Ataque

Após um ataque aéreo dos Estados Unidos que resultou na morte do líder iraniano Ali Khamenei, o Irã está se preparando para responder com ciberataques, conforme indicado por John Hultquist, analista-chefe do Grupo de Inteligência de Ameaças da Google. Durante um evento em Londres, Hultquist destacou que o país poderá direcionar suas ações contra alvos no Oriente Médio e em outras regiões, especialmente aqueles com segurança cibernética mais fraca. O especialista observou que a linha entre o governo iraniano e grupos hacktivistas tem se tornado cada vez mais tênue, o que pode facilitar a realização de ataques cibernéticos. O Centro Nacional de Ciber Segurança do Reino Unido alertou organizações ocidentais a revisarem suas posturas de segurança, uma vez que a guerra moderna é híbrida, envolvendo tanto frentes físicas quanto digitais. O cenário atual sugere que países vizinhos ao Irã, como Bahrein, Emirados Árabes Unidos e Jordânia, estão sob risco de sofrer ataques cibernéticos, o que exige uma atenção redobrada das empresas que operam na região.

A Amazon confirmou que três data centers da Amazon Web Services (AWS) nos Emirados Árabes Unidos (EAU) e um no Bahrein foram danificados por ataques aéreos com drones, resultando em uma interrupção significativa que ainda afeta diversos serviços de computação em nuvem. Os ataques são considerados uma resposta do Irã a operações militares dos EUA e de Israel na região. A empresa informou que as instalações nos EAU sofreram danos diretos, enquanto um ataque próximo ao data center no Bahrein também causou impactos na infraestrutura. Atualmente, três zonas de disponibilidade nos EAU estão ‘significativamente prejudicadas’, e uma no Bahrein enfrenta problemas de energia localizados. A Amazon está trabalhando na restauração da infraestrutura física e em caminhos de recuperação baseados em software, além de aconselhar os clientes a realizarem backups e migrarem seus dados para regiões não afetadas. O Centro Nacional de Segurança Cibernética do Reino Unido também alertou sobre um aumento no risco de ciberataques iranianos em meio ao conflito no Oriente Médio.

Um novo relatório revela que um ator de ameaças, supostamente ligado a grupos de língua russa, utilizou uma plataforma de teste de segurança assistida por inteligência artificial chamada CyberStrikeAI para atacar dispositivos Fortinet FortiGate. A análise da Team Cymru identificou o uso dessa ferramenta, que integra mais de 100 ferramentas de segurança, para realizar varreduras automatizadas em busca de vulnerabilidades. Entre janeiro e fevereiro de 2026, foram observados 21 endereços IP únicos executando o CyberStrikeAI, com servidores localizados principalmente na China, Cingapura e Hong Kong. A campanha comprometeu mais de 600 dispositivos em 55 países, utilizando serviços de IA generativa como Anthropic Claude e DeepSeek. O desenvolvedor da ferramenta, conhecido como Ed1s0nZ, tem laços com o governo chinês e interage com empresas que apoiam operações cibernéticas estatais. A crescente adoção de ferramentas de segurança ofensiva baseadas em IA, como o CyberStrikeAI, representa uma evolução preocupante na cibersegurança, exigindo atenção especial de profissionais da área.

Pesquisadores alertam sobre o uso da nova plataforma de teste de segurança de IA de código aberto, CyberStrikeAI, por um ator de ameaça que comprometeu recentemente centenas de firewalls Fortinet FortiGate. Em uma operação que durou cinco semanas, mais de 500 dispositivos FortiGate foram afetados. A equipe de inteligência de ameaças da Team Cymru identificou que o mesmo endereço IP, 212.11.64[.]250, estava executando o CyberStrikeAI, que permite a automação de ataques cibernéticos, mesmo por operadores com habilidades limitadas. A plataforma combina mais de 100 ferramentas de segurança e um motor de orquestração inteligente, facilitando a descoberta de vulnerabilidades e a visualização de resultados. Os pesquisadores observaram 21 endereços IP únicos executando o CyberStrikeAI entre janeiro e fevereiro de 2026, com servidores principalmente na China, Singapura e Hong Kong. A crescente adoção de ferramentas de orquestração nativas de IA por adversários pode acelerar o direcionamento automatizado de dispositivos expostos, como firewalls e appliances de VPN. O desenvolvedor do CyberStrikeAI, conhecido como ‘Ed1s0nZ’, tem vínculos com operações cibernéticas supostamente ligadas ao governo chinês, o que levanta preocupações sobre a segurança global.

Durante os Jogos Olímpicos de Inverno na Itália, atletas femininas se tornaram vítimas de deepfakes, uma técnica que utiliza inteligência artificial para criar imagens e vídeos falsificados. Usuários do fórum 4chan manipularam fotos e vozes de atletas como Alysa Liu, Amber Glenn e Mikaela Shiffrin, gerando conteúdos sexualizados sem consentimento. A análise de empresas como Graphika revelou que esses usuários seguem um padrão de compartilhamento, incentivando a criação e disseminação de mais deepfakes. A tecnologia de IA facilitou a produção de imagens de alta qualidade e a prática de ’nudificação’, que consiste em remover roupas de mulheres em fotos. Além disso, um vídeo gerado por IA do jogador de hóquei Brady Tkachuk, que zombava de canadenses, também se tornou viral, levantando questões sobre a autenticidade do conteúdo digital. Esses incidentes destacam a crescente preocupação com o uso indevido da inteligência artificial e a necessidade de medidas de proteção para as vítimas de tais ataques.

O artigo de Ricardo Amper, CEO da Incode, destaca a evolução dos deepfakes, que agora vão além de campanhas de desinformação e manipulação de mídia viral, sendo utilizados em fraudes dentro de processos de verificação de identidade. Com o aumento do trabalho remoto, a identidade se tornou um ponto crítico de controle e alvo para criminosos, que buscam não apenas enganar sistemas de verificação, mas estabelecer acessos duradouros. As equipes de segurança enfrentam uma convergência de táticas, incluindo rostos e vozes sintéticas de alta fidelidade, vídeos reais reproduzidos de sessões roubadas, e ataques de injeção que comprometem o fluxo de captura. O modelo de validação de sessões completo, como o proposto pelo Incode Deepsight, é essencial para garantir a autenticidade em tempo real, avaliando não apenas a aparência do rosto, mas toda a sessão de interação. A pesquisa da Purdue University valida a eficácia do Deepsight em cenários reais, mostrando que a detecção de deepfakes sozinha não é suficiente, e que a segurança deve ser reforçada em múltiplas camadas para evitar acessos não autorizados em ambientes corporativos.

