Ransomware

Uma nova variante de ransomware, chamada Yurei, foi identificada no cenário de cibercrime, com seu primeiro ataque registrado em 5 de setembro de 2025, visando uma empresa de alimentos no Sri Lanka. O grupo, que se expandiu rapidamente para vítimas na Índia e Nigéria, adota um modelo de dupla extorsão, criptografando dados e exfiltrando arquivos sensíveis para pressionar as vítimas durante as negociações de resgate.

Desenvolvido na linguagem Go, o ransomware Yurei se inspira no projeto open-source Prince-Ransomware, mas apresenta melhorias significativas, como o uso do modelo de concorrência do Go para acelerar a criptografia. Ele utiliza a cifra ChaCha20 para criptografar arquivos, gerando chaves únicas para cada um. No entanto, uma falha crítica herdada de seu predecessor é a não remoção das Cópias de Sombra de Volume, permitindo que as vítimas possam restaurar dados sem pagar o resgate.

O ransomware continua a ser uma das ameaças cibernéticas mais significativas para empresas e indivíduos em 2025. Segundo o relatório da Verizon sobre Investigações de Vazamento de Dados, os ataques de ransomware são um dos principais motivadores de ataques financeiros, com novas variantes surgindo diariamente. A proteção contra ransomware se tornou uma necessidade crítica para salvaguardar ativos digitais, utilizando tecnologias como detecção de ameaças em tempo real, análise comportamental e recuperação automatizada. O artigo apresenta uma lista das dez melhores ferramentas de proteção contra ransomware, destacando suas características principais e adequações para diferentes perfis de usuários. Ferramentas como Bitdefender e Norton se destacam pela eficácia em testes independentes e pela inclusão de recursos como backup em nuvem e proteção contra phishing. A análise é baseada em critérios de experiência, eficácia, autoridade e confiabilidade, garantindo que as recomendações sejam fundamentadas em dados de testes respeitados. Com o aumento da sofisticação dos ataques, incluindo táticas de ‘dupla extorsão’, a escolha de uma solução robusta é mais importante do que nunca.

Rachel Higham, diretora de digital e tecnologia da Marks & Spencer (M&S), anunciou sua saída da empresa após um ciberataque significativo que ocorreu em maio deste ano. O ataque, que foi amplamente divulgado, resultou na interrupção de serviços online e comprometeu dados de clientes, levando a M&S a suspender pedidos online e restringir pagamentos em lojas. Embora a empresa tenha confirmado o roubo de informações pessoais identificáveis, garantiu que dados sensíveis, como detalhes de cartões de pagamento e senhas, não foram comprometidos. A situação gerou discussões sobre a crescente ameaça cibernética no setor varejista, com especialistas sugerindo que as empresas adotem uma abordagem de segurança em múltiplas camadas, incluindo a detecção de ameaças impulsionada por inteligência artificial. A saída de Higham também provocou uma reorganização na liderança da M&S, com Sacha Berendji assumindo a supervisão das áreas digital e de tecnologia. As ações da M&S caíram mais de 8% neste ano, refletindo o impacto contínuo do incidente.

Os Estados Unidos anunciaram uma recompensa de US$ 11 milhões (aproximadamente R$ 60 milhões) por informações que levem à captura de Volodymyr Tymoshchuk, um hacker ucraniano acusado de liderar uma série de ataques de ransomware que causaram prejuízos de até US$ 18 bilhões (R$ 97 bilhões) em três anos. Tymoshchuk é apontado como o responsável pelos ransomwares MegaCortex, LockerGoga e Nefilim, que operaram entre dezembro de 2018 e outubro de 2021. Os ataques visavam empresas de grande porte, instituições de saúde e complexos industriais, sendo um dos mais notórios o ataque à Norsk Hydro, que resultou em danos de R$ 440 milhões. O Departamento de Justiça dos EUA destacou que Tymoshchuk utilizava softwares de penetração, como Metasploit e Cobalt Strike, para infiltrar-se nos sistemas das vítimas, permanecendo oculto por meses antes de executar os ataques. Caso extraditado e julgado, ele pode enfrentar pena de prisão perpétua. A situação ressalta a crescente ameaça de ransomware e a necessidade de vigilância constante por parte das empresas, especialmente aquelas que operam em setores críticos.

