Ataque

West Pharmaceutical Services sofre ataque cibernético com vazamento de dados

A West Pharmaceutical Services, uma empresa americana de fabricação farmacêutica, revelou que foi alvo de um ataque cibernético que resultou em exfiltração de dados e criptografia de sistemas. O incidente foi detectado em 4 de maio de 2026, e a empresa ativou rapidamente seus protocolos de resposta a incidentes, incluindo a desativação global de sistemas para contenção e notificação às autoridades. A investigação em andamento busca determinar a natureza e a extensão do ataque, bem como os dados que foram roubados. Embora a empresa tenha restaurado parcialmente seus sistemas principais, a recuperação total ainda não foi alcançada, e não há previsão para a conclusão desse processo. A West Pharmaceutical Services, que possui receitas anuais superiores a US$ 3 bilhões e mais de 10.800 funcionários, não divulgou estimativas sobre o impacto financeiro do ataque. A empresa também não especificou as medidas tomadas para mitigar a disseminação dos dados exfiltrados, mas confirmou que está trabalhando com especialistas externos para lidar com a situação. Até o momento, nenhum grupo de ransomware reivindicou a responsabilidade pelo ataque.

Grupo de hackers ligado à China ataca empresa de petróleo no Azerbaijão

Um grupo de hackers associado à China, conhecido como FamousSparrow, está vinculado a uma série de intrusões em uma empresa de petróleo e gás do Azerbaijão entre dezembro de 2025 e fevereiro de 2026. A Bitdefender, empresa de cibersegurança, atribui a atividade com confiança moderada a alta a esse grupo, que já possui um histórico de ataques em outras regiões. A campanha de ataque foi caracterizada por uma ‘intrusão em múltiplas ondas’, utilizando dois tipos distintos de backdoors: Deed RAT e TernDoor. Os atacantes exploraram uma vulnerabilidade no Microsoft Exchange Server, utilizando a cadeia ProxyNotShell para obter acesso inicial. O que chama a atenção é a persistência dos atacantes em reutilizar o mesmo ponto de entrada vulnerável, mesmo após tentativas de remediação. Além disso, a técnica de side-loading de DLL foi aprimorada para evitar detecções. O ataque destaca a importância de uma vigilância contínua e a necessidade de remediação eficaz de vulnerabilidades, especialmente em um contexto onde a segurança energética da Europa está em jogo.

Google bloqueia ataque de dia zero utilizando inteligência artificial

O Google Threat Intelligence Group (GTIG) anunciou a detecção e interrupção de um ataque de dia zero que utilizou inteligência artificial (IA) pela primeira vez. O ataque, realizado por um grupo de cibercriminosos ainda não identificado, visava explorar uma vulnerabilidade em uma ferramenta de administração de sistemas open-source. O código malicioso, embutido em um script Python, permitia contornar a autenticação de dois fatores, embora os invasores ainda precisassem de credenciais válidas para acessar a plataforma. O GTIG identificou que a IA foi utilizada para descobrir e transformar a vulnerabilidade em um exploit, com evidências no código que indicam a utilização de um modelo de IA para mapear brechas e desenvolver malware. O Google trabalhou com o fornecedor afetado para corrigir a falha, e uma atualização já foi disponibilizada. Este incidente destaca uma tendência crescente entre grupos hackers que estão utilizando IA para aumentar a eficácia de seus ataques, com foco em grupos ligados à China e à Coreia do Norte, que demonstraram interesse em explorar vulnerabilidades através de técnicas avançadas.

Ataque Malicioso Leva RubyGems a Suspender Cadastro de Contas

O RubyGems, gerenciador de pacotes padrão da linguagem de programação Ruby, suspendeu temporariamente o cadastro de novas contas após um ataque malicioso significativo. Maciej Mensfeld, gerente de produto sênior da Mend.io, responsável pela segurança do RubyGems, confirmou que o ataque envolve centenas de pacotes, com foco principal na plataforma, mas também com alguns pacotes que carregam exploits. A página de cadastro do RubyGems agora exibe uma mensagem informando que o registro de novas contas está temporariamente desativado. A Mend.io planeja fornecer mais detalhes assim que a situação for controlada. Este incidente ocorre em um contexto de aumento de ataques à cadeia de suprimentos de software, onde grupos de ameaças, como o TeamPCP, têm comprometido pacotes amplamente utilizados para distribuir malware que rouba credenciais e dados sensíveis. Um relatório do Google revelou que as credenciais roubadas estão sendo monetizadas através de parcerias com grupos de ransomware e extorsão de dados. O impacto total do ataque ainda não é conhecido, e a situação está em desenvolvimento.

GhostLock nova técnica de ataque bloqueia acesso a arquivos no Windows

Um pesquisador de segurança lançou uma ferramenta chamada GhostLock, que demonstra como a API de arquivos do Windows pode ser explorada para bloquear o acesso a arquivos armazenados localmente ou em compartilhamentos de rede SMB. A técnica, desenvolvida por Kim Dvash da Israel Aerospace Industries, utiliza a função ‘CreateFileW’ e o parâmetro ‘dwShareMode’ para garantir acesso exclusivo a arquivos, impedindo que outros usuários ou aplicações os abram. A ferramenta automatiza o ataque, abrindo recursivamente um grande número de arquivos em compartilhamentos SMB, resultando em falhas de acesso com o erro ‘STATUS_SHARING_VIOLATION’. O ataque pode ser realizado por usuários comuns de domínio, sem necessidade de privilégios elevados, e se torna mais eficaz se executado a partir de múltiplos dispositivos comprometidos. Dvash classifica a técnica como um ataque de interrupção, semelhante a um ataque de negação de serviço, que pode ser usado como uma distração durante intrusões. Embora a técnica não cause perda de dados, ela pode sobrecarregar as equipes de TI, permitindo que atacantes realizem atividades maliciosas em outras partes do ambiente. O pesquisador também forneceu consultas SIEM e regras de detecção para ajudar as equipes de segurança a identificar esse tipo de ataque.

Ataque à cadeia de suprimentos compromete plugin do Jenkins

A Checkmarx confirmou a publicação de uma versão modificada do plugin Jenkins AST no Jenkins Marketplace, alertando os usuários para utilizarem a versão 2.0.13-829.vc72453fa_1c16, lançada em 17 de dezembro de 2025, ou versões anteriores. A nova versão, 2.0.13-848.v76e89de8a_053, foi disponibilizada, mas a empresa ainda está trabalhando em uma nova atualização. O ataque foi atribuído ao grupo cibercriminoso TeamPCP, que já havia comprometido anteriormente a imagem Docker KICS da Checkmarx, extensões do VS Code e um fluxo de trabalho do GitHub Actions para implantar malware que rouba credenciais. O acesso não autorizado ao repositório do plugin no GitHub permitiu que o grupo renomeasse o repositório para uma mensagem provocativa, evidenciando a falha na rotação de segredos por parte da Checkmarx. A rápida reentrada do TeamPCP sugere que a remediação inicial pode ter sido incompleta ou que o grupo ainda mantém um ponto de acesso não identificado. Este incidente destaca a vulnerabilidade da cadeia de suprimentos de software e a necessidade de vigilância contínua contra tais ameaças.