O Centro Nacional de Cibersegurança do Reino Unido (NCSC) emitiu um alerta para organizações britânicas sobre o aumento do risco de ciberataques patrocinados pelo Irã, em meio ao conflito em andamento no Oriente Médio. Embora não haja uma mudança significativa na ameaça cibernética direta do Irã para o Reino Unido, o NCSC enfatiza que a situação pode evoluir rapidamente. O aviso é especialmente relevante para entidades com presença ou cadeias de suprimentos na região. Apesar do apagão de internet imposto pelo regime iraniano, grupos de hackers apoiados pelo Estado ainda podem realizar ataques. O NCSC recomenda que as organizações britânicas se preparem para possíveis ciberataques, seguindo diretrizes sobre ataques DDoS, atividades de phishing e segurança de sistemas de controle industrial (ICS). Jonathon Ellison, diretor de Resiliência Nacional do NCSC, destacou a importância de as organizações permanecerem alertas e fortalecerem suas posturas de segurança cibernética. Este alerta segue uma advertência anterior do Departamento de Segurança Interna dos EUA sobre riscos crescentes de ciberataques por grupos de hackers apoiados pelo Irã, refletindo a crescente preocupação com a segurança cibernética em um cenário global instável.

O crescimento rápido do tráfego em aplicações SaaS pode esconder um problema sério: ataques automatizados. Embora as métricas de uso, como inscrições e chamadas de API, pareçam positivas, muitos usuários não ativam suas contas e os custos operacionais aumentam. O artigo destaca a importância de um firewall de aplicação web (WAF) como o SafeLine, que analisa cada requisição HTTP antes que ela chegue ao código da aplicação. O SafeLine não apenas bloqueia ataques comuns, como injeções SQL e XSS, mas também identifica comportamentos anômalos que podem indicar abusos, como inscrições falsas e tentativas de login automatizadas. A solução é auto-hospedada, permitindo que as equipes mantenham controle total sobre os dados e a configuração. O artigo também discute como o SafeLine pode ser integrado facilmente à infraestrutura existente, proporcionando uma camada adicional de segurança sem complicações. Com a implementação do SafeLine, uma equipe de SaaS conseguiu reduzir drasticamente o número de inscrições falsas e estabilizar o uso da CPU, permitindo que a equipe se concentrasse em melhorias de produto em vez de se preocupar com abusos. Essa abordagem é especialmente relevante para empresas que buscam proteger suas operações e dados em um ambiente cada vez mais ameaçado por bots e ataques automatizados.

A operação ‘Project Compass’, coordenada pela Europol, resultou na prisão de 30 pessoas e na identificação de 179 suspeitos ligados ao coletivo de cibercrime conhecido como ‘The Com’, que tem como alvo crianças e adolescentes. Desde seu lançamento em janeiro de 2025, a operação envolveu agências de segurança de 28 países e conseguiu identificar 62 vítimas, protegendo diretamente quatro delas. ‘The Com’ é descrito como uma rede descentralizada de criminosos cibernéticos que recrutam jovens para atividades de extorsão, violência e produção de material de exploração sexual infantil (CSAM). A rede opera em diversas plataformas digitais, incluindo redes sociais e aplicativos de mensagens, e é dividida em subgrupos, como o ‘Offline Com’, que promove danos físicos, e o ‘Sextortion Com’, que coage menores a cometer crimes sexuais. Dois líderes do subgrupo ‘764’, que se especializa em aliciar jovens para a produção de conteúdo explícito, foram presos e enfrentam acusações graves. A Europol destaca a importância da cooperação internacional para enfrentar essas ameaças, que exploram a vulnerabilidade dos jovens em ambientes digitais.

Um estudo da CrowdStrike revelou que hackers estão se tornando cada vez mais rápidos em comprometer redes, com um tempo médio de apenas 29 minutos para realizar um ataque completo. Este tempo é um aumento alarmante de 65% em relação ao ano anterior. O relatório destaca que a velocidade dos ataques é impulsionada por falhas de segurança, uso indevido de credenciais legítimas e a crescente utilização de ferramentas de inteligência artificial (IA) pelos cibercriminosos. Em casos extremos, o tempo de invasão foi registrado em apenas 27 segundos, com a exfiltração de dados ocorrendo em até 4 minutos após a invasão. Os hackers estão explorando credenciais legítimas para se camuflar no tráfego da rede, evitando sistemas de segurança, e em muitos casos, não utilizam malware para realizar os ataques. A análise sugere que a popularização de ferramentas de IA, como ChatGPT e Claude, está facilitando o reconhecimento de vítimas e a automação de processos de ataque. Essa nova realidade exige atenção redobrada das empresas para fortalecer suas defesas cibernéticas e proteger informações sensíveis.

O Google, em colaboração com a Mandiant e outros parceiros, desmantelou uma rede de espionagem global conhecida como UNC2814, que visava organizações governamentais e de telecomunicações em mais de 40 países. A campanha, que começou em 2023, utilizou um malware inédito chamado GridTide, que explorava a API do Google Sheets para comunicação de comando e controle (C2). Em vez de se conectar a servidores remotos, o malware fazia requisições HTTPS para a infraestrutura legítima do Google, disfarçando-se no tráfego normal das empresas. Os comandos eram armazenados em células de planilhas controladas pelos atacantes, que inseriam instruções codificadas. O Google conseguiu interromper a campanha desativando todos os projetos do Google Cloud controlados pelos hackers e revogando o acesso à API do Google Sheets. A operação afetou pelo menos 53 organizações em 42 países, com a suspeita de que o grupo esteja presente em mais 20 países. A maioria das regiões afetadas inclui a América Latina, Europa Oriental, Rússia, partes da África e do Sul da Ásia, enquanto a Europa Ocidental e os EUA não foram impactados.

Recentemente, diversas ameaças cibernéticas têm se intensificado, muitas vezes iniciando com interações comuns como anúncios ou convites de reuniões. Um destaque é a integração do assistente de IA Claude ao Kali Linux, que permite a execução de comandos em linguagem natural, facilitando o trabalho de hackers éticos. Além disso, o spyware ResidentBat, vinculado a autoridades bielorrussas, tem sido utilizado para monitorar jornalistas e a sociedade civil, acessando dados sensíveis como registros de chamadas e mensagens. Campanhas de phishing também estão em alta, com criminosos se passando por serviços de corretagem de criptomoedas, como a Bitpanda, para roubar informações pessoais. O relatório da CrowdStrike de 2026 revela que o tempo médio para um ataque cibernético se expandir de um acesso inicial para um movimento lateral caiu para 29 minutos, um aumento de 65% em relação ao ano anterior. Isso é impulsionado pelo uso de credenciais legítimas e pela adoção de tecnologias de IA por atacantes. Outro ponto crítico é a exploração de falhas em servidores Apache ActiveMQ, que têm sido utilizadas para implantar ransomware LockBit. Esses dados ressaltam a necessidade urgente de vigilância e atualização das defesas cibernéticas.