Pesquisadores de cibersegurança identificaram uma nova variante de ransomware chamada HybridPetya, que se assemelha ao famoso malware Petya/NotPetya, mas com a capacidade de contornar o mecanismo Secure Boot em sistemas UEFI. A empresa ESET, da Eslováquia, revelou que amostras do malware foram enviadas à plataforma VirusTotal em fevereiro de 2025. O HybridPetya criptografa a Master File Table (MFT), que contém metadados cruciais sobre arquivos em partições formatadas em NTFS. Diferente de suas versões anteriores, ele instala um aplicativo EFI malicioso na partição do sistema EFI, permitindo a criptografia da MFT. O ransomware possui dois componentes principais: um bootkit e um instalador, sendo o bootkit responsável por verificar o status de criptografia e executar o processo de criptografia. Caso o sistema já esteja criptografado, uma nota de resgate é apresentada ao usuário, exigindo o pagamento de $1.000 em Bitcoin. Embora não haja evidências de que o HybridPetya esteja sendo utilizado ativamente, a descoberta destaca a crescente complexidade e sofisticação dos ataques de ransomware, especialmente em relação a sistemas UEFI. A ESET também observou que variantes do HybridPetya exploram vulnerabilidades conhecidas, como a CVE-2024-7344, que permite a execução remota de código e a violação do Secure Boot.

O senador americano Ron Wyden solicitou à Comissão Federal de Comércio (FTC) que investigue a Microsoft por ’negligência cibernética grave’ que facilitou ataques de ransomware em infraestruturas críticas dos EUA, incluindo redes de saúde. A demanda surge após um ataque devastador ao sistema de saúde Ascension, que resultou no roubo de informações pessoais de 5,6 milhões de indivíduos. O ataque, atribuído ao grupo Black Basta, ocorreu quando um contratante clicou em um link malicioso no Bing, permitindo que os atacantes explorassem configurações inseguras do software da Microsoft. Wyden criticou a empresa por não impor senhas robustas e por continuar a suportar o algoritmo de criptografia RC4, considerado vulnerável. Apesar de a Microsoft ter anunciado melhorias de segurança e planos para descontinuar o suporte ao RC4, o senador argumenta que a falta de ações mais rigorosas expõe os clientes a riscos significativos. O artigo destaca a necessidade de um design de segurança mais rigoroso em plataformas de TI dominantes, especialmente quando estas são fundamentais para a infraestrutura nacional.

Pesquisadores de segurança alertam que o ransomware Akira está explorando uma vulnerabilidade antiga no SSLVPN da SonicWall, afetando firewalls das gerações Gen5, Gen6 e Gen7 que ainda não foram atualizados. Essa falha de controle de acesso inadequado foi descoberta e corrigida há mais de um ano, mas muitas organizações ainda não aplicaram o patch necessário. Além de atacar firewalls desatualizados, o Akira também se aproveita de configurações padrão do grupo LDAP e do acesso público ao Virtual Office Portal da SonicWall. Isso permite que usuários sem as permissões adequadas acessem o SSLVPN. Os especialistas da Rapid7 recomendam que as empresas troquem senhas de todas as contas SonicWall, configurem corretamente as políticas de autenticação multifator (MFA) e restrinjam o acesso ao Virtual Office Portal apenas a redes internas confiáveis. O Akira tem se mostrado ativo nos últimos dois anos, com um foco agressivo em dispositivos de borda, o que representa um risco significativo para as organizações que não tomarem medidas imediatas.

O grupo de ransomware Akira tem intensificado seus ataques a dispositivos SonicWall, especialmente aqueles que utilizam a SSL VPN. A empresa de cibersegurança Rapid7 relatou um aumento nas intrusões envolvendo esses aparelhos, que se intensificaram após a reativação das atividades do grupo em julho de 2025. A SonicWall identificou que os ataques exploram uma vulnerabilidade de um ano (CVE-2024-40766, com pontuação CVSS de 9.3), onde senhas de usuários locais não foram redefinidas durante uma migração. A empresa recomenda que os clientes ativem o filtro de botnets e as políticas de bloqueio de contas para mitigar os riscos. Além disso, a SonicWall alertou sobre a configuração inadequada dos grupos de usuários padrão do LDAP, que pode permitir que contas comprometidas herdem permissões indevidas. O grupo Akira, que já afetou 967 vítimas desde sua criação em março de 2023, utiliza técnicas sofisticadas, como phishing e SEO, para disseminar malware e realizar operações de ransomware. As organizações são aconselhadas a rotacionar senhas, remover contas inativas e restringir o acesso ao portal Virtual Office. O Australian Cyber Security Centre também confirmou que o grupo está atacando organizações australianas vulneráveis através de dispositivos SonicWall.

