Ransomware

Setor de saúde sofre aumento de ataques de ransomware em 2026

Nos primeiros seis meses de 2026, o setor de saúde registrou uma média de 2,3 ataques de ransomware por dia, totalizando 410 incidentes, um aumento de quase 14% em relação ao segundo semestre de 2025. Desses ataques, 247 foram direcionados a hospitais e clínicas, enquanto 163 afetaram empresas do setor, como fabricantes de produtos médicos e provedores de tecnologia em saúde. Os ataques a empresas de saúde aumentaram quase 35%, com os fabricantes enfrentando um aumento de 36% e os varejistas, como distribuidores de dispositivos médicos, apresentando o maior crescimento, de 67%. O ataque mais significativo foi ao Unimed, na Alemanha, que afetou 135 mil pacientes. A demanda média de resgate para provedores de saúde foi de $310 mil, enquanto para empresas do setor foi de $300 mil. Os principais grupos de ransomware identificados foram Qilin e The Gentlemen. A situação sugere um novo ’normal’ em termos de frequência de ataques, refletindo uma tendência preocupante que se estende além do setor de saúde.

Nova família de ransomware GodDamn utiliza driver malicioso PoisonX

Pesquisadores de cibersegurança identificaram uma nova família de ransomware chamada GodDamn, que utiliza o driver malicioso PoisonX para desativar softwares de segurança, dificultando a detecção e resposta a ataques. O ransomware foi avistado pela primeira vez em 21 de maio de 2026 e é considerado uma rebrand do ransomware Beast, que por sua vez era uma versão aprimorada do Monster, surgido em março de 2022. A empresa Broadcom está investigando o grupo por trás dessas ameaças, conhecido como Hyadina.

ANPD investiga ataque que comprometeu dados de 500 mil pacientes no Brasil

A Agência Nacional de Proteção de Dados (ANPD) iniciou um processo de sanção contra o Instituto de Saúde e Cidadania (ISAC) após um ataque de ransomware que afetou cerca de 500 mil pacientes em várias unidades de saúde no Brasil. O incidente, que ocorreu em 2025, resultou no sequestro de dados sensíveis, incluindo informações de identificação e dados de saúde, como prontuários e diagnósticos. A ANPD investiga se houve infrações à Lei Geral de Proteção de Dados (LGPD), como a falta de medidas de segurança adequadas e a comunicação inadequada aos afetados. O ISAC alegou que não houve risco significativo, mas a ANPD contestou essa afirmação, destacando a falta de comprovação. A organização tem dez dias úteis para apresentar sua defesa, e as sanções podem incluir multas de até 2% do faturamento e a suspensão de atividades de tratamento de dados. Este caso destaca a importância da conformidade com a LGPD e a necessidade de medidas robustas de segurança da informação em instituições de saúde.

Ransomware com IA acelera ataques, mas ainda depende de ação humana

Pesquisadores da Sysdig identificaram um ataque de ransomware inovador, atribuído ao operador JadePuffer, que utiliza inteligência artificial para automatizar etapas do sequestro de dados. Embora o ataque tenha sido facilitado pela IA, ele ainda requer a intervenção humana para configuração e direcionamento. O ataque começou com a exploração de uma vulnerabilidade no Langflow, uma ferramenta para criar aplicações com modelos de linguagem, e culminou em um ataque a um servidor de produção com banco de dados MySQL. Durante a operação, o agente de IA executou mais de 600 ações, adaptando-se a falhas e ajustando comandos em tempo real. O resultado foi a criptografia de aproximadamente 1.300 itens de configuração e a criação de um usuário administrador malicioso, seguido de uma mensagem de resgate. Notavelmente, a chave de criptografia gerada não foi preservada, o que pode inviabilizar a recuperação dos dados mesmo que o resgate seja pago. Este incidente destaca a crescente sofisticação dos ataques cibernéticos e a necessidade de vigilância constante por parte das empresas.

Grupo cibercriminoso CMD reivindica ataque a universidade canadense

O grupo cibercriminoso CMD Organization assumiu a responsabilidade por um ataque cibernético à Mount Royal University (MRU), em Calgary, Alberta, ocorrido em 17 de junho de 2026. A universidade confirmou a ocorrência de um incidente cibernético que afetou seus sistemas, incluindo folha de pagamento e registro de acomodações estudantis. CMD afirma ter roubado 10 TB de dados da MRU e está exigindo um resgate de 1,9 milhão de dólares em uma semana. Para corroborar sua reivindicação, o grupo publicou amostras de documentos que alegam ter sido roubados. A MRU ainda não confirmou a autenticidade da reivindicação e está em fase inicial de investigação, sem determinar se informações pessoais foram acessadas. CMD Organization, que opera um esquema de ransomware como serviço, já reivindicou 32 ataques desde sua fundação em maio de 2026, com um resgate médio de 580 mil dólares. O ataque à MRU é parte de uma tendência crescente de ataques de ransomware a instituições educacionais, que podem causar interrupções significativas nas operações diárias e riscos de fraude para alunos e funcionários.

Primeiro caso documentado de ransomware gerado por IA

Pesquisadores identificaram o que acreditam ser o primeiro caso documentado de uma operação de ransomware, chamada JadePuffer, conduzida inteiramente por um agente de modelo de linguagem grande (LLM). Segundo a empresa de segurança em nuvem Sysdig, JadePuffer utilizou um agente de IA autônomo para realizar reconhecimento do alvo, roubar credenciais, mover-se lateralmente, estabelecer persistência, escalar privilégios e criptografar dados. O agente de IA demonstrou uma capacidade de adaptação a falhas durante a intrusão, semelhante ao que um operador humano faria. A operação começou com a exploração de uma vulnerabilidade (CVE-2025-3248) em Langflow, um framework open-source popular. Após obter acesso, o agente coletou informações sensíveis e estabeleceu persistência no servidor. A partir daí, ele se moveu para um servidor MySQL de produção, onde implantou o ransomware, criptografando 1.342 itens de configuração do serviço Nacos. A nota de resgate indicava que os dados foram criptografados usando o algoritmo AES-256, embora os pesquisadores acreditem que o AES-128-ECB foi o realmente utilizado. Este caso destaca a chegada de ‘agentes de ameaças autônomas’, que podem reduzir a habilidade necessária para realizar ataques cibernéticos prejudiciais.

Extorsão cibernética governo dos EUA paga US 1 milhão para evitar vazamento

Um estudo de caso revelou que uma entidade governamental dos EUA pagou cerca de US$ 1 milhão para evitar o vazamento de arquivos roubados por um grupo que se autodenomina Kairos. O caso, analisado por Rakesh Krishnan para o Ransom-ISAC, destaca uma nova abordagem de extorsão cibernética que não envolve a criptografia de dados, mas sim a ameaça de divulgação de informações sensíveis. O grupo Kairos não apresentou sinais de que tenha criptografado sistemas, mas sim de que roubou dados, incluindo informações pessoais e financeiras de residentes de Union County, Ohio. A negociação entre o condado e os atacantes durou cerca de um mês, começando com uma demanda de US$ 3 milhões e culminando em um pagamento de US$ 1 milhão. O pagamento foi rastreado através de transações em criptomoedas, mas a prova de que os dados foram realmente deletados é questionável. O incidente ilustra uma tendência crescente em que as extorsões não dependem mais da criptografia, mas sim da ameaça de vazamento de dados. Especialistas recomendam que entidades governamentais adotem medidas de segurança, como autenticação multifatorial e monitoramento de transferências de dados, para se protegerem contra esse tipo de ataque.