Falhas de Segurança em Sistemas de Nuvem e Malware Emergente

O cenário de cibersegurança continua a ser alarmante, com novas vulnerabilidades sendo exploradas ativamente. Recentemente, a Ivanti alertou sobre a exploração de uma falha crítica (CVE-2026-6973) em seu Endpoint Manager Mobile, permitindo que usuários autenticados executem código remotamente. Além disso, uma vulnerabilidade zero-day em firewalls da Palo Alto Networks (CVE-2026-0300) também está sendo explorada, afetando cerca de 263 mil hosts expostos na Internet.

Outro destaque é o surgimento do Quasar Linux RAT, um trojan modular que transforma sistemas Linux em pontos de entrada para ataques em cadeia, utilizando uma rede P2P para comunicação entre sistemas comprometidos. A campanha PCPJack, que substitui o malware TeamPCP, visa roubar credenciais de serviços em nuvem, propagando-se lateralmente em redes.

Autoridades alemãs desmantelam mercado cibernético Crimenetwork

As autoridades alemãs encerraram uma versão relançada do mercado criminoso ‘Crimenetwork’, que gerou mais de 3,6 milhões de euros. O Crimenetwork, que operava desde 2012, era o maior mercado de cibercrime online na Alemanha, com cerca de 100.000 usuários registrados, permitindo a venda de serviços ilegais, substâncias e dados roubados. Em dezembro de 2024, o Ministério Público de Frankfurt, em conjunto com a Polícia Criminal Federal, desmantelou a operação, prendendo um dos administradores. No entanto, poucos dias após o fechamento, uma nova versão do Crimenetwork foi lançada, gerida por um novo operador. Recentemente, um homem de 35 anos foi preso em Mallorca, Espanha, sob um mandado de prisão europeu, acusado de administrar essa nova versão, que rapidamente atraiu 22.000 usuários e mais de 100 vendedores. A nova plataforma também gerou pelo menos 3,6 milhões de euros em receita. As autoridades apreenderam cerca de 194.000 euros em ativos ilícitos e coletaram dados de usuários e transações para investigações futuras. O diretor da Polícia Criminal Federal da Alemanha afirmou que o relançamento do Crimenetwork falhou e que o novo administrador enfrentará a justiça. O operador original já havia sido condenado a sete anos e 10 meses de prisão e a devolução de mais de 10 milhões de euros em lucros criminosos.

Homem é condenado por destruir bancos de dados do governo dos EUA

Um homem de 34 anos da Virgínia foi condenado por conspirar para destruir dezenas de bancos de dados do governo após ser demitido de seu trabalho como contratado federal. Sohaib Akhter e seu irmão gêmeo, Muneeb Akhter, já haviam sido condenados em 2016 por acessar sistemas do Departamento de Estado dos EUA sem autorização e roubar informações pessoais de colegas e de um agente da lei. Após cumprirem suas penas, os irmãos foram recontratados, mas foram demitidos em fevereiro de 2025 ao serem descobertos. Após a demissão, eles tentaram prejudicar a empresa acessando computadores sem autorização, escrevendo proteção em bancos de dados e deletando informações. Em um ataque coordenado, eles apagaram cerca de 96 bancos de dados do governo, incluindo documentos sensíveis de várias agências federais. Além disso, tentaram ocultar suas atividades criminosas, limpando seus laptops e discutindo como evitar a detecção. Sohaib Akhter enfrenta uma pena máxima de 21 anos, enquanto Muneeb pode ser condenado a até 45 anos por múltiplas acusações, incluindo roubo de informações do governo e fraude computacional.

Homem é condenado a 78 meses por roubo e lavagem de criptomoedas

Um homem de 20 anos da Califórnia, Marlon Ferro, foi condenado a 78 meses de prisão por seu papel em um esquema criminoso que roubou mais de 250 milhões de dólares em criptomoedas. Ferro, conhecido online como GothFerrari, foi preso em maio de 2025, portando armas e documentos falsos. Ele se declarou culpado em outubro e foi condenado a pagar 2,5 milhões de dólares em restituição, além de três anos de liberdade supervisionada. O grupo criminoso, ativo entre 2023 e 2025, utilizou engenharia social para enganar vítimas e obter acesso a carteiras digitais. Quando as vítimas armazenavam fundos em carteiras de hardware, Ferro realizava invasões residenciais para roubar esses dispositivos. Em um caso, ele roubou uma carteira contendo cerca de 100 Bitcoins, avaliados em mais de 5 milhões de dólares na época. O esquema envolveu também a lavagem de dinheiro por meio de exchanges de criptomoedas e a compra de bens de luxo. Além de Ferro, outros membros do grupo também foram condenados, totalizando 14 suspeitos envolvidos em uma conspiração de RICO, que resultou em perdas significativas para as vítimas. O caso destaca a combinação de fraudes online sofisticadas com métodos tradicionais de roubo, evidenciando a necessidade de vigilância e proteção contra tais ameaças.

Nacionais dos EUA são condenados por fraudes com trabalhadores de TI da Coreia do Norte

Dois cidadãos americanos, Matthew Isaac Knoot e Erick Ntekereze Prince, foram condenados a 18 meses de prisão por operar ‘fazendas de laptops’ que ajudaram trabalhadores de TI da Coreia do Norte a obter empregos remotos fraudulentos em quase 70 empresas americanas. Knoot, que atuou de julho de 2022 a agosto de 2023, usou identidades roubadas para receber laptops de empresas e instalou softwares de acesso remoto, permitindo que os trabalhadores norte-coreanos se passassem por funcionários legítimos. As empresas afetadas pagaram mais de $250.000 a esses trabalhadores. Prince, por sua vez, facilitou a contratação de pelo menos três trabalhadores de TI da Coreia do Norte entre junho de 2020 e agosto de 2024, resultando em pagamentos superiores a $943.000, a maior parte dos quais foi enviada para o exterior. Além das penas de prisão, Knoot foi condenado a pagar $15.100 em restituição, enquanto Prince teve que devolver $89.000. O FBI alerta que a Coreia do Norte mantém uma grande força de trabalhadores de TI que utilizam roubo de identidade para se infiltrar em empresas americanas, representando uma ameaça crescente à segurança cibernética.

Hackers iranianos disfarçam espionagem como ataque de ransomware

O grupo de hackers iranianos MuddyWater disfarçou suas operações como um ataque de ransomware Chaos, utilizando engenharia social via Microsoft Teams para obter acesso e estabelecer persistência em sistemas. O ataque envolveu roubo de credenciais, acesso remoto, exfiltração de dados e envio de e-mails de extorsão, mas a Rapid7 acredita que o componente de ransomware foi uma estratégia para ocultar a verdadeira operação de ciberespionagem e dificultar a atribuição do ataque. A análise sugere que o objetivo principal não era o ganho financeiro, mas sim a espionagem. A Rapid7 tem confiança moderada em atribuir o incidente ao MuddyWater, um grupo associado ao Ministério da Inteligência e Segurança do Irã, com base em sobreposição de infraestrutura e técnicas operacionais. O ataque começou com engenharia social no Microsoft Teams, onde os hackers iniciaram chats com funcionários, manipularam configurações de autenticação multifator e implantaram ferramentas de acesso remoto. Após comprometer contas, os atacantes utilizaram um loader de malware para implantar um backdoor disfarçado, que possui funcionalidades avançadas para execução de comandos e acesso persistente. Este incidente destaca a convergência entre atividades de intrusão patrocinadas por estados e técnicas criminosas.

