kubernetes. Os ataques à cadeia de suprimentos estão se tornando uma prioridade para hackers, pois permitem acesso a múltiplas organizações a partir de uma única fonte.

O Escritório de Relações Exteriores, Comunidade e Desenvolvimento do Reino Unido (FCDO) impôs sanções ao Xinbi, um mercado online em língua chinesa que comercializa dados roubados e equipamentos de internet via satélite, supostamente utilizado por redes de fraude no Sudeste Asiático. O Xinbi, que opera via Telegram, é acusado de ajudar atores de ameaças da Coreia do Norte a lavar criptomoedas obtidas em grandes roubos. Entre 2021 e 2025, o mercado processou mais de $19,9 bilhões, facilitando desde negociações não licenciadas até a venda de bancos de dados pessoais roubados. As sanções também atingem o #8 Park, um grande centro de fraudes em Camboja, e a Legend Innovation Co, operadora do local. O FCDO busca isolar o Xinbi do ecossistema legítimo de criptomoedas, dificultando suas operações financeiras. O governo britânico enfatiza que não tolerará abusos de direitos humanos associados a esses centros de fraude, que frequentemente coagem trabalhadores a participar de esquemas criminosos globais, como fraudes de investimento em criptomoedas. As sanções são parte de uma ação mais ampla contra redes criminosas que exploram pessoas vulneráveis, com o Reino Unido liderando esforços internacionais para combater o financiamento ilícito.

Uma operação conjunta entre a Europol e a polícia alemã resultou na desativação de 373 mil sites criminosos na dark web, todos operados por um homem de 35 anos na China. A investigação, conhecida como ‘Operação Alice’, começou no início de março e envolveu agências de 23 países. Os sites ofereciam uma variedade de serviços ilegais, incluindo conteúdos de abuso sexual infantil e fraudes financeiras, coletando criptomoedas de usuários. Estima-se que o suspeito tenha lucrado mais de € 345 mil com aproximadamente 10 mil clientes. Para dificultar o rastreamento, o criminoso criou milhares de sites temporários. Durante a operação, mais de 100 servidores e dispositivos eletrônicos foram apreendidos, e cerca de 440 usuários da plataforma ilegal foram identificados, com mais de 100 casos ainda sob investigação. Essa ação é considerada uma das maiores operações de combate ao crime cibernético na história recente.

Em setembro de 2025, a Anthropic revelou que um ator de ameaça patrocinado por um estado utilizou um agente de codificação de IA para conduzir uma campanha de espionagem cibernética autônoma contra 30 alvos globais. O agente de IA executou de 80% a 90% das operações táticas de forma independente, realizando reconhecimento, escrevendo códigos de exploração e tentando movimentação lateral em alta velocidade. O artigo destaca uma preocupação ainda maior: a possibilidade de um atacante comprometer um agente de IA já presente no ambiente de uma organização, que possui acesso e permissões legítimas para se mover pelos sistemas. O modelo tradicional de cadeia de ataque cibernético, desenvolvido pela Lockheed Martin, presume que os atacantes precisam conquistar cada passo de acesso, mas os agentes de IA não seguem esse padrão. Uma vez comprometido, um agente de IA pode fornecer ao atacante um mapa completo do ambiente, acesso amplo e uma justificativa legítima para movimentar dados, tornando a detecção extremamente difícil. O artigo também menciona a crise do OpenClaw, onde 12% das habilidades em seu mercado público eram maliciosas, evidenciando o risco de agentes de IA comprometidos. Para mitigar esses riscos, a Reco oferece uma solução que descobre e mapeia agentes de IA, avaliando suas permissões e ajudando a identificar comportamentos anômalos.

O grupo de hackers TeamPCP lançou um ataque à cadeia de suprimentos, comprometendo o popular pacote Python LiteLLM, que possui mais de 3,4 milhões de downloads diários. As versões maliciosas 1.82.7 e 1.82.8 foram publicadas no repositório PyPI, contendo um infostealer que coleta dados sensíveis de dispositivos. A pesquisa da Endor Labs revelou que o código malicioso é ativado quando o pacote é importado, permitindo a coleta de credenciais, chaves SSH, tokens de nuvem e segredos do Kubernetes. O ataque é semelhante a uma violação anterior do scanner de vulnerabilidades Trivy, também atribuída ao TeamPCP. A quantidade de dados exfiltrados é estimada em cerca de 500 mil, embora a confirmação independente desses números não tenha sido possível. As versões comprometidas foram removidas do PyPI, e a versão 1.82.6 é agora a mais recente e limpa. Organizações que utilizam o LiteLLM são aconselhadas a verificar instalações das versões afetadas e a rotacionar imediatamente todas as credenciais e segredos expostos.

