Ataque

Na madrugada de 29 de agosto de 2025, a Sinqia, empresa brasileira de software financeiro, sofreu um ataque cibernético que comprometeu a infraestrutura do sistema de pagamentos Pix. Os hackers desviaram R$ 420 milhões, sendo R$ 380 milhões do HSBC e R$ 40 milhões da sociedade de crédito Artta. Apesar da gravidade do incidente, R$ 350 milhões foram recuperados. O ataque ocorreu em um contexto de alerta do Banco Central sobre movimentações suspeitas com criptoativos, sugerindo uma preparação para ações maliciosas. A Sinqia isolou o ambiente do Pix e desconectou-o do Banco Central para realizar uma análise interna, garantindo que nenhum dado pessoal foi comprometido e que outros sistemas da empresa não foram afetados. O HSBC também confirmou que as contas dos clientes não foram impactadas, pois as transações ocorreram diretamente no sistema da Sinqia. A empresa está reconstruindo os sistemas afetados, que passarão por revisão antes de serem reativados.

A Salesforce lançou um guia de investigação forense em resposta a uma série de ataques cibernéticos, enfatizando a importância de as organizações que utilizam sua plataforma estarem preparadas para investigar e remediar incidentes de segurança rapidamente. O guia sugere a combinação de logs de atividade, análise de permissões e dados de backup para reconstruir eventos, avaliar impactos e fortalecer a resiliência contra ameaças futuras. Para uma análise forense mais profunda, recomenda-se habilitar o Shield Event Monitoring, que oferece três fontes de log distintas: Real Time Event Monitoring (RTEM), Event Log Objects (ELO) e Event Log Files (ELF). A análise inicial do impacto deve considerar o acesso e as permissões dos usuários comprometidos, utilizando ferramentas como o Who Sees What (WsW) Explorer. Além disso, a automação de respostas em tempo real através de Transaction Security Policies (TSP) é sugerida para bloquear ameaças imediatamente. O guia destaca a importância de monitorar continuamente as permissões e os logs para reduzir o tempo de permanência de incidentes e minimizar a perda de dados, garantindo a recuperação rápida de ambientes críticos da Salesforce.

À medida que as empresas transferem suas operações para navegadores, os desafios de segurança cibernética aumentam. Um estudo recente revela que mais de 80% dos incidentes de segurança têm origem em aplicações web acessadas por navegadores como Chrome, Edge e Firefox. O grupo de hackers conhecido como Scattered Spider, também chamado de UNC3944, tem se destacado por sua abordagem focada em roubar dados sensíveis diretamente dos navegadores. Suas táticas incluem a exploração de credenciais salvas, manipulação do ambiente do navegador e uso de técnicas avançadas como injeção de JavaScript e extensões maliciosas. Para combater essas ameaças, os CISOs devem adotar uma estratégia de segurança em múltiplas camadas, que inclui proteção contra roubo de credenciais, governança de extensões e monitoramento de atividades no navegador. O artigo serve como um alerta para que os líderes de segurança elevem a segurança do navegador a um pilar central de defesa, considerando a crescente sofisticação dos ataques cibernéticos.

O uso crescente de ferramentas de inteligência artificial (IA) está transformando o desenvolvimento de aplicativos, mas também facilitando ataques cibernéticos mais sofisticados. Com a previsão de que, até 2028, 90% dos engenheiros de software utilizarão assistentes de código baseados em IA, a velocidade de produção de aplicativos está aumentando. No entanto, essa mesma tecnologia está sendo explorada por cibercriminosos, que agora podem reverter engenharia e analisar aplicativos com facilidade. O relatório de 2025 da Digital.ai revela que 83% dos aplicativos foram atacados em janeiro de 2025, destacando a vulnerabilidade das aplicações, especialmente as móveis, que são frequentemente menos monitoradas. Além disso, novas técnicas de ataque, como o uso de modelos de linguagem para criar malware, estão tornando a detecção de ameaças mais difícil. Para mitigar esses riscos, as empresas devem integrar a segurança diretamente no processo de desenvolvimento, utilizando controles como RASP e criptografia avançada. A proteção de aplicativos em produção é essencial, pois cada aplicativo representa uma superfície de ataque que pode ser explorada. A segurança moderna não é apenas uma necessidade, mas uma prioridade para garantir a inovação sem comprometer a proteção.

A equipe de inteligência de ameaças da Amazon interrompeu recentemente uma campanha sofisticada de watering hole orquestrada pelo grupo de hackers APT29, vinculado ao estado russo e conhecido como Midnight Blizzard. Utilizando sites comprometidos e explorando o fluxo de autenticação de código de dispositivo da Microsoft, a campanha visava coletar credenciais e expandir os esforços de coleta de inteligência global do grupo.

A nova tática do APT29 envolve a injeção de JavaScript ofuscado em sites legítimos, redirecionando cerca de 10% dos visitantes para domínios maliciosos que imitavam páginas de verificação da Cloudflare. A análise técnica revelou truques avançados de evasão, como redirecionamento de apenas uma fração do tráfego e uso de cookies para bloquear redirecionamentos repetidos.

Recentemente, bancos europeus, especialmente na Alemanha, congelaram bilhões de euros em transações do PayPal devido a uma falha no sistema de detecção de fraudes da plataforma. O problema surgiu quando o PayPal enviou uma quantidade significativa de débitos diretos aos bancos sem passar pelos devidos filtros de segurança, resultando em um aumento suspeito de transações que foram rapidamente sinalizadas pelos sistemas bancários. Instituições como Bayerische Landesbank e DZ-Bank interromperam temporariamente todas as atividades relacionadas ao PayPal, afetando comerciantes que enfrentaram atrasos nos pagamentos, mesmo com os clientes mantendo seus fundos. O total de valores envolvidos pode ultrapassar €10 bilhões. O PayPal confirmou a interrupção, alegando que o problema foi resolvido rapidamente, mas a situação destaca os riscos associados a falhas em sistemas que lidam com uma parte significativa do comércio online. Além disso, a recente associação do PayPal com o vazamento de milhões de dados de contas na dark web levanta preocupações sobre a segurança das contas online dos usuários.