Estudante em Taiwan interfere em sistema ferroviário e é preso

Um estudante universitário de 23 anos em Taiwan foi preso por interferir no sistema de comunicação TETRA, utilizado pela rede ferroviária de alta velocidade do país (THSR). Em 5 de abril, ele paralisou quatro trens por 48 minutos ao transmitir um sinal de ‘Alarme Geral’ usando rádios manuais e equipamentos de rádio definidos por software (SDR). O THSR, que opera uma linha de 350 km com trens que alcançam até 300 km/h, transporta anualmente 81,8 milhões de passageiros, sendo um serviço vital e subsidiado pelo governo. O estudante, identificado pelo sobrenome Lin, interceptou e decodificou parâmetros do sistema TETRA, que não foram atualizados em 19 anos, permitindo que ele burlasse sete camadas de verificação. A polícia prendeu Lin após rastrear o sinal de rádio não autorizado até sua residência, onde foram encontrados 11 rádios manuais, um SDR e um laptop. Ele enfrenta acusações sob o Artigo 184 da Lei Penal, com pena de até 10 anos de prisão, e atualmente está sob fiança de NT$100.000. A defesa alega que a transmissão foi acidental, mas as autoridades consideram essa justificativa pouco convincente.

Tokens OAuth Risco crescente para a segurança empresarial

Um novo estudo destaca a vulnerabilidade das organizações em relação aos tokens OAuth, que não expiram e não são monitorados adequadamente. Com a crescente adoção de ferramentas de IA e automação, muitos funcionários conectam aplicativos diretamente ao Google ou Microsoft, gerando tokens persistentes que podem ser explorados por atacantes. O incidente com a Drift, onde um ator malicioso acessou dados de mais de 700 organizações usando tokens OAuth legítimos, exemplifica a gravidade do problema. A pesquisa revela que 80% dos líderes de segurança consideram os tokens OAuth não gerenciados um risco significativo, mas 45% das organizações não monitoram esses acessos. Para mitigar esse risco, é essencial implementar um monitoramento contínuo do comportamento dos aplicativos conectados, avaliando não apenas as permissões concedidas, mas também as ações realizadas ao longo do tempo. Ferramentas como o OAuth Threat Remediation Agent da Material Security oferecem uma solução para essa lacuna, permitindo que as empresas identifiquem e revoguem rapidamente acessos de alto risco.

Grupo APT ligado à China ataca entidades governamentais na América do Sul

Um grupo avançado de ameaças persistentes (APT) com vínculos à China, identificado como UAT-8302, tem sido responsável por ataques direcionados a entidades governamentais na América do Sul desde o final de 2024 e em agências governamentais do sudeste europeu em 2025. A Cisco Talos está monitorando essa atividade, que envolve a utilização de malwares personalizados, como o backdoor NetDraft, uma variante em C# do FINALDRAFT. Este malware já foi associado a outros grupos de hackers alinhados à China, como Ink Dragon e Earth Alux. Além do NetDraft, o UAT-8302 utiliza ferramentas como CloudSorcerer e SNOWLIGHT, que têm sido observadas em ataques a entidades russas. Os métodos de acesso inicial do grupo ainda não são totalmente conhecidos, mas suspeita-se que envolvam a exploração de vulnerabilidades em aplicações web. Após obter acesso, os atacantes realizam uma extensa exploração da rede, utilizando ferramentas de código aberto para mapear o ambiente e se mover lateralmente. A colaboração entre grupos alinhados à China está em ascensão, com práticas como o “Premier Pass-as-a-Service”, onde o acesso inicial é compartilhado entre diferentes grupos para exploração subsequente, aumentando o risco de exposição. Essa situação destaca a necessidade de vigilância e proteção robusta para as entidades governamentais e outras organizações potencialmente afetadas.

Ataque à cadeia de suprimentos compromete software DAEMON Tools

Um ataque à cadeia de suprimentos recentemente identificado comprometeu o software DAEMON Tools, segundo a Kaspersky. Os instaladores do software, distribuídos pelo site oficial e assinados digitalmente, foram adulterados desde 8 de abril de 2026. As versões afetadas variam de 12.5.0.2421 a 12.5.0.2434. Três componentes principais foram comprometidos: DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe. Quando um desses arquivos é executado, um implante é ativado, enviando requisições HTTP para um servidor externo para receber comandos que baixam e executam cargas maliciosas. A Kaspersky observou milhares de tentativas de infecção em mais de 100 países, incluindo o Brasil, mas a entrega do malware avançado foi restrita a um pequeno número de alvos, sugerindo uma abordagem direcionada. O malware inclui um trojan de acesso remoto, QUIC RAT, e suporta múltiplos protocolos de comando e controle. A falta de atribuição a um ator específico e a sofisticação do ataque indicam um risco elevado, especialmente para organizações que utilizam o DAEMON Tools. A Kaspersky recomenda que as empresas isolem máquinas afetadas e realizem varreduras de segurança para evitar a propagação do malware.

A ascensão de ataques cibernéticos assistidos por IA

Em dezembro de 2025, um adolescente de 17 anos foi preso em Osaka por invadir o sistema do Kaikatsu Club, a maior rede de cafés da internet do Japão, roubando dados pessoais de mais de 7 milhões de usuários. Sua motivação? Comprar cartas de Pokémon. Este caso ilustra uma nova era de cibercrime, onde a inteligência artificial (IA) tem facilitado ataques cibernéticos, permitindo que indivíduos sem formação técnica realizem ações complexas. Em 2025, o uso de sistemas de codificação assistidos por IA, como ChatGPT e Claude Code, resultou em um aumento significativo na frequência e gravidade dos crimes cibernéticos. O número de pacotes maliciosos em repositórios públicos cresceu 75%, e as intrusões em nuvem aumentaram 35%. Além disso, o tempo para explorar vulnerabilidades caiu drasticamente, de mais de 700 dias em 2020 para apenas 44 dias em 2025. Com a capacidade de IA superando as defesas tradicionais, as organizações enfrentam um cenário em que 45% das vulnerabilidades em sistemas de grandes empresas nunca são corrigidas. A resposta a essa nova realidade exige uma abordagem inovadora, como a proposta da Chainguard, que busca eliminar categorias inteiras de vulnerabilidades, protegendo as empresas de ataques estruturais.

Hackers usam torres de celular falsas em Toronto para sequestrar dispositivos

Recentemente, autoridades canadenses revelaram uma operação de cibersegurança em Toronto, onde hackers utilizaram torres de celular falsas para sequestrar milhares de dispositivos móveis. Os criminosos dirigiram por áreas urbanas com equipamentos que imitavam torres de celular legítimas, forçando os telefones próximos a se conectarem a essas redes fraudulentas. Essa manobra resultou em mais de 13 milhões de interrupções de rede, permitindo que os atacantes enviassem mensagens fraudulentas que pareciam vir de instituições confiáveis, levando os usuários a sites falsos para roubo de credenciais e pagamentos não autorizados. O impacto vai além de perdas financeiras, pois a interferência nas conexões pode comprometer o acesso a serviços de emergência, como polícia e ambulâncias. A operação, considerada a primeira do tipo no Canadá, destaca a vulnerabilidade das redes móveis e a necessidade de medidas de segurança mais robustas. Embora a operação tenha sido encerrada, a ameaça de torres de celular falsas continua a ser uma preocupação global, com casos semelhantes registrados em outros países.

