Ataque

Hackers roubam US 100 milhões explorando protocolo DeFi Balancer

O ecossistema de finanças descentralizadas (DeFi) enfrentou uma grave violação de segurança, com hackers explorando vulnerabilidades no protocolo Balancer, resultando em perdas superiores a US$ 100 milhões. O ataque focou nas V2 Composable Stable Pools, que operam em várias blockchains e possuem um recurso de segurança chamado ‘janela de pausa’, destinado a interromper transações em situações de emergência. No entanto, muitas dessas pools estavam ativas além do período em que essa proteção poderia ser acionada, deixando-as vulneráveis ao ataque. Após a descoberta da violação, a equipe de segurança do Balancer trabalhou rapidamente com especialistas em cibersegurança para conter os danos, interrompendo todas as pools elegíveis para pausa de emergência. Apesar das rigorosas práticas de segurança do Balancer, incluindo auditorias e programas de recompensas por bugs, o ataque demonstrou a sofisticação crescente das ameaças no setor DeFi. O Balancer alertou os usuários sobre tentativas de phishing que se aproveitaram da situação, enfatizando a importância de confiar apenas em fontes oficiais para informações. A equipe continua a colaborar com autoridades e especialistas para investigar o ataque e buscar a recuperação dos fundos.

Polícia Federal investiga desvio de R 813 milhões no Pix

A Polícia Federal (PF) deu início à segunda fase da operação Magna Fraus, que investiga um esquema criminoso responsável pelo desvio de aproximadamente R$ 813 milhões em transações realizadas via Pix. A operação, que conta com o apoio do Cyber GAECO do Ministério Público de São Paulo, está cumprindo 42 mandados de busca e apreensão e 26 mandados de prisão em diversas cidades do Brasil, incluindo Goiânia, Brasília e São Paulo. Além disso, a PF bloqueou bens e valores do grupo investigado que somam até R$ 640 milhões. A investigação se estende além das fronteiras brasileiras, com a colaboração de autoridades internacionais, incluindo a Interpol e polícias de Espanha, Argentina e Portugal. A primeira fase da operação, realizada em janeiro, focou na lavagem de dinheiro proveniente de invasões de dispositivos. Agora, a PF apura crimes como organização criminosa, invasão de dispositivo informático e furto mediante fraude eletrônica. Este caso destaca a vulnerabilidade das transações digitais e a necessidade de medidas de segurança mais robustas para proteger os usuários e instituições financeiras.

Nova operação TruffleNet de BEC usa chaves SES da AWS comprometidas

Um incidente significativo de segurança na nuvem foi identificado, revelando táticas avançadas de atores maliciosos que visam comprometer ambientes da AWS por meio de credenciais roubadas. Pesquisadores de segurança descobriram a campanha TruffleNet, que utiliza a ferramenta de código aberto TruffleHog para testar chaves de acesso comprometidas e realizar reconhecimento automatizado. A operação destaca o uso em larga escala do Amazon Simple Email Service (SES) para facilitar campanhas de Business Email Compromise (BEC), afetando mais de 800 hosts únicos em 57 redes Class C. Os atacantes validam credenciais através da API GetCallerIdentity da AWS e, após a confirmação, exploram o SES para criar novas identidades de envio de e-mails, permitindo a execução de fraudes. A análise revelou que os IPs de origem da TruffleNet careciam de sinalizações de reputação, indicando uma infraestrutura sob medida. Para mitigar essas ameaças, as organizações devem implementar políticas de IAM de menor privilégio e monitorar atividades anômalas no SES.

Ciberataques se tornam mais sofisticados e difíceis de conter

Os ciberataques estão se tornando cada vez mais inteligentes e difíceis de prevenir. Recentemente, hackers utilizaram ferramentas discretas e exploraram falhas de segurança recém-descobertas, atacando sistemas confiáveis e aproveitando-se de vulnerabilidades em questão de horas. As ameaças incluem espionagem, fraudes em empregos, ransomware avançado e phishing complexo, colocando até mesmo backups criptografados em risco. Um dos principais incidentes desta semana foi a exploração de uma falha crítica no Motex Lanscope Endpoint Manager, atribuída a um ator de espionagem cibernética suspeito da China, que implantou uma backdoor chamada Gokcpdoor em redes-alvo. Além disso, ataques de hackers russos à Ucrânia destacaram o uso de ferramentas administrativas comuns para roubo de dados, enquanto um novo malware bancário para Android, chamado Herodotus, imita o comportamento humano para evitar detecções. O ransomware Qilin também se destacou por utilizar o Windows Subsystem for Linux para lançar ataques em sistemas Windows, aumentando sua eficácia. A rápida exploração de vulnerabilidades, como as listadas na lista de CVEs críticos da semana, ressalta a necessidade urgente de ações corretivas por parte das organizações.

Ameaças cibernéticas a empresas de transporte e logística em 2025

Um novo conjunto de ataques cibernéticos tem como alvo empresas de transporte e logística, com o objetivo de instalar softwares de monitoramento remoto (RMM) para roubo de cargas. De acordo com a Proofpoint, esses ataques estão em andamento desde junho de 2025 e envolvem a colaboração com grupos de crime organizado. Os produtos mais visados incluem alimentos e bebidas, que são frequentemente vendidos online ou enviados para o exterior. Os atacantes utilizam técnicas como phishing direcionado e comprometimento de contas de e-mail para infiltrar-se nas empresas. Uma vez dentro, eles podem manipular sistemas, deletar reservas e coordenar o transporte de cargas sob nomes de transportadoras comprometidas. O uso de softwares RMM é vantajoso para os atacantes, pois permite que eles operem de forma discreta, já que essas ferramentas são comuns em ambientes corporativos e frequentemente não são sinalizadas como maliciosas. A situação representa um risco significativo para a segurança da cadeia de suprimentos, especialmente em um setor tão crítico quanto o de transporte e logística.

EDR-Redir V2 contorna Windows Defender usando arquivos falsos

Um pesquisador de segurança lançou uma ferramenta de evasão aprimorada chamada EDR-Redir V2, que explora a tecnologia de links de vinculação do Windows para contornar soluções de Detecção e Resposta de Endpoint (EDR) no Windows 11. Esta nova versão adota uma abordagem diferente de seu antecessor, visando diretórios pai em vez de atacar diretamente as pastas do software de segurança. A técnica se baseia na manipulação inteligente das estruturas de pastas do Windows, que os softwares de segurança dependem. Ao instalar, esses softwares colocam seus arquivos em locais padrão, como Program Files e ProgramData, e não conseguem impedir modificações em diretórios pai sem comprometer outras instalações legítimas. O EDR-Redir V2 cria links de vinculação que redirecionam pastas inteiras, fazendo com que o software de segurança acredite que a pasta controlada pelo atacante é seu diretório pai legítimo. Isso permite que os atacantes realizem o sequestro de DLLs, colocando arquivos executáveis maliciosos na localização redirecionada, potencialmente obtendo privilégios de execução de código sem serem detectados. A ferramenta está disponível publicamente no GitHub, o que a torna acessível tanto para pesquisadores de segurança quanto para potenciais agentes de ameaça. As organizações que utilizam soluções EDR no Windows devem avaliar suas defesas contra essa técnica e implementar controles de monitoramento adequados.