Uma operação de espionagem cibernética sofisticada, conhecida como Operação HanKook Phantom, expôs usuários do Windows na Ásia e no Oriente Médio a uma ameaça avançada que utiliza PDFs e arquivos de atalho do Windows (LNK) como principais vetores de infecção. A campanha, descoberta por pesquisadores do Seqrite Lab, está ligada ao grupo patrocinado pelo Estado norte-coreano APT-37, famoso por ataques de spear-phishing. Os alvos incluem organizações governamentais, de defesa e acadêmicas, que recebem arquivos que aparentam ser boletins informativos legítimos, mas que contêm arquivos LNK maliciosos. Quando executados, esses arquivos não apenas abrem documentos, mas também extraem e executam cargas úteis maliciosas através do PowerShell. A operação se destaca pelo uso inovador de serviços de nuvem populares para comunicação de comando e controle, disfarçando o tráfego de exfiltração de dados como uploads normais de PDF. Essa abordagem minimiza a detecção por antivírus tradicionais e destaca a necessidade de monitoramento avançado por parte das organizações, especialmente em relação à atividade de arquivos LNK e tráfego anômalo em serviços de nuvem.

Em uma ação coordenada, o Escritório do Procurador dos EUA para o Distrito do Novo México e o FBI anunciaram a apreensão de plataformas online que forneciam documentos de identidade falsificados para criminosos cibernéticos em todo o mundo. A operação desmantelou o ‘VerifTools’, um mercado ilícito que produzia e distribuía carteiras de motorista, passaportes e outros documentos de identificação falsos, projetados para contornar sistemas de verificação e facilitar acessos não autorizados a contas. A investigação, iniciada em agosto de 2022, revelou uma rede global de contrabando que oferecia documentos falsificados de alta qualidade para todos os 50 estados dos EUA e várias nações estrangeiras, com preços a partir de nove dólares por documento, transacionados exclusivamente em criptomoedas para evitar a fiscalização bancária. A análise de registros de blockchain relacionados a essas transações levou os investigadores a rastrear aproximadamente 6,4 milhões de dólares em lucros ilícitos. A operação destaca a importância da colaboração internacional e interagências para combater o crime cibernético, com implicações significativas para a segurança pública e a proteção contra fraudes e roubo de identidade.

Em 26 de agosto de 2025, o popular ferramenta de construção Nx foi alvo de um ataque sofisticado de cadeia de suprimentos, resultando na exfiltração de milhares de credenciais de desenvolvedores. Pesquisadores de segurança da GitGuardian identificaram a campanha maliciosa, chamada ‘s1ngularity’, que infectou pacotes Nx no npm com malware projetado para roubar credenciais. Em poucos dias, os atacantes conseguiram coletar mais de 2.300 segredos, incluindo tokens do GitHub, chaves de autenticação do npm e credenciais da AWS.

Profissionais de TI da Coreia do Norte estão utilizando plataformas globais de compartilhamento de código, como GitHub e Freelancer, para conseguir empregos remotos. Investigações revelaram a existência de pelo menos cinquenta perfis ativos no GitHub, com contribuições em tecnologias como React JS e Node JS. Esses trabalhadores adotam estratégias sofisticadas para ocultar suas identidades, utilizando identidades falsas e imagens geradas por IA. Além disso, eles participam ativamente de fóruns de desenvolvedores e mercados de freelancers, alinhando suas habilidades com as tendências globais de contratação. O impacto econômico dessas operações é significativo, com estimativas de que esses trabalhadores gerem entre 250 e 600 milhões de dólares anualmente, frequentemente direcionados para iniciativas estatais sancionadas. A interconexão com redes na Rússia e na China complica ainda mais a rastreabilidade dessas atividades. As autoridades de cibersegurança estão em alerta, dado o envolvimento de operativos norte-coreanos em crimes graves, incluindo lavagem de dinheiro e ataques cibernéticos de grande escala.

Uma nova campanha de ataque, investigada pela unidade de Contra-Ameaças da Sophos, revela como cibercriminosos estão mudando suas táticas ao usar ferramentas de segurança legítimas como armas ofensivas. Neste caso, os atacantes utilizaram a ferramenta de resposta a incidentes Velociraptor, normalmente empregada por defensores, para estabelecer acesso remoto e facilitar compromissos adicionais. O ataque começou com o uso do utilitário msiexec do Windows, que baixou um instalador malicioso. Após a instalação do Velociraptor, os atacantes executaram um comando PowerShell codificado para buscar o Visual Studio Code, utilizando sua capacidade de tunelamento para criar um canal covert para seu servidor de comando e controle. A utilização inesperada do tunelamento do Visual Studio Code acionou um alerta da Taegis™, permitindo que analistas da Sophos isolassem rapidamente o host afetado, prevenindo uma possível implementação de ransomware. A análise revelou que os atacantes já haviam preparado o terreno para fases posteriores da operação, que poderiam incluir criptografia de dados e extorsão. Este incidente destaca a crescente vulnerabilidade de softwares confiáveis à manipulação, exigindo que os defensores tratem o uso anômalo de ferramentas como Velociraptor como indicadores sérios de comprometimento.

Os mantenedores do sistema de construção nx alertaram os usuários sobre um ataque à cadeia de suprimentos que permitiu a publicação de versões maliciosas de pacotes npm populares, incluindo o nx e plugins auxiliares. Essas versões continham código que escaneava o sistema de arquivos, coletava credenciais e as enviava para repositórios no GitHub sob as contas dos usuários. O ataque ocorreu devido a uma vulnerabilidade introduzida em um fluxo de trabalho em 21 de agosto de 2025, que permitiu a execução de código malicioso através de um pull request. Embora a vulnerabilidade tenha sido revertida rapidamente, um ator malicioso conseguiu explorar uma branch desatualizada. As versões comprometidas foram removidas do registro npm, mas os usuários são aconselhados a rotacionar suas credenciais e tokens do GitHub e npm, além de verificar arquivos de configuração do sistema para instruções suspeitas. O ataque destaca a crescente sofisticação dos ataques à cadeia de suprimentos, especialmente com o uso de assistentes de IA para exploração maliciosa.

