Ransomware

Lituano é condenado a 8,5 anos por envolvimento em ransomware Karakurt

Deniss Zolotarjovs, um cidadão letão extraditado para os Estados Unidos, foi condenado a 8,5 anos de prisão por seu papel como negociador em casos de extorsão do grupo de ransomware Karakurt. Com 35 anos e residente em Moscou, Zolotarjovs foi preso na Geórgia em dezembro de 2023 e se declarou culpado em julho de 2025 por conspiração para cometer fraude eletrônica e lavagem de dinheiro. O Departamento de Justiça dos EUA revelou que ele ajudou a gangue a lucrar com ataques a mais de 54 empresas, resultando em perdas superiores a 56 milhões de dólares, incluindo 2,8 milhões em pagamentos de resgate. Zolotarjovs era responsável por reativar negociações com vítimas que haviam interrompido a comunicação, utilizando informações pessoais e de saúde roubadas para aumentar a pressão psicológica. Ele é o primeiro membro do Karakurt a ser processado e condenado nos EUA, o que pode abrir caminho para ações contra outros membros do grupo. O FBI o vinculou a pelo menos seis casos de extorsão entre agosto de 2021 e novembro de 2023, destacando a gravidade e a complexidade das operações de ransomware que afetam organizações americanas e, potencialmente, brasileiras.

Suffolk, Virginia, confirma violação de dados que afetou 157 mil pessoas

A cidade de Suffolk, na Virgínia, notificou 157.725 pessoas sobre uma violação de dados ocorrida em fevereiro de 2026, que comprometeu nomes, números de Seguro Social e informações financeiras. A violação foi atribuída a um ataque de ransomware, embora os investigadores tenham afirmado que o ataque foi interrompido antes que o ransomware pudesse ser implantado. No entanto, os cibercriminosos conseguiram roubar dados da rede da cidade. O grupo de cibercriminosos Cloak reivindicou a responsabilidade pelo ataque, alegando ter roubado 2,5 TB de arquivos. Até o momento, a cidade não confirmou a reivindicação do Cloak, e não está claro como os atacantes conseguiram acessar a rede ou se um resgate foi pago. A notificação enviada às vítimas não menciona a oferta de monitoramento de crédito ou proteção contra roubo de identidade. Este incidente é um dos 20 ataques de ransomware confirmados em entidades governamentais dos EUA em 2026, destacando a crescente ameaça de ataques cibernéticos a instituições públicas.

Falha crítica no cPanel é explorada em ataques de ransomware Sorry

Uma nova vulnerabilidade no cPanel, identificada como CVE-2026-41940, está sendo amplamente explorada em ataques de ransomware conhecidos como ‘Sorry’. Recentemente, uma atualização de emergência foi lançada para corrigir uma falha crítica de bypass de autenticação que permite que atacantes acessem painéis de controle. O cPanel e o WHM são painéis de controle de hospedagem web baseados em Linux, sendo o WHM responsável pelo controle do servidor e o cPanel pelo acesso ao backend do site. Desde o final de fevereiro, tentativas de exploração dessa falha têm sido registradas, e a Shadowserver reportou que pelo menos 44.000 endereços IP executando cPanel foram comprometidos. Os hackers estão utilizando um criptografador Linux baseado em Go para implementar o ransomware ‘Sorry’, que adiciona a extensão ‘.sorry’ a todos os arquivos criptografados. O ransomware utiliza o cifrador de fluxo ChaCha20 e a chave de criptografia é protegida por uma chave pública RSA-2048. Para reverter a criptografia, é necessário obter a chave privada correspondente. Os usuários do cPanel e WHM são aconselhados a instalar as atualizações de segurança imediatamente para proteger seus sites contra esses ataques e roubo de dados.

Profissionais de cibersegurança são condenados por ataques de ransomware

O Departamento de Justiça dos EUA anunciou a condenação de dois profissionais de cibersegurança, Ryan Goldberg e Kevin Martin, a quatro anos de prisão por sua participação em ataques de ransomware BlackCat em 2023. Ambos, junto com um terceiro cúmplice, Angelo Martino, foram acusados de extorquir vítimas em todo o país, utilizando suas habilidades em cibersegurança para facilitar os ataques. Os criminosos concordaram em pagar 20% dos resgates recebidos aos administradores do BlackCat em troca de acesso à plataforma de extorsão. Em um dos casos, conseguiram extorquir cerca de US$ 1,2 milhão em Bitcoin, que foi posteriormente lavado. O esquema de ransomware como serviço (RaaS) BlackCat já havia atacado mais de 1.000 vítimas globalmente. Martino, que também se declarou culpado, abusou de sua função como negociador para obter pagamentos maiores, revelando informações confidenciais sobre limites de apólices de seguro das vítimas. O caso destaca a grave ameaça que profissionais com conhecimento técnico podem representar quando desviam suas habilidades para atividades criminosas.

Ex-funcionários de empresas de cibersegurança são condenados por ransomware

Ryan Clifford Goldberg e Kevin Tyler Martin, ex-funcionários de empresas de resposta a incidentes de cibersegurança, foram condenados a quatro anos de prisão por envolvimento em ataques de ransomware BlackCat (ALPHV) contra empresas nos EUA. Ambos, junto com um terceiro cúmplice, Angelo Martino, atuaram como afiliados do ransomware entre maio e novembro de 2023, comprometendo redes de diversas vítimas, incluindo uma empresa farmacêutica em Maryland e um fabricante de dispositivos médicos em Tampa. Os criminosos exploraram seu conhecimento especializado em cibersegurança para extorquir empresas, exigindo resgates que variavam de $300.000 a $10 milhões. O caso destaca a crescente ameaça de ransomware e a necessidade de vigilância constante nas redes corporativas. O FBI já havia vinculado o grupo BlackCat a mais de 60 violações de segurança, coletando pelo menos $300 milhões em pagamentos de resgate até setembro de 2023. Este incidente ressalta a importância de uma postura proativa em cibersegurança e a necessidade de medidas rigorosas para proteger dados sensíveis.

Grupo cibercriminoso Interlock reivindica ataque a governo de Minnesota

O grupo cibercriminoso Interlock assumiu a responsabilidade por um ataque de ransomware que ocorreu em abril de 2026, afetando o governo local do Condado de Winona, em Minnesota. Em 9 de abril, o condado anunciou que havia retirado seus sistemas do ar após detectar a invasão, alertando os residentes sobre possíveis atrasos nos serviços. Interlock afirmou ter roubado mais de 2 milhões de arquivos e publicou amostras de documentos supostamente extraídos. Até o momento, o condado não confirmou a alegação e não se sabe se um resgate foi pago ou como a rede foi comprometida. Este foi o segundo ataque de ransomware ao Condado de Winona em 2026, sendo que em janeiro o condado já havia declarado estado de emergência devido a um ataque anterior. O grupo Interlock, que começou a reivindicar ataques em 2024, já foi responsável por 16 incidentes em 2026, incluindo ataques a instituições educacionais e organizações sem fins lucrativos. Os ataques de ransomware a entidades governamentais nos EUA têm se tornado cada vez mais frequentes, resultando em sérios riscos de perda de dados e interrupção de serviços essenciais.