A cidade de Viena, na Virgínia, anunciou que notificou 811 indivíduos sobre uma violação de dados ocorrida em agosto de 2025, que comprometeu informações sensíveis, incluindo nomes, números de Seguro Social, dados financeiros e números de passaporte. O grupo de ransomware Cephalus reivindicou a responsabilidade pelo ataque, embora as autoridades de Viena ainda não tenham confirmado essa alegação. A violação foi detectada em 14 de agosto, mas os invasores conseguiram acessar a rede da cidade em 11 de agosto, utilizando ransomware para criptografar partes do sistema. A notificação aos afetados não incluiu ofertas de monitoramento de crédito ou seguro contra fraudes, práticas comuns após incidentes que envolvem dados pessoais críticos. O Cephalus é um grupo novo que começou suas atividades em agosto de 2025, explorando conexões de desktop remoto (RDP) sem autenticação multifatorial. Até agora, foram registradas 56 violações confirmadas contra entidades governamentais dos EUA em 2025, destacando a crescente ameaça de ataques de ransomware. A situação em Viena ressalta a necessidade urgente de medidas de segurança robustas para proteger dados sensíveis, especialmente em um contexto onde ataques a governos estão se tornando mais frequentes.

A Cornwell Quality Tools notificou 103.782 pessoas sobre uma violação de dados ocorrida em dezembro de 2024, que comprometeu números de Seguro Social, informações médicas e dados financeiros. O grupo de ransomware Cactus assumiu a responsabilidade pelo ataque em fevereiro de 2025, alegando ter roubado 4,6 TB de dados, incluindo documentos sensíveis como cópias de carteiras de motorista e declarações fiscais. A empresa não confirmou se pagou um resgate ou como a violação ocorreu, mas informou que tomou medidas imediatas para proteger seus sistemas após detectar atividades incomuns em sua rede. Além disso, a Cornwell está oferecendo monitoramento de crédito gratuito por 12 meses e um seguro contra fraudes de identidade para as vítimas. Este não é o primeiro ataque de ransomware enfrentado pela empresa, que já havia notificado anteriormente sobre uma violação em setembro de 2022. O grupo Cactus, que começou a operar em abril de 2023, é conhecido por seu modelo de ransomware como serviço, visando principalmente fabricantes. Em 2024, foram registrados 86 ataques confirmados a fabricantes nos EUA, com a violação da Cornwell sendo a maior em termos de registros comprometidos.

O ransomware LunaLock emergiu como uma nova ameaça, atacando artistas independentes e clientes de arte digital ao comprometer a plataforma Artists & Clients, um mercado popular para obras encomendadas. Em 8 de setembro de 2025, os operadores do LunaLock anunciaram que conseguiram invadir a infraestrutura da plataforma, exfiltrando arquivos sensíveis e criptografando bancos de dados críticos, exigindo um resgate substancial em criptomoeda. A análise forense preliminar revelou que os atacantes exploraram uma vulnerabilidade zero-day no módulo de autenticação da aplicação web, utilizando uma injeção SQL para contornar a autenticação multifatorial e obter privilégios administrativos. Uma vez dentro, eles implantaram um carregador personalizado que desativou a proteção em tempo real do Windows Defender e um módulo de exfiltração que buscou arquivos de arte e dados pessoais dos clientes, criptografando-os com AES-256-GCM. O ransomware, por sua vez, utilizou RSA-4096 para criptografar os arquivos, adicionando a extensão .luna. Os atacantes ameaçaram publicar os dados roubados em sites de vazamento caso o resgate não fosse pago em até 72 horas. A equipe de segurança da Artists & Clients já tomou medidas, como a desativação dos servidores afetados e a implementação de agentes de detecção e resposta em endpoints para mitigar a situação. Especialistas em cibersegurança recomendam que organizações do setor criativo adotem controles de acesso de menor privilégio e mantenham backups offline para se protegerem contra tais ataques.