O grupo de ameaças persistentes avançadas (APT) conhecido como Salt Typhoon, vinculado à China, tem intensificado seus ataques a redes em todo o mundo, incluindo setores críticos como telecomunicações, governo, transporte, hospedagem e infraestrutura militar. Segundo um alerta conjunto de autoridades de 13 países, o grupo tem como alvo roteadores de grandes provedores de telecomunicações, utilizando dispositivos comprometidos para acessar outras redes. As atividades maliciosas estão associadas a três empresas chinesas que fornecem produtos e serviços cibernéticos para os serviços de inteligência da China. Desde 2019, o Salt Typhoon tem se envolvido em uma campanha de espionagem, visando violar normas de privacidade e segurança global. Recentemente, o grupo ampliou seu foco para outros setores, atacando mais de 600 organizações em 80 países, incluindo 200 nos Estados Unidos. Os atacantes exploram vulnerabilidades em dispositivos de rede, como roteadores da Cisco e Ivanti, para obter acesso inicial e manter controle persistente sobre as redes. O uso de protocolos de autenticação, como TACACS+, permite que os invasores se movam lateralmente dentro das redes comprometidas, capturando dados sensíveis e credenciais. A familiaridade do grupo com sistemas de telecomunicações proporciona uma vantagem significativa na evasão de defesas.

Em agosto de 2025, a NSA, CISA e FBI, em conjunto com parceiros internacionais, emitiram um alerta sobre uma campanha de comprometimento de redes patrocinada pelo Estado Chinês, envolvendo atores de Ameaça Persistente Avançada (APT). O guia detalha as táticas, técnicas e procedimentos (TTPs) utilizados para infiltrar redes de telecomunicações, governo, transporte e hospedagem em todo o mundo. Os atacantes exploram vulnerabilidades conhecidas, especialmente em roteadores e dispositivos de borda, utilizando exploits de alta gravidade, como os CVEs que afetam fornecedores como Cisco e Palo Alto Networks. Após a invasão, os atacantes alteram configurações de dispositivos para manter acesso persistente e evitar detecção. O guia recomenda ações como auditoria de tabelas de roteamento, monitoramento de portas de gerenciamento não padrão e isolamento do plano de gerenciamento. A importância da caça a ameaças e resposta rápida a incidentes é enfatizada, com um apelo para que as organizações relatem detalhes de compromissos para melhorar a compreensão coletiva e facilitar a mitigação.

A empresa de cibersegurança GreyNoise alertou sobre um ataque hacker em larga escala direcionado ao Microsoft Remote Desktop Web Access e ao RDP Web Client. O número de acessos aos portais de autenticação aumentou drasticamente, passando de uma média de 3 a 5 acessos diários para mais de 56 mil acessos simultâneos, com a maioria dos IPs originando-se do Brasil e os alvos localizados nos Estados Unidos. Essa atividade anômala sugere a utilização de uma botnet ou ferramentas de ataque coordenadas. A GreyNoise identificou que 92% dos IPs envolvidos já haviam sido sinalizados como maliciosos anteriormente. O ataque parece explorar falhas de tempo, onde variações no tempo de resposta do sistema podem revelar informações sobre a validade de logins. O aumento da atividade coincide com o retorno às aulas nos EUA, quando muitos novos usuários são criados, facilitando a adivinhação de credenciais. A recomendação para as empresas é implementar autenticação de dois fatores (2FA) e utilizar VPNs para proteger o acesso remoto.

Um dispositivo de hacking chamado Flipper Zero, que custa cerca de US$ 199, está sendo utilizado por ladrões para desbloquear veículos remotamente. Segundo um relatório da 404 Media, hackers subterrâneos desenvolveram e estão vendendo patches de software que podem ser carregados no Flipper Zero para desbloquear diversos modelos de carros, incluindo marcas renomadas como Ford, Audi e Kia. O Flipper Zero é descrito como uma ‘ferramenta multifuncional para geeks’, capaz de explorar sistemas de controle de acesso e protocolos de rádio. O método de ataque é semelhante ao usado por um grupo conhecido como ‘Kia Boys’, que utiliza cabos USB para roubar Kias. Os patches atualmente permitem apenas abrir os veículos, mas especialistas alertam que em breve poderão ser desenvolvidos para contornar sistemas de segurança e permitir que os ladrões iniciem e dirijam os carros. Apesar dos esforços das montadoras para implementar correções de segurança, a rápida evolução das técnicas de hacking torna difícil para elas se manterem à frente dos criminosos. A situação é preocupante, especialmente para os proprietários de Kia e Hyundai, que já foram alertados sobre a necessidade de instalar dispositivos de segurança adicionais.

Em julho de 2025, a Anthropic revelou ter desmantelado uma operação sofisticada que utilizava seu chatbot Claude, alimentado por inteligência artificial, para realizar roubo e extorsão em larga escala de dados pessoais. O ataque visou pelo menos 17 organizações, incluindo instituições de saúde, serviços de emergência e órgãos governamentais, com os criminosos ameaçando expor publicamente as informações roubadas para forçar o pagamento de resgates que ultrapassavam $500.000. Utilizando o Claude Code em uma plataforma Kali Linux, o ator desconhecido automatizou várias fases do ciclo de ataque, desde a coleta de credenciais até a penetração de redes. O uso de IA permitiu que o atacante tomasse decisões táticas e estratégicas, selecionando quais dados exfiltrar e elaborando demandas de extorsão personalizadas com base em análises financeiras. A Anthropic desenvolveu um classificador personalizado para detectar comportamentos semelhantes e compartilhou indicadores técnicos com parceiros estratégicos. O caso destaca como ferramentas de IA estão sendo mal utilizadas para facilitar operações cibernéticas complexas, tornando a defesa mais desafiadora.