Ataques de ransomware no setor de saúde aumentam em 2026

No primeiro trimestre de 2026, foram registrados 120 ataques de ransomware em hospitais e provedores de saúde, além de 81 ataques a empresas do setor, como fabricantes de dispositivos médicos e provedores de tecnologia. Embora os ataques a provedores de saúde tenham diminuído em 15% em relação ao trimestre anterior, os ataques a empresas de saúde aumentaram 35%, refletindo a lucratividade contínua para os hackers. Um ataque significativo ocorreu no University of Mississippi Medical Center, que resultou na paralisação de clínicas por um mês. Dados sensíveis de 131.700 pessoas foram comprometidos em um ataque ao Nippon Medical School Musashi Kosugi Hospital no Japão, e 92.000 pessoas foram notificadas sobre um ataque ao Hospital Caribbean Medical Center em Porto Rico. Os grupos de ransomware mais ativos foram Qilin e The Gentlemen, com Qilin liderando em ataques confirmados. O relatório destaca a necessidade urgente de medidas de segurança robustas no setor de saúde, que continua sendo um alvo atrativo para cibercriminosos.

Ransomware VECT 2.0 pode destruir arquivos em vez de criptografá-los

Pesquisadores alertam sobre uma falha crítica no ransomware VECT 2.0, que pode levar à destruição permanente de arquivos maiores ao invés de criptografá-los. O problema reside na forma como o VECT lida com os nonces de criptografia, onde cada novo nonce sobrescreve o anterior, resultando na perda de partes significativas dos arquivos. Após o processamento, apenas 25% do arquivo é recuperável, enquanto os outros 75% se tornam irrecuperáveis. Isso é especialmente preocupante para empresas, pois muitos arquivos valiosos, como discos de máquinas virtuais e bancos de dados, geralmente excedem 128 KB, o que os classifica como ‘grandes arquivos’ para o ransomware. Além disso, os operadores do VECT, que se associaram ao grupo TeamPCP, têm como objetivo explorar vítimas de ataques de cadeia de suprimentos, o que aumenta o potencial de danos. A falha de manuseio de nonces é comum em todas as variantes do VECT, afetando sistemas Windows, Linux e ESXi, o que amplia o alcance do problema. A Check Point destaca que a situação pode ser catastrófica para a maioria das organizações, pois a perda de dados críticos pode ocorrer sem possibilidade de recuperação.

Grupo de ransomware Rhysida ataca STELIA Aerospace na América do Norte

O grupo de ransomware Rhysida atacou a STELIA Aerospace North America Inc., exigindo um resgate de 27 bitcoins (aproximadamente R$ 2,07 milhões) em troca de 10 TB de dados. A empresa, subsidiária da Airbus Atlantic, confirmou a detecção do ataque e ativou seus protocolos de defesa cibernética, isolando os sistemas afetados. A STELIA assegurou que o incidente está restrito ao seu ambiente de TI e não afeta a rede mais ampla da Airbus Atlantic. Documentos, incluindo informações de identidade e planos de benefícios de funcionários, foram divulgados pelo grupo, que também listou clientes importantes como Lockheed Martin e Boeing, sugerindo que dados desses parceiros podem ter sido comprometidos. Desde sua origem em maio de 2023, Rhysida já registrou 266 ataques, com uma média de resgate de aproximadamente R$ 5,4 milhões. Este é o segundo ataque confirmado em 2026, após um incidente com a Elabs AG na Alemanha. O Canadá tem sido um alvo frequente para ataques de ransomware, com 133 alegações em 2026, sendo 26 delas direcionadas a fabricantes, como a STELIA.

Grupo VECT 2.0 Malware que destrói dados em vez de sequestrá-los

O grupo de cibercriminosos conhecido como VECT 2.0 tem gerado preocupações entre especialistas em segurança cibernética, pois seu malware atua mais como um destruidor de dados do que como um ransomware tradicional. De acordo com a análise da Check Point Research, a implementação de criptografia do VECT apresenta uma falha crítica que resulta na destruição permanente de arquivos grandes, impossibilitando a recuperação mesmo para aqueles que pagam o resgate. O malware, que se apresenta como ransomware, destrói arquivos com mais de 131KB, descartando as chaves de descriptografia durante o processo. Isso significa que, mesmo que as vítimas optem por pagar, não há como recuperar os dados. O VECT 2.0, que opera sob um modelo de ransomware como serviço (RaaS), cobra uma taxa de entrada de $250 para novos afiliados, com isenção para candidatos de países da Comunidade dos Estados Independentes (CEI). Além disso, o grupo estabeleceu parcerias com o BreachForums e o TeamPCP, ampliando sua capacidade de ataque. A análise também revela que o VECT utiliza um algoritmo de criptografia fraco e apresenta falhas de design que comprometem sua eficácia. A situação exige que as empresas priorizem a resiliência, com backups offline e procedimentos de recuperação testados, em vez de depender de negociações com os atacantes.

Ataques de ransomware Trigona usam ferramenta personalizada para roubo de dados

Recentemente, ataques de ransomware Trigona têm utilizado uma ferramenta personalizada chamada ‘uploader_client.exe’ para exfiltração de dados em ambientes comprometidos. Essa ferramenta, que se conecta a um servidor com endereço fixo, foi projetada para operar de forma mais eficiente e rápida, permitindo até cinco conexões simultâneas por arquivo e rotacionando conexões TCP após 2GB de tráfego, a fim de evitar a detecção. Além disso, ela permite a exfiltração seletiva de tipos de arquivos, excluindo mídias de baixo valor. Os ataques, que começaram em outubro de 2022, exigem pagamentos em criptomoeda Monero e, apesar de uma interrupção temporária em outubro de 2023 por ativistas cibernéticos ucranianos, os operadores do ransomware parecem ter retomado suas atividades. A Symantec, que analisou esses ataques, observou que os invasores instalam ferramentas como HRSword para desativar produtos de segurança e utilizam programas como AnyDesk para acesso remoto. A empresa também disponibilizou indicadores de comprometimento (IoCs) para auxiliar na detecção e bloqueio dessas ameaças.

Nova operação de ransomware Kyber ataca sistemas Windows e VMware ESXi

Uma nova operação de ransomware chamada Kyber está atacando sistemas Windows e endpoints VMware ESXi, com uma variante utilizando criptografia pós-quântica Kyber1024. A empresa de cibersegurança Rapid7 analisou duas variantes do Kyber em março de 2026, ambas implantadas na mesma rede, sendo uma focada em VMware ESXi e a outra em servidores de arquivos Windows. A variante ESXi é projetada para ambientes VMware, permitindo a criptografia de datastores e a desfiguração de interfaces de gerenciamento. Por outro lado, a variante Windows, escrita em Rust, possui uma funcionalidade experimental para atacar máquinas virtuais Hyper-V. Embora a variante Linux do ransomware afirme usar criptografia pós-quântica, na prática, utiliza ChaCha8 e RSA-4096 para a criptografia de arquivos. Já a variante Windows realmente implementa Kyber1024, mas apenas para proteger chaves simétricas, enquanto a criptografia de dados é realizada pelo AES-CTR. Ambas as variantes visam eliminar caminhos de recuperação de dados, como a exclusão de cópias de sombra e a desativação de serviços de backup. Até o momento, apenas uma vítima foi identificada, um grande contratante de defesa e serviços de TI dos EUA.