O Google, por meio de seu Grupo de Inteligência de Ameaças (GTIG) e em parceria com a Mandiant, interrompeu uma campanha de espionagem global atribuída a um ator de ameaça suspeito de ser da China, que utilizava chamadas de API de SaaS para ocultar tráfego malicioso em ataques direcionados a redes de telecomunicações e governamentais. A campanha, que estava ativa desde pelo menos 2023, afetou 53 organizações em 42 países, com suspeitas de infecções em pelo menos 20 outros países. O vetor de acesso inicial é desconhecido, mas acredita-se que o grupo, identificado internamente como UNC2814, tenha explorado falhas em servidores web e sistemas de borda. A nova ferramenta utilizada, chamada ‘GRIDTIDE’, é um backdoor em C que abusa da API do Google Sheets para operações de comando e controle (C2) evasivas. O GRIDTIDE autentica-se em uma Conta de Serviço do Google usando uma chave privada codificada e realiza reconhecimento do host, coletando informações como nome de usuário e detalhes do sistema. Apesar de a Google não ter observado diretamente a exfiltração de dados, foi confirmado que o GRIDTIDE foi implantado em um sistema que continha informações pessoais sensíveis. A campanha foi desmantelada com a desativação de projetos do Google Cloud controlados pelo UNC2814 e a revogação do acesso à API do Google Sheets. Embora a interrupção tenha sido abrangente, espera-se que o grupo retome suas atividades em breve.

O Google anunciou, em 25 de fevereiro de 2026, que colaborou com parceiros da indústria para desmantelar a infraestrutura de um grupo de espionagem cibernética suspeito de estar vinculado à China, identificado como UNC2814. Este grupo é responsável por violações em pelo menos 53 organizações em 42 países, com um histórico de ataques a governos e empresas de telecomunicações em diversas regiões do mundo. O relatório, elaborado pelo Google Threat Intelligence Group e pela Mandiant, destaca o uso de uma nova backdoor chamada GRIDTIDE, que utiliza a API do Google Sheets para ocultar o tráfego malicioso e facilitar a transferência de dados. Embora a forma de acesso inicial do grupo ainda esteja sendo investigada, há indícios de que eles exploram servidores web e sistemas de borda. O Google tomou medidas significativas, encerrando todos os projetos do Google Cloud controlados pelos atacantes e desativando a infraestrutura conhecida do UNC2814. A atividade global deste grupo, que se estende por mais de 70 países, representa uma séria ameaça para os setores de telecomunicações e governamentais, evidenciando a necessidade de vigilância contínua e medidas de segurança robustas.

Um relatório da empresa de cibersegurança ReliaQuest revela que o tempo médio para iniciar um ataque digital caiu para apenas 34 minutos em 2025, uma redução de 29% em relação ao ano anterior. O dado mais alarmante é que o tempo mínimo registrado para o início de um ataque foi de apenas quatro minutos, uma velocidade 85% maior do que em 2024. Essa aceleração nos ataques é atribuída ao uso crescente de ferramentas de inteligência artificial (IA) pelos cibercriminosos, que agora conseguem automatizar processos como reconhecimento de perfis em redes sociais e criação de roteiros mais convincentes para engenharia social. Grupos de ransomware são os principais usuários dessas tecnologias, com 80% deles utilizando IA para potencializar suas operações. Apesar desse cenário preocupante, especialistas em cibersegurança também podem se beneficiar da IA para detectar e mitigar ameaças rapidamente, adaptando informações às realidades específicas de suas organizações. O relatório destaca a importância de as empresas se prepararem para essa nova realidade, onde a velocidade e sofisticação dos ataques estão em constante evolução.

Peter Williams, ex-gerente da Trenchant, uma unidade de cibersegurança da L3Harris, foi condenado a mais de sete anos de prisão federal por roubar e vender exploits de zero-day a um corretor russo, cujos clientes incluem o governo da Rússia. Entre 2022 e 2025, Williams furtou pelo menos oito componentes de exploits protegidos, destinados ao uso exclusivo do governo dos EUA e seus aliados, e os vendeu ao corretor Matrix, que se apresenta como revendedor de ferramentas de hacking para compradores não pertencentes à OTAN. O roubo causou perdas de aproximadamente 35 milhões de dólares à L3Harris, e as ferramentas roubadas poderiam ter possibilitado o acesso a milhões de dispositivos em todo o mundo. Williams se declarou culpado em outubro, recebendo 1,3 milhão de dólares em criptomoeda pela venda dos exploits. O juiz Loren AliKhan o sentenciou a 87 meses de prisão e à devolução de 1,3 milhão de dólares, além de bens de luxo. O Departamento do Tesouro dos EUA também impôs sanções ao corretor russo. Este caso destaca a gravidade da violação de segredos comerciais e suas implicações para a segurança nacional.

O Departamento do Tesouro dos EUA sancionou a empresa russa Matrix LLC, também conhecida como Operation Zero, e seu proprietário Sergey Sergeyevich Zelenyuk, por comprarem ferramentas de hacking roubadas de um ex-executivo da L3Harris, um contratante de defesa dos EUA. As sanções foram aplicadas sob a Lei de Proteção da Propriedade Intelectual Americana (PAIPA), a primeira vez que essa legislação foi utilizada desde sua promulgação. O ex-gerente da Trenchant, unidade de cibersegurança da L3Harris, Peter Williams, foi condenado a 87 meses de prisão por roubar e vender oito exploits de dia zero para a Operation Zero por cerca de US$ 1,3 milhão em criptomoeda. Esses exploits eram destinados exclusivamente ao uso do governo dos EUA e agências de inteligência aliadas. A Operation Zero oferece recompensas significativas para a aquisição de exploits que visam softwares amplamente utilizados, incluindo sistemas operacionais e aplicativos de mensagens criptografadas desenvolvidos nos EUA. As sanções congelam todos os ativos nos EUA pertencentes aos indivíduos e entidades designados, expondo empresas e indivíduos americanos a sanções secundárias.

Peter Williams, um australiano de 39 anos e ex-funcionário da L3Harris, um contratante de defesa dos EUA, foi condenado a mais de sete anos de prisão por vender oito exploits de zero-day para a corretora russa Operation Zero, recebendo milhões de dólares em criptomoedas. Williams se declarou culpado de roubo de segredos comerciais em outubro de 2025. Além da pena de prisão, ele terá três anos de liberdade supervisionada e deverá devolver os lucros ilícitos, que incluem propriedades e itens de luxo adquiridos com o dinheiro das vendas. Os exploits vendidos poderiam ser usados para atacar alvos civis e militares globalmente, resultando em perdas financeiras de aproximadamente 35 milhões de dólares para a L3Harris. O Departamento de Estado dos EUA sancionou a Operation Zero e seu diretor, Sergey Zelenyuk, por suas atividades de espionagem cibernética. A operação é conhecida por oferecer recompensas significativas por exploits e tem vínculos com agências de inteligência estrangeiras. O FBI alertou que a venda de tecnologia sensível a adversários estrangeiros representa uma grave ameaça à segurança nacional.