Grupo Anubis explora vulnerabilidade Citrix para ataques de ransomware

O grupo de ransomware Anubis tem utilizado a vulnerabilidade Citrix Bleed 2 (CVE-2025-5777) para obter acesso inicial a sistemas. De acordo com um relatório da Arctic Wolf, os afiliados do Anubis empregam ferramentas legítimas de gerenciamento remoto, como ScreenConnect e Zoho Assist, para se infiltrar nas redes das vítimas sem levantar suspeitas. Desde sua reemergência em 2024, o Anubis já reivindicou 91 vítimas, com 11 ataques ocorrendo apenas em junho de 2026, afetando setores como saúde, serviços financeiros e tecnologia. A operação oferece uma divisão de lucros atrativa para afiliados, que podem receber até 80% do valor do resgate. Além disso, o grupo implementa um módulo de destruição de dados que aumenta a pressão sobre as vítimas para que paguem o resgate. As intrusões observadas também envolveram o uso de credenciais VPN válidas e técnicas de movimento lateral, como RDP e PsExec, para garantir acesso persistente e exfiltração de dados. A situação é crítica, pois a exploração da vulnerabilidade CVE-2025-5777, com uma pontuação CVSS de 9.3, permite que atacantes contornem autenticações em servidores Citrix, representando um risco significativo para empresas que utilizam essa tecnologia.

Ataques de ransomware atingem recorde global no primeiro semestre de 2026

No primeiro semestre de 2026, os ataques de ransomware alcançaram um novo recorde global, com uma média de 23 ataques por dia, totalizando 4.217 incidentes. Este número representa um aumento de 11% em relação ao segundo semestre de 2025. Dentre os ataques registrados, 484 foram confirmados por organizações-alvo, enquanto o restante foi reivindicado por grupos de ransomware em sites de vazamento de dados. O setor empresarial foi o mais afetado, com 319 ataques confirmados, seguido por entidades governamentais (83) e empresas de saúde (49). O setor de transporte teve um aumento significativo de 52% nos ataques, enquanto a educação viu uma queda de 13%. Apesar do aumento global, os ataques nos Estados Unidos diminuíram em 8%, possivelmente devido à atuação do grupo The Gentlemen, que diversificou seus alvos fora dos EUA. O grupo Qilin foi o mais ativo, com 641 vítimas, seguido por The Gentlemen e Akira. As demandas de resgate variaram, com uma média de $1,36 milhão, destacando o caso do Nippon Medical School, que recebeu uma exigência de $100 milhões. Esses dados ressaltam a necessidade urgente de medidas de segurança cibernética mais robustas em diversos setores.

Campanha FortiBleed Ransomware e Roubo de Credenciais em Escala Global

A campanha FortiBleed, recentemente descoberta, está ligada a operações de ransomware como INC e Lynx, com credenciais roubadas sendo utilizadas para intrusões subsequentes. A SOCRadar revelou que a operação de roubo de credenciais afetou aproximadamente 11.250 portais FortiGate em mais de 150 países, resultando em acesso administrativo confirmado em 409 alvos e a conclusão bem-sucedida da cadeia de ataque em 354 deles. Pelo menos 12 implantações de ransomware foram registradas, criptografando centenas de endpoints nas organizações afetadas. Os atacantes realizaram varreduras sistemáticas na internet em busca de dispositivos Fortinet expostos, utilizando combinações de credenciais conhecidas e implantando sniffer de pacotes para coletar dados de autenticação. Estima-se que 430.000 firewalls FortiGate tenham sido alvo da operação, com mais de 110 milhões de credenciais coletadas. A atividade foi exposta devido a um erro de segurança operacional dos atacantes, que deixou um servidor com credenciais roubadas acessível na internet. A SOCRadar também identificou que os operadores da FortiBleed estão em posse de pelo menos uma vulnerabilidade zero-day no Nextcloud, e a empresa está coordenando com o fornecedor afetado.

Primeiro ataque de ransomware conduzido por agente de IA é identificado

A empresa de segurança Sysdig revelou um ataque de ransomware que, segundo eles, foi totalmente conduzido por um agente de inteligência artificial, nomeado JADEPUFFER. O ataque explorou uma vulnerabilidade já corrigida (CVE-2025-3248) em Langflow, uma ferramenta de código aberto, permitindo que o agente acessasse servidores expostos na internet. Após invadir a rede, o agente mapeou a máquina, coletou credenciais e, em seguida, criptografou e eliminou dados de um banco de dados de produção. O ataque se destacou pela ausência de um chave de descriptografia, impossibilitando a recuperação dos dados, mesmo que o resgate fosse pago. A Sysdig observou que o código do ataque continha anotações em inglês que explicavam cada passo, uma característica típica de modelos de IA, e que o agente corrigiu seus próprios erros rapidamente. Este incidente marca um novo patamar na automação de ataques cibernéticos, levantando preocupações sobre a segurança de sistemas que utilizam ferramentas de IA expostas à internet. Os especialistas recomendam que as empresas atualizem suas ferramentas e adotem práticas de segurança rigorosas para proteger suas redes.

Novo ransomware utiliza IA para atacar navegadores em Windows e Android

Pesquisadores de cibersegurança identificaram um novo artefato de malware que utiliza a tecnologia DeepSeek para criar um caminho de ataque inovador, combinando conceitos teóricos de ransomware em navegadores com capacidades reais. Este ataque, documentado pela primeira vez, ocorre inteiramente dentro do navegador, afetando dispositivos Windows e Android. O malware, denominado InfernoGrabber v9.0, é uma aplicação Python Flask que opera como um servidor web malicioso, atraindo vítimas com um falso aprimorador de avatar do Discord. Ele realiza uma série de ações prejudiciais, como roubo de tokens do Discord, números de cartões de crédito e frases-semente de criptomoedas, além de capturar feeds de webcam e microfone. O ataque utiliza uma técnica de ransomware que não requer a instalação de um payload nativo, explorando vulnerabilidades do navegador. A pesquisa destaca que a IA está redefinindo o cenário de ameaças cibernéticas, permitindo que atores maliciosos desenvolvam malware com menos expertise técnica. A abordagem é limitada a navegadores que expõem a API de Acesso ao Sistema de Arquivos, como o Google Chrome. Embora não haja evidências de que essa técnica tenha sido utilizada em campanhas reais, a descoberta representa uma mudança significativa na forma como ataques cibernéticos podem ser concebidos e executados.

Vulnerabilidade do Microsoft Defender é explorada por gangues de ransomware

A CISA confirmou que gangues de ransomware começaram a explorar uma vulnerabilidade crítica no Microsoft Defender, conhecida como BlueHammer (CVE-2026-33825). Essa falha, que permite a elevação de privilégios locais, foi divulgada por um pesquisador de segurança em abril de 2026, em protesto ao processo de divulgação da Microsoft. A vulnerabilidade permite que atacantes autorizados acessem o banco de dados Security Account Manager (SAM), que contém hashes de senhas, possibilitando a escalada para privilégios de SYSTEM e controle total do sistema alvo. Embora a Microsoft tenha corrigido a falha em 14 de abril, a CISA alertou que a vulnerabilidade já estava sendo explorada em ataques zero-day. A agência incluiu a BlueHammer em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que agências federais aplicassem patches rapidamente. A exploração dessa vulnerabilidade representa um vetor de ataque frequente para atores maliciosos, aumentando os riscos para a segurança cibernética, especialmente em ambientes federais. A situação é crítica, pois a falha já foi associada a campanhas de ransomware, destacando a necessidade de ações imediatas por parte das equipes de segurança.