Credenciais Roubadas e Motivação Financeira Impulsionam Ataques Cibernéticos

O relatório da FortiGuard sobre a primeira metade de 2025 revela que ataques cibernéticos motivados financeiramente dominaram os padrões de incidentes, destacando o uso abusivo de credenciais legítimas e ferramentas de gerenciamento remoto. Os atacantes estão optando por métodos de intrusão discretos e de baixa complexidade, utilizando logins válidos e canais de acesso remoto para se misturar às operações normais das empresas. O relatório também aponta que, embora ataques cibernéticos habilitados por IA chamem atenção, há pouca evidência de seu uso operacional eficaz. As violações baseadas em credenciais e o uso indevido de acesso remoto continuam sendo os principais vetores de acesso inicial. As técnicas de acesso inicial mais comuns incluem credenciais comprometidas e exploração de serviços VPN expostos. Após a intrusão, os atacantes utilizam ferramentas legítimas como AnyDesk e Splashtop para manter a persistência e exfiltrar dados. A Fortinet recomenda que as defesas se concentrem em detecções baseadas em identidade e comportamento, além de implementar controles de segurança como autenticação multifator (MFA) e políticas de acesso condicional. O alerta é claro: os atacantes não precisam mais hackear para entrar, eles simplesmente fazem login.

Governo canadense afirma que hacktivistas atacam instalações de água e energia

O governo canadense emitiu um alerta de segurança sobre ataques realizados por hacktivistas a Sistemas de Controle Industrial (ICS), que incluem infraestruturas críticas como abastecimento de água, petróleo e agricultura. O relatório do Centro Cibernético e da Real Polícia Montada do Canadá menciona incidentes em que atacantes manipularam válvulas de pressão em uma instalação de água, causando degradação no serviço. Além disso, um sistema de medição de tanques de uma empresa de petróleo e gás foi comprometido, gerando alarmes falsos, e um silo de secagem de grãos teve seus níveis de temperatura e umidade alterados, o que poderia ter gerado condições inseguras. O governo canadense destaca que as vulnerabilidades nos ICS decorrem de uma divisão de responsabilidades pouco clara e da falta de proteção adequada dos ativos. Para mitigar esses riscos, recomenda-se a implementação de redes privadas virtuais (VPNs), autenticação em dois fatores (2FA) e sistemas de detecção de ameaças. A comunicação eficaz e a colaboração entre as empresas que operam ICS também são essenciais para proteger esses sistemas críticos.

Nova técnica de camuflagem explora ChatGPT para servir conteúdo falso

Pesquisadores de segurança revelaram uma nova técnica de ataque chamada “camuflagem consciente do agente”, que explora como ferramentas de busca baseadas em IA, como o ChatGPT e o navegador Atlas da OpenAI, recuperam conteúdo da web. Essa vulnerabilidade permite que atacantes sirvam versões diferentes de páginas da web para crawlers de IA, enquanto usuários humanos veem conteúdo legítimo. A técnica, que se destaca pela sua simplicidade, utiliza regras condicionais que detectam cabeçalhos de agentes de usuário de IA. Em experimentos controlados, foi demonstrado que, ao acessar um site, crawlers de IA recebiam informações fabricadas, enquanto visitantes humanos viam a versão verdadeira. Isso levanta preocupações sobre a falta de validação de proveniência nos sistemas de recuperação de informações de IA, que tratam o conteúdo como verdade absoluta. As implicações vão além de ataques à reputação, afetando também processos de contratação automatizados. Para mitigar esses riscos, recomenda-se a implementação de defesas em múltiplas camadas, incluindo a verificação criptográfica da autenticidade das informações e protocolos de validação para crawlers. A pesquisa destaca a necessidade urgente de monitoramento contínuo e validação de saídas geradas por IA, especialmente em decisões críticas como contratações e conformidade.

PF investiga caso de sextorsão envolvendo abuso sexual infantil

A Polícia Federal (PF) do Brasil conduziu uma operação em Cabo Frio, Rio de Janeiro, focada na investigação de um caso de sextorsão relacionado ao abuso sexual infantil. A ação, realizada em 29 de outubro de 2025, resultou na apreensão do celular de um suspeito, que estava chantageando uma vítima por meio de uma plataforma digital não divulgada. O investigado ameaçava divulgar imagens íntimas da vítima caso ela não fornecesse novos conteúdos de natureza sexual. A PF informou que o suspeito pode ser responsabilizado por crimes de armazenamento e compartilhamento de mídias com cenas de abuso sexual infantojuvenil, além de possíveis acusações de estupro. O combate a esse tipo de crime é parte de uma iniciativa mais ampla da PF para enfrentar o abuso sexual infantil no Brasil. Além disso, está em análise no Congresso o Projeto de Lei 2058/24, que visa criminalizar a sextorsão, prevendo penas de cinco a 12 anos, com agravantes para casos envolvendo menores de idade. Essa situação destaca a necessidade urgente de medidas de proteção e conscientização sobre os riscos da sextorsão e do abuso sexual infantil na era digital.

Ferramenta AzureHound é abusada por atacantes para enumerar Azure e Entra ID

O cenário de cibersegurança está cada vez mais voltado para ataques baseados em nuvem, com criminosos cibernéticos explorando ferramentas de segurança legítimas para realizar reconhecimento malicioso. A AzureHound, uma ferramenta de teste de penetração destinada a profissionais de segurança autorizados, foi transformada em uma arma por atacantes que buscam comprometer ambientes do Azure e do Microsoft Entra ID. Pesquisadores de segurança relataram que adversários sofisticados, como grupos apoiados pelo Irã e pela Rússia, estão utilizando a AzureHound em suas atividades de descoberta pós-compromisso. A ferramenta coleta dados através das APIs do Microsoft Graph e Azure REST, permitindo que atacantes mapeiem caminhos de ataque, identifiquem alvos de alto valor e descubram oportunidades de escalonamento de privilégios. Após obter acesso inicial ao ambiente da vítima, os atacantes podem usar a AzureHound para enumerar rapidamente todo o inquilino do Azure, sem necessidade de posicionamento especial na rede. Para se proteger contra o abuso da AzureHound, as organizações devem implementar controles de segurança em camadas, como autenticação multifator, políticas de acesso condicional e monitoramento de atividades da API do Azure. A vigilância contínua e a resposta rápida a incidentes são essenciais para mitigar esses riscos.

Hackers russos realizam ataques furtivos em entidade governamental

Uma campanha de intrusão de dois meses, recentemente descoberta, visou uma grande organização de serviços empresariais na Ucrânia, além de um ataque de uma semana contra uma entidade governamental local. Os atacantes, associados a grupos de ameaças russos, utilizaram táticas de ‘Living-off-the-Land’, evitando o uso de malware convencional e mantendo acesso persistente enquanto minimizavam os riscos de detecção. A invasão começou em 27 de junho de 2025, quando os hackers implantaram webshells em servidores expostos, provavelmente explorando vulnerabilidades não corrigidas. Um dos webshells identificados foi o Localolive, associado ao subgrupo Sandworm, uma unidade de inteligência militar da Rússia. Após a invasão inicial, os atacantes realizaram uma fase de reconhecimento metódica, coletando credenciais e configurando ferramentas legítimas para garantir acesso contínuo. A campanha destaca a sofisticação técnica dos atacantes e a necessidade de as organizações implementarem soluções robustas de detecção e resposta a incidentes, além de programas abrangentes de gerenciamento de vulnerabilidades.