Um ator de ameaça alinhado à Rússia foi identificado atacando uma instituição financeira europeia, utilizando engenharia social para potencialmente coletar informações ou realizar roubo financeiro. O ataque, atribuído ao grupo de cibercrime UAC-0050 (também conhecido como DaVinci Group), foi descrito como uma tentativa de expandir o foco das operações além da Ucrânia, atingindo entidades que apoiam o país em guerra.

O ataque começou com um e-mail de spear-phishing que simulava um domínio judicial ucraniano, levando o destinatário a baixar um arquivo malicioso. Este arquivo ZIP continha um arquivo RAR protegido por senha, que, por sua vez, continha um executável disfarçado de documento PDF. A execução do arquivo resultou na instalação de um software de acesso remoto, o Remote Manipulator System (RMS), que permite controle remoto e compartilhamento de arquivos.

A Fundação Getúlio Vargas (FGV) foi alvo de um ataque hacker que ocorreu entre os dias 19 e 20 de fevereiro de 2026, resultando na paralisação total de seus sistemas. Embora alguns serviços já tenham sido restaurados, a normalização completa ainda não tem previsão, e não foram divulgados detalhes sobre dados que possam ter sido comprometidos. A FGV, uma das principais organizadoras de concursos públicos no Brasil, viu seus processos afetados, incluindo o concurso CNPU 2025/2026, cujo prazo para manifestação de interesse coincide com a inoperância do sistema. A publicação do resultado da prova objetiva do concurso CGE SP e a divulgação do Cartão de Confirmação de Inscrição do concurso do IBGE também foram prejudicadas. Em comunicado oficial, a FGV informou que uma equipe técnica está trabalhando na investigação e recuperação dos sistemas, afirmando que não há indícios de comprometimento de dados internos. Candidatos são aconselhados a acompanhar os canais oficiais da instituição e a manter registros de tentativas de acesso ao site, caso precisem contestar decisões relacionadas a inscrições.

A Anthropic revelou a descoberta de campanhas em larga escala por três empresas de inteligência artificial, DeepSeek, Moonshot AI e MiniMax, que tentaram extrair ilegalmente as capacidades do modelo Claude para aprimorar seus próprios sistemas. Essas campanhas, que envolveram mais de 16 milhões de interações com o modelo, foram realizadas por meio de cerca de 24.000 contas fraudulentas, violando as restrições de acesso e os termos de serviço da Anthropic. As empresas estão baseadas na China, onde o uso dos serviços da Anthropic é proibido devido a riscos legais e de segurança. A técnica utilizada, chamada destilação, é legítima quando aplicada para criar versões menores de modelos, mas se torna ilegal quando usada por concorrentes para adquirir capacidades de outros modelos. A Anthropic alertou que modelos obtidos de forma ilícita não possuem as salvaguardas necessárias, representando riscos significativos à segurança nacional, pois podem ser utilizados em operações cibernéticas maliciosas. Para combater essas ameaças, a empresa implementou sistemas de classificação e verificação para identificar padrões suspeitos de ataque em seu tráfego de API.

As autoridades espanholas prenderam quatro supostos membros do grupo hacktivista ‘Anonymous Fénix’, que é acusado de realizar ataques cibernéticos contra ministérios, partidos políticos e instituições públicas. O grupo, que se dizia afiliado ao coletivo Anonymous, executou ataques de negação de serviço distribuída (DDoS) em alvos na Espanha e em países da América do Sul. Os primeiros ataques ocorreram em abril de 2023 e aumentaram após as inundações em Valência em outubro de 2024, quando o grupo atacou sites do governo, alegando que as autoridades eram responsáveis pelas mortes e destruição causadas pela tempestade. Além disso, o grupo utilizou plataformas como X e Telegram para disseminar mensagens anti-governamentais e recrutar voluntários. A Guarda Civil da Espanha prendeu o administrador e o moderador do grupo em maio de 2025, e, após investigações, identificou e prendeu outros dois membros ativos. As autoridades também ordenaram a apreensão das contas do grupo nas redes sociais e o fechamento de seu canal no Telegram. Não foram divulgados detalhes sobre as acusações específicas ou possíveis penalidades.

A Wikipedia decidiu colocar o site Archive.today na lista negra, afetando mais de 695.000 links em cerca de 400.000 páginas em inglês. A decisão foi tomada após alegações de que Archive.today facilitou um ataque DDoS contra o blog de Jani Patokallio, utilizando um código JavaScript malicioso inserido em sua página CAPTCHA. Esse código fazia com que os navegadores dos usuários enviassem requisições repetidas ao blog, consumindo recursos e tornando-o inacessível. O ataque começou após o mantenedor do Archive.today exigir a remoção de um post que investigava a propriedade do site. A Wikipedia argumentou que a segurança dos usuários é mais importante do que a conveniência, considerando que um site que utiliza os navegadores dos visitantes para ataques é ’não confiável’. Além disso, a Wikipedia já havia banido Archive.today em 2013, antes de reverter a decisão em 2016. Agora, os editores da Wikipedia precisarão substituir os links do Archive.today por alternativas como Internet Archive ou Wayback Machine, ou utilizar fontes não arquivadas sempre que possível.

O LLMjacking é uma nova forma de ciberataque que visa explorar o poder computacional de placas de vídeo (GPUs) de usuários desavisados. Ao invés de minerar criptomoedas, os hackers invadem máquinas com inteligência artificial instalada, como o Ollama, para gerar textos, códigos e imagens sem restrições. Esse tipo de ataque se torna lucrativo porque modelos de IA avançados, como o Llama 3, exigem um alto custo de hospedagem na nuvem, levando os criminosos a buscar PCs com GPUs potentes, como RTX 3060 ou 4090.

A Amazon alertou sobre uma campanha de hackers de língua russa que utilizou serviços de IA generativa para comprometer mais de 600 firewalls FortiGate em 55 países em um período de cinco semanas, entre 11 de janeiro e 18 de fevereiro de 2026. O relatório de CJ Moses, CISO da Amazon Integrated Security, revela que os invasores não exploraram falhas conhecidas, mas sim atacaram interfaces de gerenciamento expostas e utilizaram credenciais fracas sem proteção de autenticação multifator (MFA). Após a invasão, os hackers extraíram configurações críticas dos dispositivos, incluindo credenciais de usuários e políticas de firewall, utilizando ferramentas automatizadas que demonstraram características típicas de código gerado por IA. A campanha também visou servidores de backup da Veeam, utilizando scripts PowerShell personalizados para extrair credenciais. Apesar de os invasores terem um nível de habilidade considerado baixo a médio, o uso de IA potencializou suas capacidades, permitindo a execução de ataques que normalmente estariam além de suas habilidades. A Amazon recomenda que administradores de FortiGate não exponham interfaces de gerenciamento à internet e implementem MFA para proteger suas redes.