Grupo de ransomware Blackfield exige US 2 milhões da Nidec Corporation

O grupo de ransomware Blackfield está exigindo um resgate de US$ 2 milhões da Nidec Corporation, uma importante fabricante japonesa de componentes eletrônicos. A Nidec, que possui uma receita anual de US$ 17,2 bilhões e opera em mais de 40 países, confirmou que sua subsidiária em Taiwan, a Nidec Chaun Choung Technology, foi alvo de um ataque de ransomware. O incidente, que ocorreu em 22 de junho de 2026, resultou em danos a parte do servidor da subsidiária, levando a empresa a tomar medidas emergenciais, como o desligamento do servidor afetado. Embora a Nidec tenha mencionado a possibilidade de vazamento de informações, não há confirmação de que dados pessoais ou confidenciais tenham sido expostos. O grupo Blackfield deu um prazo de mais de 15 dias para que a Nidec respondesse e negociasse, ameaçando publicar ou vender os dados supostamente roubados. O ataque anterior à Nidec ocorreu em outubro de 2024, quando sua divisão no Vietnã foi comprometida, expondo mais de 50.000 arquivos sensíveis. A situação destaca a crescente ameaça de ransomware às empresas globais, especialmente em setores críticos como o de tecnologia e automotivo.

Grupo cibercriminoso Nova ataca Serviço de Incêndio da Austrália

O grupo cibercriminoso Nova reivindicou a responsabilidade por um incidente de cibersegurança que afetou o Serviço de Incêndio Rural de New South Wales (NSW RFS). O incidente, que ocorreu recentemente, não impactou as operações de resposta a emergências, mas levantou preocupações sobre um possível vazamento de dados. Segundo um e-mail do comissário do RFS, investigações preliminares indicam que muitos dos arquivos comprometidos são históricos e não há evidências de que informações pessoais sensíveis tenham sido acessadas. Nova afirma ter roubado 300 GB de dados do RFS e listou a organização em seu site de vazamento de dados. O grupo, que opera sob um modelo de ransomware como serviço, já foi responsável por 143 ataques, com 12 confirmados por suas vítimas. Este ataque é o primeiro incidente de ransomware confirmado em uma entidade governamental na Austrália em 2026. A crescente incidência de ataques de ransomware em serviços públicos destaca a vulnerabilidade desses sistemas e a necessidade de decisões rápidas sobre o pagamento de resgates, que podem resultar em perda de dados e riscos aumentados de fraude.

Extensão maliciosa do Microsoft Edge é usada em ataque de ransomware

Uma extensão maliciosa do Microsoft Edge, chamada ‘Edgecution’, foi utilizada em um ataque de ransomware que consegue escapar da sandbox do navegador e implantar um backdoor baseado em Python. O acesso ao sistema local é obtido através do protocolo de Mensageria Nativa do Chrome, que permite que extensões do navegador interajam com aplicativos nativos do desktop. O ataque começa com o invasor se passando por um funcionário de suporte técnico no Microsoft Teams, direcionando os empregados a uma página fraudulenta sob a alegação de instalar uma atualização de filtro de spam. Pesquisadores da Zscaler acreditam que o Edgecution é implantado por um corretor de acesso inicial (IAB) ligado à operação de ransomware Payouts Kings. Os componentes maliciosos são baixados de um site falso da Microsoft, disfarçados como uma atualização, e incluem uma extensão maliciosa que se conecta ao servidor de comando e controle do invasor. A extensão opera em um navegador Edge sem interface, utilizando o protocolo de Mensageria Nativa para se comunicar com um aplicativo local. O backdoor em Python permite ao invasor executar comandos no sistema, coletar informações e manter a persistência na máquina comprometida. A Zscaler recomenda que as organizações reforcem a supervisão das extensões do navegador e implementem controles rigorosos sobre as configurações de mensageria nativa para mitigar riscos.

Ataque de ransomware compromete dados pessoais em Kootenai County

Kootenai County, em Idaho, notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em 30 de março de 2026, quando um ataque de ransomware afetou sua rede. Embora a contagem exata de indivíduos impactados e os tipos de dados comprometidos não tenham sido divulgados, a revisão do incidente, concluída em 22 de junho de 2026, confirmou a aquisição não autorizada de informações pessoais, conforme definido pela legislação do estado. O condado não informou se um resgate foi pago ou como os atacantes conseguiram acessar a rede. Para mitigar os danos, o condado está oferecendo monitoramento de crédito gratuito aos afetados. Este não é o primeiro incidente de segurança na região; em fevereiro de 2024, o hospital local Kootenai Health também sofreu uma violação que expôs dados sensíveis de mais de 460 mil pessoas. O aumento de ataques de ransomware a entidades governamentais nos EUA, com 28 incidentes confirmados em 2026, levanta preocupações sobre a segurança de dados e a continuidade dos serviços públicos.

Grupo cibercriminoso Interlock reivindica ataque a escola na Austrália

O grupo cibercriminoso Interlock assumiu a responsabilidade por um vazamento de dados na Reynella East College, localizado perto de Adelaide, Austrália. O incidente ocorreu em 9 de junho de 2026, quando a escola anunciou que uma violação de segurança cibernética resultou na paralisação de seus sistemas de tecnologia da informação por uma semana. Segundo o Interlock, foram roubados 610 GB de dados, incluindo números de identificação de alunos e funcionários, gráficos de assentos e relatórios financeiros. Para corroborar sua afirmação, o grupo publicou imagens de arquivos supostamente extraídos da instituição. Até o momento, a Reynella East College não confirmou a reivindicação do Interlock, e a Comparitech não conseguiu verificar a autenticidade das informações. O grupo Interlock, que começou a operar em outubro de 2024, já reivindicou 23 ataques de ransomware em 2026, afetando diversas instituições educacionais. Os ataques de ransomware em escolas têm se tornado uma preocupação crescente, pois não apenas comprometem dados sensíveis, mas também interrompem operações diárias, como a gestão de presença e comunicação. A situação destaca a vulnerabilidade das instituições educacionais a ataques cibernéticos e a necessidade urgente de medidas de segurança robustas.

Incidente de cibersegurança no distrito escolar de Bellflower

O Distrito Escolar Unificado de Bellflower, localizado em Los Angeles, confirmou um vazamento de dados que ocorreu em agosto de 2025, comprometendo números de Seguro Social e outras informações pessoais. O ataque cibernético, atribuído ao grupo criminoso Rhysida, resultou na inoperabilidade temporária de muitos serviços da rede do distrito. Em 28 de outubro de 2025, Rhysida reivindicou a responsabilidade pelo ataque e exigiu um resgate de 10 bitcoins, equivalente a aproximadamente 1,15 milhão de dólares na época. Embora o distrito tenha notificado as vítimas do vazamento em junho de 2026, não está claro se o resgate foi pago ou como os atacantes conseguiram acessar a rede. O distrito oferece monitoramento de crédito gratuito para as vítimas afetadas. Rhysida, que opera um modelo de ransomware como serviço, já foi responsável por 92 ataques em 2025, afetando diversas instituições educacionais. Os ataques de ransomware em escolas nos EUA comprometeram mais de 4 milhões de registros em 2025, destacando a vulnerabilidade do setor educacional a esse tipo de crime cibernético.