Ciberataques russos visam organizações na Ucrânia para roubo de dados

Organizações na Ucrânia estão sendo alvo de ataques cibernéticos de origem russa, com o objetivo de roubar dados sensíveis e manter acesso persistente a redes comprometidas. Um relatório da equipe de Threat Hunter da Symantec e Carbon Black revelou que os ataques focaram uma grande organização de serviços empresariais por dois meses e uma entidade governamental local por uma semana. Os invasores utilizaram táticas de Living-off-the-Land (LotL) e ferramentas de uso duplo, minimizando o uso de malware para evitar detecções. Acesso inicial foi obtido através da implantação de web shells em servidores expostos, explorando vulnerabilidades não corrigidas. Um dos web shells, chamado Localolive, foi associado a um grupo de hackers conhecido como Sandworm, que já havia sido utilizado em campanhas anteriores. Os atacantes realizaram diversas ações, incluindo a execução de comandos PowerShell para manipular configurações do sistema e realizar reconhecimento. Embora a quantidade de malware utilizado tenha sido limitada, a atividade maliciosa foi predominantemente realizada com ferramentas legítimas, demonstrando um conhecimento profundo das ferramentas nativas do Windows. Este cenário destaca a crescente complexidade e sofisticação dos ataques cibernéticos, especialmente em contextos geopolíticos tensos.

Aumento de Ataques Automatizados a Servidores PHP e Dispositivos IoT

Pesquisadores em cibersegurança alertam para um aumento significativo de ataques automatizados direcionados a servidores PHP, dispositivos IoT e gateways de nuvem, realizados por botnets como Mirai, Gafgyt e Mozi. Segundo o relatório da Qualys Threat Research Unit, os servidores PHP se tornaram alvos principais devido ao uso generalizado de sistemas de gerenciamento de conteúdo, como WordPress e Craft CMS, que frequentemente apresentam vulnerabilidades conhecidas e configurações inadequadas. Entre as falhas exploradas estão CVE-2017-9841, CVE-2021-3129 e CVE-2022-47945, que permitem execução remota de código. Além disso, os atacantes estão utilizando strings de consulta específicas para iniciar sessões de depuração, o que pode expor dados sensíveis. A Qualys também observou que as tentativas de exploração frequentemente se originam de infraestruturas de nuvem, como AWS e Google Cloud, evidenciando como serviços legítimos estão sendo usados para encobrir atividades maliciosas. A empresa recomenda que os usuários mantenham seus dispositivos atualizados, removam ferramentas de desenvolvimento em ambientes de produção e restrinjam o acesso público à infraestrutura de nuvem. A nova botnet AISURU, classificada como TurboMirai, é capaz de lançar ataques DDoS superiores a 20 Tbps, destacando a evolução das ameaças cibernéticas atuais.

Quando malware de IA encontra DDoS um novo desafio para a resiliência online

O uso de inteligência artificial (IA) no cibercrime está crescendo rapidamente, com 80% dos ataques de ransomware em 2023-2024 utilizando essa tecnologia. Ferramentas como GhostGPT e AkiraBot estão permitindo que cibercriminosos criem códigos maliciosos, elaborem e-mails de phishing e contornem CAPTCHAs. A evolução dos ataques DDoS, especialmente os de camada de aplicação, se torna mais complexa, pois a IA pode mimetizar o comportamento humano, dificultando a identificação de bots. A proteção tradicional, baseada em CAPTCHAs, já não é eficaz. Em resposta, a filtragem baseada em intenção surge como uma alternativa, avaliando o comportamento do usuário em vez de tentar distinguir humanos de máquinas. As empresas precisam investir em plataformas de mitigação de DDoS que suportem essa nova abordagem e implementar monitoramento em múltiplas camadas para detectar anomalias. A falta de soluções adequadas entre os provedores de segurança gerencia um risco significativo, especialmente para grandes empresas, que podem sofrer danos reputacionais e financeiros severos em caso de ataques bem-sucedidos.

Novo ataque TEE.Fail compromete ambientes de execução confiável

Pesquisadores do Georgia Tech, Purdue University e Synkhronix desenvolveram um ataque de canal lateral chamado TEE.Fail, que permite a extração de segredos do ambiente de execução confiável (TEE) em processadores, incluindo Intel SGX e AMD SEV-SNP. O ataque utiliza um dispositivo de interposição que custa menos de US$ 1.000 e pode inspecionar fisicamente todo o tráfego de memória em servidores DDR5. Essa técnica é a primeira a demonstrar vulnerabilidades em hardware de última geração, permitindo a extração de chaves criptográficas, incluindo chaves de atestação, mesmo em máquinas atualizadas e em estado confiável. Os pesquisadores destacaram que o modo de criptografia AES-XTS utilizado por Intel e AMD é determinístico, o que o torna insuficiente para prevenir ataques de interposição física. Embora não haja evidências de que o ataque tenha sido explorado na prática, recomenda-se a implementação de contramedidas de software, que podem ser dispendiosas. Tanto a AMD quanto a Intel afirmaram que não planejam fornecer mitigação para esses tipos de ataques físicos.

PF prende homem por disseminação de abuso sexual infantil na dark web

Na última semana, a Polícia Federal (PF) realizou a Operação Miopia no Rio de Janeiro, resultando na prisão preventiva de um homem em Botafogo. Ele é suspeito de integrar uma organização criminosa transnacional dedicada à disseminação de conteúdos de abuso sexual infantojuvenil em fóruns da dark web. Durante a operação, foram apreendidos oito computadores, quatro celulares e diversas mídias de armazenamento, que passarão por perícia técnica para determinar a extensão dos crimes. As investigações foram impulsionadas por cooperação internacional, evidenciando a natureza global das atividades criminosas. O suspeito não apenas participava de discussões com outros abusadores, mas também publicava conteúdos ilícitos. A PF destaca a importância de monitorar a atividade online de crianças e adolescentes, alertando para os riscos associados ao uso da internet e a necessidade de diálogo sobre segurança digital. A operação evidencia a gravidade dos crimes de abuso sexual, que vão além da produção e compartilhamento de material, incluindo aliciamento e estupro de vulneráveis. A PF ressalta a importância de usar terminologias adequadas, como ‘abuso sexual’, para refletir a seriedade das violações cometidas contra as vítimas.

Grupo Predatory Sparrow Ataca Infraestrutura Crítica para Destruir Dados

O grupo de ciberataques Predatory Sparrow, supostamente vinculado a Israel, intensificou suas operações contra a infraestrutura crítica do Irã, visando instituições financeiras e governamentais. Desde sua emergência em 2019, o grupo tem demonstrado um aumento na sofisticação técnica e na capacidade de causar danos operacionais significativos. Em junho de 2025, o Predatory Sparrow assumiu a responsabilidade pela destruição de dados do Bank Sepah e pela interrupção de serviços da exchange de criptomoedas Nobitex, resultando na perda permanente de US$ 90 milhões em ativos digitais.