Um ator de ameaças de língua russa, motivado financeiramente, comprometeu mais de 600 dispositivos FortiGate em 55 países, utilizando serviços comerciais de inteligência artificial generativa. A campanha, observada entre 11 de janeiro e 18 de fevereiro de 2026, não explorou vulnerabilidades conhecidas, mas sim portas de gerenciamento expostas e credenciais fracas com autenticação de fator único. O uso de ferramentas de IA permitiu que um ator com capacidades técnicas limitadas escalasse suas operações de ataque. Os atacantes conseguiram acessar ambientes do Active Directory, extrair bancos de dados de credenciais e até mesmo atacar a infraestrutura de backup, possivelmente preparando o terreno para um ataque de ransomware. A atividade incluiu a varredura sistemática de interfaces de gerenciamento FortiGate expostas à internet e tentativas de autenticação com credenciais comumente reutilizadas. A Amazon recomenda que as organizações garantam que as interfaces de gerenciamento não estejam expostas, mudem credenciais padrão e implementem autenticação multifatorial para acesso administrativo. Com a expectativa de que essa tendência continue em 2026, é crucial que as empresas adotem medidas defensivas robustas.

O FBI divulgou um alerta sobre o aumento significativo de ataques conhecidos como ‘jackpotting’ em caixas eletrônicos nos Estados Unidos, que resultaram em um roubo de mais de 20 milhões de dólares nos últimos anos. Esses ataques envolvem a instalação de malware, especificamente a variante Ploutus, que permite que os criminosos dispensem dinheiro dos caixas eletrônicos sem a necessidade de cartões ou autorizações bancárias. Desde 2020, foram registrados cerca de 1.900 casos, com 700 ocorrências apenas em 2025, representando aproximadamente 37% de todos os incidentes. Os atacantes utilizam chaves genéricas amplamente disponíveis para abrir os caixas eletrônicos, onde podem remover o disco rígido, infectá-lo com malware ou substituí-lo por um já comprometido. É importante destacar que, nesses ataques, os clientes dos bancos não são os alvos, mas sim as instituições financeiras, já que os criminosos não precisam de informações pessoais dos usuários. O FBI recomenda que os bancos e instituições financeiras adotem medidas de segurança mais rigorosas para proteger seus caixas eletrônicos contra essas ameaças.

Em um recente ataque à cadeia de suprimentos, o assistente de codificação Cline CLI, que utiliza inteligência artificial, foi atualizado para instalar o OpenClaw, um agente autônomo de IA. O incidente ocorreu em 17 de fevereiro de 2026, quando um token de publicação npm comprometido foi utilizado para publicar a versão 2.3.0 do Cline CLI, que continha um script de pós-instalação não autorizado. Embora a instalação do OpenClaw não tenha sido considerada maliciosa, a atualização afetou todos os usuários que instalaram essa versão durante uma janela de oito horas, resultando em cerca de 4.000 downloads. Para mitigar o problema, os mantenedores do Cline lançaram a versão 2.4.0 e revogaram o token comprometido. O ataque foi facilitado por uma falha de configuração que permitiu a execução de código arbitrário através de uma injeção de prompt, conhecida como Clinejection, que poderia ter consequências graves se os tokens de publicação fossem obtidos por um ator malicioso. O impacto geral é considerado baixo, mas o evento destaca a necessidade de práticas de segurança mais rigorosas para publicações de pacotes.

Oleksandr Didenko, um cidadão ucraniano de 39 anos, foi condenado a cinco anos de prisão por fornecer identidades roubadas a trabalhadores de TI da Coreia do Norte, permitindo que eles se infiltrassem em empresas dos Estados Unidos. Didenko, que se declarou culpado em novembro de 2025, foi preso na Polônia em maio de 2024. Ele concordou em devolver mais de 1,4 milhão de dólares, incluindo dinheiro e criptomoedas. O FBI destacou que Didenko participou de um esquema que envolveu o roubo de identidades de centenas de cidadãos americanos, que foram usadas para garantir empregos fraudulentos em 40 empresas nos EUA. Ele forneceu pelo menos 871 identidades proxy e facilitou a operação de ’laptop farms’ em vários estados e até em outros países, permitindo que os trabalhadores norte-coreanos disfarçassem suas localizações. O FBI já havia alertado sobre a ameaça representada por esses atores, que utilizam identidades roubadas para garantir empregos em empresas americanas. A situação ressalta a necessidade de vigilância e proteção contra fraudes de identidade e ataques cibernéticos, especialmente em um cenário onde a Coreia do Norte mantém uma força de trabalho de TI bem organizada.

Davit Avalyan, um homem de 36 anos de Glendale, foi condenado a quase cinco anos de prisão federal por seu envolvimento em uma operação de tráfico de drogas na dark web, que vendia substâncias como cocaína, metanfetamina, MDMA e cetamina para clientes em todo os Estados Unidos. Avalyan recebeu uma sentença de 57 meses do juiz federal Percy Anderson, após se declarar culpado em outubro de 2025 por conspiração para distribuir narcóticos. Ele foi o último dos quatro réus a ser sentenciado, com seus cúmplices recebendo penas que variam de 24 a 10 anos. A operação, que funcionou de setembro de 2018 a fevereiro de 2025, utilizava uma extensa rede de contas de vendedores na dark web, incluindo nomes como JoyInc e PlanetHollywood, e enviava drogas através do Serviço Postal dos EUA. O FBI, em colaboração com outras agências, liderou a investigação, que destaca a crescente preocupação com o tráfico de drogas online e a utilização de criptomoedas para transações ilícitas. Este caso é um exemplo da eficácia das forças de segurança em desmantelar redes criminosas que operam na dark web.

Os ataques em ambientes de nuvem estão se tornando cada vez mais rápidos e complexos, superando a capacidade de resposta das equipes de incidentes. Ao contrário dos data centers tradicionais, onde as investigações podem levar dias, na nuvem, instâncias comprometidas podem desaparecer em minutos, e a coleta de evidências se torna um desafio crítico. O artigo destaca que a resposta a incidentes na nuvem falha frequentemente devido à falta de contexto nas alertas, dificultando a identificação do caminho completo do ataque. Para uma investigação eficaz, são necessárias três capacidades essenciais: visibilidade em nível de host, mapeamento de contexto e captura automatizada de evidências. A abordagem moderna de forense em nuvem permite a reconstrução de incidentes em minutos, utilizando sinais correlacionados, como telemetria de carga de trabalho e atividades de identidade. Isso resulta em uma visibilidade clara sobre como a intrusão ocorreu, permitindo decisões de remediação mais confiantes e rápidas. A consolidação de sinais em uma camada investigativa unificada é fundamental para evitar a fragmentação das ferramentas e a perda de evidências.

