Notícias

O grupo de ransomware PEAR reivindicou a responsabilidade por uma violação de dados ocorrida em junho de 2025 na Think Big Health Care Solutions, uma empresa de gestão de saúde da Flórida. A violação comprometeu uma vasta gama de informações pessoais, incluindo nomes, números de Seguro Social, números de identificação fiscal, endereços, dados bancários e informações médicas. A PEAR afirma ter roubado 60 GB de dados e publicou imagens que supostamente contêm documentos da Think Big para corroborar sua alegação. Em seu site de vazamento de dados, a gangue afirmou que a administração da Think Big se recusou a negociar, deixando os dados disponíveis publicamente. A Think Big ainda não confirmou a alegação da PEAR e não divulgou quantas pessoas foram notificadas sobre a violação nem o valor exigido como resgate. A empresa emitiu um aviso aos afetados, informando que uma investigação forense está em andamento após a descoberta de atividades suspeitas em uma conta de e-mail de funcionário. Para os afetados, a Think Big está oferecendo monitoramento de crédito e proteção contra roubo de identidade por meio da Haystack ID. A PEAR, que se apresenta como um novo grupo de ransomware, já fez outras 17 reivindicações de ataques em 2025, focando em extorquir dados sem criptografá-los, o que difere da maioria dos grupos de ransomware. Ataques desse tipo em empresas de saúde nos EUA podem causar interrupções significativas e riscos à saúde e segurança dos pacientes.

Em 30 de julho, Keonne Rodriguez e William Lonergan Hill, cofundadores da Samourai Wallet, um misturador de criptomoedas que facilitou mais de US$ 200 milhões em transações ilegais, se declararam culpados perante a juíza do Tribunal Distrital dos EUA, Denise L. Cote, em Nova York. Rodriguez, CEO da Samourai, e Hill, CTO, admitiram sua participação em uma conspiração para operar um negócio de transmissão de dinheiro que envolvia, entre outras atividades, mercados ilegais na dark web e esquemas de phishing. Desde 2015, os dois desenvolveram o aplicativo móvel Samourai, projetado para transmitir lucros provenientes de crimes. O serviço incluía duas funcionalidades principais: o ‘Whirlpool’, um serviço de mistura de Bitcoin que obscurecia a origem dos fundos, e o ‘Ricochet’, que introduzia transações intermediárias para dificultar o rastreamento. Desde o lançamento do Ricochet em 2017 e do Whirlpool em 2019, mais de 80.000 Bitcoins, avaliados em mais de US$ 2 bilhões, passaram por esses serviços. Ambos os fundadores promoviam ativamente a utilidade da Samourai para esconder lucros ilícitos, reconhecendo que seus clientes incluíam participantes de mercados ilegais. Rodriguez, de 36 anos, e Hill, de 67, cada um se declarou culpado de um único crime de conspiração, que pode resultar em até cinco anos de prisão, além de concordarem em devolver US$ 237.832.360,55 ao governo dos EUA.

KLM e Air France confirmaram uma violação de dados que envolveu acesso não autorizado a informações de clientes em uma plataforma externa de atendimento. Importante ressaltar que o incidente não afetou os sistemas internos das companhias aéreas, e não houve comprometimento de informações sensíveis, como senhas, detalhes de viagem, números de passaporte, milhas do programa Flying Blue ou dados de cartões de crédito. A violação está relacionada a uma onda mais ampla de ataques similares que têm afetado diversas empresas. Medidas de segurança imediatas foram implementadas para interromper o acesso não autorizado e prevenir futuros incidentes. As companhias notificaram as autoridades nacionais de proteção de dados de seus respectivos países: a Autoridade de Proteção de Dados da Holanda (AP) e a Comissão Nacional de Informática e Liberdades da França (CNIL). Este ataque faz parte de uma série de incidentes relacionados ao Salesforce, perpetrados pelo grupo ShinyHunters. Em um contexto mais amplo, outras empresas também foram alvo de ataques recentes, incluindo uma violação de dados que expôs informações de 6,4 milhões de clientes da Bouygues Telecom e uma série de outros incidentes cibernéticos que estão gerando preocupações sobre a segurança de dados em várias indústrias.