Nova ferramenta EDR-Redir contorna EDRs via drivers de filtro

Um pesquisador de cibersegurança apresentou a ferramenta EDR-Redir, que explora drivers de filtro de vinculação e de nuvem do Windows para comprometer sistemas de Detecção e Resposta de Endpoint (EDR). A técnica redireciona pastas executáveis do EDR para locais controlados por atacantes, permitindo injeção de código ou interrupção total do serviço sem a necessidade de privilégios de nível de kernel. O ataque utiliza o recurso de vinculação do Windows, introduzido no Windows 11 versão 24H2, que permite redirecionamento de namespace de sistema de arquivos através de caminhos virtuais. Diferente dos links simbólicos tradicionais, que os EDRs monitoram ativamente, os links de vinculação operam em nível de driver de minifiltro, permitindo redirecionamento transparente que parece legítimo para softwares de segurança. A ferramenta foi testada com sucesso contra Elastic Defend e Sophos Intercept X, redirecionando suas pastas executáveis. Quando a redireção falhou contra o Windows Defender, o pesquisador utilizou a API de Filtro de Nuvem do Windows para corromper a pasta alvo, bloqueando o acesso do Defender. A EDR-Redir está disponível no GitHub, levantando preocupações sobre sua exploração generalizada. A detecção desse tipo de ataque é extremamente desafiadora, pois opera em nível de driver, gerando poucos eventos de segurança. Para mitigar essa ameaça, os EDRs precisam aprimorar os mecanismos de proteção de pastas e implementar monitoramento para atividades de drivers de filtro.

Amazon Identifica Causa Raiz de Grande Queda do AWS

A Amazon Web Services (AWS) identificou a causa de uma grande interrupção que afetou milhões de clientes e suas operações em 19 e 20 de outubro de 2025. O problema foi causado por uma falha na resolução de DNS que afetou os pontos de serviço regionais do DynamoDB, um dos serviços de banco de dados de alto desempenho da Amazon. A interrupção começou às 23h49 PDT e durou cerca de duas horas e trinta e cinco minutos, resultando em um efeito dominó que afetou não apenas o DynamoDB, mas também a própria Amazon.com e diversos serviços subsidiários. A equipe da AWS agiu rapidamente, identificando o problema às 00h26 PDT e resolvendo a questão de DNS às 02h24 PDT. No entanto, a recuperação total levou cerca de quinze horas, com a normalização das operações ocorrendo apenas às 15h01 PDT do dia 20. Para evitar uma degradação adicional, a AWS adotou uma abordagem estratégica de controle, limitando deliberadamente o lançamento de novas instâncias do EC2, o que ajudou a estabilizar o sistema. A empresa publicou um resumo detalhado do evento, explicando as ações tomadas e as mudanças preventivas que serão implementadas para evitar incidentes semelhantes no futuro.

Atores Cibernéticos da Coreia do Norte Atacam Setor de Drones

Pesquisadores da ESET revelaram uma nova onda da Operação DreamJob, uma campanha de longa duração do grupo Lazarus, associado à Coreia do Norte. Recentemente, essa operação tem como alvo empresas de defesa na Europa, especialmente aquelas envolvidas no desenvolvimento e fabricação de veículos aéreos não tripulados (VANTs). O principal objetivo dos ataques é o roubo de dados proprietários e conhecimentos técnicos militares relacionados a sistemas de VANTs utilizados na Ucrânia.

Grupo da Coreia do Norte ataca empresas de defesa na Europa

Um novo ciclo de ataques cibernéticos, atribuído a atores de ameaças ligados à Coreia do Norte, está visando empresas europeias do setor de defesa, conforme relatado pela ESET. Esta campanha, conhecida como Operação Dream Job, tem como alvo empresas envolvidas na fabricação de veículos aéreos não tripulados (UAVs), sugerindo uma conexão com os esforços da Coreia do Norte para expandir seu programa de drones. Os ataques utilizam malwares como ScoringMathTea e MISTPEN para roubar informações proprietárias e know-how de fabricação. A ESET observou o início desta campanha em março de 2025, com alvos que incluem uma empresa de engenharia metalúrgica e um fabricante de componentes aeronáuticos na Europa Central e Sudeste. A Operação Dream Job, exposta pela ClearSky em 2020, é conduzida pelo grupo de hackers Lazarus, que utiliza engenharia social para atrair vítimas com ofertas de emprego falsas, levando à infecção de sistemas com malware. A estratégia do grupo é caracterizada por um padrão previsível, mas eficaz, que permite a evasão de detecções de segurança, embora não esconda sua identidade.

Ciberataque desvia R 26 milhões de fintech brasileira

No último domingo (19), a fintech brasileira FictorPay sofreu um ciberataque que resultou no desvio de R$ 26 milhões de seus clientes. O ataque foi possível devido a um vazamento de credenciais da empresa de software Dilleta Solutions, que confirmou a invasão e está colaborando com as autoridades para investigar o caso. Os hackers realizaram 282 transferências via Pix para 271 contas laranjas, utilizando um modelo de operação que não respeitava os limites de transações impostos pelo Banco Central (BC). Embora a FictorPay não tenha seus sistemas diretamente comprometidos, a situação levantou preocupações sobre a segurança do sistema Pix, especialmente em relação a limites de transações. O BC já havia imposto um limite de R$ 15 mil para transações de instituições não autorizadas, e agora considera estender essa limitação para instituições autorizadas, dada a gravidade do incidente. O ataque também afetou outros parceiros da Dilleta, totalizando um desvio de até R$ 40 milhões. A Celcoin, que integra a FictorPay ao sistema Pix, negou invasões diretas em seus sistemas, mas foi alertada sobre movimentações atípicas pelo BC.

Ciberataques e espionagem internacional são impulsionados por IA generativa

Um relatório da Microsoft revelou que, entre janeiro e julho de 2025, mais de 200 casos de hackers estrangeiros utilizaram inteligência artificial (IA) para criar e disseminar conteúdo falso e realizar ataques diretos a governos. Este número representa um aumento significativo em relação aos anos anteriores, com mais do que o dobro de casos registrados em 2024 e mais de dez vezes em comparação a 2023. Os cibercriminosos estão utilizando IA para automatizar ataques, como a tradução de e-mails de phishing, tornando-os mais convincentes e difíceis de identificar. Além disso, a criação de clones digitais de altos funcionários governamentais tem sofisticado as táticas de engenharia social, visando a obtenção de dados confidenciais e a desestabilização de serviços essenciais. A vice-presidente de Segurança e Confiança do Cliente da Microsoft, Amy Hogan-Buney, destacou que os EUA são o país mais visado, seguido por Israel e Ucrânia. Apesar das evidências, países como Rússia e China negam envolvimento em operações cibernéticas de espionagem. A Coreia do Norte, por sua vez, tem utilizado IA para criar identidades falsas, permitindo acesso a segredos comerciais e a instalação de malwares em empresas de tecnologia.