Um estudo abrangente realizado ao longo de três anos em Austrália, Canadá, Nova Zelândia e Reino Unido revelou tendências alarmantes nas operações de ransomware, com organizações australianas registrando 135 ataques documentados entre 2020 e 2022. A pesquisa analisou 865 incidentes de ransomware e destacou a evolução sofisticada das empresas cibernéticas, que agora adotam modelos de ransomware-as-a-service (RaaS). Nesse modelo, grupos principais desenvolvem o malware e gerenciam os pagamentos, enquanto afiliados realizam as invasões e negociações de resgate. O grupo Conti foi o mais ativo, com 141 ataques, seguido pelas variantes do LockBit, que contabilizaram 129 incidentes. O setor industrial foi o mais afetado, com o estudo utilizando inteligência artificial para classificar as organizações atacadas em 13 setores, alcançando 89% de precisão. Os resultados ressaltam a necessidade urgente de medidas de cibersegurança aprimoradas nas infraestruturas críticas australianas, à medida que os grupos de ransomware continuam a evoluir suas táticas e expandir suas capacidades operacionais.

O Wayne Memorial Hospital, localizado em Jesup, Georgia, confirmou um vazamento de dados que afetou 163.440 pessoas, revelando informações sensíveis como números de Seguro Social, senhas, dados financeiros e históricos médicos. O incidente, que ocorreu entre 30 de maio e 3 de junho de 2024, foi atribuído ao grupo de ransomware Monti, que ameaçou divulgar os dados roubados até 8 de julho de 2024. Inicialmente, o hospital havia notificado apenas 2.500 pessoas sobre o vazamento em agosto de 2024, mas atualizou o número após uma investigação forense que revelou o alcance do ataque. O hospital está oferecendo 12 meses de assistência contra fraudes e monitoramento de crédito aos afetados. Monti, que já foi responsável por outros ataques a instituições de saúde, utiliza vulnerabilidades de software para acessar e criptografar dados, exigindo resgates para a devolução das informações. Em 2024, foram registrados 174 ataques de ransomware a provedores de saúde nos EUA, comprometendo cerca de 28,6 milhões de registros, destacando a crescente ameaça a esse setor.

O cenário global de ransomware em 2025 está em constante evolução, com o grupo SafePay se destacando como uma das ameaças mais ativas e disruptivas. Em junho, o grupo assumiu a responsabilidade por ataques a 73 organizações, um recorde mensal que o posicionou no topo do ranking de ameaças da Bitdefender. Em julho, mais 42 vítimas foram divulgadas, totalizando mais de 270 organizações atacadas até agora neste ano. O SafePay, que surgiu em setembro de 2024 após a desarticulação de grandes grupos de ransomware, adota uma abordagem diferente ao rejeitar o modelo de ransomware como serviço (RaaS) e realizar seus próprios ataques, visando empresas de médio e grande porte, especialmente em setores como manufatura, saúde e construção. O grupo utiliza táticas como credenciais comprometidas e ataques de força bruta para obter acesso inicial, seguido por movimentos laterais na rede e exfiltração de dados. A criptografia dos arquivos é realizada com o algoritmo ChaCha20, e os resgates variam amplamente, podendo ultrapassar US$ 100 milhões. A eficiência e a rapidez das divulgações do SafePay destacam a necessidade urgente de medidas de segurança em múltiplas camadas e monitoramento proativo.

O grupo de ransomware Inc reivindicou a responsabilidade por um ataque cibernético ocorrido em agosto de 2025 na Universidade de St. Thomas, em Houston, Texas. O ataque, que causou uma interrupção de nove dias nos sistemas da instituição, foi relatado pela universidade em 13 de agosto, que inicialmente afirmou não haver evidências de dados comprometidos. No entanto, Inc alegou ter roubado 1,8 TB de dados e publicou amostras de documentos supostamente extraídos da universidade. A Universidade de St. Thomas ainda não confirmou a alegação do grupo, e não se sabe se um resgate foi pago ou quais dados foram realmente comprometidos. O ataque resultou na paralisação do site e dos servidores da universidade, afetando serviços essenciais para os alunos, como acesso à moradia e registro de cursos. O grupo Inc, que surgiu em 2023, utiliza táticas como phishing direcionado e exploração de vulnerabilidades conhecidas, operando sob um modelo de ransomware como serviço. Até agora, o grupo já reivindicou 122 ataques confirmados, incluindo 15 em instituições educacionais. A crescente onda de ataques de ransomware em escolas nos EUA, com 30 incidentes confirmados em 2025, destaca a vulnerabilidade do setor educacional e a necessidade de medidas de segurança robustas.