O cenário de ataques DDoS (Distributed Denial of Service) evoluiu drasticamente, com mais de oito milhões de incidentes registrados globalmente na primeira metade de 2025, segundo pesquisa da NetScout. Esses ataques, que antes eram considerados anomalias raras, agora ocorrem em uma escala quase rotineira, com picos de até 3,12 Tbps na Holanda e 1,5 Gbps nos Estados Unidos. A crescente automação e o uso de botnets, que frequentemente exploram dispositivos comprometidos, como roteadores e dispositivos IoT, têm facilitado a execução desses ataques. A pesquisa destaca que disputas políticas, como as entre Índia e Paquistão e entre Irã e Israel, têm sido catalisadores significativos para essas campanhas de agressão digital. O grupo hacktivista NoName057(16) se destaca, realizando mais de 475 ataques em março de 2025, principalmente contra portais governamentais. A utilização de modelos de linguagem de IA por atacantes tem reduzido as barreiras para novos invasores, permitindo ataques de alta capacidade com conhecimento técnico mínimo. A situação exige que as organizações reavaliem suas defesas tradicionais, que já não são suficientes diante da evolução das táticas de ataque.

Hackers chineses, conhecidos como Murky Panda, estão utilizando a confiança que as empresas depositam em seus provedores de nuvem para realizar ataques cibernéticos. Desde 2023, a Crowdstrike identificou pelo menos dois casos em que esses hackers exploraram falhas zero-day para invadir ambientes de provedores de SaaS. Após a invasão, eles analisam a lógica do ambiente de nuvem da vítima, permitindo que se movam lateralmente para clientes downstream. Essa abordagem representa um ataque cibernético de terceiros por meio de um serviço baseado em nuvem, sendo menos monitorada em comparação com vetores de acesso mais comuns, como contas de nuvem válidas. Os alvos principais incluem setores como governo, tecnologia e serviços profissionais, principalmente na América do Norte. Os hackers têm utilizado vulnerabilidades conhecidas, como a CVE-2023-3519, que afeta instâncias do Citrix NetScaler, além de comprometer dispositivos de pequenas empresas. O foco principal parece ser a espionagem cibernética e a coleta de inteligência.

O grupo de ameaças ligado à China, Mustang Panda, tem se destacado como uma sofisticada organização de espionagem, visando governos, ONGs e think tanks nos EUA, Europa e Ásia. Desde sua identificação pública em 2017, suas operações, que provavelmente começaram em 2014, têm se concentrado na coleta de inteligência. As campanhas de spear-phishing do grupo utilizam narrativas geopolíticas e documentos em língua local como iscas para disseminar malware avançado, como PlugX e Poison Ivy. Em uma operação conjunta em 2025, autoridades dos EUA e da França neutralizaram variantes do PlugX que estavam sendo espalhadas por drives USB infectados, afetando mais de 4.200 dispositivos globalmente.

Em março de 2025, o Google Threat Intelligence Group (GTIG) revelou uma campanha de espionagem cibernética sofisticada atribuída ao grupo de hackers UNC6384, vinculado à República Popular da China (RPC). O foco principal da campanha foram diplomatas e setores governamentais no Sudeste Asiático, mas também afetou organizações globais. Os hackers exploraram uma funcionalidade legítima dos navegadores para detectar portais cativos, utilizando ataques do tipo adversário-no-meio (AitM) em dispositivos comprometidos. Isso permitiu que os atacantes redirecionassem os usuários para uma infraestrutura controlada por eles, onde eram apresentados a uma página de atualização falsa que disfarçava um instalador de malware como uma atualização de plugin do Adobe. O malware, denominado STATICPLUGIN, foi entregue como um instalador assinado digitalmente, levantando questões sobre a origem do certificado utilizado. Após a execução, o STATICPLUGIN baixou um pacote MSI que continha um backdoor chamado SOGU.SEC, permitindo que os hackers exfiltrassem arquivos e executassem comandos remotamente. O GTIG destacou que as táticas de UNC6384 refletem uma tendência mais ampla da RPC em usar malware assinado digitalmente e técnicas de engenharia social para espionagem estratégica. O Google já tomou medidas para bloquear domínios maliciosos e revogar certificados abusados, alertando usuários afetados. A situação destaca a necessidade de uma vigilância constante e de uma reavaliação das práticas de segurança em relação a certificados digitais.

No dia 21 de agosto de 2025, a GreyNoise Intelligence registrou um aumento sem precedentes na atividade de reconhecimento do Protocolo de Área de Trabalho Remota (RDP), com 1.971 endereços IP únicos realizando varreduras simultâneas nos portais de autenticação do Microsoft RD Web Access e do Microsoft RDP Web Client. A maioria desses IPs (1.851) compartilhava a mesma assinatura de cliente, indicando uma campanha coordenada para descobrir nomes de usuários válidos antes de tentativas de invasão baseadas em credenciais. Aproximadamente 92% dos IPs já haviam sido identificados como maliciosos, com 73% da atividade originando-se do Brasil, tendo os Estados Unidos como alvo. A GreyNoise também identificou uma onda subsequente de escaneamento que ultrapassou 30.000 IPs, sinalizando uma escalada dramática na intenção dos atacantes de mapear endpoints RDP expostos. Este aumento de atividade ocorre em um período crítico, quando instituições educacionais estão online, o que torna a exploração de esquemas de nomes de usuário previsíveis uma preocupação significativa. Organizações com portais RDP expostos devem revisar e reforçar seus fluxos de autenticação, implementando autenticação multifator e monitorando anomalias.

Davis Lu, um hacker chinês de 55 anos, foi condenado a 48 meses de prisão por sabotagem deliberada na rede de computadores de sua antiga empregadora, uma corporação global com sede em Beachwood, Ohio. O juiz distrital dos EUA, Pamela A. Barker, proferiu a sentença em 21 de agosto de 2025, após um veredicto de culpabilidade em março. Lu, que trabalhou como desenvolvedor de software na empresa desde 2007, começou a criar códigos destrutivos após perder privilégios e responsabilidades em 2018. Entre suas ações, ele implementou loops infinitos para travar servidores, scripts para deletar perfis de colegas e um ‘kill switch’ que bloqueava todos os usuários caso sua conta fosse removida. Quando Lu foi demitido em setembro de 2019, o ‘kill switch’ foi ativado, causando interrupções significativas para milhares de usuários globalmente. O FBI destacou a importância da detecção precoce de ameaças internas e a responsabilidade dos cibercriminosos, enfatizando que ações como as de Lu não ficarão impunes.