Campanhas Ativas de Ameaças Visam Armazenamento Azure Blob e Repositórios Organizacionais

A Microsoft Threat Intelligence emitiu um alerta urgente sobre o aumento de atividades maliciosas direcionadas ao Azure Blob Storage. Essas campanhas exploram configurações inadequadas, assinaturas de acesso compartilhado (SAS) excessivamente permissivas e credenciais comprometidas para infiltrar, persistir e exfiltrar dados sensíveis de empresas armazenados em repositórios na nuvem. O Azure Blob Storage, que suporta operações críticas como inteligência artificial e análises, tornou-se um alvo atraente devido à sua capacidade de gerenciar grandes volumes de dados não estruturados.

Ataque à cadeia de suprimentos afeta gerenciador NuGet com typosquats

Pesquisadores de cibersegurança identificaram um novo ataque à cadeia de suprimentos que visa o gerenciador de pacotes NuGet, utilizando typosquats maliciosos da plataforma Nethereum, que integra o Ethereum com .NET. O pacote malicioso, denominado Netherеum.All, foi projetado para decodificar um ponto de controle e comando (C2) e exfiltrar frases mnemônicas, chaves privadas e dados de armazenamento de carteiras. O pacote foi carregado por um usuário chamado ’nethereumgroup’ em 16 de outubro de 2025 e removido quatro dias depois por violar os termos de uso do NuGet. O ataque se destaca pelo uso de um homoglyph cirílico que substitui a letra ’e’, enganando desenvolvedores desavisados. Além disso, os atacantes inflaram artificialmente as contagens de download, alegando 11,7 milhões de downloads, o que é um sinal de alerta, já que é improvável que uma nova biblioteca alcance tal número rapidamente. A principal funcionalidade maliciosa está em uma função chamada EIP70221TransactionService.Shuffle, que extrai dados sensíveis da carteira do usuário. Este incidente ressalta a vulnerabilidade do NuGet, que não impõe restrições rigorosas sobre esquemas de nomenclatura, ao contrário de outros repositórios de código aberto. Para mitigar riscos, os usuários devem verificar cuidadosamente as bibliotecas antes de baixá-las e monitorar o tráfego de rede anômalo.

Por que as defesas tradicionais contra bots falham na automação inteligente

Com a aceleração da transformação digital, o tráfego de bots representa mais da metade do tráfego na internet, com bots maliciosos sendo responsáveis pela maioria das ameaças. Esses ataques automatizados se tornaram uma das maiores ameaças para empresas online, pois os bots evoluíram para imitar o comportamento humano e se adaptar a medidas de segurança. As defesas tradicionais, como firewalls de aplicações web (WAFs) e detecções baseadas em JavaScript, são reativas e dependem de padrões conhecidos, tornando-se ineficazes contra bots modernos que mudam rapidamente. Além disso, as defesas do lado do cliente introduzem riscos adicionais, pois o código pode ser manipulado por atacantes. O artigo destaca que a detecção do lado do servidor, que analisa o comportamento e a intenção do tráfego, é a única estratégia eficaz para enfrentar essas novas ameaças. Essa abordagem permite que as empresas detectem bots que se disfarçam como usuários legítimos, aumentando a eficácia da segurança em até 33 vezes. A evolução dos bots exige uma defesa igualmente inteligente, pois os danos vão além das perdas financeiras, afetando a integridade dos dados e a competitividade das empresas.

Campanha de Ciberespionagem PassiveNeuron Alvo de Organizações na América Latina

A Kaspersky identificou uma nova campanha de ciberespionagem chamada PassiveNeuron, que visa organizações governamentais, financeiras e industriais na Ásia, África e América Latina. Os ataques foram inicialmente detectados em novembro de 2024, com foco em entidades governamentais na América Latina e na Ásia Oriental. Os invasores utilizam malwares sofisticados, como Neursite e NeuralExecutor, que permitem movimentação lateral na infraestrutura das vítimas e exfiltração de dados. A campanha se destaca pelo uso de servidores internos comprometidos como infraestrutura de comando e controle, dificultando a detecção. Os atacantes têm explorado vulnerabilidades em servidores Windows, possivelmente através de injeções SQL ou força bruta, para implantar backdoors e ferramentas como Cobalt Strike. Desde dezembro de 2024, novas infecções foram observadas, com indícios de que os autores sejam falantes de chinês. A Kaspersky alerta que a campanha é particularmente perigosa devido ao foco em servidores expostos à internet, que são alvos atrativos para ameaças persistentes avançadas (APTs).

Grupo APT Cavalry Werewolf Lança Campanhas em Múltiplos Setores

Entre maio e agosto de 2025, o grupo de ameaça persistente avançada (APT) conhecido como Cavalry Werewolf, também rastreado como YoroTrooper e Silent Lynx, conduziu uma campanha de ciberataques sofisticada, visando o setor público e a infraestrutura crítica da Rússia. As indústrias de energia, mineração e manufatura foram os principais alvos, com o uso de malwares personalizados, como FoalShell e StallionRAT, através de operações de spear-phishing altamente direcionadas, disfarçadas como correspondências oficiais do governo.

Grupo de espionagem cibernética chinês ataca telecomunicações na Europa

Um grupo de ciberespionagem vinculado à China, conhecido como Salt Typhoon, atacou uma organização de telecomunicações na Europa na primeira semana de julho de 2025. Os invasores exploraram uma vulnerabilidade em um dispositivo Citrix NetScaler Gateway para obter acesso inicial. Salt Typhoon, ativo desde 2019, é conhecido por suas táticas de persistência e exfiltração de dados sensíveis em mais de 80 países, incluindo os EUA. Durante o ataque, os hackers utilizaram o Citrix Virtual Delivery Agent (VDA) para se mover lateralmente na rede da vítima, além de empregar o SoftEther VPN para ocultar suas origens. Um dos malwares utilizados foi o Snappybee, que se aproveita de uma técnica chamada DLL side-loading, onde arquivos DLL maliciosos são carregados junto a executáveis legítimos de software antivírus. A atividade maliciosa foi identificada e mitigada antes que pudesse causar danos maiores. A natureza furtiva e a capacidade de reutilizar ferramentas confiáveis tornam o Salt Typhoon um adversário desafiador para as defesas cibernéticas.

Grande queda da AWS interrompe internet - Amazon, Snapchat e mais fora do ar

Na madrugada de 20 de outubro de 2025, a Amazon Web Services (AWS) sofreu uma queda massiva que afetou a infraestrutura digital global. O problema começou por volta de 12h11 PDT, com falhas no serviço de banco de dados DynamoDB, que rapidamente se espalharam para outros serviços essenciais como EC2 e S3. Isso resultou em interrupções em plataformas populares como Snapchat, Amazon Prime Video e Canva, deixando milhões de usuários sem acesso a seus aplicativos e serviços. A AWS, que detém cerca de um terço do mercado global de nuvem, enfrentou críticas sobre a fragilidade da centralização de sua infraestrutura. Embora a empresa tenha declarado que o problema foi resolvido ao meio-dia, o impacto da queda ainda era sentido, com usuários relatando lentidão em serviços e gerando discussões sobre a necessidade de diversificação entre provedores de nuvem. A falha foi atribuída a um problema de resolução de DNS, que cortou a conexão entre os clientes e os gateways da AWS, evidenciando a vulnerabilidade de depender de um único provedor para operações críticas. O incidente levantou preocupações sobre a segurança e a resiliência das infraestruturas digitais, especialmente em setores críticos como saúde e finanças.