Nova operação de ransomware Prinz Eugen prioriza arquivos recentes

Uma nova operação de ransomware chamada ‘Prinz Eugen’ tem chamado a atenção por sua abordagem distinta, priorizando a criptografia de arquivos recentemente modificados e não deixando notas de resgate nos sistemas afetados. A investigação da Threatdown, braço de cibersegurança da Malwarebytes, revelou que os hackers utilizam um estilo de ataque manual, empregando softwares legítimos de monitoramento remoto e ferramentas de living-off-the-land. O acesso inicial é provavelmente obtido através de credenciais RDP roubadas, seguido pelo download e execução manual do payload principal, denominado ‘servertool.exe’.

Grupo de ransomware Gentlemen desenvolve ferramentas para burlar EDRs

O grupo de ransomware Gentlemen, que opera como um serviço (RaaS), tem se destacado por desenvolver uma série de ferramentas para desativar sistemas de detecção e resposta de endpoint (EDR) antes de implementar seu software de criptografia. Conhecido como GentleKiller, esse conjunto de ferramentas é distribuído a afiliados e inclui variantes que imitam produtos legítimos de segurança, utilizando informações falsas de versão e certificados copiados. Desde sua aparição em março de 2025, o grupo já reivindicou 504 vítimas, principalmente na Ásia, América do Sul e Europa Ocidental. O líder da operação, Alexander Andreevich Yapaev, tem um histórico como afiliado em outros esquemas de ransomware. A equipe de segurança da ESET destacou a agilidade do grupo em operacionalizar novas vulnerabilidades, especialmente a técnica chamada ‘bring your own vulnerable driver’ (BYOVD), que permite a exploração de drivers vulneráveis para comprometer sistemas. Além disso, o Gentlemen também utiliza um ladrão de credenciais baseado em Rust, chamado OxideHarvest, que coleta dados de navegadores populares. A centralização da função de desativação de EDRs torna o grupo atraente para novos afiliados, reduzindo as barreiras de entrada e facilitando a execução de ataques.

Ransomware Gentlemen desenvolve ferramentas para evitar detecção

O ransomware Gentlemen, operando como um serviço (RaaS), está aprimorando suas capacidades com um conjunto de ferramentas projetadas para desativar sistemas de detecção e resposta de endpoint (EDR). A principal ferramenta, chamada GentleKiller, possui pelo menos oito variantes que se disfarçam como produtos de segurança legítimos, como Kaspersky e Valorant. Essas ferramentas são utilizadas para neutralizar defesas durante os ataques, permitindo que processos de roubo ou criptografia de dados ocorram sem obstáculos. A técnica ‘bring your own vulnerable driver’ (BYOVD) é empregada para elevar privilégios e desativar motores de segurança, com cada variante do GentleKiller utilizando drivers vulneráveis diferentes para alcançar privilégios de nível kernel. A análise indica que o grupo também utiliza ferramentas externas, como HexKiller e ThrottleBlood, para aumentar a eficácia de seus ataques. O Gentlemen RaaS já comprometeu a fornecedora de energia romena Oltenia e está associado a uma botnet de malware proxy chamada SystemBC. Dada a complexidade e a sofisticação das ferramentas utilizadas, a ameaça representa um risco significativo para empresas que utilizam as tecnologias afetadas.

Grupo de ransomware INC se torna uma ameaça crescente em 2026

Pesquisadores em cibersegurança observaram a evolução do grupo de ransomware INC, que se tornou um dos mais ativos em 2026, com pelo menos 830 vítimas desde agosto de 2023. A interrupção de operações como LockBit e BlackCat permitiu que o INC expandisse suas atividades, com 65% das vítimas localizadas nos Estados Unidos, abrangendo setores como serviços jurídicos, manufatura, construção, tecnologia e saúde. O ransomware do INC, desenvolvido em Rust, visa facilitar o desenvolvimento multiplataforma e resistir a esforços de engenharia reversa. Os ataques são caracterizados pelo uso de um dumper de credenciais atualizado, capaz de atingir novas implementações de backup da Veeam. A cadeia de ataque do INC inclui acesso inicial por meio de phishing, compra de credenciais e exploração de vulnerabilidades em aplicações públicas. O grupo utiliza uma variedade de ferramentas para movimentação lateral e exfiltração de dados, culminando na criptografia de informações. A análise indica que o INC se destaca por sua capacidade de escalar operações sem depender de técnicas avançadas, resultando em um fluxo constante de vítimas em diversos setores e geografias.

Usuários do Microsoft Teams devem ter cuidado com ransomware

Pesquisadores de segurança da Symantec alertaram que hackers de ransomware, conhecidos como DragonForce, estão utilizando servidores de retransmissão do Microsoft Teams para ocultar tráfego malicioso. Essa técnica, chamada de ‘Ghost Calls’, permite que os atacantes disfarcem suas comunicações de comando e controle (C2) como se fossem tráfego legítimo do Teams, dificultando a detecção por parte das equipes de segurança. O ataque ocorreu em dezembro de 2025, quando os hackers exploraram uma vulnerabilidade desconhecida em servidores SQL para obter acesso à rede de uma grande empresa de serviços nos EUA. Eles implantaram um malware personalizado chamado ‘Backdoor.Turn’, que utiliza o protocolo TURN do Teams para mascarar suas atividades. Essa abordagem representa um avanço significativo nas táticas de cibercrime, mostrando um nível de sofisticação elevado. A DragonForce, que opera sob um modelo de cartel de drogas, permite que afiliados utilizem sua infraestrutura e malware, aumentando a complexidade do cenário de ameaças. A situação exige atenção redobrada das empresas que utilizam o Microsoft Teams, uma vez que a técnica pode ser replicada em outros ambientes corporativos.

Ransomware DragonForce usa malware para ocultar tráfego no Teams

O ransomware DragonForce, ativo desde 2023, utiliza um malware personalizado chamado ‘Backdoor.Turn’ para esconder o tráfego de comando e controle dentro da infraestrutura de relé do Microsoft Teams. Esse backdoor explora o protocolo TURN (Traversal Using Relays around NAT) do Teams, que é usado para distribuir mensagens quando uma conexão direta não está disponível. Pesquisadores da Symantec relataram que os hackers usaram esse malware baseado em Go em um ataque contra uma grande empresa de serviços nos EUA. O ataque começou com a exploração de uma falha desconhecida em um servidor SQL, seguido pelo download de um arquivo ZIP contendo um executável legítimo e um DLL malicioso. Os atacantes conseguiram obter privilégios de nível de kernel e desativar ferramentas de segurança, utilizando técnicas de BYOVD (Bring Your Own Vulnerable Driver). O Backdoor.Turn permite execução de comandos, criação de processos, e roubo de credenciais, culminando na exfiltração de dados e na implantação do ransomware DragonForce. A Sophos destaca que essa campanha demonstra um nível excepcionalmente sofisticado de técnicas cibernéticas. A publicação inclui uma lista de indicadores de comprometimento (IoCs) para auxiliar na detecção e bloqueio de tais ataques.