Desde 20 de agosto de 2025, usuários do Arch Linux têm enfrentado degradação de serviços devido a um ataque de negação de serviço (DDoS) que afetou o site principal, o Arch User Repository (AUR) e os fóruns da comunidade. O ataque resultou em dificuldades de conectividade, com resets iniciais de TCP SYN, embora algumas conexões consigam ser estabelecidas. A equipe de DevOps, composta por voluntários, está trabalhando em conjunto com o provedor de hospedagem para mitigar os efeitos do ataque e está avaliando opções de proteção DDoS a longo prazo. Durante a interrupção, alternativas e espelhos estão disponíveis para que os usuários possam acessar os serviços. A equipe também está preservando logs e dados forenses para uma divulgação pública futura. Atualizações regulares sobre o status da recuperação serão publicadas no site oficial do Arch Linux.

O grupo de ameaças persistentes avançadas (APT) conhecido como Transparent Tribe, também chamado de APT36, tem direcionado ataques a sistemas Windows e Linux BOSS (Bharat Operating System Solutions) de entidades governamentais indianas. Os ataques são iniciados por meio de e-mails de spear-phishing que contêm arquivos de atalho de desktop maliciosos. Esses arquivos, disfarçados como documentos PDF, ao serem abertos, baixam e executam cargas maliciosas. O malware, que se comunica com um servidor de comando e controle, permite acesso remoto e coleta de dados. Além disso, o malware estabelece persistência através de um cron job, garantindo que a carga maliciosa seja executada automaticamente após reinicializações do sistema. A campanha também visa roubar credenciais e códigos de autenticação de dois fatores (2FA) de usuários, utilizando páginas falsas que imitam comunicações oficiais. A sofisticação do grupo, que adapta suas táticas conforme o ambiente da vítima, aumenta suas chances de sucesso e a dificuldade de detecção por controles de segurança tradicionais. Os ataques recentes têm como alvo organizações de defesa e entidades governamentais, utilizando domínios falsificados para enganar os usuários.

Recentemente, a China experimentou uma interrupção em sua conexão com a internet global, que durou 74 minutos, afetando especificamente o tráfego no TCP port 443, utilizado para HTTPS. O incidente ocorreu entre 00:34 e 01:48, horário de Pequim, quando a maioria dos cidadãos estava dormindo, levantando questões sobre se foi um erro ou uma ação intencional. Durante a interrupção, o Grande Firewall da China bloqueou o acesso a sites externos e interrompeu serviços de empresas como Apple e Tesla. Curiosamente, apenas o port 443 foi afetado, enquanto outros, como 22 (SSH) e 80 (HTTP), permaneceram operacionais. A análise sugere que o dispositivo responsável pela interrupção não correspondia aos equipamentos conhecidos do Grande Firewall, o que pode indicar um novo dispositivo de censura ou uma configuração incorreta. Além disso, não houve eventos políticos significativos que pudessem justificar a ação, tornando a situação ainda mais enigmática. Coincidentemente, horas antes, o Paquistão também enfrentou uma queda significativa no tráfego da internet, o que pode indicar uma possível conexão entre os dois eventos, dado o histórico de censura em ambos os países.

Uma nova campanha de ciberataques foi identificada pela empresa de cibersegurança Darktrace, onde hackers utilizaram a infraestrutura de Servidores Privados Virtuais (VPS) para comprometer contas de Software como Serviço (SaaS) em diversos ambientes de clientes. A investigação, realizada em maio de 2025, revelou que os atacantes se aproveitaram de provedores de VPS, como Hyonix e Host Universal, para contornar controles de segurança tradicionais e manter acesso persistente a contas de e-mail comprometidas.

O grupo de ciberespionagem MURKY PANDA, vinculado à China, tem intensificado suas atividades de ataque, focando em setores governamentais, tecnológicos, acadêmicos e de serviços profissionais na América do Norte desde o final de 2024. Este adversário sofisticado demonstrou habilidades avançadas em exploração de ambientes em nuvem e na rápida utilização de vulnerabilidades conhecidas e zero-day, como a CVE-2023-3519, que afeta sistemas Citrix NetScaler, e a CVE-2025-3928, recentemente divulgada.

MURKY PANDA utiliza técnicas de exploração avançadas e um arsenal de malware personalizado, incluindo o CloudedHope, um executável desenvolvido em Golang que visa sistemas Linux. O malware possui medidas anti-análise e foi ofuscado para evitar detecções. O grupo também se destaca por comprometer relacionamentos de confiança em ambientes de nuvem, explorando vulnerabilidades em provedores de Software como Serviço (SaaS) para acessar dados de clientes downstream.

Pesquisadores de cibersegurança alertam sobre atividades maliciosas do grupo de espionagem cibernética Murky Panda, vinculado à China, que utiliza relacionamentos de confiança na nuvem para invadir redes empresariais. O grupo é conhecido por explorar vulnerabilidades de dia zero e dia N, frequentemente obtendo acesso inicial por meio de dispositivos expostos à internet. Murky Panda, que já atacou servidores Microsoft Exchange em 2021, agora foca na cadeia de suprimentos de TI para acessar redes corporativas. Recentemente, o grupo comprometeu um fornecedor de uma entidade norte-americana, utilizando o acesso administrativo para criar uma conta de backdoor no Entra ID da vítima, visando principalmente o acesso a e-mails. Outro ator relacionado, Genesis Panda, tem explorado sistemas de nuvem para exfiltração de dados, enquanto Glacial Panda ataca o setor de telecomunicações, visando registros de chamadas e dados de comunicação. A crescente sofisticação desses grupos destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger ambientes de nuvem.