Os hackers do TeamPCP, responsáveis pelo ataque à cadeia de suprimentos Trivy, continuam a direcionar suas ações contra a Aqua Security, comprometendo sua organização no GitHub e publicando imagens Docker maliciosas. O ataque, que ocorreu após a violação do pipeline de construção do GitHub do Trivy, resultou na entrega de malware voltado para roubo de informações. O Trivy, amplamente utilizado para detectar vulnerabilidades e configurações inadequadas, teve suas versões 0.69.5 e 0.69.6 publicadas sem correspondência nas liberações do GitHub, levantando suspeitas de comprometimento. A Aqua Security, após identificar a violação, lançou novas versões seguras do Trivy e contratou uma empresa de resposta a incidentes para investigar a situação. Apesar de novas atividades suspeitas terem sido detectadas, a empresa afirma que o Trivy não foi impactado. A análise sugere que o acesso dos hackers se deu por meio de uma conta de serviço com um token de acesso pessoal, que não possui proteção de autenticação multifatorial. A situação destaca a importância da segurança na cadeia de suprimentos e a necessidade de vigilância contínua em ambientes de desenvolvimento.

Pesquisadores de cibersegurança descobriram artefatos maliciosos distribuídos via Docker Hub após um ataque à cadeia de suprimentos do Trivy, um popular scanner de vulnerabilidades de código aberto mantido pela Aqua Security. As versões comprometidas 0.69.4, 0.69.5 e 0.69.6 foram removidas do repositório, sendo que a última versão limpa conhecida é a 0.69.3. O ataque permitiu que os invasores utilizassem credenciais comprometidas para inserir um ladrão de credenciais em versões trojanizadas do Trivy e em duas ações do GitHub relacionadas. Além disso, os atacantes conseguiram comprometer pacotes npm, distribuindo um worm autossustentável chamado CanisterWorm. O grupo responsável, identificado como TeamPCP, também defaceou repositórios internos da Aqua Security no GitHub, expondo-os publicamente. A análise forense sugere que um token de conta de serviço comprometido foi o vetor do ataque. A crescente sofisticação dos atacantes é evidenciada pela introdução de um novo malware que apaga clusters Kubernetes, especialmente em sistemas iranianos. Diante da gravidade do incidente, é crucial que as organizações revisem o uso do Trivy em seus pipelines de CI/CD e evitem as versões afetadas.

O Salt Typhoon é um grupo de hackers associado ao governo chinês, que ganhou notoriedade por suas invasões a infraestruturas críticas, incluindo uma recente violação da rede do FBI. Este grupo, que surgiu em 2020, se destaca por sua abordagem discreta e técnica, utilizando ataques indiretos através de roteadores de provedores de internet, o que dificulta a detecção por sistemas de segurança. Em 2024, o Salt Typhoon invadiu sistemas de telecomunicações como AT&T e Verizon, obtendo acesso a informações sensíveis sobre investigações governamentais. A violação do FBI permitiu que os hackers acessassem dados confidenciais, incluindo mandados da Lei de Vigilância de Inteligência Estrangeira (FISA), possibilitando a eles monitorar e até alterar informações sobre alvos de vigilância. Este incidente evidencia como a ciberespionagem pode impactar a segurança nacional e a integridade de informações estratégicas. A atuação do Salt Typhoon ressalta a necessidade de vigilância constante e de medidas de segurança robustas para proteger dados sensíveis em um mundo cada vez mais digital.