Uma nova pesquisa da Microsoft revelou que empresas estão explorando a funcionalidade de chatbots de inteligência artificial (IA) por meio de um botão chamado ‘Resumir com IA’, que se assemelha a técnicas clássicas de envenenamento de mecanismos de busca. Denominada ‘Envenenamento de Recomendações de IA’, essa técnica envolve a inserção de comandos ocultos em URLs que, ao serem clicados, induzem o assistente de IA a lembrar de uma empresa como uma fonte confiável. A Microsoft identificou mais de 50 prompts únicos de 31 empresas em 14 setores em um período de 60 dias, levantando preocupações sobre a transparência e a confiabilidade das recomendações geradas por IA. O ataque utiliza URLs especialmente elaboradas que injetam comandos de manipulação de memória no assistente de IA. Isso pode resultar em recomendações tendenciosas em áreas críticas, como saúde e finanças, sem que o usuário tenha conhecimento. Para mitigar os riscos, recomenda-se que os usuários auditem periodicamente a memória do assistente e evitem clicar em links de fontes não confiáveis. As organizações também devem monitorar URLs que apontam para domínios de assistentes de IA com palavras-chave específicas relacionadas ao envenenamento de memória.

Os ataques à cadeia de suprimento, conhecidos como Supply Chain Attacks, são uma forma de cibercrime que explora a confiança dos usuários em softwares e atualizações legítimas. Ao invés de invadir diretamente um sistema, os hackers comprometem a distribuição de software, injetando malware em atualizações que parecem seguras. Um exemplo notório é o ataque ao SolarWinds em 2020, onde hackers russos inseriram código malicioso em um software amplamente utilizado por empresas e agências governamentais dos EUA, permitindo espionagem sem ser detectado por meses. Outro caso relevante foi o do CCleaner em 2017, que também teve sua versão oficial comprometida, permitindo acesso remoto a agentes maliciosos. Esses ataques são difíceis de detectar porque muitas vezes utilizam chaves de assinatura legítimas, fazendo com que o sistema reconheça o software como seguro. Para mitigar esses riscos, surge o conceito de Software Bill of Materials (SBOM), que exige transparência sobre os componentes de um software antes de sua instalação. Isso pode ajudar a identificar e prevenir a instalação de softwares maliciosos disfarçados.

O grupo hacker APT28, também conhecido como Fancy Bear, é uma entidade de ciberespionagem russa associada ao GRU, o serviço de inteligência militar da Rússia. Desde sua formação em 2004, o APT28 tem se destacado por suas campanhas de espionagem e sabotagem, visando organizações governamentais e infraestruturas críticas em diversos países. O grupo é notório por suas táticas sofisticadas, que incluem spear-phishing e exploração de vulnerabilidades de dia zero, como evidenciado em um ataque recente que explorou uma falha no Microsoft Office para atingir instituições ucranianas.

Grupos de cibercriminosos estão explorando ferramentas do Gemini para realizar ciberataques sofisticados, conforme revela uma análise do Google. Os hackers, que operam com apoio de governos como os da China, Irã, Coreia do Norte e Rússia, utilizam o Gemini para criar iscas de phishing, traduzir textos, programar e testar vulnerabilidades. Um caso notável envolveu o sequestro do perfil de um especialista em cibersegurança, que foi usado para automatizar análises de vulnerabilidades e desenvolver estratégias de ataque. Além disso, hackers iranianos têm utilizado o Gemini para criar ferramentas maliciosas personalizadas rapidamente. A automação de ataques e a personalização de malware são preocupações crescentes, pois permitem que os criminosos ampliem o alcance de suas campanhas, como as que induzem vítimas a executar comandos maliciosos através de anúncios. Embora o Gemini em si não represente uma ameaça direta, a utilização de suas ferramentas por hackers evidencia a evolução das táticas de cibercrime e a necessidade de vigilância constante por parte de usuários e empresas.

A atividade de ameaças cibernéticas nesta semana revela um padrão preocupante: os atacantes estão se concentrando em métodos já conhecidos, utilizando ferramentas confiáveis e explorando vulnerabilidades negligenciadas. A entrada inicial em sistemas está se tornando mais simples, enquanto as atividades pós-comprometimento estão mais estruturadas e persistentes, com o objetivo de permanecer infiltrado e extrair valor. Um exemplo é a falha de injeção de comando no Notepad da Microsoft (CVE-2026-20841), que permite a execução remota de código. Além disso, Taiwan se tornou um alvo frequente de ataques APT, com 173 operações registradas em 2025, refletindo sua importância geopolítica. Novos malwares, como LTX Stealer e Marco Stealer, estão sendo usados para roubo de credenciais e dados sensíveis. Uma campanha de engenharia social também está em andamento, visando contas do Telegram através do abuso de fluxos de autenticação. Por fim, a Discord anunciou um novo sistema de verificação de idade, levantando preocupações sobre a privacidade dos usuários após um incidente anterior que resultou no vazamento de dados de 70 mil usuários. Esses eventos destacam a necessidade urgente de vigilância e atualização das defesas cibernéticas.

O Ministério de Minas e Energia do Brasil foi alvo de uma campanha de espionagem global conhecida como Shadow Campaign, que afetou redes governamentais e infraestrutura crítica em 37 países. A pesquisa da Unit 42, da Palo Alto Networks, revelou que os hackers, identificados como TGR-STA-1030/UNC6619, realizaram reconhecimento dos sistemas internos do ministério e roubaram informações sensíveis. Desde janeiro de 2024, os cibercriminosos têm atacado entidades governamentais em 155 países, com foco em ministérios, polícias e setores financeiros. As ações dos hackers coincidiram com eventos significativos, como eleições e crises políticas. No Brasil, o ataque ocorreu após conversas entre o ministério e o governo dos EUA sobre investimentos em mineração. Os hackers utilizaram técnicas de phishing, enviando e-mails maliciosos que continham um loader de malware chamado Diaoyu e um arquivo de imagem que baixava o malware Cobalt Strike. A Palo Alto Networks lançou um guia para ajudar as vítimas a identificar e bloquear ataques. Este incidente destaca a vulnerabilidade das instituições governamentais e a necessidade de medidas de segurança robustas.

A Comissão Europeia foi alvo de um ciberataque que comprometeu a infraestrutura de gestão de dispositivos móveis da organização. O ataque, identificado no final de janeiro de 2026, resultou no vazamento de dados sensíveis de alguns funcionários, incluindo nomes e números de telefone. Apesar da gravidade do incidente, a Comissão afirmou que a invasão foi rapidamente contida, evitando danos maiores. Uma varredura completa do sistema foi realizada em aproximadamente 9 horas, e não foram encontrados indícios de que os dispositivos tivessem sido totalmente comprometidos.