Mercado Anônimo Russo RAMP Um Alvo para Cibercriminosos

O RAMP (Russian Anonymous Marketplace) foi um fórum de cibercrime que operou de 2021 até sua apreensão pelo FBI em janeiro de 2026. Com mais de 7.700 usuários registrados, o fórum facilitava a venda de acessos a redes corporativas, malware e dados roubados, destacando-se pela sua acessibilidade tanto na rede Tor quanto na clearnet. O acesso a redes corporativas era o foco principal, com 333 threads oferecendo pontos de entrada, sendo o RDP (Remote Desktop Protocol) o tipo mais comum. Os Estados Unidos foram o principal alvo, representando 40% das listagens. O fórum também promovia programas de ransomware como serviço (RaaS), com divisões de lucros que chegaram a 90% para os afiliados. A atividade no fórum aumentou 348% em um ano, indicando uma resiliência após ações de law enforcement. O aumento das listagens de acesso VPN reflete uma mudança nas táticas de ataque, especialmente após a divulgação de vulnerabilidades críticas em produtos populares como Cisco e Fortinet. O RAMP exemplifica a crescente complexidade e a interconexão do cibercrime global, exigindo atenção redobrada das organizações, especialmente em setores críticos como governo, finanças e tecnologia.

Grupo de ransomware Qilin ataca governo de Rusk County, Wisconsin

O grupo de ransomware Qilin reivindicou a responsabilidade por um ataque cibernético ocorrido em março de 2026 contra o governo local de Rusk County, Wisconsin. Os oficiais do condado relataram um ‘incidente de cibersegurança’ no início de março, que ainda está sob investigação. A confirmação do ataque foi feita pelo Qilin em seu site de vazamento de dados em 21 de abril de 2026, embora o condado não tenha reconhecido oficialmente a reivindicação. O grupo Qilin, baseado na Rússia, é conhecido por suas táticas de phishing e opera um modelo de ransomware como serviço, permitindo que afiliados utilizem seu malware para realizar ataques. Até agora, em 2026, o Qilin já reivindicou 411 ataques, sendo que 27 organizações confirmaram as invasões. O ataque a Rusk County é o quarto contra entidades governamentais neste ano, destacando uma tendência preocupante de ataques a governos nos EUA. Esses incidentes podem resultar em roubo de dados e paralisação de sistemas, obrigando as autoridades a pagar resgates para restaurar o funcionamento normal. O caso de Rusk County se junta a outros ataques recentes, como os ocorridos em Tulsa, Oklahoma, e Seal Beach, Califórnia.

Grupo de ransomware The Gentlemen utiliza malware SystemBC em ataques

O grupo de ransomware conhecido como The Gentlemen, que opera sob o modelo de ransomware-as-a-service (RaaS), está utilizando um malware proxy chamado SystemBC para expandir suas operações. De acordo com a pesquisa da Check Point, o servidor de comando e controle (C2) associado ao SystemBC revelou uma botnet com mais de 1.570 vítimas em todo o mundo. O SystemBC estabelece túneis de rede SOCKS5 e pode baixar e executar malware adicional, complicando a defesa das vítimas. Desde sua aparição em julho de 2025, The Gentlemen já reivindicou mais de 320 vítimas em seu site de vazamento de dados, utilizando um modelo de dupla extorsão. As táticas do grupo incluem o uso de objetos de política de grupo (GPOs) para comprometer domínios inteiros e a desativação de ferramentas de segurança como o Windows Defender. A pesquisa também destaca que a velocidade dos ataques está aumentando, com a maioria das tentativas ocorrendo durante a noite e nos fins de semana, visando maximizar o impacto antes que as defesas possam reagir. O cenário atual de ransomware é caracterizado por uma evolução para operações mais disciplinadas e especializadas, com um aumento significativo nos ataques a pequenas e médias empresas e setores críticos.

Hospital Caribbean Medical Center sofre ataque cibernético em 2026

O Hospital Caribbean Medical Center, localizado em Porto Rico, registrou uma violação de dados que afetou 92.000 registros no portal de violações do Departamento de Saúde e Serviços Humanos dos EUA. O ataque, reivindicado pelo grupo de ransomware The Gentlemen, ocorreu em fevereiro de 2026. Em março, o hospital confirmou que conseguiu conter o ataque, que impactou parte de seus sistemas de informação. A detecção precoce permitiu a implementação de medidas de contenção com o apoio de especialistas em cibersegurança. Embora o hospital tenha notificado as autoridades competentes e esteja colaborando na análise técnica do incidente, não confirmou se um resgate foi exigido ou pago. Este ataque é o quarto confirmado contra provedores de saúde, destacando a crescente ameaça de ransomware no setor. Em 2026, já foram registrados 27 ataques confirmados a instituições de saúde em todo o mundo, com o Hospital Caribbean Medical Center sendo o segundo maior em termos de registros afetados. A situação ressalta a necessidade urgente de medidas de segurança robustas para proteger dados sensíveis na área da saúde.

Negociador de ransomware se declara culpado por ataques nos EUA

Angelo Martino, um negociador de ransomware de 41 anos, se declarou culpado por realizar ataques de ransomware contra empresas nos Estados Unidos em 2023. Ele colaborou com o grupo criminoso BlackCat, fornecendo informações confidenciais sobre as posições de negociação de cinco vítimas, sem o conhecimento ou consentimento delas. Essas informações incluíam limites de apólices de seguro e estratégias internas, o que resultou em resgates mais altos. Martino foi compensado financeiramente por essas informações. Além disso, ele admitiu ter trabalhado com outros dois respondentes a incidentes para implantar o ransomware BlackCat em várias vítimas entre abril e novembro de 2023, extorquindo uma delas em aproximadamente 1,2 milhão de dólares em Bitcoin. As autoridades confiscam 10 milhões de dólares em ativos de Martino, incluindo criptomoedas e veículos. Ele enfrenta uma pena máxima de 20 anos de prisão e está programado para ser sentenciado em julho de 2026. O caso destaca a traição de confiança em um setor que deveria proteger as vítimas de ataques cibernéticos.

Ex-funcionário da DigitalMint se declara culpado por ataques de ransomware

Angelo Martino, ex-funcionário da DigitalMint, admitiu sua culpa em ataques de ransomware BlackCat (ALPHV) direcionados a empresas dos EUA em 2023. Juntamente com outros dois negociadores de resgates, Martino foi acusado de conspiração para interferir no comércio interestadual por extorsão e danos intencionais a computadores protegidos. Durante seu trabalho como negociador, ele compartilhou informações confidenciais sobre as vítimas com os operadores do ransomware, facilitando a extorsão de valores elevados. Entre abril de 2023 e abril de 2025, Martino e seus cúmplices exigiram pagamentos de resgate, ameaçando vazar dados antes de criptografar os sistemas das vítimas. O impacto financeiro foi significativo, com uma empresa de serviços financeiros pagando mais de 25 milhões de dólares e uma organização sem fins lucrativos mais de 26 milhões. A operação BlackCat, associada a mais de 60 violações, arrecadou pelo menos 300 milhões de dólares em pagamentos de resgate até setembro de 2023. A DigitalMint condenou as ações de seus ex-funcionários e os demitiu assim que as irregularidades foram descobertas.