Campanha de espionagem cibernética ligada à China atinge governos na Ásia

Pesquisadores de cibersegurança revelaram uma nova campanha de espionagem cibernética alinhada à China, focada em setores governamentais e de defesa na Ásia e em um país europeu da OTAN. A Trend Micro identificou a atividade como pertencente ao grupo SHADOW-EARTH-053, ativo desde dezembro de 2024. O grupo explora vulnerabilidades conhecidas em servidores Microsoft Exchange e Internet Information Services (IIS), utilizando técnicas como o uso de web shells e implantes de malware ShadowPad. Os alvos incluem países como Paquistão, Tailândia, Malásia, Índia, Mianmar, Sri Lanka e Taiwan, além da Polônia na Europa. A campanha utiliza ferramentas de tunneling de código aberto e técnicas de escalonamento de privilégios, como Mimikatz. A Trend Micro recomenda que as organizações priorizem a aplicação de atualizações de segurança e considerem a implementação de sistemas de prevenção de intrusões. Além disso, o Citizen Lab destacou campanhas de phishing por grupos afiliados à China, visando jornalistas e ativistas, com táticas de engenharia social bem elaboradas. Essas atividades refletem uma repressão transnacional digital, alinhada com as prioridades de inteligência do governo chinês.

Grupos cibercriminosos atacam ambientes SaaS com alta velocidade

Pesquisadores em cibersegurança alertam sobre dois grupos de cibercrime, Cordial Spider e Snarky Spider, que estão realizando ataques rápidos e de alto impacto em ambientes de Software como Serviço (SaaS). Esses grupos, ativos desde pelo menos outubro de 2025, utilizam táticas como phishing por voz (vishing) para direcionar usuários a páginas de login falsas, onde capturam dados de autenticação. Ao operar quase exclusivamente em ambientes SaaS confiáveis, eles minimizam suas pegadas digitais, dificultando a detecção por parte das equipes de segurança. Os ataques têm como alvo principalmente setores de varejo e hospitalidade, e os invasores são conhecidos por registrar novos dispositivos para contornar a autenticação multifatorial (MFA) e suprimir notificações de e-mail sobre registros não autorizados. A exfiltração de dados ocorre rapidamente, geralmente em menos de uma hora, e os atacantes visam contas privilegiadas para acessar informações sensíveis em plataformas como Google Workspace e Salesforce. A combinação de velocidade e precisão torna esses ataques particularmente desafiadores para a defesa.

Romeno condenado por ataques de swatting a autoridades nos EUA

Thomasz Szabo, um cidadão romeno de 27 anos, foi condenado a quatro anos de prisão federal por liderar um esquema de swatting que visou mais de 75 autoridades públicas, jornalistas e instituições religiosas nos Estados Unidos. O swatting é uma tática criminosa que envolve fazer falsas denúncias a serviços de emergência, provocando respostas policiais armadas. Szabo, extraditado da Romênia em novembro de 2024, se declarou culpado de conspiração e ameaças envolvendo explosivos em junho de 2025. Ele operava sob vários pseudônimos e incentivou seus seguidores a realizar ataques semelhantes, resultando em uma série de ameaças que custaram mais de 500 mil dólares em recursos públicos. Entre as ameaças, destacam-se uma tentativa de ataque em sinagogas de Nova York e uma ameaça de explosão no Capitólio dos EUA. O FBI destacou que os ataques de Szabo drenaram recursos da polícia e colocaram civis inocentes em risco. A condenação é um passo importante para desestimular a prática do swatting, que muitos ainda consideram uma brincadeira. O caso também envolve um cúmplice sérvio, Nemanja Radovanovic, que enfrenta processos separados.

Uma análise técnica das primeiras 24 horas como atacantes visam ativos expostos

O artigo de Topher Lyons, da Sprocket Security, destaca a rapidez com que atacantes identificam e exploram novos ativos expostos na internet. Assim que um ativo recebe um endereço IP público, um cronômetro começa a contar, e em minutos, ele já pode estar sendo sondado por scanners automatizados como Shodan e Censys. O processo se desenrola em etapas: em até uma hora, os scanners catalogam portas abertas e informações de serviços; em até seis horas, começa a enumeração ativa, onde ferramentas de ataque realizam tentativas de acesso. Após 12 horas, a probabilidade de comprometimento é alarmante, com 80% dos ativos testados sendo invadidos nesse período. O artigo também enfatiza a importância de ter visibilidade contínua sobre a superfície de ataque externa, destacando que muitos ativos expostos podem ser desconhecidos até mesmo para as equipes de segurança. Um exemplo prático ilustra como uma API oculta foi descoberta em um aplicativo web, expondo dados sensíveis sem autenticação. A Sprocket Security oferece uma solução que permite às organizações identificar e mitigar esses riscos antes que os atacantes o façam.

Pacotes npm da SAP comprometidos em ataque à cadeia de suprimentos

Pesquisadores de segurança relataram que múltiplos pacotes npm oficiais da SAP foram comprometidos em um ataque à cadeia de suprimentos, atribuído ao grupo TeamPCP. Os pacotes afetados incluem @cap-js/sqlite, @cap-js/postgres, @cap-js/db-service e mbt, que são utilizados no desenvolvimento de aplicações na nuvem. A modificação maliciosa incluiu um script ‘preinstall’ que, ao ser executado, baixava um runtime JavaScript e executava um payload ofuscado para roubar credenciais e tokens de autenticação de sistemas de desenvolvedores. O malware visava informações sensíveis, como tokens do npm e GitHub, chaves SSH, credenciais de nuvem e segredos de pipelines CI/CD. Além disso, o malware tentava extrair segredos diretamente da memória dos runners de CI, burlando medidas de segurança. Os dados coletados eram criptografados e enviados para repositórios públicos do GitHub, com descrições que remetiam a ataques anteriores. A origem da violação ainda é desconhecida, mas há indícios de que um token npm pode ter sido exposto devido a uma configuração inadequada em um job do CircleCI. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante em ambientes de desenvolvimento.

Polícia Ucraniana prende hackers que roubaram 610 mil contas do Roblox

A polícia da Ucrânia prendeu três indivíduos envolvidos em um esquema de hacking que comprometeu mais de 610 mil contas do jogo Roblox, resultando em um lucro de aproximadamente 225 mil dólares. As prisões ocorreram em Lviv, após a realização de dez buscas em locais relacionados aos suspeitos, onde foram apreendidos 35 mil dólares em dinheiro, 37 celulares, 11 computadores de mesa, sete laptops, cinco tablets e quatro pen drives. Embora a polícia não tenha especificado a plataforma de jogo inicialmente, o Escritório do Procurador Geral confirmou que as contas afetadas pertenciam ao Roblox. Os hackers, com idades entre 19 e 22 anos, utilizavam malware disfarçado de ferramenta de aprimoramento de jogos para roubar credenciais de login dos usuários. As contas roubadas eram categorizadas por valor e vendidas em um site russo e em comunidades online fechadas. Os acusados enfrentam penas de até 15 anos de prisão por roubo e interferência não autorizada em sistemas de TI. A investigação continua para identificar outros possíveis cúmplices e vítimas.