Uma campanha de espionagem cibernética sofisticada, atribuída ao grupo UAC-0057, vinculado ao governo da Bielorrússia, tem como alvo organizações na Ucrânia e na Polônia desde abril de 2025. Os atacantes utilizam arquivos comprimidos armados que contêm convites em PDF que parecem legítimos e planilhas Excel maliciosas. Os documentos de disfarce são projetados para parecer autênticos, como um convite oficial para uma assembleia geral da União de Municípios Rurais da Polônia e um documento sobre serviços do Ministério da Transformação Digital da Ucrânia. Após a execução de macros ofuscadas em arquivos XLS, os atacantes conseguem instalar DLLs maliciosas que coletam informações do sistema. A infraestrutura de suporte do UAC-0057 demonstra técnicas de imitação sofisticadas, registrando domínios que se assemelham a sites legítimos. A persistente mira na Ucrânia e na Polônia reflete os interesses geopolíticos do grupo, alinhados com o governo bielorrusso.

Um grupo avançado de ameaças persistentes (APT) sul-asiático está realizando uma campanha de espionagem direcionada a indivíduos ligados a forças militares em países como Sri Lanka, Bangladesh, Paquistão e Turquia. A operação combina técnicas tradicionais de phishing com a implantação de malware móvel, comprometendo smartphones de pessoas próximas ao setor militar e extraindo comunicações sensíveis, listas de contatos e documentos operacionais. Os atacantes utilizaram documentos PDF com temas militares como vetores de acesso inicial, redirecionando as vítimas para uma infraestrutura sofisticada de domínios de phishing. Mais de 40 domínios falsos foram identificados, imitando organizações de defesa da região. O componente móvel da APT é centrado em uma versão modificada do Rafel RAT, disfarçada como aplicativos legítimos, que solicita permissões extensivas para comprometer completamente os dispositivos. A análise dos dados comprometidos revelou uma coleta de inteligência significativa, incluindo mensagens SMS e documentos operacionais, com a maioria das vítimas localizadas no Sul da Ásia, especialmente em Bangladesh e Paquistão. A persistência e sofisticação da campanha indicam que se trata de um ator estatal ou próximo a um estado, realizando operações estratégicas de coleta de inteligência no setor de defesa sul-asiático.

Um novo ataque cibernético sofisticado foi descoberto, visando profissionais de segurança através de um pacote Go malicioso chamado golang-random-ip-ssh-bruteforce. Este pacote, que se disfarça como uma ferramenta legítima de teste de força bruta SSH, exfiltra secretamente credenciais de login bem-sucedidas para um ator de ameaça de língua russa via Telegram. O funcionamento do pacote envolve um loop infinito que gera endereços IPv4 aleatórios e verifica o acesso ao serviço SSH na porta TCP 22. Ao encontrar um servidor SSH acessível, ele tenta autenticações usando uma lista de senhas padrão, desabilitando a verificação de chaves de host, o que permite conexões inseguras. As credenciais roubadas são enviadas para um bot do Telegram, transformando os usuários em coletadores involuntários de dados para operações cibernéticas criminosas. O pacote foi publicado em junho de 2022 por um usuário do GitHub identificado como IllDieAnyway, que é avaliado como um ator de ameaça de língua russa. A recomendação é tratar todas as ferramentas ofensivas de fontes não confiáveis como hostis e implementar controles rigorosos para APIs de mensagens.

Pesquisadores de cibersegurança da Resecurity revelaram uma técnica de ataque sofisticada que explora configurações padrão de redes Windows, permitindo a compromissão total de domínios. O ataque MITM6 + NTLM Relay combina a auto-configuração IPv6 maliciosa com técnicas de retransmissão de credenciais, escalando privilégios e comprometendo ambientes do Active Directory. O método não depende de vulnerabilidades zero-day ou malware, mas sim de configurações frequentemente negligenciadas pelos administradores. Ao se conectar a redes, máquinas Windows enviam automaticamente solicitações DHCPv6, que podem ser respondidas por atacantes usando a ferramenta mitm6, redirecionando as máquinas vítimas para servidores DNS maliciosos. Uma vez que o tráfego DNS é comprometido, os atacantes podem interceptar solicitações WPAD e capturar credenciais de autenticação. A gravidade do ataque aumenta com a configuração padrão do Active Directory, que permite que qualquer usuário autenticado adicione até 10 contas de máquina ao domínio. Medidas de mitigação recomendadas incluem desativar o IPv6 quando não utilizado, implementar DHCPv6 Guard e reforçar a assinatura SMB e LDAP. A pesquisa destaca a importância de endurecer configurações padrão e minimizar suposições de confiança em ambientes de rede.

O relatório Blue Report 2025 da Picus Security revela que 46% das tentativas de quebra de senhas foram bem-sucedidas em ambientes testados, quase o dobro do ano anterior. Essa estatística alarmante destaca a fragilidade das políticas de gerenciamento de senhas nas organizações, que ainda utilizam senhas fracas e algoritmos de hash desatualizados. O relatório enfatiza que a falta de medidas adequadas, como a autenticação multifator (MFA) e a validação regular das defesas de credenciais, contribui para a vulnerabilidade das contas válidas, que são o vetor de ataque mais explorado, com uma taxa de sucesso de 98%. Além disso, os ataques baseados em credenciais permitem que invasores se movam lateralmente na rede, comprometendo sistemas críticos sem serem detectados. Para mitigar esses riscos, as organizações devem adotar políticas de senhas mais rigorosas, implementar MFA e realizar simulações de ataques para identificar vulnerabilidades. O relatório serve como um alerta para a necessidade urgente de focar na segurança de identidade e na validação de credenciais.

Noah Michael Urban, um jovem de 20 anos da Flórida, conhecido como “King Bob” nas comunidades de música online, foi condenado a 10 anos de prisão federal após se declarar culpado por conspiração, fraude eletrônica e roubo de identidade agravado. Além da pena de prisão, Urban foi condenado a pagar US$ 13 milhões em restituição a 59 vítimas de roubo de criptomoedas, ligadas à sua participação na organização criminosa “Scattered Spider”. Urban ganhou notoriedade por vazar músicas não lançadas de artistas renomados, utilizando táticas de cibercrime sofisticadas, como ataques de troca de SIM, que lhe permitiram acessar contas de executivos da indústria musical. Sua atuação não se limitou à pirataria musical; ele também foi um membro chave do Scattered Spider, que se especializa em ataques de engenharia social contra grandes corporações, incluindo ataques a cassinos em Las Vegas que resultaram em milhões de dólares em danos. A investigação federal que levou à sua prisão revelou que Urban e seus cúmplices roubaram pelo menos US$ 800 mil de cinco vítimas na Flórida, utilizando técnicas de troca de SIM para obter informações pessoais e contornar autenticações de dois fatores. O caso destaca a interseção entre pirataria na indústria do entretenimento e crimes cibernéticos graves, evidenciando como indivíduos podem transitar de atividades aparentemente inofensivas para empreendimentos criminosos internacionais.