Botnet de malware proxy SystemBC atinge mais de 1.570 empresas

Uma botnet de malware proxy chamada SystemBC, composta por mais de 1.570 hosts, foi descoberta após investigações relacionadas a um ataque de ransomware conhecido como Gentlemen. Este ransomware, que surgiu em meados de 2025, utiliza um serviço de ransomware como serviço (RaaS) e é capaz de criptografar sistemas Windows, Linux, NAS e BSD, além de hipervisores ESXi. A Check Point, responsável pela investigação, identificou que a maioria das vítimas está localizada nos Estados Unidos, Reino Unido, Alemanha, Austrália e Romênia, com um foco claro em ambientes corporativos.

Grupo cibercriminoso Blackwater ataca hospital nos EUA

O grupo de cibercriminosos Blackwater reivindicou a responsabilidade por um incidente de cibersegurança ocorrido no Minidoka Memorial Hospital, em Rupert, Idaho, durante o fim de semana da Páscoa de 2026. O ataque, que ocorreu no dia 17 de abril, resultou na interrupção de diversos serviços hospitalares, incluindo a imagem médica. Blackwater afirmou ter roubado 577 GB de dados do hospital e exigiu um pagamento de resgate em uma semana, embora o hospital não tenha confirmado publicamente a reivindicação. Em uma postagem no Facebook, o Minidoka Memorial Hospital reconheceu a ocorrência de um incidente cibernético que afetou temporariamente alguns sistemas, mas garantiu que os serviços de emergência seriam restaurados até a meia-noite do dia 19 de abril. Este ataque é parte de uma tendência crescente de ataques de ransomware a instituições de saúde nos EUA, com nove incidentes confirmados em 2026 até o momento. Blackwater, que surgiu em março de 2026, é um novo grupo de ransomware que combina a criptografia de sistemas com o roubo de dados, exigindo resgates para a devolução das informações. O aumento desses ataques levanta preocupações sobre a segurança cibernética em hospitais e a proteção de dados sensíveis dos pacientes.

Ransomware Payouts King usa QEMU como backdoor reverso

O ransomware Payouts King tem utilizado o emulador QEMU como uma backdoor reversa SSH para executar máquinas virtuais ocultas em sistemas comprometidos, contornando a segurança de endpoints. O QEMU, uma ferramenta de virtualização de código aberto, permite que atacantes executem cargas maliciosas e armazenem arquivos dentro de máquinas virtuais, que não são escaneadas pelas soluções de segurança do host. Pesquisadores da Sophos documentaram duas campanhas, uma delas associada ao grupo de ameaças GOLD ENCOUNTER, que utiliza tarefas agendadas para lançar VMs QEMU disfarçadas. A primeira campanha, STAC4713, foi observada em novembro de 2025, enquanto a segunda, STAC3725, explora a vulnerabilidade CitrixBleed 2 (CVE-2025-5777) para obter acesso inicial. Os atacantes têm usado VPNs expostas e engenharia social para infiltrar-se em redes, além de empregar técnicas de ofuscação e mecanismos anti-análise para evitar detecções. O esquema de criptografia do Payouts King combina AES-256 e RSA-4096, e as notas de resgate direcionam as vítimas a sites de vazamento na dark web. A Sophos recomenda que as organizações verifiquem instalações não autorizadas do QEMU e monitorem atividades suspeitas relacionadas a SSH.

Grupo de ransomware Anubis ataca hospital em Massachusetts

O grupo de ransomware Anubis reivindicou um ataque cibernético contra a Signature Healthcare, resultando em sérias interrupções no Brockton Hospital, em Massachusetts. Em um comunicado de 6 de abril de 2026, a Signature Healthcare informou que um incidente de segurança cibernética levou o hospital a adotar procedimentos de emergência, incluindo a desvio de ambulâncias e o cancelamento de consultas de quimioterapia. Anubis alegou ter roubado 2 TB de dados sensíveis de pacientes e deu um prazo de sete dias para que a instituição pagasse um resgate, caso contrário, os dados seriam divulgados. Embora a Signature Healthcare não tenha confirmado a reivindicação do grupo, a situação destaca a crescente ameaça de ataques de ransomware no setor de saúde, onde a proteção de dados é crucial. Até agora, em 2026, Anubis já reivindicou 27 ataques, com seis deles confirmados em organizações de saúde. Os ataques de ransomware podem comprometer a segurança e a privacidade dos pacientes, além de causar danos financeiros significativos às instituições afetadas.

Fornecedor de software de saúde na Holanda sofre ataque de ransomware

A ChipSoft, uma importante fornecedora de sistemas de Registro Eletrônico de Saúde (EHR) na Holanda, foi alvo de um ataque de ransomware que resultou na desativação de seu site e serviços digitais para pacientes e prestadores de saúde. O incidente foi confirmado por um memorando interno que alertou instituições de saúde sobre ‘possível acesso não autorizado’. A empresa recomendou que os operadores de centros de saúde desconectassem seus sistemas até que a situação fosse normalizada. O Z-CERT, equipe de resposta a emergências de cibersegurança na saúde, está colaborando com a ChipSoft e as instituições afetadas para avaliar o impacto e auxiliar na recuperação. Embora alguns sistemas voltados para pacientes estejam operando normalmente, relatos indicam que vários hospitais, como o Sint Jans Gasthuis e o Flevo Hospital, enfrentam interrupções. Ataques cibernéticos a provedores de TI na saúde podem ser extremamente prejudiciais, dado que essas empresas gerenciam grandes volumes de dados sensíveis. O incidente destaca a vulnerabilidade do setor de saúde a ataques cibernéticos, que podem ter consequências graves para a privacidade e a continuidade dos serviços.

Ataques de ransomware continuam em alta no início de 2026

Nos primeiros três meses de 2026, os ataques de ransomware se mantiveram elevados, com 2.200 incidentes registrados, um aumento de 1,66% em relação ao último trimestre de 2025. Os setores de educação e saúde apresentaram quedas significativas, com reduções de 23% e 14%, respectivamente. No entanto, empresas do setor de saúde que não prestam cuidados diretos, como fabricantes de dispositivos médicos, viram um aumento de 35% nos ataques. Os setores de transporte, finanças, varejo, tecnologia e construção também registraram aumentos nos ataques, com o setor de manufatura permanecendo como um dos mais visados, representando 22% de todos os ataques. O valor médio do resgate subiu para $480.000, com o maior resgate exigido sendo de $3,1 milhões. Os EUA foram o país mais afetado, com 1.041 ataques, seguidos por Canadá e Reino Unido. As gangues de ransomware mais ativas foram Qilin e The Gentlemen, com 353 e 202 ataques, respectivamente. O artigo destaca a necessidade de vigilância contínua e ações proativas para mitigar esses riscos.