Na manhã de ontem, o grupo cibercriminoso ShinyHunters enviou uma mensagem provocativa no Telegram, afirmando que nem mesmo a NSA consegue detê-los ou identificá-los. O membro do grupo, conhecido como ‘Shiny1’, revelou que a NSA está analisando gravações de chamadas de voz de empresas afetadas, mas acredita que a análise será infrutífera devido ao uso de vozes geradas por inteligência artificial. ShinyHunters, que recentemente atacou marcas de luxo como Dior e Tiffany, expressou ira não apenas contra a aplicação da lei, mas também contra a LVMH, afirmando que a pressão dessa empresa influenciou ações de força-tarefa na França. Shiny declarou que a estratégia do grupo é focar em países como EUA, Reino Unido, Austrália, Canadá e França, enquanto evita atacar nações como Rússia e China. Durante a conversa, ele também mencionou que metade dos membros do grupo está localizada em países como EUA, Reino Unido e Austrália, o que justifica os ataques a grandes empresas australianas, como a Qantas. ShinyHunters enviou um e-mail à Qantas desafiando a empresa a não cumprir ordens judiciais, afirmando que não têm obrigação de obedecer a regulamentações fora de sua jurisdição. Além disso, o grupo também enviou um aviso à Polícia Federal Australiana sobre futuros ataques, destacando a ‘ignorância e arrogância’ no cenário de segurança cibernética do país. O grupo demonstrou confiança na continuidade de seus ataques, afirmando que as empresas afetadas não têm ideia do que está por vir.

A Pakistan Petroleum Limited (PPL), empresa de exploração de petróleo e gás, confirmou ter enfrentado um ataque de ransomware que afetou partes de sua infraestrutura de TI. O incidente foi detectado em 6 de agosto de 2025, mas, segundo a empresa, foi rapidamente contido, sem comprometimento de sistemas críticos ou dados sensíveis. Em um comunicado enviado à Bolsa de Valores do Paquistão (PSX), a PPL informou que ativou imediatamente seus protocolos internos de cibersegurança após identificar a intrusão. Até o momento, nenhum grupo de ransomware assumiu a responsabilidade pelo ataque. Este incidente ocorre em um contexto mais amplo de ataques cibernéticos, com outras empresas e setores também lidando com violações de dados. Por exemplo, recentemente, a Air France e a KLM alertaram seus clientes sobre uma violação de dados em uma plataforma externa, enquanto a Bouygues Telecom enfrentou uma exposição significativa de dados, marcando o segundo grande incidente envolvendo operadoras de telecomunicações francesas em um mês. Além disso, o estado de Ohio implementou uma lei exigindo que governos locais aprovem formalmente pagamentos de resgates relacionados a ataques cibernéticos. Esses eventos ressaltam a crescente preocupação com a segurança cibernética em todo o mundo e a necessidade de medidas preventivas mais robustas para proteger informações críticas.

Na última sexta-feira, autoridades do Condado de Spartanburg relataram que o local enfrentou um incidente de cibersegurança no início da semana. Scottie Kay Blackwell, gerente de comunicações do condado, confirmou que um ataque cibernético acionou imediatamente uma resposta das plataformas de software de rede, do fornecedor de cibersegurança e das autoridades policiais. Segundo Blackwell, o ataque foi contido pelas plataformas de software e pela equipe do condado. Como medida de precaução, algumas conexões e serviços eletrônicos foram desativados, enquanto funcionários e profissionais de segurança continuam a trabalhar na restauração dos sistemas e no restabelecimento do acesso público. Este não é o primeiro ataque cibernético enfrentado pelo condado; anteriormente, o local já havia sofrido ataques de ransomware em 2018 e 2023. A situação destaca a crescente preocupação com a segurança cibernética em órgãos públicos e a necessidade de investimentos em tecnologia e formação para prevenir futuros incidentes. A população deve estar atenta e informada sobre as medidas adotadas para garantir a proteção de dados e serviços essenciais.

Um novo conjunto de 60 pacotes maliciosos foi descoberto atacando o ecossistema RubyGems, disfarçando-se como ferramentas de automação para redes sociais e serviços de mensagens, com o objetivo de roubar credenciais de usuários desavisados e possivelmente revendê-las em fóruns da dark web. A atividade está ativa desde pelo menos março de 2023, com mais de 275.000 downloads registrados. Os pacotes foram publicados por um ator de ameaças que usa os pseudônimos zon, nowon, kwonsoonje e soonje, e visam plataformas como Instagram, Twitter/X, TikTok e WordPress. Embora os pacotes ofereçam funcionalidades legítimas, como postagem em massa, também possuem um recurso oculto que exfiltra nomes de usuário e senhas para servidores controlados pelos atacantes. Entre os alvos estão profissionais de marketing que utilizam esses pacotes para campanhas de spam e otimização de mecanismos de busca (SEO). Além disso, a GitLab detectou pacotes de typosquatting no Python Package Index (PyPI), que visam roubar criptomoedas de carteiras Bittensor, ocultando código malicioso em funções de estaca aparentemente legítimas. O PyPI anunciou novas restrições para proteger instaladores de pacotes Python contra ataques de confusão, prometendo rejeitar pacotes que não coincidam com os metadados incluídos após um período de advertências. Essas descobertas ressaltam a necessidade de vigilância contínua na segurança da cadeia de suprimentos de software.