O grupo de hackers chinês conhecido como UNC3886 comprometeu as quatro maiores operadoras de telecomunicações de Cingapura - Singtel, StarHub, M1 e Simba - pelo menos uma vez no último ano. Embora os invasores tenham conseguido acesso limitado a sistemas críticos, não houve interrupções nos serviços. Em resposta, Cingapura lançou a ‘Operação Cyber Guardian’ para conter a atividade do grupo nas redes das operadoras. A Agência de Cibersegurança de Cingapura (CSA) revelou que os atacantes utilizaram um exploit de zero-day para contornar firewalls e roubar dados técnicos. Além disso, foi identificado o uso de rootkits para manter a furtividade e persistência durante o ataque. Apesar da confirmação de comprometimento, as autoridades não encontraram evidências de acesso ou roubo de dados sensíveis de clientes. A CSA e a Autoridade de Desenvolvimento de Mídia e Telecomunicações (IMDA) mobilizaram mais de cem investigadores de seis agências governamentais para investigar a situação. O Ministro do Desenvolvimento Digital e Informação de Cingapura, Josephine Teo, destacou que, embora o ataque não tenha causado danos significativos, é um lembrete da importância do trabalho dos defensores cibernéticos.

As senhas continuam sendo um ponto crítico na interseção entre usabilidade e segurança. Embora controles de autenticação sejam implementados para fortalecer a segurança, eles frequentemente introduzem complexidade, levando os usuários a optarem por padrões familiares em vez de credenciais verdadeiramente imprevisíveis. Isso resulta em senhas que muitas vezes derivam da linguagem específica da organização. Os atacantes têm explorado esse comportamento, utilizando ferramentas como o CeWL, que coleta palavras de sites para criar listas de senhas altamente direcionadas. O NIST SP 800-63B recomenda evitar palavras específicas do contexto, mas a implementação dessa orientação exige compreensão sobre como os atacantes operam. A análise de mais de seis bilhões de senhas comprometidas revela que muitas senhas geradas ainda atendem aos requisitos de complexidade, mas permanecem fracas devido à sua construção a partir de termos organizacionais familiares. Para mitigar esses ataques, é essencial bloquear senhas derivadas de contextos conhecidos, exigir frases de senha longas e implementar autenticação multifator (MFA). Essas medidas não apenas melhoram a segurança, mas também refletem a realidade dos ataques a senhas.

As ameaças cibernéticas atuais não se limitam mais a malware ou exploits, mas estão se infiltrando nas ferramentas e plataformas que as organizações utilizam diariamente. Com a crescente interconexão de aplicativos de IA, nuvem e sistemas de comunicação, os atacantes estão explorando esses mesmos caminhos. Um padrão alarmante observado é o abuso de confiança em atualizações, marketplaces e aplicativos considerados seguros. A parceria entre a OpenClaw e o VirusTotal, por exemplo, visa melhorar a segurança de um ecossistema de IA, após a descoberta de habilidades maliciosas em sua plataforma. Além disso, um alerta conjunto das agências de segurança da Alemanha destaca campanhas de phishing direcionadas a alvos de alto nível, utilizando o aplicativo Signal. Outro ponto crítico é a botnet AISURU, que foi responsável por um ataque DDoS recorde de 31,4 Tbps. A vulnerabilidade no assistente de IA da Docker, chamada DockerDash, permite a execução remota de código, evidenciando a necessidade de um modelo de segurança baseado em Zero Trust. A Microsoft também desenvolveu um scanner para detectar backdoors em modelos de IA, ressaltando a importância de monitorar e mitigar riscos em ambientes de IA. Esses eventos demonstram que a segurança cibernética precisa evoluir para enfrentar ameaças cada vez mais sofisticadas.

A Agência de Cibersegurança de Cingapura (CSA) revelou que o grupo de espionagem cibernética vinculado à China, conhecido como UNC3886, lançou uma campanha direcionada contra o setor de telecomunicações do país. Todos os quatro principais operadores de telecomunicações de Cingapura – M1, SIMBA Telecom, Singtel e StarHub – foram alvos dos ataques. O grupo, ativo desde pelo menos 2022, utiliza dispositivos de borda e tecnologias de virtualização para obter acesso inicial. Em um incidente, UNC3886 empregou um exploit de zero-day para contornar um firewall e extrair dados técnicos. Além disso, o grupo utilizou rootkits para garantir acesso persistente e ocultar suas atividades. Apesar das invasões, a CSA afirmou que não houve evidências de exfiltração de dados pessoais dos clientes e que as operações de telecomunicações não foram severamente afetadas. Para mitigar a ameaça, a CSA lançou a operação CYBER GUARDIAN, que resultou na implementação de medidas de remediação e no fechamento de pontos de acesso do grupo. A situação destaca a crescente preocupação com a segurança cibernética em setores críticos e a necessidade de vigilância contínua.

Pesquisadores em cibersegurança alertaram sobre uma campanha massiva que tem como alvo ambientes nativos de nuvem, estabelecendo infraestrutura maliciosa para exploração subsequente. Observada em 25 de dezembro de 2025, a atividade, descrita como ‘dirigida por worms’, explorou APIs Docker expostas, clusters Kubernetes, painéis Ray e servidores Redis, além da vulnerabilidade React2Shell (CVE-2025-55182, pontuação CVSS: 10.0). A campanha foi atribuída ao grupo de ameaças conhecido como TeamPCP, ativo desde pelo menos novembro de 2025. O objetivo da operação é construir uma infraestrutura de proxy distribuído e escalável, comprometendo servidores para exfiltração de dados, implantação de ransomware e mineração de criptomoedas. O TeamPCP utiliza técnicas de ataque já conhecidas, aproveitando vulnerabilidades e configurações inadequadas para criar um ecossistema criminoso autossustentável. A exploração bem-sucedida permite a implantação de cargas úteis adicionais, como scripts em shell e Python, que buscam novos alvos. Os ataques são principalmente direcionados a ambientes da Amazon Web Services (AWS) e Microsoft Azure, afetando organizações que operam essa infraestrutura, tornando-as vítimas colaterais. A campanha PCPcat exemplifica um ciclo completo de exploração e monetização, destacando a necessidade de vigilância e mitigação em ambientes de nuvem.

Um grupo de ameaças patrocinado por um Estado comprometeu redes de entidades governamentais e de infraestrutura crítica em 37 países, em operações globais conhecidas como ‘Shadow Campaigns’. Entre novembro e dezembro do ano passado, o grupo realizou atividades de reconhecimento direcionadas a entidades governamentais em 155 países. De acordo com a divisão Unit 42 da Palo Alto Networks, o grupo está ativo desde pelo menos janeiro de 2024 e acredita-se que opere a partir da Ásia. As atividades do ‘Shadow Campaigns’ focam principalmente em ministérios governamentais, agências de segurança, finanças e infraestrutura crítica. O grupo comprometeu pelo menos 70 organizações, incluindo ministérios no Brasil, Bolívia, México e Taiwan. As táticas incluem e-mails de phishing altamente personalizados e a exploração de vulnerabilidades conhecidas em sistemas como SAP e Microsoft Exchange. Além disso, foi identificado um rootkit Linux personalizado chamado ‘ShadowGuard’, que opera de forma discreta no espaço do kernel, dificultando a detecção. A pesquisa destaca a necessidade de atenção redobrada por parte das organizações, especialmente em setores críticos, devido ao potencial impacto em conformidade com a LGPD e à segurança nacional.