Ameaças Cibernéticas Brechas Silenciosas e Novas Táticas de Ataque

Recentes incidentes de cibersegurança revelam que brechas silenciosas estão se tornando comuns, com atacantes permanecendo nas redes por longos períodos sem serem detectados. Um dos casos mais alarmantes envolve a F5, que anunciou a violação de seus sistemas por atores desconhecidos, resultando no roubo de códigos fonte do BIG-IP e informações sobre vulnerabilidades não divulgadas. Acredita-se que os atacantes, associados a um grupo de espionagem da China, estavam ativos na rede da F5 por pelo menos 12 meses.

China acusa NSA de ataque cibernético premeditado

No último domingo, a China acusou a Agência de Segurança Nacional dos EUA (NSA) de realizar um ataque cibernético premeditado contra o Centro Nacional de Serviço de Tempo (NTSC), descrevendo os EUA como um “império hacker”. O Ministério da Segurança do Estado (MSS) afirmou ter encontrado “provas irrefutáveis” da participação da NSA em uma intrusão que teria ocorrido em 25 de março de 2022, embora o ataque tenha sido frustrado. O NTSC, responsável pela manutenção do horário padrão nacional, poderia ter sofrido consequências severas, como falhas em comunicações e interrupções em sistemas financeiros, caso o ataque tivesse sucesso. Segundo o MSS, a NSA teria explorado falhas de segurança em um serviço de SMS de uma marca estrangeira para comprometer dispositivos móveis de funcionários do NTSC, resultando no roubo de dados sensíveis. Além disso, a agência americana teria utilizado credenciais de login roubadas para acessar os computadores do NTSC e implementar uma nova plataforma de “guerra cibernética” entre agosto de 2023 e junho de 2024, ativando 42 ferramentas especializadas para ataques intensos. O MSS também acusou os EUA de realizar ataques cibernéticos persistentes contra diversos países, incluindo a China, e de distorcer a narrativa sobre a “ameaça cibernética chinesa”.

Automação impulsionada por IA na descoberta de vulnerabilidades e geração de malware

O relatório Digital Defense Report 2025 da Microsoft revela que a motivação financeira continua a dominar o cenário global de ameaças cibernéticas, com 52% dos ataques analisados relacionados a extorsão e ransomware. O documento, assinado pelo Chief Information Security Officer da Microsoft, Igor Tsyganskiy, destaca que 80% dos incidentes investigados estavam ligados ao roubo de dados, evidenciando que os cibercriminosos priorizam o lucro em vez da espionagem. A pesquisa também enfatiza o uso crescente de inteligência artificial (IA) em ciberataques, permitindo que até mesmo atores de baixo nível escalem operações maliciosas. A Microsoft processa mais de 100 trilhões de sinais de segurança diariamente, bloqueando cerca de 4,5 milhões de tentativas de malware e analisando 5 bilhões de e-mails para detectar phishing. A automação e a IA mudaram drasticamente a dinâmica dos ataques, com criminosos utilizando modelos de aprendizado de máquina para descobrir vulnerabilidades rapidamente e gerar malware polimórfico. O relatório também menciona o aumento das ameaças de atores estatais, especialmente da China, Irã, Rússia e Coreia do Norte, que estão explorando vulnerabilidades recém-divulgadas com rapidez. A Microsoft recomenda que as organizações integrem a segurança em suas estratégias de negócios e adotem modelos de defesa impulsionados por IA para enfrentar essas ameaças.

Informações secretas do governo britânico podem ter sido acessadas por hackers chineses

Dominic Cummings, ex-assessor do ex-primeiro-ministro Boris Johnson, afirmou que hackers chineses acessaram sistemas de segurança de alto nível do governo do Reino Unido por mais de uma década, obtendo informações classificadas, incluindo dados sensíveis conhecidos como ‘Strap’. Cummings alegou que foi informado sobre a violação em 2020 e que a informação comprometida incluía materiais dos serviços de inteligência e do Secretariado de Segurança Nacional. Em resposta, o Gabinete do Primeiro-Ministro negou as alegações, afirmando que os sistemas utilizados para transferir informações sensíveis não foram comprometidos. O ex-chefe do Centro Nacional de Cibersegurança do Reino Unido, professor Ciaran Martin, também desmentiu as afirmações de Cummings, ressaltando que não houve investigação sobre a suposta violação e que os sistemas em questão são projetados para serem seguros e monitorados de forma diferente de sistemas baseados na internet. As declarações de Cummings geraram um debate acalorado, e ele se ofereceu para testemunhar caso o Parlamento inicie uma investigação sobre o assunto.

Grupo APT Mysterious Elephant invade organização e rouba informações sensíveis

Um novo ataque de ciberespionagem foi identificado na região Ásia-Pacífico, com o grupo Mysterious Elephant, classificado como uma ameaça avançada persistente (APT), atacando agências governamentais e de política externa. Desde sua descoberta em 2023, o grupo tem se destacado por suas táticas adaptáveis, especialmente ao explorar plataformas de mensagens como o WhatsApp para roubar documentos e arquivos.

A campanha mais recente, iniciada em 2025, mostra uma evolução significativa nas técnicas operacionais do grupo, que agora utiliza malware desenvolvido sob medida e utilitários de código aberto modificados, como BabShell e MemLoader. Os ataques geralmente começam com e-mails de spear-phishing que imitam correspondências oficiais, utilizando temas diplomáticos para enganar as vítimas. Uma vez que o sistema é comprometido, o BabShell estabelece uma conexão de shell reverso, permitindo que os atacantes mantenham controle e executem comandos.

F5 Hacked - Ataque permite controle total e download de arquivos

A F5 Networks revelou um incidente de segurança que afetou seus ambientes internos, onde um ator de ameaça sofisticado, possivelmente um agente estatal, obteve acesso persistente e exfiltrou arquivos de sistemas críticos, incluindo o ambiente de desenvolvimento do produto BIG-IP. A empresa confirmou que ações de contenção foram bem-sucedidas e que não houve atividade não autorizada desde o início da resposta em agosto de 2025. Entre os arquivos acessados estão partes do código-fonte do BIG-IP e informações sobre vulnerabilidades não divulgadas em desenvolvimento. No entanto, a F5 assegurou que não há evidências de exploração ativa de falhas críticas ou de manipulação da cadeia de suprimentos. A empresa recomenda que seus clientes apliquem imediatamente atualizações de segurança e implementem práticas de endurecimento para mitigar riscos. A F5 também está colaborando com especialistas em segurança e autoridades para investigar o incidente e melhorar suas defesas. A situação destaca a importância de monitoramento contínuo e resposta rápida a incidentes de segurança.