A Operação Alice, uma ação internacional de combate ao cibercrime, resultou no fechamento de mais de 373 mil sites na dark web que ofereciam pacotes fraudulentos de material de abuso sexual infantil (CSAM). A investigação, liderada pela Alemanha e apoiada pela Europol, começou em meados de 2021 e focou em uma plataforma chamada ‘Alice with Violence CP’, operada por um suspeito de 35 anos na China. Os sites enganavam os usuários ao mostrar prévias de pacotes de CSAM, cobrando entre 17 e 250 euros em Bitcoin, mas nunca entregando o material prometido. Aproximadamente 10 mil usuários foram enganados, resultando em um prejuízo de cerca de 400 mil dólares para os operadores. Embora os usuários não tenham recebido o material ilegal, suas tentativas de compra demonstram intenção criminosa, o que pode levar a processos em várias jurisdições. A infraestrutura da rede de fraudes incluía 287 servidores, dos quais 105 estavam na Alemanha, todos agora apreendidos. As autoridades alemãs emitiram um mandado de prisão internacional para o operador chinês. A Europol também destacou suas iniciativas de proteção infantil, como a plataforma Help4U e a campanha ‘Stop Child Abuse – Trace an Object’.

As tensões geopolíticas estão se refletindo cada vez mais no ciberespaço, com ataques motivados pela desestabilização em vez de lucro financeiro. Grupos de atores estatais, como os iranianos, têm utilizado malware destrutivo, conhecido como wiper, para causar caos operacional em organizações e infraestruturas críticas. Um exemplo recente é o ataque do grupo Handala à Stryker, que resultou na destruição de milhares de dispositivos e na interrupção das operações em 79 países. Para os líderes de segurança, a questão não é apenas como prevenir intrusões, mas como sobreviver a elas. O artigo apresenta uma estratégia em cinco etapas para os CISOs, focando na contenção e no controle interno. As etapas incluem: impedir o roubo de credenciais, prevenir o movimento lateral através de portas administrativas, restringir contas privilegiadas, detectar caminhos de acesso não autorizados e conter atividades destrutivas rapidamente. A eficácia dessas medidas depende da capacidade de limitar o movimento dos atacantes dentro da rede, uma vez que a maioria dos ataques destrutivos não requer malware sofisticado, mas sim acesso irrestrito.

Autoridades dos Estados Unidos, Alemanha e Canadá realizaram uma operação conjunta para desmantelar a infraestrutura de Comando e Controle (C2) utilizada pelas botnets Aisuru, KimWolf, JackSkid e Mossad, que infectavam dispositivos da Internet das Coisas (IoT). Essa ação visou servidores virtuais, domínios da internet e outras infraestruturas que possibilitaram a realização de centenas de milhares de ataques de negação de serviço distribuído (DDoS) em todo o mundo, incluindo endereços IP pertencentes à rede de informações do Departamento de Defesa dos EUA. A botnet Aisuru, por exemplo, estabeleceu um recorde em dezembro com um ataque DDoS que atingiu 31,4 Tbps e 200 milhões de requisições por segundo, afetando principalmente empresas do setor de telecomunicações. As investigações revelaram que essas botnets infectaram mais de três milhões de dispositivos IoT, como câmeras de segurança e roteadores WiFi, muitos localizados nos EUA. Os operadores das botnets vendiam acesso a outros cibercriminosos, permitindo ataques que resultaram em perdas financeiras significativas. A operação conjunta teve como objetivo interromper as comunicações associadas a essas botnets e prevenir novas infecções.