Grupo de cibercriminosos Lynx assume ataque a fabricante de implantes

O Procurador Geral de Indiana confirmou que a empresa TriMed notificou 81.203 pessoas sobre uma violação de dados ocorrida em setembro de 2025. O ataque comprometeu informações pessoais, incluindo números de registros médicos e datas de nascimento. O grupo de cibercriminosos Lynx reivindicou a responsabilidade pelo ataque em 2 de outubro de 2025, publicando amostras de documentos supostamente roubados do TriMed em seu site. A TriMed, que fabrica implantes ortopédicos e foi adquirida pela Henry Schein em abril de 2024, não confirmou a reivindicação do Lynx e não se sabe como os atacantes conseguiram acessar os dados. O ataque é parte de uma tendência crescente de ataques de ransomware direcionados a empresas de saúde nos EUA, que, em 2025, registraram 31 ataques confirmados, comprometendo mais de 7,2 milhões de registros. Os ataques de ransomware podem causar interrupções significativas nas operações comerciais, exigindo resgates para restaurar sistemas e proteger dados. A situação destaca a vulnerabilidade do setor de saúde e a necessidade de medidas de segurança robustas para proteger informações sensíveis.

Microsoft alerta sobre hackers da China usando novos zero-days para ransomware

Um novo relatório da Microsoft revelou que o grupo de hackers Storm-1175, baseado na China, está utilizando vulnerabilidades zero-day e n-day para lançar ataques de ransomware em organizações ao redor do mundo, com foco em setores como saúde, educação e finanças. O grupo tem demonstrado uma capacidade alarmante de transitar rapidamente de acesso inicial a compromissos completos de sistemas e exfiltração de dados, muitas vezes em menos de 24 horas. Até agora, foram identificadas mais de 16 vulnerabilidades exploradas, afetando produtos como Microsoft Exchange e Papercut. O Storm-1175 não é um ator patrocinado pelo estado, mas sim um coletivo que busca lucro, e suas operações têm se mostrado eficazes devido à sua velocidade e habilidade em identificar ativos expostos. Os especialistas alertam que a rapidez com que esses ataques são realizados oferece pouco tempo para que as defesas sejam implementadas, aumentando o risco para as organizações visadas.

Grupo de cibercriminosos da China utiliza vulnerabilidades para ataques rápidos

Um grupo de cibercriminosos baseado na China, conhecido como Storm-1175, tem sido associado ao uso de vulnerabilidades zero-day e N-day para realizar ataques rápidos em sistemas expostos à internet. De acordo com a equipe de Inteligência de Ameaças da Microsoft, esses ataques têm impactado severamente organizações de saúde, educação, serviços profissionais e finanças na Austrália, Reino Unido e Estados Unidos. O grupo utiliza uma combinação de exploits, incluindo o OWASSRF, para obter acesso inicial e, após comprometer os sistemas, rapidamente exfiltra dados e implanta o ransomware Medusa. Desde 2023, Storm-1175 explorou mais de 16 vulnerabilidades conhecidas, algumas das quais foram utilizadas como zero-days antes de serem divulgadas publicamente. As táticas observadas incluem o uso de ferramentas legítimas para movimentação lateral e a modificação de políticas do Windows Firewall para facilitar a entrega de cargas maliciosas. A crescente utilização de ferramentas de gerenciamento remoto (RMM) por esses atacantes levanta preocupações sobre a segurança das infraestruturas de TI, pois permite que o tráfego malicioso se misture ao tráfego legítimo, dificultando a detecção.

Polícia Federal da Alemanha identifica líderes de ransomware GandCrab e REvil

A Polícia Federal da Alemanha (BKA) identificou dois cidadãos russos como líderes das operações de ransomware GandCrab e REvil entre 2019 e 2021. Daniil Maksimovich Shchukin, de 31 anos, e Anatoly Sergeevitsch Kravchuk, de 43 anos, foram apontados como responsáveis por pelo menos 130 casos de extorsão, especificamente direcionados a empresas na Alemanha. Os ataques resultaram em um pagamento total de aproximadamente 2,2 milhões de dólares em resgates, com danos financeiros estimados em mais de 40 milhões de dólares.

Grupo cibercriminoso Storm-1175 utiliza exploits em ataques rápidos

A Microsoft alertou sobre o grupo cibercriminoso Storm-1175, baseado na China, que tem se destacado por ataques rápidos e eficazes utilizando ransomware Medusa. Este grupo é conhecido por explorar vulnerabilidades de dia zero e dia n, conseguindo acesso às redes de suas vítimas em um curto espaço de tempo, frequentemente em menos de 24 horas após a descoberta das falhas. Recentemente, suas ações impactaram severamente setores críticos, como saúde, educação e finanças, em países como Austrália, Reino Unido e Estados Unidos.

Google Drive implementa proteção contra ataques de ransomware

O Google Drive lançou uma nova atualização de segurança que visa proteger os usuários contra ataques de ransomware, um tipo de malware que sequestra dados e exige resgate para liberá-los. De acordo com informações divulgadas no blog do Google Workspace, a nova ferramenta utiliza inteligência artificial (IA) para detectar softwares maliciosos que tentam criptografar arquivos armazenados na nuvem. Quando um ataque é identificado, a sincronização do Drive é automaticamente pausada, evitando que o malware se espalhe e contamine arquivos legítimos. Embora a restauração de arquivos afetados esteja disponível para todos os usuários, os alertas e a interrupção da sincronização são recursos exclusivos para assinantes dos planos pagos do Workspace Business e Enterprise. A atualização é especialmente relevante, pois o Google afirma que a nova função é capaz de detectar até 14 vezes mais ataques de ransomware em comparação com versões anteriores. Essa melhoria na segurança é crucial, considerando que os ataques de ransomware aumentaram 50% recentemente, embora os valores de resgate tenham caído para níveis históricos.

Grupo cibercriminoso Interlock ataca faculdade nos EUA com ransomware

No último fim de semana, o grupo cibercriminoso Interlock reivindicou um ataque de ransomware ocorrido em março de 2026 contra o Community College of Beaver County (CCBC), na Pensilvânia. Em 9 de março, a instituição anunciou que hackers criptografaram dados e exigiram pagamento de resgate para a recuperação. O ataque afetou o acesso a notas, históricos e informações financeiras, levando ao fechamento do campus até a segunda-feira seguinte e à suspensão das aulas presenciais até 30 de março. O Interlock afirmou ter roubado 780 GB de dados, incluindo informações pessoais e documentos financeiros, que foram posteriormente vazados. Embora a CCBC tenha reconhecido o incidente, não confirmou a reivindicação do grupo nem se pagou o resgate. O ataque é parte de uma tendência crescente de ataques de ransomware em instituições educacionais nos EUA, com sete incidentes confirmados em 2026 até o momento, afetando operações diárias e expondo dados sensíveis. A situação destaca a vulnerabilidade das instituições educacionais a ataques cibernéticos e a necessidade de medidas de segurança robustas.