Grupo de hackers chineses invade provedor de TI russo

Um grupo de hackers com vínculos à China, identificado como Jewelbug, foi responsável por uma invasão que durou cinco meses, visando um provedor de serviços de TI na Rússia. A atividade ocorreu entre janeiro e maio de 2025 e foi atribuída pela Symantec, que observou que o grupo também está relacionado a outras ameaças cibernéticas conhecidas. A invasão permitiu acesso a repositórios de código e sistemas de construção de software, possibilitando ataques à cadeia de suprimentos que poderiam afetar clientes na Rússia. Os atacantes utilizaram uma versão renomeada do Microsoft Console Debugger para executar código malicioso e contornar medidas de segurança. Além disso, foram observados esforços para exfiltrar dados para o Yandex Cloud. A atividade do Jewelbug destaca a continuidade das operações de espionagem cibernética da China, mesmo com o fortalecimento das relações entre Moscou e Pequim. O grupo também foi associado a uma intrusão em uma organização governamental na América do Sul, utilizando uma nova backdoor em desenvolvimento, o que demonstra suas capacidades em evolução. O uso de ferramentas legítimas e serviços em nuvem para ocultar suas atividades torna a detecção e resposta a esses ataques ainda mais desafiadoras.

Hacktivistas pró-Rússia intensificam ataques a portais e bancos

No período entre 6 e 8 de outubro de 2025, grupos hacktivistas pró-Rússia, especialmente o Sylhet Gang e o NoName057(16), realizaram uma série de ataques cibernéticos coordenados contra sistemas israelenses, em resposta ao aniversário de um evento político significativo. Dados da Radware indicam que mais de 50 alegações de ataques DDoS foram registradas, um aumento de 14 vezes em relação à média diária de setembro. O Sylhet Gang atuou como um núcleo de mobilização, incentivando ações contra a infraestrutura israelense, enquanto o Arabian Ghosts se destacou como o grupo mais ativo, responsável por 40% das declarações de DDoS. Os ataques foram caracterizados por sua brevidade, com a maioria durando menos de 20 minutos, e focaram em alvos de alta visibilidade, como portais governamentais e plataformas de e-commerce. A participação de grupos como o NoName057(16) indica uma ampliação da coordenação entre coletivos hacktivistas com narrativas políticas comuns, refletindo uma nova dinâmica no cenário de cibersegurança global.

Grupo de hackers chineses compromete sistema ArcGIS por mais de um ano

Um novo ataque cibernético atribuído a um grupo de hackers patrocinado pelo Estado chinês, conhecido como Flax Typhoon, comprometeu um sistema ArcGIS, transformando-o em uma porta dos fundos por mais de um ano. De acordo com a ReliaQuest, os atacantes modificaram uma extensão de objeto de servidor Java (SOE) de um aplicativo de geo-mapeamento para criar um shell web, permitindo acesso não autorizado. Essa técnica de ataque, que utiliza métodos de ’living-off-the-land’, permite que os hackers evitem a detecção ao se misturarem ao tráfego normal do servidor. O grupo conseguiu acessar uma conta de administrador de portal público para implantar a SOE maliciosa, que foi ativada através de uma operação REST padrão. Uma vez dentro, os atacantes estabeleceram uma conexão VPN oculta, permitindo que eles se comportassem como parte da rede interna da vítima. O ataque destaca a criatividade dos hackers em usar ferramentas legítimas para contornar medidas de segurança, evidenciando a necessidade de vigilância constante e atualização das práticas de segurança cibernética.

Nintendo é hackeada? Grupo afirma ter roubado dados sigilosos

O grupo de hackers Crimson Collective anunciou, no último sábado (11), que invadiu os servidores da Nintendo, alegando ter acessado arquivos confidenciais, incluindo materiais de produção e dados de desenvolvedores. A gigante japonesa, conhecida por sua rigorosa proteção de informações, não se pronunciou sobre o incidente, o que levanta dúvidas sobre a veracidade da alegação. O Crimson Collective também foi responsável por um ataque recente à Red Hat, onde roubaram cerca de 570 GB de dados e tentaram extorquir a empresa. A Red Hat optou por admitir o vazamento e colaborar com as autoridades, enquanto a Nintendo pode não se manifestar a menos que dados de clientes ou funcionários tenham sido comprometidos, o que exigiria uma divulgação legal. Se confirmada, a invasão pode indicar a prática de ransomware, uma técnica crescente em ataques cibernéticos, especialmente na indústria de jogos, que já enfrentou incidentes semelhantes, como os ataques à Rockstar e à Insomniac Games nos últimos anos. A situação destaca a vulnerabilidade das empresas de tecnologia e a necessidade de medidas de segurança robustas para proteger dados sensíveis.

Pacotes maliciosos transformam Discord em hub C2 encoberto

Pesquisas da Socket revelaram um aumento no uso de webhooks do Discord como canais de comando e controle (C2) em pacotes maliciosos distribuídos por npm, PyPI e RubyGems. Essa técnica permite que atacantes exfiltratem dados sensíveis para servidores do Discord controlados por eles, sem a necessidade de infraestrutura dedicada, o que torna a detecção e prevenção mais difíceis. Os webhooks do Discord são endpoints HTTPS que aceitam cargas JSON para postar mensagens em canais específicos, permitindo que qualquer pessoa com a URL do webhook envie dados sem revelar o histórico do canal. Exemplos incluem pacotes como mysql-dumpdiscord, que coleta arquivos de configuração e os envia para um webhook, e malinssx, que envia mensagens codificadas durante a instalação. O uso de webhooks reduz os custos e aumenta a furtividade das operações dos atacantes, levando a Socket a recomendar controles rigorosos de saída e análise comportamental para proteger a cadeia de suprimentos de software.

Como a IA está transformando a segurança cibernética

O uso crescente da inteligência artificial (IA) está revolucionando a forma como os atacantes realizam a fase de reconhecimento em cibersegurança. Antes de enviar um ataque, os hackers analisam minuciosamente o ambiente da vítima, explorando fluxos de login, arquivos JavaScript, mensagens de erro e documentação de APIs. A IA acelera esse processo, permitindo que os atacantes mapeiem sistemas com maior rapidez e precisão. Embora a IA não execute ataques de forma autônoma, ela otimiza a coleta e análise de informações, ajudando a identificar vulnerabilidades e caminhos de ataque.

Táticas de Roubo de Credenciais por Hacktivistas Pró-Russos em Ambientes OT e ICS

Um grupo hacktivista pró-russo, conhecido como TwoNet, foi identificado atacando uma instalação de tratamento de água durante uma operação de honeypot realizada pelos laboratórios Vedere da Forescout em setembro de 2025. O ataque destacou uma mudança nas táticas de hacktivistas, que estão se afastando da simples desfiguração de sites para intrusões mais sofisticadas em sistemas de tecnologia operacional (OT) e controle industrial (ICS). Os atacantes exploraram a autenticação fraca em uma interface homem-máquina (HMI), utilizando credenciais padrão para obter acesso. Após a invasão, eles realizaram consultas SQL para mapear dados e injetaram JavaScript malicioso, alterando a página de login. Além disso, criaram uma conta separada para realizar ações persistentes, como manipulação de dados e desativação de logs de alarmes. A análise revelou que o ataque foi manual, com IPs associados a entidades sancionadas pela UE, e que houve atividades correlacionadas de grupos aliados, aumentando a escalabilidade da ameaça. Especialistas recomendam medidas de endurecimento, como a eliminação de senhas padrão e a segmentação de redes, para mitigar riscos semelhantes.