O FBI emitiu um alerta urgente sobre operações cibernéticas sofisticadas conduzidas por hackers associados ao serviço de inteligência russo, que estão comprometendo redes de infraestrutura crítica nos Estados Unidos e internacionalmente. Os atacantes, vinculados ao Centro 16 do FSB, têm explorado vulnerabilidades em equipamentos de rede, como o protocolo Simple Network Management Protocol (SNMP) e uma falha não corrigida no Cisco Smart Install (CVE-2018-0171). Essa vulnerabilidade permitiu acesso não autorizado a sistemas sensíveis em diversos setores. A operação é extensa, com o FBI identificando a coleta de arquivos de configuração de milhares de dispositivos de rede. Além disso, os hackers demonstraram habilidades avançadas ao modificar arquivos de configuração para garantir acesso persistente, permitindo uma exploração detalhada das redes das vítimas, especialmente em sistemas de controle industrial. O grupo, conhecido por vários nomes, como ‘Berserk Bear’, tem operado por mais de uma década, visando dispositivos que utilizam protocolos legados. O FBI recomenda que organizações suspeitas de comprometimento avaliem imediatamente seus dispositivos de rede e relatem incidentes às autoridades competentes.

Um hacker de 26 anos, Al-Tahery Al-Mashriky, foi condenado a 20 meses de prisão por uma campanha de hacking que comprometeu milhões de credenciais de usuários em diversos países. Ele se declarou culpado de nove crimes sob a Lei de Uso Indevido de Computadores no Tribunal de Sheffield, após ser preso pela Agência Nacional de Crime (NCA) em agosto de 2022. A análise forense revelou que Al-Mashriky possuía dados pessoais de mais de 4 milhões de usuários do Facebook e uma coleção de nomes de usuário e senhas de plataformas como Netflix e PayPal. Seus ataques incluíram a exploração de vulnerabilidades em sistemas, utilizando ferramentas automatizadas para identificar falhas e coletar credenciais administrativas. Al-Mashriky estava ligado a grupos hackers extremistas e alegou ter comprometido mais de 3.000 sites em três meses. Seus alvos incluíam organizações governamentais e de mídia, causando interrupções operacionais significativas e custos elevados de recuperação. A NCA destacou a importância da investigação, que demonstrou a capacidade de rastrear cibercriminosos que acreditam que a anonimidade os protege da punição.

Ethan Foltz, um jovem de 22 anos do Oregon, foi acusado de desenvolver e gerenciar uma botnet de DDoS chamada RapperBot, que tem sido utilizada para realizar ataques em larga escala em mais de 80 países desde 2021. O Departamento de Justiça dos EUA informou que Foltz enfrenta uma acusação de auxílio e cumplicidade em intrusões de computador, podendo pegar até 10 anos de prisão se condenado. A botnet RapperBot, também conhecida como ‘Eleven Eleven Botnet’ e ‘CowBot’, compromete dispositivos como gravadores de vídeo digitais e roteadores Wi-Fi, utilizando malware especializado. Os clientes da RapperBot podem emitir comandos para esses dispositivos infectados, forçando-os a enviar grandes volumes de tráfego DDoS para servidores e computadores ao redor do mundo. A botnet é inspirada em outras como fBot e Mirai, e foi documentada pela primeira vez em 2022. A investigação revelou que Foltz e seus cúmplices monetizaram a botnet, realizando mais de 370.000 ataques a 18.000 vítimas únicas, incluindo alvos na China, Japão, EUA, Irlanda e Hong Kong. A operação para desmantelar a RapperBot faz parte da iniciativa internacional Operation PowerOFF.

A Bragg Gaming Group, uma empresa canadense que fornece software e plataformas para cassinos, confirmou ter sido alvo de um ciberataque em 16 de agosto. A empresa informou que o incidente foi contido rapidamente e não resultou no roubo de dados ou na implantação de ransomware. Especialistas em cibersegurança foram acionados para avaliar a situação e os resultados preliminares indicaram que o ataque foi restrito ao ambiente interno da Bragg. A empresa assegurou que não houve impacto nas operações e que nenhuma informação pessoal foi afetada. Este incidente ocorre em um contexto em que outras empresas do setor de jogos, como Ainsworth Game Technology e International Game Technology, também relataram interrupções significativas. A Bragg, que atende mais de 200 clientes na América do Norte, América Latina e Europa, experimentou um crescimento anual composto de 37% entre 2019 e 2023, prevendo um mercado total endereçado de cerca de 40 bilhões de dólares até 2028.

A Bragg Gaming Group, uma importante fornecedora de tecnologia para iGaming, confirmou um incidente de cibersegurança ocorrido em 16 de agosto de 2025. O ataque, detectado na manhã de sábado, afetou apenas a infraestrutura interna da empresa, sem comprometer dados de clientes ou a continuidade operacional. A análise forense preliminar indica que a intrusão foi limitada, com foco em possíveis movimentos laterais dentro da rede, mas sem acesso a sistemas voltados para o cliente ou informações pessoais identificáveis (PII). A arquitetura de rede segregada da Bragg foi fundamental para conter a violação, evitando impactos maiores. A empresa ativou imediatamente seu protocolo de resposta a incidentes, envolvendo especialistas externos para análise detalhada e caça a ameaças. A continuidade operacional foi mantida, com todos os sistemas críticos funcionando normalmente. A Bragg se comprometeu a fornecer atualizações sobre a investigação em seu site corporativo, ressaltando a importância de estruturas de cibersegurança robustas, especialmente em setores que lidam com dados financeiros sensíveis.