A Revolução da Cibersegurança Validação de Exposição Autônoma

Em fevereiro de 2026, pesquisadores identificaram uma mudança significativa nas táticas de ciberataques, com criminosos cibernéticos utilizando configurações personalizadas de inteligência artificial (IA) para automatizar ataques diretamente na cadeia de destruição. Essa nova abordagem vai além de e-mails de phishing mais sofisticados; agora, agentes autônomos conseguem mapear o Active Directory e obter credenciais de Administrador de Domínio em questão de minutos. O desafio para as equipes de defesa é evidente: enquanto os atacantes operam em velocidade de máquina, as defesas ainda seguem um fluxo de trabalho tradicional e lento, que envolve múltiplas equipes (CTI, Red Team e Blue Team) e gera atrasos. Para enfrentar essa nova realidade, a Picus Security está promovendo um webinar sobre Validação de Exposição Autônoma, que promete apresentar um novo paradigma defensivo. Os participantes aprenderão sobre a mecânica dos ataques autônomos, como automatizar a ingestão de inteligência de ameaças e simular ataques sem comprometer a rede, além de estratégias para eliminar a fragmentação entre as equipes de segurança. Com a evolução das ferramentas dos atacantes, é crucial que as defesas também se atualizem para garantir a proteção eficaz das organizações.

Invasão de sistema em 27 segundos como os ataques cibernéticos mudaram

Em 2025, o tempo médio entre a invasão de uma rede corporativa e a movimentação do invasor para outra máquina caiu para 29 minutos, uma redução significativa em relação aos 48 minutos de 2024. O relatório da CrowdStrike revela que o caso mais rápido de roubo de dados ocorreu em apenas 27 segundos. Esse intervalo, conhecido como ‘breakout time’, representa o tempo que as equipes de segurança têm para detectar e conter um ataque antes que ele se espalhe pela rede. Além disso, 82% dos ataques em 2025 não utilizaram malware, com os invasores utilizando credenciais legítimas para operar como usuários autorizados. Essa mudança na abordagem dos ataques, que agora se concentram em métodos mais sutis, como o uso de credenciais válidas, torna a detecção mais difícil. A adoção de inteligência artificial por grupos criminosos também aumentou, com um crescimento de 89% nos ataques que utilizam essa tecnologia. O grupo FAMOUS CHOLLIMA, vinculado à Coreia do Norte, destacou-se por sua infiltração em processos seletivos para inserir atacantes dentro das empresas. O relatório alerta para a crescente sofisticação e velocidade dos ataques cibernéticos, exigindo uma resposta mais ágil e eficaz das equipes de segurança.

Estratégias de OPSEC em Operações de Cibercrime

Um recente post em um fórum de cibercrime revela um framework de segurança operacional (OPSEC) estruturado, desenvolvido por um ator de ameaças para operações de ‘carding’ em grande escala. O autor enfatiza que a maioria das interrupções em operações cibercriminosas não ocorre devido a detecções sofisticadas, mas sim a erros operacionais básicos, como reutilização de identidade e separação inadequada de infraestrutura. O framework é dividido em três camadas: a camada pública, que utiliza dispositivos limpos e IPs residenciais; a camada operacional, que é isolada e utiliza containers criptografados; e a camada de extração, focada na monetização com canais dedicados e sistemas isolados. O ator também destaca erros comuns que expõem operações, como a reutilização de identidades e a falta de medidas adequadas de evasão de impressão digital. Além disso, técnicas avançadas como gatilhos com atraso e randomização comportamental são sugeridas para aumentar a resiliência. Este framework oferece uma visão valiosa sobre como os cibercriminosos estruturam sua segurança operacional, o que pode ajudar defensores a entender melhor as táticas utilizadas por esses atores.

Cidadão americano é preso na Finlândia por envolvimento em cibercrime

Um jovem de 19 anos, cidadão dos Estados Unidos e da Estônia, foi preso na Finlândia sob acusações federais nos EUA, sendo acusado de ser um membro ativo do coletivo de hackers Scattered Spider. De acordo com documentos judiciais, o suspeito, que usava o pseudônimo ‘Bouquet’, teria ajudado a extorquir milhões de dólares de grandes corporações ao redor do mundo. Ele foi detido no aeroporto de Helsinque enquanto tentava embarcar para o Japão. As acusações incluem fraude eletrônica, conspiração e invasão de computadores. O coletivo Scattered Spider, que surgiu em 2022, é conhecido por suas táticas de engenharia social e ataques de phishing, visando roubar credenciais de usuários e documentos sensíveis. Entre as vítimas estão empresas renomadas como Caesars e MGM Resorts. O caso destaca a crescente ameaça de grupos de hackers jovens e a necessidade de medidas de segurança robustas para proteger dados corporativos.

Nacional chinês extraditado por ciberespionagem nos EUA

Xu Zewei, um cidadão chinês de 34 anos, foi extraditado para os Estados Unidos após ser preso na Itália em julho de 2025. Ele é acusado de ser membro do grupo de hackers Silk Typhoon, supostamente patrocinado pelo governo chinês, e de ter orquestrado ataques cibernéticos contra organizações e agências governamentais americanas entre fevereiro de 2020 e junho de 2021. Entre os alvos, destaca-se uma universidade do Texas, onde informações sobre vacinas contra a COVID-19 foram roubadas. Xu enfrenta nove acusações, incluindo fraude eletrônica e roubo de identidade agravado. A acusação alega que ele e seu co-réu, Zhang Yu, realizaram os ataques sob a direção do Ministério da Segurança do Estado da China, utilizando vulnerabilidades conhecidas no Microsoft Exchange Server, um software amplamente utilizado para gerenciamento de e-mails. Apesar das acusações, Xu nega envolvimento e afirma que sua prisão foi um erro de identidade. Zhang Yu permanece foragido. Este caso destaca a crescente preocupação com a cibersegurança e a espionagem estatal, especialmente em um contexto de pesquisa crítica como a da COVID-19.

Quando a correção não é rápida o suficiente, NDR ajuda a conter ameaças

O avanço da inteligência artificial (IA) está transformando o cenário da cibersegurança, tornando o tempo disponível para correção de vulnerabilidades quase nulo. O modelo Claude Mythos, da Anthropic, demonstrou que a identificação de falhas exploráveis em sistemas operacionais e navegadores, que antes demandava semanas de trabalho de especialistas, agora pode ser realizada em minutos. Isso levou a uma reunião urgente entre líderes financeiros dos EUA para discutir os riscos emergentes. Com a janela de exploração reduzida, as equipes de segurança precisam adotar um modelo de ‘assumir a violação’, onde a detecção e contenção de brechas em tempo real se tornam essenciais. O modelo requer três ações principais: detectar comportamentos pós-breach, reconstruir rapidamente a cadeia de ataque e conter ameaças para limitar seu impacto. A automação é crucial, desde a manutenção de um inventário de software em tempo real até a correlação de alertas para entender a extensão de um ataque. As plataformas de Detecção e Resposta de Rede (NDR) são fundamentais para identificar técnicas sofisticadas que os atacantes usam para evitar a detecção. Com a evolução das capacidades de IA, as organizações devem se preparar para um futuro de segurança mais dinâmico e adaptável.