Nacional ucraniano se declara culpado por ataques de ransomware Conti

Oleksii Oleksiyovych Lytvynenko, um cidadão ucraniano extraditado da Irlanda para os Estados Unidos, se declarou culpado por acusações de conspiração relacionadas à operação de ransomware Conti. O Departamento de Justiça dos EUA anunciou que Lytvynenko, de 44 anos, admitiu sua participação em ataques de ransomware que ocorreram entre 2021 e 2022, onde ele e seus cúmplices implantaram o ransomware Conti em redes de vítimas nos EUA e no exterior, roubando dados e criptografando dispositivos para extorquir pagamentos em Bitcoin. Lytvynenko se juntou à conspiração em setembro de 2021 e possuía dados roubados de oito vítimas nos EUA e quatro no exterior. Ele também trabalhou em um grupo que desenvolveu um “loader”, um tipo de malware utilizado para carregar softwares necessários para realizar os ataques. A operação Conti foi uma das mais ativas de grupos de cibercrime, tendo atacado mais de 1.000 vítimas e arrecadado mais de 150 milhões de dólares em resgates. Lytvynenko enfrenta uma pena máxima de 20 anos de prisão após sua extradição em julho de 2023.

Autoridades europeias desmantelam serviço de lavagem de criptomoedas

As autoridades na Europa desmantelaram o AudiA6, um serviço de lavagem de criptomoedas utilizado por gangues de ransomware e redes cibernéticas criminosas. A Europol anunciou que a operação, realizada em 10 de junho de 2026, cortou um ‘canal financeiro crucial’ que lavou mais de €336 milhões desde seu lançamento em 2021. O AudiA6 funcionava como um hub central para criminosos que buscavam ocultar a origem de ativos digitais roubados. Durante a operação, dois administradores foram presos na Geórgia, 25 domínios foram retirados do ar e mais de 30 servidores foram apreendidos. Além disso, foram confiscados veículos e propriedades, além de ativos em criptomoedas no valor de €692.000. A investigação revelou que o AudiA6 utilizava contas de troca fraudulentas e registros de ‘Know Your Customer’ (KYC) para movimentar os lucros ilícitos. A operação foi resultado de uma ação anterior da polícia polonesa, que levou à prisão de um ucraniano em setembro de 2025, permitindo que as autoridades identificassem mais envolvidos. O caso destaca o crescimento de serviços de lavagem de criptomoedas em escala industrial, que facilitam a economia do cibercrime.

Casino Taos Mountain sofre violação de dados em 2026

O Taos Mountain Casino, localizado no Novo México, notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em março de 2026, que comprometeu nomes, números de Seguro Social e endereços. A violação foi detectada em 28 de março de 2026, e um grupo de cibercriminosos chamado DragonForce reivindicou a responsabilidade pelo ataque em 30 de maio, alegando ter roubado 38,6 GB de dados do cassino. Embora o cassino tenha oferecido 12 meses de monitoramento de crédito gratuito e restauração de identidade para as vítimas, não há confirmação se o DragonForce realmente executou o ataque ou se um resgate foi pago. O grupo DragonForce é conhecido por operar um modelo de ransomware como serviço, permitindo que outros cibercriminosos utilizem sua infraestrutura para realizar ataques. Este incidente destaca a crescente vulnerabilidade de cassinos a ataques de ransomware, com vários casos semelhantes ocorrendo nos últimos anos. Até agora, em 2026, foram registrados 218 ataques de ransomware, com 18 confirmados por organizações-alvo. A situação levanta preocupações sobre a segurança de dados e a proteção de informações pessoais em setores vulneráveis como o de jogos.

Polícia desmantela serviço de criptomoedas AudiA6 usado por cibercriminosos

As autoridades de segurança desmantelaram o serviço de criptomoedas conhecido como “AudiA6”, que supostamente facilitou a lavagem de mais de 380 milhões de dólares para atores de ransomware e outros cibercriminosos. Segundo a Europol, o AudiA6 funcionou como um hub central de lavagem de dinheiro entre 2022 e 2025, sendo vinculado a mais de 15 investigações internacionais relacionadas a ataques de ransomware. O serviço, que se apresentava como uma “plataforma profissional de mistura de criptomoedas”, aceitava lucros de crimes cibernéticos, movimentava o dinheiro por rotas complexas para ocultar sua origem e devolvia os fundos “limpos” aos usuários em cerca de uma hora, cobrando uma comissão de 3 a 10%. A investigação, que envolveu autoridades de 11 países, resultou na prisão de dois indivíduos na Geórgia, que são considerados administradores do AudiA6 e do fórum underground “Dark2Web”. Além disso, foram apreendidos 25 domínios, 80 veículos e propriedades, e congelados quase 800 mil dólares em criptomoedas. A ação foi facilitada pela prisão de um nacional ucraniano na Polônia, cujos dispositivos ajudaram a identificar outros envolvidos na operação.

Grupo de ransomware The Gentlemen se destaca no cibercrime

Uma nova análise da operação The Gentlemen revelou que o grupo de cibercriminosos, inicialmente atuando como afiliado em ataques de dupla extorsão, evoluiu para uma operação independente em julho de 2025. Conhecido como Phantom Mantis, o grupo é liderado por LARVA-368, um criminoso cibernético de origem russa. Desde sua formação, The Gentlemen já registrou 478 vítimas, com uma significativa presença em países como Tailândia, Reino Unido, Brasil, Alemanha e Índia. O grupo utiliza inteligência artificial para desenvolver e manter suas ferramentas de ransomware, além de empregar técnicas sofisticadas para obter acesso inicial a sistemas vulneráveis, como dispositivos de rede e serviços expostos à internet. Com um modelo de compartilhamento de lucros agressivo, onde 90% dos ganhos vão para os afiliados, The Gentlemen se destaca como um dos grupos de ransomware mais ativos, representando 10% das atividades de ransomware em abril de 2026. O uso de um esquema criptográfico híbrido e a capacidade de se adaptar rapidamente durante os ataques tornam essa operação uma ameaça significativa para organizações em todo o mundo.

Grupo cibercriminoso LockBit ataca escolas públicas em Minnesota

O grupo cibercriminoso LockBit reivindicou um ataque de ransomware ocorrido em maio de 2026 contra as escolas públicas de Delano, em Minnesota. O ataque foi detectado em 19 de maio, quando impressoras do distrito começaram a imprimir mensagens relacionadas a ransomware. As aulas foram canceladas no dia seguinte, e a administração confirmou que servidores foram acessados por um agente externo. Em 9 de junho, LockBit anunciou em seu site de vazamento de dados que havia roubado informações da instituição e exigiu um pagamento de resgate em um prazo de duas semanas. Até o momento, as escolas públicas de Delano não confirmaram a reivindicação do grupo, e não há informações sobre a natureza dos dados comprometidos ou sobre um possível pagamento de resgate. LockBit, que opera um esquema de ransomware como serviço, já foi responsável por 165 ataques em 2026, incluindo um ataque a uma organização de saúde no Brasil, que se recusou a pagar um resgate de 500 mil dólares. Os ataques de ransomware em instituições educacionais nos EUA têm se intensificado, com 11 incidentes confirmados em 2026, afetando operações diárias e expondo dados sensíveis.