O Departamento de Justiça dos EUA anunciou a desarticulação de infraestruturas de comando e controle (C2) de várias botnets de Internet das Coisas (IoT), incluindo AISURU, Kimwolf, JackSkid e Mossad. Essa operação, que contou com a colaboração de autoridades do Canadá e da Alemanha, resultou na interrupção de ataques de negação de serviço distribuído (DDoS) que alcançaram picos de até 30 Terabits por segundo. As botnets, que infectaram mais de 3 milhões de dispositivos em todo o mundo, foram responsáveis por ataques massivos, como o de 31,4 Tbps em novembro de 2025. O Kimwolf, em particular, destacou-se por explorar redes proxy residenciais, permitindo acesso a dispositivos tradicionalmente protegidos. A operação envolveu empresas de tecnologia como Amazon Web Services e Cloudflare, que auxiliaram na investigação e mitigação dos ataques. Embora a desarticulação tenha sido um avanço significativo, especialistas alertam que a resiliência das botnets e a proliferação de novas variantes continuam a representar um risco elevado para a segurança cibernética global.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para empresas americanas após um ataque cibernético devastador ao grupo Stryker, onde hackers iranianos do coletivo Handala comprometeram uma conta administrativa do Microsoft Intune. Os atacantes roubaram 50 terabytes de dados e apagaram quase 80 mil dispositivos da empresa em poucas horas, forçando-a a operar manualmente. A CISA recomenda que as empresas adotem práticas de segurança mais rigorosas, como o princípio do menor privilégio para funções administrativas, autenticação multifator resistente a phishing e aprovações de múltiplos administradores para mudanças sensíveis. O ataque é visto como uma retaliação a ações dos EUA e Israel contra o Irã, destacando a importância de fortalecer a segurança cibernética em um cenário de ameaças emergentes. As recomendações da CISA são aplicáveis não apenas ao Intune, mas a outros softwares de gerenciamento de endpoints, visando prevenir incidentes semelhantes.

A Bitrefill, uma plataforma de e-commerce que permite a compra de cartões-presente com criptomoedas, sofreu um ataque cibernético no início do mês, supostamente perpetrado pelo grupo de hackers norte-coreano Bluenoroff. Durante a investigação, a empresa identificou semelhanças com ataques anteriores atribuídos a esse grupo, incluindo o uso de malware específico e endereços IP e e-mails reutilizados. O ataque foi originado a partir de um laptop comprometido de um funcionário, onde os atacantes conseguiram roubar credenciais e acessar informações sensíveis, incluindo partes da infraestrutura da Bitrefill e algumas carteiras de criptomoedas. Aproximadamente 18.500 registros de compras, que continham endereços de e-mail e IP de clientes, foram expostos, embora a empresa tenha assegurado que os saldos dos usuários não foram afetados. A Bitrefill, que opera em 150 países e suporta mais de 600 operadores móveis, está implementando medidas de segurança adicionais e revisando seus controles de acesso. Apesar da gravidade do ataque, a empresa conseguiu minimizar as perdas, que serão cobertas por seu capital. A Bitrefill acredita que os atacantes estavam mais interessados em criptomoedas e no estoque de cartões-presente do que nas informações dos clientes.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para organizações americanas sobre a necessidade de fortalecer as configurações do Microsoft Intune, após um ataque cibernético que comprometeu os sistemas da Stryker Corporation, uma gigante da tecnologia médica. O ataque, reivindicado pelo grupo hacktivista Handala, resultou no roubo de 50 terabytes de dados e na utilização do comando de limpeza do Intune para apagar quase 80 mil dispositivos. Os hackers conseguiram criar uma nova conta de Administrador Global após comprometer uma conta de administrador existente. A CISA recomenda que as organizações adotem uma abordagem de menor privilégio para funções administrativas, implementem autenticação multifator (MFA) e exijam aprovação de múltiplos administradores para ações sensíveis, como a limpeza de dispositivos. Essas práticas visam aumentar a resiliência das organizações contra ataques semelhantes. O grupo Handala, vinculado ao Irã, é conhecido por suas operações de hacktivismo e por vazar dados sensíveis de sistemas comprometidos. O alerta da CISA destaca a importância de medidas proativas para proteger ambientes de gerenciamento de endpoints.

O FBI confiscou dois domínios utilizados pelo grupo hacktivista Handala, após um ataque cibernético devastador à gigante de tecnologia médica Stryker, que resultou na exclusão de aproximadamente 80.000 dispositivos. Os sites handala-redwanted[.]to e handala-hack[.]to agora exibem um aviso de apreensão, indicando que a ação foi realizada com um mandado emitido pelo Tribunal Distrital de Maryland. O aviso menciona que os domínios foram usados para facilitar atividades cibernéticas maliciosas em coordenação com um ator estatal estrangeiro. O Handala, vinculado ao Irã, é conhecido por realizar ataques direcionados a organizações israelenses, utilizando malware destrutivo. Após o ataque à Stryker, que envolveu a criação de uma conta de administrador global e o envio de um comando de ‘wipe’ pelo Microsoft Intune, a empresa e a CISA emitiram orientações para reforçar a segurança dos domínios Windows e do Intune. O Handala reconheceu a apreensão e afirmou que está trabalhando na criação de novas plataformas digitais para continuar suas operações.