Ciberespionagem nacional chinês extraditado dos EUA enfrenta acusações

Xu Zewei, um cidadão chinês, foi extraditado da Itália para os Estados Unidos, onde enfrentará acusações de ciberespionagem em nome dos serviços de inteligência da China. Segundo o Departamento de Justiça (DOJ) dos EUA, Xu atuava como hacker contratado pelo Ministério da Segurança do Estado (MSS) da China, realizando invasões entre fevereiro de 2020 e junho de 2021. Ele foi preso em Milão em 2025, a pedido das autoridades americanas, devido a suas ligações com o grupo de hackers Silk Typhoon, também conhecido como Hafnium. As investigações revelam que Xu participou de ataques direcionados a organizações de pesquisa sobre COVID-19, buscando informações sobre vacinas e tratamentos. Os hackers exploraram vulnerabilidades zero-day do Microsoft Exchange Server, permitindo acesso não autorizado a servidores de e-mail e redes de vítimas. O DOJ afirma que Xu e seus cúmplices operavam sob a direção de oficiais do MSS, utilizando empresas como a Shanghai Powerock Network Co., Ltd. para realizar suas operações. Xu enfrentará múltiplas acusações relacionadas a intrusões em sistemas computacionais e conspiração.

Gangue do 55 criminosos se tornam influencers de furtos no Instagram

Um novo fenômeno de criminalidade tem chamado a atenção em São Paulo, onde um grupo conhecido como ‘gangue do 55’ está gravando e publicando vídeos de seus furtos nas redes sociais, especialmente no Instagram. Os integrantes, que aparentam ser menores de idade, utilizam bicicletas para atacar vítimas, quebrando vidros de carros ou agindo em estações de metrô. Os vídeos, que frequentemente incluem comentários e emojis que glorificam os crimes, têm atraído milhares de visualizações. Além de registrar os furtos, os criminosos expõem a identidade das vítimas, publicando imagens pessoais que estavam armazenadas nos celulares roubados. A Secretaria da Segurança Pública de São Paulo informou que as forças policiais estão em ação constante para reduzir crimes patrimoniais. A Meta, empresa responsável pelo Instagram, declarou que não permite o uso da plataforma para promover atividades criminosas e incentivou a denúncia de tais conteúdos. Este caso destaca a interseção entre crime e redes sociais, levantando preocupações sobre a segurança e a privacidade dos cidadãos.

Sinais de alerta como identificar ataques cibernéticos precocemente

O artigo destaca a importância de identificar sinais precoces de ataques cibernéticos, que muitas vezes são negligenciados. Em um webinar promovido pela BleepingComputer, em parceria com a Flare e a pesquisadora Tammy Harper, serão discutidas estratégias para que equipes de segurança possam detectar esses sinais antes que se tornem incidentes. Os atacantes frequentemente revelam suas intenções em espaços públicos e semi-públicos, como fóruns da dark web e canais do Telegram. Esses sinais, que incluem pedidos de credenciais e discussões sobre novas vulnerabilidades, podem oferecer insights valiosos sobre ameaças emergentes e padrões de ataque.

Grupo hacktivista PhantomCore ataca servidores TrueConf na Rússia

O grupo hacktivista pró-Ucrânia, conhecido como PhantomCore, tem sido responsável por uma série de ataques direcionados a servidores que utilizam o software de videoconferência TrueConf na Rússia desde setembro de 2025. Segundo um relatório da Positive Technologies, os atacantes exploraram uma cadeia de três vulnerabilidades, permitindo a execução remota de comandos em servidores vulneráveis. As falhas identificadas incluem uma vulnerabilidade de controle de acesso insuficiente (BDU:2025-10114), uma falha que permite a leitura de arquivos arbitrários (BDU:2025-10115) e uma vulnerabilidade de injeção de comandos com um alto índice de severidade (BDU-2025-10116). Apesar de os patches de segurança terem sido disponibilizados em agosto de 2025, os ataques começaram a ser detectados em setembro do mesmo ano. O grupo utiliza ferramentas sofisticadas para manter a furtividade e realizar operações em larga escala, incluindo a instalação de shells web maliciosos e a coleta de credenciais. Além disso, o PhantomCore tem se mostrado ativo na busca por vulnerabilidades em softwares domésticos, o que aumenta o risco para organizações russas. Este cenário destaca a necessidade de atenção redobrada por parte das empresas, especialmente aquelas que utilizam tecnologias semelhantes ao TrueConf.

Itron revela acesso não autorizado a sistemas internos em ciberataque

A empresa de tecnologia para utilidades Itron, Inc. confirmou que um terceiro não autorizado acessou alguns de seus sistemas internos durante um ciberataque. A detecção da atividade ocorreu em abril de 2026, levando a empresa a ativar seu plano de resposta a incidentes de cibersegurança, notificar as autoridades policiais e envolver consultores externos para investigar e conter a situação. A Itron, que fornece produtos e serviços para gestão de recursos de energia e água, afirmou que a atividade não causou interrupções significativas em suas operações e que não espera impactos futuros. A empresa também indicou que a maioria dos custos relacionados ao incidente deverá ser coberta por seguros. Embora a investigação ainda esteja em andamento, a Itron assegurou que a atividade não afetou seus clientes. Até o momento, nenhum grupo de ransomware reivindicou a responsabilidade pelo ataque. A empresa, com sede em Washington, é listada na NASDAQ e atende a 7.700 clientes em 100 países, gerenciando 112 milhões de pontos finais.

Quem é o LAPSUS e por que é um dos grupos hackers mais temidos

O LAPSUS$ é um grupo de hackers que ganhou notoriedade internacional desde 2020, especialmente por seus ataques a grandes empresas de tecnologia, como Microsoft e Nvidia. Com uma abordagem agressiva, o grupo se destaca por roubar códigos-fonte e dados sensíveis, utilizando táticas de engenharia social para obter acesso legítimo aos sistemas das vítimas. Em 2022, o LAPSUS$ invadiu a Microsoft, acessando 37 GB de dados, e a Nvidia, de onde extraiu 1 TB de informações. O grupo também atacou o Ministério da Saúde do Brasil em 2021, comprometendo dados relacionados à vacinação contra a Covid-19. A maioria dos membros do LAPSUS$ é composta por adolescentes, o que surpreendeu as autoridades durante as investigações. Apesar de algumas prisões e esforços para desmantelar a organização, o LAPSUS$ continua ativo, como evidenciado pelo recente ataque à AstraZeneca, onde 3 GB de dados foram roubados. As empresas devem redobrar a atenção em suas práticas de segurança, especialmente em relação à proteção de credenciais e à mitigação de riscos associados à engenharia social.

Falha oculta em SIM permite rastreamento de localização por espiões

Pesquisadores do Citizen Lab revelaram que dois grupos de vigilância estão explorando falhas na infraestrutura global de telecomunicações para rastrear a localização de usuários de celulares. Os ataques utilizam sistemas de sinalização, como SS7 e Diameter, que são essenciais para a comunicação entre operadoras. A primeira campanha visou um alvo de alto perfil, enquanto a segunda enviou mensagens SMS invisíveis que coletavam informações de localização sem o conhecimento do usuário. O mais alarmante é que esses ataques não dependem de malware ou ações do usuário, podendo ser realizados simplesmente comprometendo a rede móvel. Além disso, o uso de VPNs não oferece proteção contra esses tipos de rastreamento, pois os ataques operam em um nível diferente da conexão de internet. Embora esses ataques pareçam direcionados a indivíduos de alto perfil, a falta de medidas de proteção efetivas para o público em geral levanta preocupações sobre a segurança das comunicações móveis. Para indivíduos em risco, a única solução viável é desativar as conexões celulares e usar apenas Wi-Fi.