Aumento de ataques de ransomware em maio de 2026

Os ataques de ransomware registraram um aumento de 3% de abril para maio de 2026, totalizando 661 incidentes em maio, com destaque para o setor educacional, que viu um crescimento de 54% nos ataques. O setor de alimentos e bebidas também teve um aumento significativo de 80%. Em contraste, os provedores de saúde e empresas de utilidades experimentaram quedas de 21% e 29%, respectivamente. Entre os ataques confirmados, 35 foram direcionados a empresas, 7 a entidades governamentais e 5 a instituições educacionais. Os grupos de ransomware mais ativos foram Qilin, The Gentlemen e DragonForce, com Qilin liderando em ataques confirmados. Nos Estados Unidos, foram registrados 272 ataques, o maior número entre os países analisados. O ataque mais notável no setor de saúde foi contra a Central Medical Services of Westrock, que teve dados comprometidos e foi reivindicado pelo grupo INC. O cenário atual indica uma necessidade crescente de vigilância e proteção, especialmente em setores vulneráveis como educação e alimentos.

Risco cibernético na saúde em 2026 O que os dados revelam

O cenário de cibersegurança na área da saúde em 2026 é marcado por um aumento significativo nas violações de dados e ataques cibernéticos, com 275 milhões de registros comprometidos apenas em 2024, mais que o dobro do ano anterior. Os dados indicam que 88% das perdas materiais são atribuídas a engenharia social, como phishing e comprometimento de e-mails empresariais, além de lacunas nos backups e governança de dados. As demandas de extorsão também cresceram, chegando a até US$ 4 milhões em alguns casos, o que representa um risco não apenas financeiro, mas também clínico, dado o impacto na assistência ao paciente.

Grupo criminoso utiliza ransomware com suporte de IA para ataques

Um novo toolkit de ransomware, desenvolvido com o auxílio de inteligência artificial, está sendo utilizado por atores de ameaças para automatizar a descoberta de Active Directory e evadir soluções de detecção de endpoint (EDR). O desenvolvimento das ferramentas e dos payloads contou com a assistência de agentes de IA, que participaram em várias etapas, desde a codificação inicial até a análise e revisão. Testes realizados em ambientes virtuais mostraram que o malware conseguia contornar ferramentas de EDR de grandes fornecedores como Sophos, CrowdStrike e Microsoft. Os pesquisadores da Sophos identificaram atividades suspeitas em um sistema de um cliente, onde arquivos maliciosos foram encontrados, sugerindo um foco em evadir a detecção. O toolkit inclui perfis do Cobalt Strike, um mecanismo de comando e controle baseado em Telegram e scripts em Python para injeção de código malicioso em executáveis legítimos. Embora a pesquisa tenha sido impulsionada por IA, a Sophos afirma que o fluxo de trabalho é totalmente conduzido por humanos. A modularidade do framework permite a geração de payloads personalizados, que são testados contra mais de 70 técnicas de evasão, apresentando uma taxa de sucesso crescente em contornar soluções de segurança. A utilização de IA nesse contexto acelera a implementação de técnicas de ataque, representando um risco significativo para organizações em todo o mundo.

Grupo de ransomware Genesis ataca IMA Diligence e compromete dados pessoais

A IMA Diligence Services notificou 525.306 pessoas sobre uma violação de dados ocorrida em dezembro de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados de saúde, informações financeiras e documentos de identidade. O grupo de cibercriminosos Genesis reivindicou a responsabilidade pelo ataque em janeiro de 2026, alegando ter roubado 700 GB de dados da empresa. A IMA Diligence não confirmou a reivindicação do Genesis e não se sabe como a rede foi comprometida ou se um resgate foi pago. A empresa ofereceu 12 meses de monitoramento de crédito gratuito para as vítimas da violação. O ataque à IMA Diligence é o maior registrado em 2025 no setor financeiro dos EUA, com mais de 2 milhões de registros pessoais comprometidos em 70 ataques confirmados. Genesis, que começou a operar em outubro de 2025, já reivindicou 76 ataques de ransomware, sendo este o primeiro contra uma empresa financeira. O impacto de tais ataques pode resultar em perda de dados permanentes e riscos aumentados de fraudes para os clientes.

Indústria de Aceitação Notifica 79 mil sobre Violação de Dados

A Industrial Acceptance Corporation (IAC) confirmou que notificou 79.216 pessoas sobre uma violação de dados ocorrida em fevereiro de 2025, que comprometeu nomes, números de Seguro Social e números de carteira de motorista. O ataque foi atribuído ao grupo de ransomware conhecido como Inc, que, embora não tenha listado a IAC em seu site de vazamento de dados, foi responsável por 783 ataques de ransomware até o momento. Em março de 2025, outro grupo chamado Akira reivindicou um ataque à IAC, alegando ter roubado 60 GB de dados, mas a IAC não confirmou essa alegação. A empresa tomou medidas imediatas, desconectando seus sistemas para restaurar operações de forma segura. Para os afetados, a IAC está oferecendo 12 meses de monitoramento de crédito através da Cyberscout. O ataque destaca a crescente ameaça de ransomware, que não apenas rouba dados, mas também bloqueia sistemas até que um resgate seja pago. Em 2025, foram registrados 69 ataques confirmados a empresas financeiras nos EUA, comprometendo 1,5 milhão de registros pessoais. A situação ressalta a necessidade de vigilância contínua e medidas de segurança robustas para proteger informações sensíveis.

Autoridades desmantelam VPN criminosa usada em ataques cibernéticos

Autoridades da Europa e América do Norte anunciaram a desarticulação de um serviço de rede privada virtual (VPN) chamado First VPN, utilizado por criminosos para ocultar a origem de ataques de ransomware, roubo de dados e ataques de negação de serviço. A operação, liderada pela França e Países Baixos, contou com a colaboração de diversas nações desde dezembro de 2021, incluindo o Brasil. O First VPN oferecia serviços voltados para atividades ilícitas, permitindo pagamentos anônimos e uma infraestrutura oculta para que os usuários pudessem esconder suas identidades durante atividades criminosas. Entre os dias 19 e 20 de maio, as autoridades realizaram ações simultâneas, como a apreensão de 33 servidores e a prisão do administrador do serviço na Ucrânia. O First VPN operava desde 2014 e tinha servidores de saída em 27 países, incluindo os Estados Unidos. Estima-se que pelo menos 25 grupos de ransomware, como o Avaddon, tenham utilizado a infraestrutura do First VPN para realizar suas atividades. O serviço aceitava pagamentos em criptomoedas e oferecia suporte técnico através de plataformas de mensagens criptografadas. Essa operação destaca a crescente colaboração internacional no combate ao cibercrime e a importância de medidas de segurança robustas para proteger dados sensíveis.