A Polícia Federal (PF) deflagrou a ‘Operação Cofre Digital’ para investigar um grupo criminoso que desviou R$ 710 milhões por meio de ciberataques e lavagem de dinheiro. O esquema envolvia a violação da segurança de uma empresa de tecnologia que atuava como intermediária entre instituições financeiras e sistemas de pagamento instantâneo, como o Pix. Os criminosos utilizaram empresas de fachada para ocultar a origem dos recursos, convertendo o dinheiro roubado em criptomoedas, o que dificultou a detecção das atividades ilícitas. A operação, realizada em conjunto com o Ministério Público do Estado de São Paulo (MPSP), resultou na prisão temporária de três suspeitos e na busca e apreensão de bens em São Paulo e Paraná. Além disso, a PF bloqueou R$ 28 milhões em ativos de 32 pessoas e empresas investigadas. O ataque ocorreu em agosto de 2025 e destaca a vulnerabilidade das plataformas digitais que conectam serviços financeiros, evidenciando a necessidade de medidas de segurança mais robustas para proteger dados e transações financeiras.

Na semana passada, a Stryker, gigante da tecnologia médica, sofreu um ciberataque que afetou seu ambiente interno da Microsoft, resultando na remoção remota de dados de cerca de 80 mil dispositivos de funcionários. A empresa afirmou que todos os seus dispositivos médicos permanecem seguros, mas os sistemas de pedidos eletrônicos estão fora do ar, obrigando os clientes a realizarem pedidos manualmente. O ataque, reivindicado pelo grupo hacktivista Handala, supostamente ligado ao Irã, não envolveu ransomware nem a instalação de malware, embora os atacantes tenham alegado ter apagado mais de 200 mil sistemas e roubado 50 terabytes de dados. A investigação está sendo conduzida pela equipe DART da Microsoft, em colaboração com especialistas em cibersegurança da Palo Alto Unit 42. A Stryker está focada na recuperação de seus sistemas e na normalização do fluxo de pedidos e entregas. A empresa assegura que todos os produtos em seu portfólio global, incluindo tecnologias conectadas e de salvamento, estão seguros para uso.

Recentemente, o cenário de cibersegurança apresentou uma série de incidentes preocupantes. O Google lançou atualizações de segurança para o Chrome, corrigindo duas vulnerabilidades críticas (CVE-2026-3909 e CVE-2026-3910) que estavam sendo exploradas ativamente. Além disso, a Meta anunciou a descontinuação do suporte à criptografia de ponta a ponta no Instagram, citando baixa adesão dos usuários. Uma operação internacional desmantelou o serviço criminoso SocksEscort, que utilizava roteadores residenciais para fraudes em larga escala, destacando a persistência de malware que comprometia dispositivos de rede. Outro incidente relevante foi a exploração do pacote npm nx por um ator de ameaças conhecido como UNC6426, que obteve acesso administrativo ao AWS de uma vítima em apenas 72 horas. A botnet KadNap, com mais de 14.000 dispositivos, também foi identificada como um proxy para atividades cibernéticas ilegais. Por fim, o grupo russo APT28 foi observado utilizando um conjunto sofisticado de ferramentas em campanhas de espionagem cibernética. Esses eventos ressaltam a necessidade urgente de monitoramento e atualização de sistemas de segurança.

Na última semana, o cenário de cibersegurança foi marcado por uma série de incidentes e ações de combate a ameaças. Um dos principais destaques foi a desarticulação da operação Tycoon 2FA, uma das maiores operações de phishing do mundo, realizada por uma coalizão de empresas de segurança e agências de aplicação da lei. Essa ação visa reduzir o impacto das credenciais de autenticação multifatorial (MFA) comprometidas. Além disso, o LeakBase, um dos maiores fóruns de cibercriminosos, também foi desmantelado, embora a eficácia dessas ações seja frequentemente temporária, já que os criminosos tendem a migrar para novas plataformas.