O Distrito Escolar 5 de Lexington e Richland, na Carolina do Sul, confirmou um vazamento de dados que afetou 31.475 pessoas, revelando informações sensíveis como nomes, números de Seguro Social, dados financeiros e identificações emitidas pelo estado. O ataque, atribuído ao grupo de ransomware Interlock, resultou em atrasos no início das aulas de verão e na liberação de bônus para funcionários, além de bloquear o acesso dos colaboradores às suas contas. O grupo Interlock, que já reivindicou 28 ataques confirmados, afirma ter roubado 1,3 TB de dados da instituição. A escola está oferecendo monitoramento de crédito gratuito e um seguro contra roubo de identidade de até US$ 1 milhão para as vítimas. Embora o distrito tenha reconhecido a violação, não está claro se um resgate foi pago ou como o ataque foi realizado. Este incidente destaca a crescente ameaça de ataques de ransomware em instituições educacionais, que podem paralisar operações e expor dados pessoais a fraudes.

O grupo de ransomware Dire Wolf, que surgiu em maio de 2025, rapidamente se tornou uma ameaça significativa à cibersegurança, atacando organizações em diversas indústrias e regiões. Desde seu primeiro ataque, que resultou na divulgação de seis vítimas em um site da darknet, o grupo tem utilizado uma estratégia de dupla extorsão, combinando a criptografia de dados com ameaças de vazamento de informações.

A técnica de criptografia do Dire Wolf é sofisticada, utilizando algoritmos como Curve25519 e ChaCha20, o que torna a recuperação de dados extremamente difícil. O ransomware não utiliza arquivos de configuração tradicionais, mas sim argumentos de linha de comando para controle, e implementa um sistema de mutex para evitar execuções múltiplas. Além disso, o malware apaga cópias de sombra e interrompe serviços essenciais, eliminando opções de recuperação.

Os ataques de ransomware aumentaram em agosto de 2025, subindo de 473 em julho para 506, representando um crescimento de 7%. Este é o segundo mês consecutivo de alta após uma queda de março a junho. Um ataque inédito atingiu o Estado de Nevada, afetando serviços essenciais e deixando cidadãos sem acesso a informações críticas. Embora os ataques a governos continuem a ser uma preocupação, o setor de manufatura registrou um aumento significativo de 57% nos ataques, totalizando 113 incidentes. Em contraste, os setores de saúde e educação tiveram apenas um ataque confirmado cada, mas um número maior de ataques não confirmados. O grupo de ransomware mais ativo foi o Qilin, responsável por 86 ataques, seguido por Akira e Sinobi. No total, 30 ataques foram confirmados, com 17 direcionados a empresas e 11 a entidades governamentais. O impacto financeiro e operacional desses ataques é significativo, exigindo atenção especial dos CISOs, especialmente em setores críticos como saúde e manufatura.

Pesquisadores da ESET, Anton Cherepanov e Peter Strycek, descobriram o PromptLock, o primeiro ransomware desenvolvido com a ajuda de inteligência artificial. Embora ainda não tenha sido visto em ação, a ESET alertou a comunidade de cibersegurança sobre essa nova ameaça. O PromptLock utiliza o modelo gpt-oss-20b da OpenAI, que é uma versão gratuita do ChatGPT, e opera localmente em dispositivos infectados através da API Ollama.

O ransomware é capaz de inspecionar arquivos, extrair dados e criptografá-los, podendo futuramente ser utilizado para extorsão. Ele é compatível com sistemas operacionais Windows, Linux e macOS. O código do malware indica que ele pode até destruir arquivos, embora essa funcionalidade ainda não esteja totalmente implementada. O PromptLock utiliza a encriptação SPECK de 128 bits e é escrito na linguagem Go. A ESET também observou que variantes do malware foram enviadas para a plataforma VirusTotal, que serve como repositório de vírus para especialistas em segurança.