Serviço de VPN First VPN desativado em operação internacional

O serviço de rede privada virtual (VPN) conhecido como ‘First VPN’, utilizado em ataques de ransomware e roubo de dados, foi desativado em uma operação conjunta de aplicação da lei internacional. Autoridades apreenderam dezenas de servidores do First VPN em 27 países, prenderam o administrador e realizaram uma busca domiciliar na Ucrânia. O serviço era promovido em fóruns de cibercrime como uma VPN focada na privacidade, que não registrava dados dos usuários e ignorava solicitações de informações por parte das autoridades. Embora as VPNs sejam usadas legitimamente para proteger a privacidade, contornar censura e permitir trabalho remoto seguro, criminosos também as utilizam para ocultar sua localização. A Europol informou que o nome do serviço foi mencionado em quase todas as investigações de cibercrime que apoiou. A investigação começou em dezembro de 2021 e envolveu a infiltração na infraestrutura da VPN, onde foram coletados dados de usuários e conexões utilizadas em ataques. A operação resultou na apreensão de 33 servidores e na identificação de usuários da plataforma, embora não tenha sido especificado se ações legais serão tomadas contra eles.

Grupo cibercriminoso SafePay reivindica ataque a comissão de Harrison County

O grupo cibercriminoso SafePay reivindicou um ataque cibernético ocorrido em 23 de abril de 2026, que afetou os sistemas da Comissão do Condado de Harrison, na Virgínia Ocidental. O ataque resultou na interrupção do atendimento ao público no dia seguinte, quando cidadãos tentaram pagar seus impostos sobre propriedade. Embora a maioria dos sistemas tenha sido restaurada mais de uma semana depois, alguns ainda estavam fora do ar em 6 de maio. SafePay, que utiliza um esquema de extorsão dupla, exigiu um pagamento em resgate em troca da recuperação dos dados e da exclusão das informações roubadas. A Comissão do Condado não confirmou a reivindicação do grupo, e detalhes sobre a quantidade de dados comprometidos ou o valor do resgate permanecem desconhecidos. SafePay é um grupo de ransomware que começou a operar em 2024 e já reivindicou 479 ataques, com 68 confirmados. Em 2026, o grupo já reivindicou 56 ataques, sendo seis confirmados. Este incidente destaca a crescente ameaça de ataques de ransomware a entidades governamentais nos EUA, que podem comprometer dados sensíveis e interromper serviços essenciais.

Grupo cibercriminoso DragonForce ataca empresa de saúde nos EUA

O grupo cibercriminoso conhecido como DragonForce reivindicou um ataque cibernético à AdvancedHealth, uma empresa que opera centenas de clínicas médicas no Tennessee. Em abril, a Columbia Surgical Partners, uma das clínicas, notificou pacientes sobre uma violação de dados em sua empresa-mãe, a Advanced Diagnostic Imaging. Em 14 de maio, DragonForce anunciou em seu site de vazamento que havia roubado 390 GB de dados da AdvancedHealth, incluindo 2,3 milhões de linhas de dados de pacientes, acordos com parceiros, arquivos de gestão, folha de pagamento e recursos humanos. O grupo ameaçou divulgar 1.000 linhas de dados por dia até que sua demanda de resgate fosse atendida. A AdvancedHealth não comentou sobre a violação e não confirmou a reivindicação do DragonForce. O ataque de ransomware afetou o acesso da Columbia Surgical Partners a registros médicos eletrônicos. DragonForce, que opera um modelo de ransomware como serviço, já reivindicou 167 ataques em 2026, com 14 confirmados. O impacto de ataques de ransomware no setor de saúde é significativo, podendo comprometer a segurança e a privacidade dos pacientes, além de causar interrupções nos serviços médicos.

Foxconn, fornecedora da Apple, sofre ataque e perde 8 TB de dados

A Foxconn, uma das principais fornecedoras de eletrônicos do mundo e fabricante de chips para a Apple, confirmou que suas operações na América do Norte foram alvo de um ataque de ransomware. O incidente, que ocorreu no dia 1º de maio, comprometeu servidores e sistemas operacionais em fábricas localizadas no México e nos Estados Unidos, resultando em uma interrupção temporária das atividades. Os invasores conseguiram acessar documentos internos da empresa e roubaram 8 TB de dados, que incluem informações sobre projetos de clientes como Dell, Google, Apple e NVIDIA. A extensão do vazamento ainda está sendo investigada, e a Foxconn afirmou que já acionou seus protocolos de segurança e iniciou o processo de restauração dos sistemas afetados. Este não é o primeiro ataque que a Foxconn enfrenta; em dezembro de 2020, a instalação mexicana já havia sido atacada, resultando em um roubo de dados e exigência de resgate em bitcoins. O ataque atual destaca a crescente preocupação com a segurança cibernética em grandes corporações, especialmente aquelas que lidam com informações sensíveis de clientes.

Foxconn retoma operações após ataque cibernético em fábricas da América do Norte

A Foxconn, maior fabricante de eletrônicos do mundo, anunciou que algumas de suas fábricas na América do Norte estão retomando as operações normais após um ataque cibernético. O incidente foi confirmado por um porta-voz da empresa, que relatou que a equipe de cibersegurança ativou imediatamente um mecanismo de resposta e implementou medidas operacionais para garantir a continuidade da produção. O grupo de ransomware Nitrogen reivindicou a responsabilidade pelo ataque, alegando ter roubado 8 TB de dados, incluindo documentos confidenciais de grandes clientes como Apple, Intel e Google. Este não é o primeiro ataque do tipo que a Foxconn enfrenta; a empresa já foi alvo de outras gangues de ransomware, como LockBit e DoppelPaymer, nos últimos anos. A situação destaca a crescente ameaça de ataques cibernéticos a grandes corporações e a importância de medidas robustas de segurança cibernética para proteger informações sensíveis e garantir a continuidade dos negócios.

American Lending Center confirma violação de dados em julho de 2025

O American Lending Center (ALC), um credor de pequenas empresas da Califórnia, notificou 123.158 pessoas sobre uma violação de dados ocorrida em julho de 2025, resultante de um ataque de ransomware. A empresa revelou que o invasor comprometeu sua rede interna, executou o ataque e acessou arquivos que podem conter informações pessoais sensíveis, como nomes, números de Seguro Social e datas de nascimento. Até o momento, não se sabe como os atacantes conseguiram acessar a rede da ALC ou se um resgate foi pago. Para mitigar os danos, a ALC está oferecendo monitoramento de crédito gratuito e um seguro contra roubo de identidade de até 1 milhão de dólares através da IDX. Em 2025, foram registrados 67 ataques de ransomware em empresas financeiras dos EUA, afetando cerca de 1,4 milhão de pessoas. O ataque à ALC foi o terceiro maior em termos de registros comprometidos, atrás de incidentes em outras empresas financeiras. Os ataques de ransomware têm se tornado uma preocupação crescente, pois não apenas roubam dados, mas também podem paralisar sistemas, exigindo resgates para a restauração. A ALC gerencia ativos de 3,1 bilhões de dólares e financiou 110 projetos em todos os estados dos EUA.

Grupo de ransomware Genesis ataca clínica de saúde no Canadá

O grupo de ransomware Genesis reivindicou um ataque cibernético à CarePoint Health, uma clínica médica em Ontário, que resultou em um vazamento de dados em março de 2026. A clínica confirmou que informações sensíveis, como nomes, dados médicos, endereços e números de telefone, foram comprometidas. Genesis alegou ter roubado 70 GB de dados médicos, operacionais e financeiros da CarePoint, publicando a reivindicação em seu site de vazamento de dados. Até o momento, a CarePoint não confirmou oficialmente a alegação do grupo e não se sabe quantas pessoas foram afetadas ou se um resgate foi pago. O ataque à CarePoint é o primeiro incidente confirmado de 2026 para o grupo, que já atacou outras quatro organizações de saúde desde seu início em 2025. Os ataques de ransomware têm se tornado uma preocupação crescente no Canadá, com sete incidentes confirmados em 2026 até agora, destacando o risco significativo que essas ameaças representam para a segurança de dados e a continuidade dos serviços de saúde.