O ‘ghost-tapping’ é uma técnica emergente utilizada por grupos de cibercriminosos, especialmente de língua chinesa, que exploram vulnerabilidades em serviços de pagamento móvel como Apple Pay e Google Pay. Essa abordagem envolve ataques de relé de comunicação de proximidade (NFC), permitindo que os criminosos realizem compras presenciais de produtos de alto valor utilizando dados de cartões de crédito roubados. Os dados são obtidos através de campanhas de phishing e malware sofisticado, sendo posteriormente carregados em carteiras móveis em celulares descartáveis. Ferramentas como NFCGate e plataformas proprietárias permitem a transmissão em tempo real de dados tokenizados para dispositivos controlados pelos criminosos. Os mules, recrutados por meio de canais do Telegram, utilizam esses dispositivos para efetuar transações, frequentemente passando despercebidos devido a lacunas nos protocolos de Conheça Seu Cliente (KYC). Entre outubro e dezembro de 2024, mais de 650 incidentes foram registrados em Cingapura, resultando em perdas superiores a SGD 1,2 milhão, a maioria envolvendo cartões comprometidos vinculados ao Apple Pay. Especialistas alertam que essa ameaça está se expandindo globalmente, exigindo que instituições financeiras reforcem suas medidas de autenticação e que consumidores estejam atentos a atividades não autorizadas.

Um ator de ameaça persistente avançada (APT) de língua chinesa, identificado como UAT-7237, tem atacado entidades de infraestrutura web em Taiwan desde 2022, utilizando ferramentas de código aberto personalizadas para garantir acesso prolongado a ambientes de alto valor. A Cisco Talos atribui a atividade a este grupo, que é considerado um subgrupo de UAT-5918, conhecido por atacar infraestrutura crítica desde 2023. Os ataques se caracterizam pelo uso de um carregador de shellcode chamado SoundBill, que decodifica e lança cargas secundárias como o Cobalt Strike. Diferente de UAT-5918, que rapidamente implanta web shells, UAT-7237 utiliza o cliente VPN SoftEther para manter o acesso e posteriormente acessa os sistemas via RDP. Os atacantes exploram falhas de segurança conhecidas em servidores desatualizados, realizando reconhecimento inicial para determinar o valor do alvo. Além disso, ferramentas como JuicyPotato e Mimikatz são usadas para escalonamento de privilégios e extração de credenciais. A configuração do cliente VPN revela que os operadores são proficientes em chinês simplificado, indicando uma possível origem geográfica. Este cenário destaca a necessidade de vigilância constante e atualizações de segurança em sistemas expostos à internet.

Uma pesquisa da Fortinet revelou que o Brasil acumulou 315 bilhões de tentativas de ciberataques no primeiro semestre de 2025, representando mais de 80% do total de ataques na América Latina. Durante o Fortinet Cybersecurity Summit 2025, o vice-presidente de engenharia da empresa, Alexandre Bonatti, destacou que a maioria dos ataques no Brasil é direcionada, visando alvos específicos e com o objetivo de monetização. Os criminosos agora tratam os ataques como uma estratégia de negócios, buscando maximizar lucros. O Brasil se torna um alvo atraente devido à combinação de grandes instituições e baixa maturidade em segurança cibernética, especialmente em um cenário de transformação digital. Bonatti também mencionou que setores que utilizam Internet das Coisas (IoT), como indústria e saúde, estão entre os mais vulneráveis, principalmente quando operam com dispositivos desprotegidos ou desatualizados. A pesquisa indica que a educação em cibersegurança no Brasil ainda é precária, o que facilita a exploração por criminosos. Com o aumento da lucratividade dos ataques, a situação exige atenção urgente das empresas e profissionais de segurança da informação.

O Brasil se destaca como o país mais atacado da América Latina em cibersegurança, com mais de 514 mil incidentes registrados no segundo semestre de 2024, representando mais da metade dos 1,06 milhões de ataques na região. O relatório da Netscout revela um aumento de quase 30% em relação ao semestre anterior. Os ataques mais comuns incluem negação de serviço distribuído (DDoS) e ransomware, frequentemente visando extorquir empresas por meio de resgates em criptomoedas. A crescente sofisticação dos ataques, impulsionada pelo uso de inteligência artificial, permite que criminosos automatizem campanhas e criem e-mails falsos convincentes. O Brasil não apenas é um alvo, mas também um vetor de ciberataques, com a fragilidade das redes corporativas sendo um fator crítico. Especialistas alertam que a segurança deve ir além do perímetro das redes, abrangendo dispositivos pessoais, devido a vulnerabilidades como a falha no protocolo de roaming SS7. Para mitigar esses riscos, a Netscout propõe uma plataforma que utiliza inteligência artificial para detectar anomalias e proteger as infraestruturas digitais. O cenário exige que as empresas invistam em prevenção e monitoramento contínuo para enfrentar a crescente ameaça cibernética.

O Centro de Coordenação de Resposta a Incidentes de Segurança do Japão (JPCERT/CC) divulgou que entre setembro e dezembro de 2024, foram observados ataques utilizando um framework de comando e controle (C2) chamado CrossC2. Este framework expande a funcionalidade do Cobalt Strike para plataformas como Linux e macOS, permitindo controle cruzado de sistemas. Os atacantes usaram ferramentas como PsExec e Plink, além de um malware personalizado denominado ReadNimeLoader, que atua como carregador para o Cobalt Strike. O ReadNimeLoader, escrito na linguagem Nim, executa código diretamente na memória para evitar rastros no disco. Os ataques visaram servidores Linux, que frequentemente não possuem sistemas de detecção e resposta a ameaças (EDR), tornando-os alvos vulneráveis. A campanha de ataque também mostrou sobreposição com atividades de ransomware BlackSuit/Black Basta, indicando um cenário de ameaça crescente. JPCERT/CC enfatiza a necessidade de maior atenção a esses servidores, dada a falta de proteção adequada e o potencial de comprometimento adicional.