Bitwarden CLI comprometido em ataque à cadeia de suprimentos

Recentemente, o Bitwarden confirmou que seu pacote CLI no npm foi comprometido por um ataque que resultou na distribuição de uma versão maliciosa (2026.4.0) entre 22 de abril de 2026, das 17h57 às 19h30 ET. O ataque, que utilizou um GitHub Action comprometido, injetou um código malicioso que coletava credenciais sensíveis, como tokens do npm e chaves SSH, de sistemas infectados. O malware, que se autopropraga, armazenava dados coletados em repositórios públicos no GitHub da vítima, utilizando uma string de referência a ataques anteriores. O Bitwarden assegurou que não houve acesso aos dados dos usuários finais e que as medidas corretivas foram tomadas imediatamente após a detecção do problema. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante em ambientes de desenvolvimento, especialmente em CI/CD, onde as credenciais podem ser reutilizadas para expandir ataques. Desenvolvedores que instalaram a versão afetada devem considerar suas credenciais como comprometidas e realizar a rotação imediata das mesmas.

Maior botnet cresce dez vezes em um ano, sinalizando riscos de DDoS

Um novo relatório da Qrator Labs revela que a maior botnet já registrada cresceu de 1,33 milhão para 13,5 milhões de dispositivos infectados em apenas um ano, um aumento alarmante de dez vezes. A maioria dos dispositivos comprometidos está localizada nos Estados Unidos, Brasil e Índia, dificultando a eficácia de bloqueios baseados em país. Um dos ataques DDoS mais significativos, com pico de 2Tbps, ocorreu no primeiro trimestre de 2026, visando uma organização do setor de apostas e durou mais de 40 minutos, com múltiplos picos de intensidade. Os pesquisadores notaram uma mudança nas táticas dos atacantes, que agora utilizam métodos multi-vetoriais, combinando tráfego de rede e de aplicação. Além disso, um novo loader de botnet, conhecido como Aeternum C2, utiliza a blockchain Polygon para suas operações, tornando a desativação mais complexa. O aumento de tráfego automatizado e ataques prolongados, como um que durou mais de duas semanas contra um alvo de e-commerce, também foram observados, destacando a evolução das ameaças cibernéticas.

Hackers ligados à China usam redes de dispositivos comprometidos

O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC-UK) e parceiros internacionais alertaram que hackers associados à China estão utilizando redes de proxy em larga escala formadas por dispositivos de consumo sequestrados para evitar detecções e disfarçar suas atividades maliciosas. O aviso conjunto, assinado por agências de países como EUA, Austrália e Canadá, destaca que muitos grupos de hackers chineses mudaram de infraestrutura individual para vastas botnets compostas principalmente por roteadores de pequenas empresas e residências, além de câmeras conectadas à internet e dispositivos de armazenamento em rede (NAS). Essas botnets permitem que os atacantes redirecionem o tráfego através de dispositivos comprometidos, dificultando a detecção geográfica. Um exemplo é a botnet Raptor Train, que infectou mais de 260 mil dispositivos em 2024 e foi associada ao grupo de hackers Flax Typhoon, apoiado pelo estado chinês. O FBI conseguiu interromper essa botnet, mas os hackers continuam a reviver redes como a KV-Botnet, que utiliza roteadores vulneráveis. As agências de inteligência ocidentais alertam que as defesas tradicionais estão se tornando menos eficazes e recomendam a implementação de autenticação multifatorial e monitoramento dinâmico de ameaças.

Ataques a senhas como a engenharia social compromete a segurança

Um estudo da Forrester estima que cada redefinição de senha custa cerca de $70, o que torna esse processo um dos pedidos mais comuns ao suporte técnico. Muitas organizações implementaram ferramentas de redefinição de senha autônoma (SSPR) para aliviar essa carga, mas ainda assim, as equipes de suporte lidam com um número significativo de solicitações. Os ataques de engenharia social, como o ocorrido com a Marks & Spencer em abril de 2025, demonstram como a redefinição de senha pode ser um alvo fácil para atacantes. Neste caso, os invasores se passaram por um funcionário da empresa e conseguiram redefinir uma senha, obtendo credenciais legítimas e acessando o Active Directory. A partir daí, eles extraíram dados sensíveis e implantaram ransomware, resultando em perdas significativas. Para mitigar esses riscos, recomenda-se a adoção de práticas como a verificação rigorosa da identidade do usuário, o uso de credenciais temporárias seguras e o monitoramento das atividades de redefinição de senha. Ferramentas como o Specops Secure Service Desk podem ajudar a fortalecer esse processo, garantindo que a verificação de identidade não dependa apenas de informações que podem ser facilmente obtidas ou adivinhadas.

Incidentes de Cibersegurança Ataques e Vulnerabilidades em Alta

O cenário de cibersegurança continua a ser alarmante, com uma série de incidentes recentes que destacam a vulnerabilidade das infraestruturas digitais. Um dos principais eventos foi o roubo de criptomoedas de $290 milhões do projeto KelpDAO, supostamente orquestrado por atores de ameaças da Coreia do Norte, que comprometeram a infraestrutura de comunicação do LayerZero. Além disso, falhas críticas em plataformas de automação residencial, como MajorDoMo, estão sendo ativamente exploradas, com vulnerabilidades que permitem execução remota de código e injeção de backdoors.

Grupo APT GopherWhisper ataca instituições governamentais da Mongólia

Instituições governamentais da Mongólia foram alvo de um novo grupo de ameaças persistentes avançadas (APT) alinhado à China, identificado como GopherWhisper. De acordo com a empresa de cibersegurança ESET, o grupo utiliza uma variedade de ferramentas, principalmente desenvolvidas em Go, para implantar backdoors e realizar comunicação de comando e controle (C&C) através de serviços legítimos como Discord, Slack e Microsoft 365 Outlook. O grupo foi descoberto em janeiro de 2025, após a identificação de um backdoor inédito chamado LaxGopher em um sistema governamental. Além do LaxGopher, o arsenal do grupo inclui outras famílias de malware, como CompactGopher e RatGopher, que realizam coleta e exfiltração de arquivos. A análise da ESET revelou que cerca de 12 sistemas associados a instituições governamentais mongóis foram infectados, com tráfego de C&C indicando várias outras vítimas. A forma como o GopherWhisper obtém acesso inicial às redes ainda não é clara, mas uma vez dentro, o grupo tenta implantar uma gama de ferramentas maliciosas. A pesquisa sugere que o grupo opera durante o horário comercial da China, reforçando a suspeita de sua origem.