Polícia Federal da Alemanha identifica líderes do ransomware REvil

O Escritório Federal de Polícia Criminal da Alemanha (BKA) revelou as identidades de dois indivíduos-chave associados ao extinto grupo de ransomware REvil, também conhecido como Sodinokibi. Daniil Maksimovich Shchukin, de 31 anos, e Anatoly Sergeevitsch Kravchuk, de 43 anos, ambos russos, são acusados de liderar uma das maiores operações de ransomware global, que resultou em 130 ataques na Alemanha, com pagamentos de resgate totalizando €1,9 milhão. O grupo, que atacou empresas de renome como JBS e Kaseya, exigia grandes quantias em troca da descriptografia e não divulgação de dados. O BKA destacou que os danos financeiros totais ultrapassaram €35,4 milhões. O REvil, que evoluiu do GandCrab, ficou offline em julho de 2021, mas ressurgiu brevemente antes de encerrar suas operações definitivamente. A Rússia também anunciou a prisão de membros do grupo, indicando um esforço global para combater o cibercrime. Shchukin, que se autodenominava UNKN, afirmou ter estado no negócio de ransomware desde 2007, revelando um passado difícil que contrasta com sua atual riqueza.

Grupo de ransomware Qilin usa técnica BYOVD para desativar segurança

Recentemente, os grupos de ransomware Qilin e Warlock têm utilizado a técnica conhecida como ‘bring your own vulnerable driver’ (BYOVD) para desativar ferramentas de segurança em sistemas comprometidos. A análise realizada pela Cisco Talos revelou que o Qilin emprega um DLL malicioso chamado ‘msimg32.dll’, que inicia uma cadeia de infecção em múltiplas etapas, visando desativar soluções de detecção e resposta em endpoints (EDR). Este DLL é capaz de encerrar mais de 300 drivers de EDR de diversos fornecedores.

Grupo de ransomware Qilin ameaça vazar dados do partido Die Linke

O grupo de ransomware Qilin comprometeu a rede do partido político alemão Die Linke, que é uma organização socialista democrática, e está ameaçando vazar dados sensíveis. Em 27 de março, um dia após a invasão, o partido revelou um incidente cibernético, mas não confirmou um vazamento de dados. A organização, que possui 123 mil membros e 64 representantes no Bundestag, afirmou que os atacantes visam publicar informações internas e dados pessoais de funcionários, embora a base de dados de membros não tenha sido afetada. O Die Linke identificou os atacantes como criminosos cibernéticos de língua russa, motivados tanto financeiramente quanto politicamente, e destacou que o ataque não parece ser acidental. Em 1º de abril, o Qilin reivindicou publicamente a responsabilidade pelo ataque, adicionando o partido à sua lista de vítimas sem divulgar amostras de dados. O partido notificou as autoridades alemãs e está colaborando com especialistas em TI para restaurar seus sistemas. O uso de ransomware é frequentemente associado a guerras híbridas e ataques a infraestruturas críticas, o que levanta preocupações sobre a segurança cibernética em contextos políticos.

Impacto Real do Ransomware em Diversos Setores

Em fevereiro de 2026, o Centro Médico da Universidade do Mississippi (UMMC) sofreu um ataque de ransomware que desativou seu sistema de registro eletrônico de saúde, afetando 35 clínicas e mais de 200 locais de telemedicina. O ataque resultou no cancelamento de tratamentos de quimioterapia e adiamentos de cirurgias não emergenciais, forçando a equipe médica a retornar a processos em papel. Este incidente é parte de uma tendência alarmante, com 93% das organizações de saúde nos EUA relatando pelo menos um ataque cibernético em 2025, e 72% afirmando que esses incidentes impactaram diretamente o atendimento ao paciente. Outros setores, como manufatura e finanças, também estão em risco, como evidenciado pelo ataque à BridgePay, que paralisou suas operações de processamento de pagamentos. A evolução do ransomware para táticas de dupla e tripla extorsão, onde dados sensíveis são exfiltrados antes da criptografia, torna as defesas tradicionais insuficientes. A plataforma D.AMO, desenvolvida pela Penta Security, oferece uma solução abrangente que combina criptografia, controle de acesso e recuperação de backup, visando neutralizar as ameaças de ransomware em todas as suas fases.

Grupo de ransomware Payouts King ataca UFP Technologies em 2026

O grupo de ransomware Payouts King reivindicou a responsabilidade por um ataque cibernético à UFP Technologies, ocorrido em fevereiro de 2026. A UFP, uma fabricante americana de dispositivos médicos, revelou o incidente em um comunicado à Comissão de Valores Mobiliários dos EUA, informando que um terceiro não autorizado acessou seus sistemas, resultando no roubo de arquivos e na interrupção de processos de faturamento e rotulagem. O grupo afirma ter roubado 620 GB de dados da empresa e listou a UFP em seu site de vazamento de dados. Até o momento, a UFP não confirmou a alegação do grupo, e detalhes sobre a natureza dos dados comprometidos, a forma como o ataque foi realizado, se um resgate foi pago ou o valor exigido permanecem desconhecidos. O Payouts King, que atua de forma independente e não como um serviço de ransomware, já reivindicou 56 ataques, com 12 confirmados por organizações-alvo. O grupo tem como foco fabricantes e empresas do setor de saúde, que lidam com grandes volumes de dados pessoais, tornando-se alvos atraentes para hackers. O impacto de tais ataques pode ser devastador, comprometendo a segurança e a privacidade de pacientes e clientes.

Aumento alarmante de ataques de ransomware em março de 2026

Em março de 2026, os ataques de ransomware atingiram um pico alarmante, totalizando 780 incidentes, um aumento de 13% em relação a fevereiro. O setor de utilidades foi o mais afetado, com um aumento de 630% nos ataques, destacando a vulnerabilidade da infraestrutura crítica. Os Estados Unidos foram o país mais visado, com 375 ataques, seguidos por França e Alemanha. Entre os ataques confirmados, 33 foram direcionados a empresas, 10 a entidades governamentais e 6 a instituições de saúde. Os grupos de ransomware mais ativos foram Qilin, Akira e The Gentlemen, com Qilin liderando com 140 ataques. Um total de 242 TB de dados foi roubado, evidenciando a gravidade da situação. O aumento significativo nos ataques a entidades governamentais e educacionais também é preocupante, refletindo uma tendência crescente de ataques a setores críticos. A situação exige atenção imediata das organizações para fortalecer suas defesas contra essas ameaças.

Google Drive lança detecção de ransomware com IA para usuários pagos

O Google anunciou que a funcionalidade de detecção de ransomware no Google Drive, impulsionada por inteligência artificial, está agora disponível para todos os usuários pagantes. Lançada inicialmente em versão beta em outubro de 2025, essa ferramenta pausa a sincronização de arquivos assim que um ataque de ransomware é detectado, alertando usuários e administradores de TI sobre a violação. Embora os arquivos no computador comprometido possam ser criptografados, os documentos armazenados no Google Drive permanecem protegidos e podem ser rapidamente restaurados após a resolução da infecção. O Google afirma que a nova versão do modelo de IA é capaz de detectar 14 vezes mais infecções em comparação com a versão beta, oferecendo uma proteção mais abrangente. A funcionalidade está ativada por padrão para todos os usuários de organizações com licenças de negócios, educação e empresas, enquanto a ferramenta de restauração de arquivos está disponível para todos os clientes do Google Workspace. Administradores têm a opção de desativar essa funcionalidade, se desejarem. A detecção de ransomware é uma resposta a um cenário crescente de ataques cibernéticos, refletindo a necessidade de soluções robustas de segurança em ambientes de armazenamento em nuvem.