Em 2025, grupos hackers associados à China, especialmente o Amaranth-Dragon, realizaram campanhas de espionagem em agências governamentais no sudoeste da Ásia, incluindo Camboja, Laos, Indonésia, Filipinas, Tailândia e Singapura. Pesquisadores da Check Point Research identificaram que esses ataques foram planejados para coincidir com eventos políticos sensíveis, aumentando a probabilidade de que as vítimas interagissem com conteúdos maliciosos. O grupo utiliza a vulnerabilidade CVE-2025-8088 do WinRAR, que permite a execução remota de códigos, e embora já tenha sido corrigida, muitos usuários ainda não atualizaram o software, mantendo a falha em potencial. O vetor de ataque inicial é desconhecido, mas acredita-se que o grupo utilize spear-phishing e plataformas de nuvem como Dropbox para disfarçar suas atividades. O malware, denominado Amaranth Loader, realiza carregamento lateral e se conecta a servidores externos para receber chaves de encriptação, permitindo a execução de um trojan de acesso remoto. A infraestrutura dos hackers é cuidadosamente controlada, aceitando tráfego apenas de IPs de países-alvo, o que demonstra um nível elevado de sofisticação nas técnicas empregadas.

O segundo Relatório Internacional de Segurança da IA revela que, embora agentes de inteligência artificial ainda não consigam conduzir ciberataques de forma autônoma, eles têm se tornado ferramentas valiosas para cibercriminosos. O estudo, liderado pelo cientista da computação Yoshua Bengio, analisou a evolução da IA em relação ao ano anterior, destacando sua capacidade de automatizar ataques e identificar vulnerabilidades em softwares. Um exemplo alarmante é o uso da ferramenta Claude Code AI por espiões chineses para automatizar ataques em empresas e órgãos governamentais. Os cibercriminosos utilizam a IA para escanear softwares em busca de falhas e para desenvolver códigos maliciosos, como evidenciado pelo uso da HexStrike AI em ataques a dispositivos Citrix NetScaler. Apesar de os agentes de IA ainda precisarem de intervenção humana para realizar ataques complexos, a evolução contínua da tecnologia levanta preocupações sobre a possibilidade de que, em breve, esses sistemas possam operar de forma independente. O relatório sugere que a preparação para essa eventualidade é crucial, especialmente considerando o aumento da automação em ciberataques.

O artigo destaca que, atualmente, a maior parte do trabalho nas empresas ocorre no navegador, com aplicações SaaS e ferramentas de IA se tornando interfaces primárias para acesso a dados. No entanto, a segurança cibernética ainda não integra adequadamente o navegador em suas arquiteturas, resultando em uma lacuna significativa na detecção de ameaças. Os ataques baseados em navegador, como engenharia social, extensões maliciosas e ataques Man-in-the-Browser, estão se tornando comuns e difíceis de rastrear, pois muitas vezes não deixam evidências tradicionais. Ferramentas de segurança, como EDR e SASE, não conseguem monitorar interações dentro do navegador, o que limita a eficácia na prevenção e resposta a incidentes. A pesquisa da Keep Aware revela que, embora existam políticas de segurança, falta visibilidade sobre o comportamento real dos usuários. Com o aumento do uso de ferramentas de IA, essa lacuna se amplia, tornando a detecção e prevenção de riscos ainda mais desafiadoras. O artigo conclui que a observabilidade das interações no navegador é crucial para melhorar a segurança e a resposta a incidentes, permitindo que as equipes de segurança ajustem suas políticas com base em dados reais.

O governo italiano anunciou a prevenção de uma série de ciberataques, supostamente de origem russa, que visavam as Olimpíadas de Inverno de 2026, em Milano Cortina. O Ministro das Relações Exteriores, Antonio Tajani, informou que os ataques afetaram cerca de 120 alvos, incluindo escritórios do ministério das Relações Exteriores dos EUA e consulados em várias cidades, além da Universidade La Sapienza, em Roma. A universidade, uma das maiores da Europa, foi alvo de um ataque que parece ter sido um ransomware, levando à suspensão de seus sistemas para garantir a segurança dos dados. O grupo hacker pro-russo NoName057(16) reivindicou a responsabilidade pelos ataques, alegando que eram uma retaliação à política pró-Ucrânia da Itália. Apesar da gravidade da situação, o governo italiano afirmou que não houve interrupções significativas nos serviços. A situação destaca a crescente preocupação com a segurança cibernética em eventos internacionais e a necessidade de vigilância constante contra ameaças cibernéticas, especialmente em contextos de tensões geopolíticas.

O Ministério da Ciência, Inovação e Universidades da Espanha anunciou o fechamento parcial de seus sistemas de TI devido a um ‘incidente técnico’, que, segundo fontes da mídia, está relacionado a um ataque cibernético. O ataque foi reivindicado por um ator de ameaças que se identifica como ‘GordonFreeman’, que alegou ter explorado uma vulnerabilidade crítica chamada Insecure Direct Object Reference (IDOR) para obter acesso administrativo completo aos sistemas do ministério. Dados supostamente roubados, incluindo registros pessoais, endereços de e-mail e documentos oficiais, foram divulgados em fóruns clandestinos. O ministério suspendeu todos os procedimentos administrativos e estendeu os prazos para minimizar o impacto sobre os cidadãos e empresas afetadas. Embora o fórum onde os dados foram publicados esteja offline, a autenticidade das informações ainda não foi confirmada. O incidente destaca a vulnerabilidade de instituições governamentais a ataques cibernéticos e a necessidade de medidas de segurança robustas para proteger informações sensíveis.

A botnet AISURU/Kimwolf foi responsável por um ataque de negação de serviço distribuído (DDoS) que atingiu a marca recorde de 31,4 Terabits por segundo (Tbps) em novembro de 2025, durando apenas 35 segundos. A Cloudflare, que detectou e mitigou automaticamente a atividade, relatou um aumento significativo de ataques DDoS hipervolumétricos, com um crescimento de 121% em 2025, totalizando 47,1 milhões de ataques. Durante a campanha conhecida como ‘The Night Before Christmas’, que começou em 19 de dezembro de 2025, a média dos ataques foi de 4 Tbps, com picos de até 24 Tbps. A botnet comprometeu mais de 2 milhões de dispositivos Android, principalmente TVs Android de marcas não reconhecidas, utilizando redes de proxy residenciais para controlar esses dispositivos. Além disso, a Cloudflare observou que o setor de telecomunicações foi o mais atacado, com países como China, Brasil e EUA figurando entre os mais afetados. O aumento na sofisticação e no tamanho dos ataques representa um desafio crescente para as organizações, que devem reavaliar suas estratégias de defesa.