Investigação revela 94 fazendas de SIM conectadas a operadoras móveis

Uma investigação realizada pela empresa de cibersegurança Infrawatch revelou a existência de 94 fazendas de SIM em 17 países, conectadas a 35 operadoras móveis, incluindo grandes redes do Reino Unido e dos Estados Unidos. Essas fazendas, que consistem em racks de cartões SIM controlados remotamente, são utilizadas para contornar sistemas de verificação baseados em telefone, como senhas de uso único enviadas por SMS. A infraestrutura é operada por uma empresa baseada na Bielorrússia, chamada ProxySmart, que fornece acesso a serviços de conectividade móvel em várias regiões. A pesquisa destacou que essas fazendas são promovidas em fóruns online e aceitam pagamentos em criptomoedas, dificultando a identificação de usuários maliciosos. A análise técnica revelou que a plataforma ProxySmart permite a rotação automática de IPs e o controle remoto de dispositivos, aumentando a dificuldade de detecção por parte das operadoras. A descoberta de tais operações levanta preocupações sobre a segurança das redes móveis e a exposição de organizações e usuários a fraudes e abusos online. A investigação foi compartilhada com autoridades de segurança antes da publicação, ressaltando a necessidade de ações mais rigorosas contra esse tipo de crime.

Ataques Baseados em Identidade A Nova Realidade da Cibersegurança

O setor de cibersegurança enfrenta um desafio crescente com ataques baseados em identidade, que continuam a ser a principal porta de entrada para invasores. Apesar do foco em ameaças sofisticadas, como exploits de zero-day e compromissos de cadeia de suprimentos, as credenciais roubadas permanecem a forma mais comum de acesso inicial. Os atacantes utilizam técnicas como credential stuffing, password spraying e phishing para obter credenciais válidas, permitindo que se infiltrar nas redes sem levantar suspeitas. Uma vez dentro, eles podem se mover lateralmente e expandir seu controle rapidamente, levando a incidentes graves, como ataques de ransomware.

Hackers norte-coreanos roubam US 290 milhões do projeto KelpDAO

Hackers patrocinados pelo Estado da Coreia do Norte são suspeitos de estarem por trás de um roubo de criptomoedas que afetou o projeto KelpDAO, resultando em perdas de aproximadamente US$ 290 milhões. O ataque também impactou protocolos de empréstimo como Compound, Euler e Aave, levando a Aave a congelar novos depósitos e empréstimos utilizando o token rsETH como colateral. O KelpDAO, um projeto de finanças descentralizadas (DeFi) na rede Ethereum, permite que os usuários depositem ETH, que são então restaked para gerar um token líquido chamado rsETH. No dia 18 de abril, o KelpDAO detectou atividades suspeitas relacionadas ao rsETH, o que levou à suspensão dos contratos. A investigação revelou que cerca de 116.500 rsETH foram roubados e enviados através do Tornado Cash para ocultar a trilha. Os atacantes comprometeram nós RPC usados para validar mensagens cross-chain, injetando dados falsificados e realizando ataques DDoS em nós saudáveis. A LayerZero, que está ajudando na investigação, acredita que o grupo Lazarus, conhecido por suas operações sofisticadas, é o responsável pelo ataque. Embora o incidente tenha causado uma perda significativa, a LayerZero afirma que não houve contágio em outros aplicativos ou ativos.

Incidentes de Cibersegurança Ataques e Vulnerabilidades em Alta

O artigo analisa uma série de incidentes de cibersegurança que revelam um padrão preocupante de ataques, onde ferramentas de terceiros são exploradas para obter acesso interno a sistemas. Um exemplo notável é a violação de dados da Vercel, que ocorreu após a comprometimento do Context.ai, uma ferramenta de inteligência artificial utilizada por um funcionário. Os atacantes conseguiram acessar ambientes internos da Vercel, expondo variáveis não sensíveis. Além disso, a operação de DDoS-for-hire foi desmantelada por autoridades, mas a resiliência desse tipo de crime continua a ser um desafio. Outro incidente envolve a botnet PowMix, que ataca trabalhadores na República Tcheca, utilizando técnicas sofisticadas para evitar detecções. O uso de extensões maliciosas do Chrome e a exploração de plugins como o Obsidian para distribuir malware também foram destacados. A crescente utilização de inteligência artificial em campanhas de fraude publicitária e a descoberta de trojans como o STX RAT e o PHANTOMPULSE ressaltam a evolução das ameaças. O artigo conclui que a confiança nas ferramentas digitais está sendo manipulada, exigindo uma vigilância constante e atualizações de segurança.

Exchange de criptomoedas Grinex suspende operações após ataque cibernético

A exchange de criptomoedas Grinex, incorporada no Quirguistão e sancionada pelo Reino Unido e pelos EUA, anunciou a suspensão de suas operações após um ataque cibernético que resultou no roubo de 13,74 milhões de dólares. A empresa afirmou que o ataque, ocorrido em 15 de abril de 2026, possui características que sugerem a participação de agências de inteligência estrangeiras, visando desestabilizar a soberania financeira da Rússia. O ataque resultou na perda de mais de 1 bilhão de rublos em fundos de usuários. Grinex é considerada uma rebranding da Garantex, que já havia sido sancionada por lavagem de dinheiro. O roubo foi realizado através de uma série de transações que evitaram a detecção e o congelamento dos ativos. A análise de blockchain revelou que os fundos roubados foram rapidamente convertidos em tokens não congeláveis, uma tática comum entre criminosos para lavar dinheiro. A situação levanta questões sobre a segurança das exchanges de criptomoedas e a possibilidade de operações de bandeira falsa, dada a natureza do ataque e o histórico da Grinex.

Exchange de criptomoedas do Quirguistão suspende operações após hack de US 13,7 milhões

A exchange de criptomoedas Grinex, baseada no Quirguistão, suspendeu suas operações após um ataque cibernético que resultou no roubo de US$ 13,7 milhões. Os fundos foram retirados de carteiras de usuários russos, uma vez que a plataforma facilita operações de troca entre negócios e indivíduos da Rússia. Grinex, que é considerada uma rebranding da exchange russa Garantex, já havia sido alvo de sanções do Departamento do Tesouro dos EUA por suas ligações com atividades ilícitas. O ataque, segundo a Grinex, foi realizado por agentes de inteligência estrangeiros com recursos tecnológicos avançados, visando diretamente a soberania financeira da Rússia. A análise da blockchain revelou que os fundos roubados foram transferidos para endereços TRON e Ethereum e convertidos em criptomoedas. Além disso, a TRM Labs identificou um segundo ataque em outra exchange, a TokenSpot, que também possui vínculos com Grinex. Embora a Grinex tenha atribuído o ataque a agências de inteligência ocidentais, não foram apresentados dados técnicos que comprovassem essa alegação.

Jovem é condenado por vender contas hackeadas da DraftKings

Kamerin Stokes, de 23 anos, foi condenado a 30 meses de prisão por vender acesso a contas da DraftKings que foram hackeadas. O ataque, realizado por Nathan Austad e Joseph Garrison, comprometeu cerca de 68 mil contas em novembro de 2022, utilizando uma técnica chamada ‘credential stuffing’, que envolve o uso de credenciais roubadas de outras brechas. Os criminosos conseguiram roubar aproximadamente 635 mil dólares de cerca de 1.600 contas comprometidas. Stokes, que comprou as contas hackeadas e as revendeu, reabriu sua loja de fraudes após ser preso e admitiu ter operado esse tipo de negócio por três anos. Além da pena de prisão, ele foi condenado a pagar mais de 1,3 milhão de dólares em restituição. O caso destaca a vulnerabilidade de plataformas de apostas online e a necessidade de medidas de segurança robustas para proteger os dados dos usuários.