O grupo de ameaças conhecido como UNC4899, vinculado ao governo da Coreia do Norte, está associado a uma sofisticada campanha de comprometimento em nuvem que visou uma organização de criptomoedas em 2025, resultando no roubo de milhões de dólares em ativos digitais. O ataque começou com engenharia social, onde um desenvolvedor foi enganado a baixar um arquivo malicioso que, ao ser transferido para seu dispositivo corporativo, permitiu que os invasores acessassem o ambiente de nuvem da empresa. Utilizando técnicas de Living-off-the-Cloud (LotC), os atacantes exploraram fluxos de trabalho legítimos de DevOps para coletar credenciais e manipular bancos de dados SQL na nuvem. Através de uma série de etapas, incluindo a modificação de políticas de autenticação multifatorial e a injeção de comandos em recursos do Kubernetes, o grupo conseguiu escalar privilégios e acessar informações sensíveis, culminando em saques significativos de criptomoedas. Este incidente destaca os riscos críticos associados ao uso de métodos de transferência de dados pessoais para corporativos e à gestão inadequada de segredos em ambientes de nuvem. Especialistas recomendam que as organizações adotem estratégias de defesa em profundidade e implementem controles rigorosos para mitigar tais ameaças.

Um novo grupo de ameaças cibernéticas, identificado como CL-UNK-1068, tem atacado organizações de alto valor na Ásia, incluindo setores de aviação, energia, governo e tecnologia. A Palo Alto Networks atribui a atividade a um ator de ameaças chinês, com foco em espionagem cibernética. Os ataques utilizam um conjunto diversificado de ferramentas, incluindo malware personalizado e utilitários de código aberto, visando ambientes Windows e Linux. Técnicas como o uso de shells web e a coleta de dados sensíveis, como senhas e arquivos de configuração, foram observadas. Os atacantes também utilizam métodos inovadores para exfiltrar dados, como a codificação Base64 de arquivos, evitando o upload direto. A análise sugere que, apesar do foco em roubo de credenciais e dados sensíveis, não se pode descartar intenções criminosas. A operação é considerada de médio a alto risco, dada a natureza crítica dos setores atacados e a possibilidade de impactos significativos em conformidade com a LGPD.

A Cloudflare divulgou seu Relatório Anual de Ameaças de 2026, destacando como hackers estão explorando fraquezas tecnológicas em um cenário onde a interconexão de sistemas é cada vez mais comum. Os cibercriminosos estão utilizando os próprios serviços das vítimas para realizar ataques, aproveitando a facilidade de acesso a dados e sistemas. A pesquisa revela que a barreira de entrada para ataques cibernéticos diminuiu, permitindo que atacantes usem identidades e tokens para explorar brechas em sistemas de nuvem. Blake Darché, diretor de inteligência de ameaças da Cloudflare, alerta que a situação tende a piorar, especialmente com o avanço das ferramentas de inteligência artificial. Os ataques baseados em identidade estão se tornando tão eficazes quanto malwares complexos, mudando a forma como a eficiência dos ataques é medida. A Cloudflare sugere que a eficiência deve ser avaliada pela relação entre o esforço do hacker e o objetivo alcançado, indicando uma nova era de ameaças digitais que requer atenção redobrada das organizações.

Uma nova pesquisa da Symantec e Carbon Black revelou que um grupo de hackers iraniano, conhecido como MuddyWater, está infiltrando-se em redes de várias empresas dos Estados Unidos, incluindo bancos e aeroportos. A campanha, que começou em fevereiro de 2026, coincide com ataques militares dos EUA e de Israel ao Irã. Os hackers estão utilizando uma nova backdoor chamada Dindoor, que opera com o runtime JavaScript Deno, e tentaram exfiltrar dados de uma empresa de software que fornece serviços para a indústria de defesa. Além disso, uma backdoor em Python chamada Fakeset foi encontrada em redes de um aeroporto e de uma organização sem fins lucrativos. O uso de certificados digitais comuns entre diferentes malwares sugere que o mesmo grupo está por trás dessas atividades. A pesquisa destaca a crescente sofisticação dos atores de ameaças iranianos, que têm demonstrado habilidades avançadas em engenharia social e ataques cibernéticos. O contexto de conflito militar no Oriente Médio tem intensificado as operações cibernéticas, com grupos hacktivistas pro-Palestina também realizando ataques. As organizações são aconselhadas a reforçar suas posturas de cibersegurança, implementando autenticação multifator e segmentação de rede.