Apex, Carolina do Norte, confirma violação de dados de 22 mil pessoas

A cidade de Apex, na Carolina do Norte, notificou 22.601 pessoas sobre uma violação de dados ocorrida em junho de 2024, que comprometeu informações pessoais sensíveis, incluindo números de segurança social, dados de identificação emitidos pelo governo, informações financeiras e registros médicos. O incidente foi resultado de um ataque de ransomware, embora a cidade tenha afirmado que nenhum resgate foi pago. Os dados roubados foram publicados em um provedor de armazenamento em nuvem, e a cidade obteve uma ordem judicial para acessar essas informações. Além da violação, o ataque causou interrupções nos pagamentos de contas dos residentes. As autoridades não revelaram como a rede foi comprometida, o valor do resgate exigido ou o motivo da demora de quase dois anos para notificar as vítimas. Em 2024, foram registrados 96 ataques de ransomware a entidades governamentais nos EUA, comprometendo mais de 2,6 milhões de registros pessoais. O ataque a Apex destaca a vulnerabilidade das infraestruturas governamentais e a necessidade de medidas de segurança robustas para proteger dados sensíveis.

Grupo cibercriminoso Inc ataca cidade de Meriden, Connecticut

O grupo cibercriminoso conhecido como Inc reivindicou a responsabilidade por um ataque cibernético à cidade de Meriden, em Connecticut, que resultou em várias interrupções nos sistemas da cidade, incluindo atrasos na emissão de contas de água. O ataque, que começou a ser relatado em 17 de fevereiro, afetou serviços essenciais, como os escritórios do cartório e da arrecadação de impostos, que ainda estavam sendo restaurados mais de um mês após o incidente. Inc, um grupo de ransomware que surgiu em julho de 2023, utiliza métodos como phishing direcionado e exploração de vulnerabilidades conhecidas para invadir redes. O grupo já reivindicou 704 ataques, com 175 confirmados, sendo 25 direcionados a entidades governamentais. Embora os oficiais de Meriden não tenham confirmado a reivindicação do grupo, a situação destaca a crescente ameaça de ataques de ransomware a entidades governamentais nos EUA, que podem resultar em roubo de dados e paralisação de serviços. O impacto potencial desses ataques é significativo, pois pode levar a perdas financeiras e riscos de conformidade, especialmente em relação à proteção de dados pessoais.

Grupo pro-Ucrânia Bearlyfy intensifica ataques cibernéticos contra a Rússia

O grupo de hackers pro-Ucrânia conhecido como Bearlyfy, também chamado de Labubu, tem sido responsável por mais de 70 ataques cibernéticos direcionados a empresas russas desde sua aparição em janeiro de 2025. Recentemente, o grupo começou a utilizar uma nova variante de ransomware chamada GenieLocker, que ataca sistemas Windows. Segundo a empresa de segurança russa F6, os ataques do Bearlyfy têm como objetivos tanto a extorsão financeira quanto atos de sabotagem. Inicialmente, o grupo focou em pequenas empresas, mas suas demandas de resgate aumentaram, chegando a €80.000 (cerca de $92.100) e, em alguns casos, até centenas de milhares de dólares. Os ataques são caracterizados por uma rápida execução, com os hackers utilizando ferramentas como MeshAgent para obter acesso remoto e criptografar dados. Além disso, as notas de resgate são elaboradas diretamente pelos atacantes, ao invés de serem geradas automaticamente pelo software de ransomware. A evolução do Bearlyfy em um ano, de um grupo inexperiente para uma ameaça significativa para grandes empresas russas, destaca a crescente complexidade e sofisticação de suas operações.

Grupo de ransomware PEAR ataca a Universidade de Monmouth

O grupo de ransomware PEAR reivindicou a responsabilidade por um ataque cibernético à Universidade de Monmouth, ocorrido no início deste mês. O presidente da universidade, Patrick Leahy, informou os alunos sobre o incidente, que resultou em acesso não autorizado a informações na rede da instituição. PEAR afirma ter roubado 16 TB de dados e publicou amostras de documentos supostamente extraídos da universidade em seu site de vazamento de dados. Embora a universidade tenha iniciado protocolos de resposta e notificado o FBI e o Departamento de Educação, não há confirmação sobre a veracidade das alegações do grupo, nem se a universidade pagou um resgate. O ataque destaca a crescente ameaça de ransomware no setor educacional dos EUA, com pelo menos seis ataques confirmados em instituições de ensino em 2026. O grupo PEAR, que se especializa em roubo de dados sem criptografá-los, já reivindicou 64 ataques, com 13 confirmados por entidades alvo. A universidade se comprometeu a investigar o incidente e a melhorar a segurança de seus sistemas para evitar futuros ataques.

Grupo de ransomware Interlock ataca Goodwill Industries nos EUA

O grupo de ransomware Interlock adicionou a Goodwill Industries da Pensilvânia Central ao seu site de vazamento de dados após alegadamente roubar 80 GB de informações. O ataque, que ocorreu em março de 2026, gerou problemas técnicos em várias lojas, incluindo a interrupção de sistemas que forçaram clientes a pagar apenas em dinheiro. Funcionários relataram que o sistema foi hackeado, corroborando a situação com postagens nas redes sociais. A Goodwill Industries International afirmou não ter conhecimento de um ataque cibernético em seus sites, sugerindo que as informações sobre a Goodwill de Greater Grand Rapids deveriam ser verificadas diretamente com eles. O Interlock, que começou a registrar vítimas em outubro de 2024, já realizou 96 ataques, utilizando uma técnica de dupla extorsão, onde exige um resgate para descriptografar sistemas e também ameaça vender dados na dark web. Este incidente destaca a vulnerabilidade de organizações sem fins lucrativos e a crescente ameaça de ataques de ransomware nos Estados Unidos, que já contabilizam 41 ataques confirmados em 2026, afetando diversas instituições, incluindo escolas e organizações de saúde.

Cibercriminoso russo é condenado por gerenciar botnet de ransomware

O Departamento de Justiça dos EUA anunciou a condenação de Ilya Angelov, um cidadão russo de 40 anos, a dois anos de prisão e uma multa de $100.000 por gerenciar uma botnet utilizada em ataques de ransomware contra empresas americanas. Angelov, que operava sob os pseudônimos ‘milan’ e ‘okart’, co-gerenciou o grupo cibercriminoso TA551 entre 2017 e 2021. O grupo foi responsável por construir uma rede de computadores comprometidos através da distribuição de arquivos maliciosos anexados a e-mails de spam. Os ataques visavam revender o acesso a esses computadores para outros grupos criminosos, resultando em extorsões que ultrapassaram $14 milhões. A colaboração de Angelov com outros grupos, como o BitPaymer e o IcedID, destaca a complexidade e a sofisticação das operações de ransomware. O caso ressalta a crescente ameaça de cibercrime, especialmente para empresas que podem ser alvos de tais ataques, e a necessidade de medidas de segurança robustas.