Ator de ameaças explora falha crítica do cPanel para implantar backdoor

Um ator de ameaças identificado como Mr_Rot13 está explorando uma vulnerabilidade crítica no cPanel, conhecida como CVE-2026-41940, que permite a bypass de autenticação e controle remoto do painel de controle. Após a divulgação pública da falha, mais de 2.000 IPs de atacantes em todo o mundo, incluindo Brasil, foram identificados realizando ataques automatizados. A exploração envolve o uso de um script que baixa um infector baseado em Go, que implantam uma chave SSH para acesso persistente e um shell PHP para execução remota de comandos. O shell é utilizado para injetar código JavaScript que redireciona usuários para uma página de login falsa, coletando credenciais que são enviadas para um sistema controlado pelo atacante. O backdoor, denominado Filemanager, é capaz de infectar sistemas Windows, macOS e Linux, e coleta informações sensíveis do host comprometido. A operação parece ter sido realizada de forma discreta por anos, com baixa taxa de detecção em produtos de segurança. A situação exige atenção urgente das empresas que utilizam cPanel e WHM.

Grupo de ransomware Lynx ataca escola católica no Reino Unido

No final de semana, o grupo de ransomware Lynx reivindicou um ataque ocorrido em março de 2026 na St Anne’s Catholic School, em Southampton, Reino Unido. O grupo afirma ter roubado informações confidenciais, dados financeiros e contratos da instituição. Em um comunicado enviado aos pais no dia 22 de março, a escola confirmou o ataque e permaneceu fechada por quatro dias, reabrindo em 27 de março. O diretor, Julian Waterfield, afirmou que não há evidências de que dados tenham sido comprometidos, ressaltando que o impacto foi a perda temporária de controle sobre a rede da escola. O Lynx, que opera sob um modelo de Ransomware-as-a-Service (RaaS), realiza ataques em duas etapas: primeiro, criptografa os sistemas e exige um resgate, e segundo, mantém os dados roubados como moeda de troca. Até o momento, a St Anne’s não confirmou as alegações do Lynx sobre o roubo de dados ou se um resgate foi pago. Este é o primeiro ataque confirmado a uma instituição educacional pelo grupo, que tem como alvo principal organizações governamentais e empresas. Até agora, em 2026, foram registrados 120 ataques de ransomware no Reino Unido, com seis confirmados pelas vítimas.

Ransomware destrói arquivos e inviabiliza resgate

Uma nova variante de ransomware, chamada VECT 2.0, está causando problemas não apenas para suas vítimas, mas também para os próprios hackers que a utilizam. Identificado pela Check Point Research, esse malware, que opera no modelo ransomware-as-a-service, apresenta uma falha crítica em seu código que resulta na destruição permanente de arquivos ao invés de apenas bloqueá-los para cobrança de resgate. O VECT 2.0 foi lançado em um fórum cibercriminoso russo em 2025 e, ao encriptar arquivos maiores que 128 KB, sobrescreve códigos de desencriptação, tornando impossível a recuperação dos dados. Essa falha não só prejudica as vítimas, mas também os cibercriminosos que dependem do pagamento do resgate para lucrar. A pesquisa revelou que o código contém erros amadores, como funções de evasão de segurança que não estão ativadas e ferramentas que não funcionam. Apesar da ineficiência técnica, o VECT 2.0 tem um alcance significativo, pois está associado ao BreachForums, uma das maiores comunidades de hackers da internet, que oferece acesso gratuito ao kit de ferramentas do ransomware. Essa situação levanta preocupações sobre a evolução dos ataques cibernéticos e suas consequências para a segurança digital.

Horizon Media confirma violação de dados em janeiro de 2026

A Horizon Media, uma das maiores agências de mídia independentes do mundo, confirmou que notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em 9 de janeiro de 2026. A violação comprometeu nomes e números de Seguro Social de indivíduos. Segundo a empresa, um ator não autorizado acessou seus sistemas através de um ’evento sofisticado de engenharia social’. No mesmo dia, o grupo de ransomware Chaos reivindicou a responsabilidade pelo ataque, ameaçando divulgar 3,2 TB de dados se suas exigências não fossem atendidas. A Horizon Media não confirmou se pagou o resgate ou quantas pessoas foram notificadas. A investigação interna da empresa foi concluída em 6 de abril de 2026, e a Horizon está oferecendo 24 meses de monitoramento de crédito gratuito para as vítimas. O grupo Chaos, ativo desde 2021, já reivindicou 51 ataques de ransomware, sendo 13 confirmados. Os ataques de ransomware em empresas de serviços, como a Horizon, podem resultar em roubo de dados e paralisação de sistemas, aumentando o risco de fraudes para clientes e funcionários.

Grupo iraniano MuddyWater realiza ataque de ransomware disfarçado

O grupo de hackers iraniano MuddyWater, também conhecido como Mango Sandstorm, foi responsabilizado por um ataque de ransomware que se caracteriza como uma operação de “falsa bandeira”. Observado pela Rapid7 no início de 2026, o ataque utilizou técnicas de engenharia social através do Microsoft Teams para iniciar a infecção. Embora inicialmente parecesse um ataque típico de ransomware-as-a-service (RaaS), as evidências sugerem que se tratou de um ataque direcionado, disfarçado de extorsão oportunista. Os atacantes utilizaram compartilhamento de tela interativo para coletar credenciais e manipular a autenticação multifatorial (MFA). Em vez de criptografar arquivos, o grupo optou pela exfiltração de dados e persistência a longo prazo usando ferramentas de gerenciamento remoto como DWAgent. O uso de ferramentas disponíveis no submundo do cibercrime, como CastleRAT e Tsundere, indica uma tentativa de dificultar a atribuição do ataque. O grupo Chaos, que opera sob um modelo de dupla extorsão, também foi mencionado, destacando a convergência entre atividades patrocinadas por estados e táticas de cibercrime. Este incidente ressalta a necessidade de atenção redobrada por parte das empresas, especialmente em setores críticos, devido ao potencial impacto na segurança e conformidade com a LGPD.

Queda de ataques de ransomware em abril de 2026

Em abril de 2026, os ataques de ransomware caíram 22%, totalizando 628 incidentes, o menor número em seis meses. Os ataques a entidades governamentais diminuíram significativamente, com apenas 19 ocorrências, menos da metade das 41 registradas em março. No entanto, o setor de saúde viu um aumento de 10%, passando de 41 para 45 ataques. Exemplos notáveis incluem o ataque à Signature Healthcare, que resultou em interrupções significativas, e à ChipSoft, que afetou a plataforma de registros eletrônicos de saúde na Holanda. O grupo de ransomware Qilin, responsável por 105 ataques, viu uma queda de 28% em suas reivindicações. No total, 125 TB de dados foram roubados em abril, com os EUA liderando em número de ataques. O setor de saúde continua sendo um alvo prioritário para hackers, refletindo uma tendência preocupante que exige atenção contínua das organizações de segurança cibernética.