O FBI dos Estados Unidos confirmou na quinta-feira que está investigando uma violação de segurança que afetou sistemas utilizados para gerenciar mandados de vigilância e escuta telefônica. Embora a agência não tenha fornecido detalhes sobre a extensão e o impacto do incidente, afirmou que as atividades suspeitas foram identificadas e tratadas. Fontes anônimas indicam que a violação comprometeu sistemas críticos para a supervisão de escuta e vigilância de inteligência estrangeira. Além disso, há indícios de que hackers chineses, parte de um grupo apoiado pelo Estado chamado Salt Typhoon, também comprometeram sistemas do governo federal dos EUA em 2024, acessando redes de provedores de telecomunicações e as comunicações privadas de alguns oficiais do governo. O FBI já havia enfrentado incidentes anteriores, como o ataque a seus servidores de e-mail em 2021 e investigações sobre atividades cibernéticas maliciosas em 2023. Esses eventos ressaltam a crescente sofisticação das ameaças cibernéticas e a necessidade de vigilância constante.

Desde 2024, um ator de ameaça persistente avançada (APT) vinculado à China, identificado como UAT-9244, tem como alvo a infraestrutura crítica de telecomunicações na América do Sul, atacando sistemas Windows e Linux, além de dispositivos de borda. A Cisco Talos, que monitora essa atividade, descreve UAT-9244 como associado ao grupo FamousSparrow, que também possui vínculos com o grupo Salt Typhoon, conhecido por suas ações contra provedores de serviços de telecomunicações.

John Daghita, filho de um contratante do governo dos EUA, foi preso na ilha de Saint Martin, acusado de roubar mais de 46 milhões de dólares em criptomoedas do Serviço de Marshals dos EUA. A prisão foi resultado de uma operação conjunta entre o FBI e a elite da Gendarmerie Nacional da França. Daghita, que usava o pseudônimo ‘Lick’, é filho de Dean Daghita, CEO da Command Services & Support, empresa que gerencia ativos digitais apreendidos pelo governo. As investigações revelaram que Daghita teria movimentado grandes quantias de criptomoedas, ligadas a um dos maiores roubos de criptomoedas da história, o hack da Bitfinex em 2016, que resultou no roubo de 120.000 bitcoins. O investigador ZachXBT foi crucial para a descoberta, rastreando os movimentos de carteiras digitais e expondo Daghita em um chat privado no Telegram. Após a divulgação, Daghita teria zombado do investigador, enviando pequenas quantias das criptomoedas roubadas como forma de provocação. A operação destaca a importância da cooperação internacional no combate a crimes cibernéticos.

Autoridades de segurança da Espanha e da Ucrânia desmantelaram uma rede criminosa que explorava mulheres ucranianas deslocadas pela guerra para operar um esquema de apostas online que lavou cerca de €4,75 milhões em lucros ilícitos. O grupo recrutava jovens mulheres de áreas em conflito, financiando sua viagem para a Espanha, onde as mantinham sob controle rigoroso. Após a chegada, as vítimas eram orientadas a abrir contas bancárias e cartões de crédito, que eram imediatamente controlados pelos criminosos. As contas eram utilizadas em uma operação de fraude automatizada, que realizava milhares de apostas simultâneas em plataformas de jogos online, utilizando identidades roubadas de mais de 5.000 cidadãos de 17 nacionalidades. A investigação conjunta resultou na prisão de 12 suspeitos e na apreensão de diversos equipamentos e propriedades, além do bloqueio de contas em 11 países. Este caso destaca a vulnerabilidade das mulheres em situações de conflito e a utilização de tecnologia para fraudes financeiras.