Nos últimos anos, a segurança das credenciais tem se tornado uma preocupação crescente para organizações em todo o mundo. Um relatório da Verizon de 2025 revelou que 22% das violações de dados em 2024 foram causadas por credenciais vazadas, superando técnicas de phishing e exploração de software. Em 2025, a Cyberint, uma empresa de gestão de riscos, registrou um aumento de 160% nas credenciais vazadas em comparação ao ano anterior. Este cenário é agravado pela facilidade de roubo de credenciais, com malwares como infostealers permitindo que atacantes de baixa qualificação coletem dados de login de forma automatizada. As credenciais vazadas não só são utilizadas para invasões diretas de contas, mas também podem resultar em fraudes financeiras, campanhas de spam e extorsão. A Cyberint utiliza sistemas automatizados para monitorar uma ampla variedade de fontes e detectar essas exposições em larga escala, correlacionando padrões de domínio e reutilização de senhas. A falta de monitoramento em dispositivos pessoais de funcionários representa um desafio adicional, pois 46% das credenciais vazadas estavam associadas a dispositivos desprotegidos. Apesar de políticas de senhas e autenticação de múltiplos fatores, o roubo de credenciais continua sendo uma probabilidade real. Portanto, a capacidade de detectar e remediar rapidamente exposições é crucial para a defesa cibernética das organizações. O relatório completo oferece insights sobre como as empresas podem operacionalizar essa inteligência para proteger suas credenciais e reduzir riscos.

Pesquisadores de cibersegurança estão alertando sobre uma nova campanha que utiliza ferramentas legítimas de construção de sites com inteligência artificial generativa, como DeepSite AI e BlackBox AI, para criar páginas de phishing que imitam agências governamentais brasileiras. Essas páginas falsas visam enganar usuários desavisados a realizarem pagamentos indevidos através do sistema de pagamento PIX, conforme reportado pela Zscaler ThreatLabz. Os sites fraudulentos imitam o Departamento de Trânsito e o Ministério da Educação, coletando informações pessoais sensíveis, como CPF e endereços residenciais, sob o pretexto de realizar exames psicométricos ou garantir uma oferta de emprego. Para aumentar a legitimidade, as páginas de phishing coletam dados de forma progressiva, imitando o comportamento de sites autênticos. Análises do código fonte revelaram características de ferramentas de IA, como comentários excessivamente explicativos e elementos não funcionais. Além disso, a campanha de phishing valida os CPFs por meio de uma API controlada pelos atacantes. Em outra frente, o Brasil enfrenta uma campanha de malspam que distribui o trojan Efimer, disfarçado como comunicações de advogados, para roubar criptomoedas. O malware propaga-se por sites WordPress comprometidos e e-mails falsos, utilizando técnicas variadas para coletar informações e infectar dispositivos. Com cerca de 5.015 usuários afetados, a maioria das infecções está concentrada no Brasil e em outros países. Os pesquisadores alertam que, embora os ataques atuais estejam gerando quantias relativamente pequenas, eles podem resultar em danos mais significativos no futuro.

Pesquisadores de cibersegurança identificaram mais de uma dúzia de vulnerabilidades em cofres de segurança empresarial da CyberArk e HashiCorp, que, se exploradas, podem permitir que atacantes remotos acessem sistemas de identidade corporativa e extraiam segredos e tokens. As 14 falhas, nomeadas coletivamente de Vault Fault, afetam o CyberArk Secrets Manager, Self-Hosted e Conjur Open Source, bem como o HashiCorp Vault. As falhas foram corrigidas em versões recentes, incluindo CyberArk Secrets Manager 13.5.1 e 13.6.1 e HashiCorp Vault Community Edition 1.20.2. As vulnerabilidades incluem bypass de autenticação, escalonamento de privilégios, execução remota de código e roubo de tokens de root. A mais crítica permite a execução remota de código, onde atacantes podem assumir o controle do cofre sem credenciais válidas. Além disso, falhas na lógica de proteção contra bloqueio do HashiCorp Vault podem permitir que atacantes determinem quais nomes de usuário são válidos e até redefinam contadores de bloqueio. As vulnerabilidades também expõem a possibilidade de contornar a autenticação multifator (MFA). O ataque pode ser realizado através de uma cadeia de exploração que combina várias falhas, permitindo acesso não autenticado e execução de comandos arbitrários. Em um cenário relacionado, a Cisco Talos destacou falhas no firmware ControlVault3 da Dell, que poderiam ser exploradas para contornar login do Windows e extrair chaves criptográficas. As vulnerabilidades encontradas criam um método de persistência remoto para acesso encoberto em ambientes de alto valor. Para mitigar esses riscos, os usuários devem aplicar as correções fornecidas e desabilitar serviços ControlVault quando não estiverem em uso.