Nacional russo é condenado por ataques de ransomware nos EUA

Ilya Angelov, um cidadão russo de 40 anos, foi condenado a dois anos de prisão após confessar que gerenciou uma botnet de phishing utilizada em ataques de ransomware BitPaymer contra 72 empresas nos Estados Unidos. Angelov, que se apresentou nos EUA após a invasão da Ucrânia, era um dos líderes de uma operação criminosa russa conhecida como Mario Kart, que entre 2017 e 2021, enviou até 700 mil e-mails de spam por dia, infectando cerca de 3 mil computadores diariamente. A gangue não apenas distribuía malware, mas também vendia o acesso a dispositivos infectados para outros cibercriminosos, que realizavam extorsões em criptomoedas, resultando em mais de 14 milhões de dólares em pagamentos de resgate. Além disso, Angelov colaborou com outros grupos de ransomware, como o IcedID, e sua operação foi associada a diversas campanhas de phishing e ransomware, incluindo a parceria com a gangue TrickBot. Outro cidadão russo, Aleksey Volkov, também foi condenado a quase sete anos de prisão por atuar como intermediário em ataques de ransomware Yanluowang. O caso destaca a crescente ameaça de ransomware e phishing, que continua a impactar empresas globalmente.

Ataque de malvertising relacionado a impostos pode cegar software de segurança

Um novo ataque de malvertising, focado na temporada de declaração de impostos nos Estados Unidos, está sendo utilizado por hackers para disseminar ransomware. Especialistas da Huntress alertam que, com a proximidade do prazo de 15 de abril, muitos usuários apressam-se em buscar formulários fiscais, o que os torna vulneráveis a sites falsos promovidos por anúncios do Google. Esses sites maliciosos instalam o ScreenConnect, uma ferramenta legítima de acesso remoto, que é utilizada para fins maliciosos. Antes de ativar essa ferramenta, os atacantes instalam um driver de kernel que desativa as proteções de segurança, como o Windows Defender. A campanha não se limita apenas a iscas relacionadas a impostos; também foram identificadas páginas falsas de atualização do Chrome, sugerindo um arsenal de engenharia social mais amplo. O ataque parece ser uma fase inicial de uma campanha mais complexa, onde os criminosos buscam estabelecer uma base e coletar credenciais, possivelmente preparando o terreno para a implementação de ransomware.

Nacional russo é condenado por ataques de ransomware nos EUA

Aleksey Olegovich Volkov, um cidadão russo de 26 anos, foi condenado a quase 7 anos de prisão após se declarar culpado por atuar como um corretor de acesso inicial (IAB) em ataques de ransomware da gangue Yanluowang. Entre julho de 2021 e novembro de 2022, ele invadiu pelo menos oito empresas nos Estados Unidos, vendendo o acesso a redes corporativas para a operação de ransomware, cujos afiliados exigiam resgates que variavam de US$ 300 mil a US$ 15 milhões. Volkov foi extraditado para os EUA após ser preso na Itália em janeiro de 2024. Durante a investigação, o FBI recuperou registros de conversas, dados roubados e credenciais de rede das vítimas, além de rastrear a identidade de Volkov por meio de dados do iCloud e registros de troca de criptomoedas. Ele admitiu que sua parte nos resgates coletados chegou a US$ 1,5 milhão e foi condenado a pagar mais de US$ 9 milhões em restituição às vítimas. O caso destaca a crescente ameaça de ransomware e a complexidade das operações criminosas que envolvem múltiplos atores e tecnologias.

Cibercriminoso russo é condenado a quase 7 anos nos EUA por ransomware

Aleksei Olegovich Volkov, um cidadão russo de 26 anos, foi condenado a 6,75 anos de prisão nos Estados Unidos por sua participação em grupos de cibercrime, incluindo a gangue de ransomware Yanluowang. Ele facilitou ataques que resultaram em perdas reais superiores a 9 milhões de dólares e perdas pretendidas que ultrapassam 24 milhões de dólares. Volkov atuava como um ‘broker de acesso inicial’, obtendo acesso não autorizado a redes de empresas e vendendo esse acesso a outros criminosos. Os ataques geralmente envolviam a instalação de malware que criptografava os dados das vítimas, levando-as a pagar resgates em criptomoedas. Além de sua pena, Volkov concordou em pagar restituição às vítimas e a devolver ferramentas utilizadas nos crimes. O artigo também menciona a acusação de um terceiro negociador de ransomware ligado ao grupo BlackCat, que ajudou a extorquir pagamentos de pelo menos 10 vítimas, resultando na apreensão de quase 9,2 milhões de dólares em criptomoedas. A DigitalMint, onde o negociador trabalhava, repudiou as ações ilegais de seus ex-funcionários.

Análise revela uso de drivers vulneráveis por programas de ransomware

Uma nova análise sobre ferramentas de detecção e resposta em endpoints (EDR) revelou que 54 delas utilizam a técnica conhecida como ’traga seu próprio driver vulnerável’ (BYOVD), explorando um total de 34 drivers vulneráveis. Esses programas, comumente usados em intrusões de ransomware, permitem que os atacantes neutralizem softwares de segurança antes de implantar malware de criptografia de arquivos. A pesquisa da ESET destaca que grupos de ransomware frequentemente produzem novas versões de seus criptografadores, tornando a detecção um desafio, já que esses malwares são intrinsecamente barulhentos. Os EDR killers atuam como componentes externos que desativam controles de segurança, facilitando a execução do ransomware. A maioria dessas ferramentas se aproveita de drivers legítimos, mas vulneráveis, para obter privilégios elevados e desativar processos de segurança. A análise também identificou ferramentas baseadas em scripts e utilitários anti-rootkits que podem interferir no funcionamento normal dos produtos de segurança. Para mitigar esses riscos, é essencial que as organizações implementem defesas em camadas e estratégias de detecção para monitorar e responder proativamente a essas ameaças.

Grupo cibercriminoso Inc ataca Namibia Airports Company em 2026

O grupo de cibercriminosos conhecido como Inc reivindicou a responsabilidade pelo ataque à Namibia Airports Company (NAC), ocorrido em 6 de março de 2026. A NAC confirmou um incidente de segurança que afetou seus sistemas de TI, resultando em acesso não autorizado à infraestrutura de rede e contas administrativas. Embora a NAC tenha declarado que os serviços foram restaurados e a interrupção operacional foi limitada, a Inc alegou ter roubado cerca de 500 GB de dados. Até o momento, não há confirmação sobre o pagamento de resgate ou detalhes sobre como o ataque foi realizado. O grupo Inc, que surgiu em julho de 2023, é conhecido por suas táticas de ransomware, incluindo phishing direcionado e exploração de vulnerabilidades conhecidas. Este ataque marca a quinta vez que a Inc ataca uma empresa do setor de aviação, com um histórico de 694 ataques de ransomware, dos quais 173 foram confirmados. O impacto de tais ataques pode ser significativo, causando atrasos no transporte, interrupções em serviços de reservas e pagamentos, além de aumentar o risco de fraudes para os viajantes. A NAC é responsável pela operação de oito grandes aeroportos na Namíbia, e a segurança cibernética nesse setor é crucial para a continuidade das operações.