O Relatório de Segurança dos Navegadores 2026 revela que os navegadores se tornaram o ponto de controle mais crítico e menos protegido nas empresas. Com a evolução dos navegadores nativos de IA, que passaram de ferramentas experimentais para plataformas de negócios, a forma como os usuários interagem com dados e aplicações mudou drasticamente. Em 2025, 41% dos usuários finais utilizaram pelo menos uma ferramenta de IA, mas a governança não acompanhou essa adoção, resultando em um uso fragmentado e inseguro. O relatório destaca que 54% das entradas sensíveis em aplicativos web foram enviadas para contas corporativas, enquanto 46% foram para contas pessoais, evidenciando a vulnerabilidade na proteção de dados. Além disso, ataques baseados em navegadores, como phishing e extensões maliciosas, estão se tornando mais comuns, enquanto as soluções tradicionais de segurança falham em detectar essas ameaças. O uso de extensões de navegador, muitas vezes consideradas inofensivas, representa um risco significativo, com 13% delas classificadas como de alto ou crítico risco. O relatório conclui que as estratégias de segurança precisam evoluir para incluir visibilidade e controle nativos dos navegadores, a fim de mitigar esses riscos emergentes.

Pesquisadores em cibersegurança alertam sobre um aumento significativo na atividade hacktivista em resposta à campanha militar coordenada entre os EUA e Israel contra o Irã, denominada Epic Fury e Roaring Lion. Entre 28 de fevereiro e 2 de março de 2026, 149 ataques DDoS foram registrados, com 70% deles atribuídos a dois grupos principais: Keymous+ e DieNet. O grupo Hider Nex, que apoia causas pró-Palestina, foi responsável pelo primeiro ataque DDoS da série. A maioria dos ataques se concentrou no Oriente Médio, afetando principalmente a infraestrutura pública e alvos governamentais. Além disso, grupos hacktivistas pro-Rússia também reivindicaram invasões em redes militares israelenses. O cenário atual é marcado por uma combinação de ataques cibernéticos e campanhas de phishing, com o objetivo de causar danos econômicos e políticos. As organizações estão sendo aconselhadas a fortalecer suas posturas de segurança cibernética, especialmente em setores críticos como governo, infraestrutura e finanças, em resposta ao aumento da atividade de atores cibernéticos iranianos e hacktivistas.

Um relatório da NETSCOUT, divulgado em 4 de março de 2026, revela um aumento alarmante na sofisticação dos ataques DDoS (Negação de Serviço Distribuídos) em todo o mundo, com o Brasil se destacando como o principal alvo na América Latina. No segundo semestre de 2025, foram registrados mais de oito milhões de ataques em 203 países, com picos de até 30 Tbps. Os pesquisadores identificaram que 42% dos ataques utilizaram múltiplos vetores, dificultando a detecção. Além disso, houve um aumento significativo na utilização de botnets e ferramentas de inteligência artificial por cibercriminosos, que agora colaboram com IAs para otimizar suas operações. O Brasil sofreu mais de 470 mil ataques DDoS, representando quase metade dos incidentes na América Latina, afetando setores críticos como telecomunicações e serviços financeiros. A situação é preocupante, pois a sobrecarga nos sistemas de defesa pode comprometer serviços essenciais, como portais governamentais e financeiros.

Pesquisadores de cibersegurança revelaram detalhes sobre o grupo de ameaças persistentes avançadas (APT) conhecido como Silver Dragon, que está vinculado a ataques cibernéticos direcionados a entidades na Europa e no Sudeste Asiático desde meados de 2024. O grupo, associado ao APT41, uma notória facção de hackers chineses, utiliza técnicas sofisticadas para obter acesso inicial, como a exploração de servidores expostos na internet e o envio de e-mails de phishing com anexos maliciosos.

A Amazon confirmou que três de seus data centers da AWS foram atacados por drones nos Emirados Árabes Unidos e no Bahrein, resultando em uma queda significativa nos serviços de computação em nuvem. O ataque, que parece ser uma retaliação do Irã a operações militares dos EUA e Israel, causou danos físicos à infraestrutura, afetando diretamente as regiões ME-CENTRAL-1 e ME-SOUTH-1. As instalações atingidas enfrentaram problemas de abastecimento energético e danos adicionais devido ao combate a incêndios. A Amazon está colaborando com as autoridades locais para restaurar os serviços e recomenda que os clientes façam backup de seus dados em regiões não afetadas, como os EUA ou Ásia Pacífica. O Centro de Ciber Segurança Nacional do Reino Unido já havia alertado sobre o aumento do risco de ciberataques iranianos, o que torna a situação ainda mais crítica para empresas que dependem da AWS.