Análise Forense - Como Funciona o EDR-Freeze e Seus Vestígios

O EDR-Freeze é uma ferramenta de prova de conceito que incapacita motores de detecção e resposta em endpoints (EDR) ou antivírus, utilizando componentes legítimos do Windows, como o WerFaultSecure.exe e a API MiniDumpWriteDump. Ao ser executado, o EDR-Freeze_1.0.exe se disfarça como um manipulador de falhas, suspendendo temporariamente processos de segurança, como o MsMpEng.exe (serviço do Windows Defender), sem acionar alertas. Durante a criação de dumps de falha, o EDR-Freeze consegue pausar a coleta de telemetria, mantendo o estado do processo intacto. Após um intervalo configurável, os processos suspensos são retomados, permitindo que os atacantes operem sem serem detectados. Para a investigação, é crucial preservar vestígios do arquivo temporário gerado, t.txt, e analisar a tabela de endereços de importação do WerFaultSecure.exe. A implementação de regras YARA pode ajudar a identificar atividades do EDR-Freeze, destacando a necessidade de análises forenses de memória e caça comportamental em fluxos de resposta a incidentes. Essa técnica demonstra como componentes confiáveis do sistema operacional podem ser explorados para desativar controles de segurança, exigindo uma resposta proativa dos profissionais de cibersegurança.

Atenção JavaScript não monitorado pode comprometer dados de pagamento

Com a aproximação da temporada de compras de 2025, um alerta se destaca na cibersegurança: o uso de JavaScript não monitorado representa uma vulnerabilidade crítica que pode permitir que atacantes roubem dados de pagamento sem serem detectados por sistemas de firewall de aplicativos web (WAF) e detecção de intrusões. O artigo destaca que, durante a temporada de compras de 2024, houve um aumento alarmante de 690% em ataques, com incidentes notáveis como a violação do Polyfill.io, que afetou mais de 500 mil sites, e o ataque Magecart da Cisco, que visou consumidores durante as compras de fim de ano. A pesquisa revela que, embora as defesas do lado do servidor tenham sido fortalecidas, o ambiente do navegador, onde o código malicioso pode operar, permanece vulnerável. Para mitigar esses riscos, recomenda-se a implementação de políticas de segurança de conteúdo (CSP), integridade de sub-recurso (SRI) e monitoramento contínuo do lado do cliente. Com o aumento do tráfego de compras, é essencial que os varejistas online fechem essas lacunas de visibilidade e adotem medidas proativas para proteger os dados dos consumidores.

Hackers Alvo de Serviços RDP de Mais de 100.000 IPs

Uma campanha massiva e coordenada de botnets está atacando serviços de Protocolo de Área de Trabalho Remota (RDP) nos Estados Unidos. Desde 8 de outubro de 2025, a empresa de cibersegurança GreyNoise identificou mais de 100.000 endereços IP únicos envolvidos nos ataques, que se estendem por mais de 100 países. Os vetores de ataque principais incluem ataques de temporização de autenticação anônima do Microsoft RD Web Access e verificações de enumeração de login do Microsoft RDP Web Client. A análise revelou que a maioria dos IPs participantes compartilha impressões digitais TCP semelhantes, indicando uma infraestrutura centralizada de comando e controle. Os ataques focam especificamente em serviços RDP baseados nos EUA, com nós da botnet distribuídos em regiões como Brasil, Argentina, Irã, China, México, Rússia, África do Sul e Equador. Para se proteger, as organizações devem implementar configurações robustas de segurança RDP, como autenticação em nível de rede e autenticação multifatorial, além de monitorar tentativas de acesso e considerar restringir o acesso RDP através de VPNs.

Ataque DDoS derruba Steam, PSN, Xbox, Fortnite e LoL simultaneamente

Na última terça-feira (7), diversas plataformas de jogos online, incluindo Steam, PlayStation Network, Xbox Live, e títulos populares como Fortnite e League of Legends, enfrentaram lentidão e quedas simultâneas, sugerindo um ataque DDoS. O Downdetector registrou mais de 36.000 reclamações de usuários do Steam, com a Epic Games Store e PlayStation também reportando problemas significativos. A Riot Games, responsável por LoL e Valorant, confirmou sobrecarga em seus servidores, coincidindo com os problemas enfrentados por outras plataformas. Embora não haja confirmação oficial, especula-se que a botnet Aisuru esteja por trás do ataque, que visa grandes plataformas para demonstrar sua capacidade de causar interrupções. A Epic Games reconheceu as instabilidades, mas não forneceu detalhes sobre as causas ou possíveis responsáveis. Este incidente destaca a vulnerabilidade das infraestruturas de jogos online e a necessidade de medidas de segurança mais robustas para proteger os usuários e as plataformas.

Nova botnet RondoDox ataca dispositivos conectados globalmente

Pesquisadores de segurança estão alertando sobre a nova botnet RondoDox, que explora 56 vulnerabilidades em mais de 30 tipos de dispositivos conectados à internet. Diferente de botnets tradicionais que costumam focar em uma única vulnerabilidade, RondoDox adota uma abordagem chamada ’exploit shotgun’, atacando múltiplas falhas simultaneamente, o que a torna barulhenta e facilmente detectável por defensores. Os dispositivos afetados incluem roteadores, câmeras de segurança e sistemas de DVR de marcas conhecidas como QNAP, D-Link e Netgear. A maioria das vulnerabilidades já possui patches disponíveis, o que facilita a defesa. As recomendações incluem manter o firmware atualizado, isolar redes e usar senhas fortes. A campanha ainda está ativa, e a rápida evolução das táticas de cibercriminosos indica um futuro preocupante para a segurança cibernética, com a exploração automatizada de infraestruturas antigas em larga escala.

Microsoft Azure enfrenta interrupção global afetando serviços em todo o mundo

No dia 9 de outubro de 2025, a Microsoft Azure, uma das principais plataformas de computação em nuvem, sofreu uma interrupção significativa que afetou clientes na Europa e na África. O problema começou por volta das 07:40 UTC, resultando em uma perda de capacidade de cerca de 30% em instâncias do Azure Front Door, a rede de entrega de conteúdo da empresa. Regiões como Norte da Europa, Oeste da Europa, França Central e partes da África do Sul foram as mais impactadas. Os usuários enfrentaram falhas de conectividade, e muitos não conseguiram acessar o portal do Azure, o que dificultou ações administrativas e de gerenciamento. A Microsoft descartou que as recentes implementações de código fossem a causa do problema, sugerindo que a falha poderia estar relacionada a componentes fundamentais da rede. A empresa se comprometeu a fornecer atualizações regulares e a realizar uma análise detalhada após a restauração dos serviços. Este incidente ressalta os riscos associados à dependência de um único provedor de nuvem e a necessidade de estratégias de resiliência robustas, como implantações em múltiplas regiões e arquiteturas híbridas.