O ransomware NightSpire, detectado pela primeira vez em fevereiro de 2025, rapidamente se tornou uma das principais ameaças cibernéticas para corporações globais. Utilizando um modelo de Ransomware-as-a-Service (RaaS), o grupo aperfeiçoou sua estratégia de dupla extorsão e métodos avançados de criptografia, afetando setores variados, como varejo, manufatura e serviços financeiros. NightSpire escolhe suas vítimas com base na exploração sistemática de vulnerabilidades em redes mal protegidas, frequentemente devido à falta de atualizações de segurança e falhas na gestão de credenciais. Após a infiltração, o ransomware criptografa arquivos e diretórios, interrompendo operações comerciais essenciais. As vítimas recebem notas de resgate e são pressionadas por meio de um site de vazamento dedicado, que também serve como plataforma de negociação. A técnica de criptografia do NightSpire é notável, utilizando chaves simétricas AES e RSA, o que dificulta a recuperação dos dados. A combinação de expertise técnica e guerra psicológica coloca o NightSpire na vanguarda da evolução do ransomware, exigindo que as empresas adotem defesas e planos de resposta a incidentes urgentes e sistemáticos.

A Microsoft Threat Intelligence revelou que o grupo de cibercriminosos Storm-0501, conhecido por atacar escolas e prestadores de serviços de saúde nos EUA, evoluiu suas táticas, agora utilizando operações de ransomware nativas da nuvem. Em vez de depender apenas de malware para criptografar dispositivos locais, o grupo explora vulnerabilidades em ambientes de nuvem híbridos, realizando exfiltração de dados em larga escala e comprometendo recursos do Azure.

O ataque geralmente começa com a violação do Active Directory através de contas de administrador de domínio comprometidas, permitindo acesso ao Microsoft Entra ID. O Storm-0501 utiliza ferramentas como AzureHound para enumerar recursos na nuvem e escalar privilégios, muitas vezes através de contas mal configuradas que não exigem autenticação multifator (MFA). Após obter acesso total, o grupo realiza operações de descoberta e exfiltração, deletando backups e utilizando APIs legítimas do Azure para dificultar a recuperação dos dados. A extorsão final frequentemente ocorre por meio de mensagens no Microsoft Teams.

Pesquisadores da ESET descobriram o PromptLock, o primeiro ransomware conhecido a utilizar inteligência artificial. Este malware, que ainda é considerado um conceito em desenvolvimento, utiliza scripts em Lua gerados por prompts codificados para explorar sistemas de arquivos locais, inspecionar arquivos-alvo, exfiltrar dados selecionados e realizar criptografia. O PromptLock opera localmente através da API Ollama, utilizando o modelo gpt-oss:20b da OpenAI, lançado em agosto de 2025. A versatilidade dos scripts em Lua permite que o malware funcione em diferentes sistemas operacionais, como macOS, Linux e Windows. Embora o PromptLock ainda não tenha sido observado em ataques reais, especialistas alertam que a combinação de inteligência artificial e ransomware representa uma nova era de ameaças cibernéticas, tornando os ataques mais acessíveis e difíceis de detectar. A imprevisibilidade dos resultados gerados por modelos de linguagem torna a defesa contra esses ataques ainda mais desafiadora, aumentando a preocupação entre as equipes de segurança.

O grupo de ransomware PEAR reivindicou um ataque cibernético ao município de West Chester Township, em Ohio, ocorrido em agosto de 2025. Em 12 de agosto, as autoridades do município informaram que isolaram e contiveram uma violação de segurança cibernética. Três dias depois, PEAR afirmou ter roubado 2 TB de dados e listou o município em seu site de vazamento de dados. Até o momento, West Chester Township não confirmou a reivindicação do grupo, e não se sabe se um resgate foi pago ou como os atacantes conseguiram acessar a rede. Em 26 de agosto, o município sofreu um segundo ataque, desta vez ao seu servidor de e-mail central, levando ao fechamento de serviços de e-mail, telefone e website. Funcionários relataram ter recebido notas de resgate, mas nenhum grupo assumiu a responsabilidade por esse segundo ataque. As investigações estão em andamento com a ajuda de analistas do FBI, e os dados comprometidos ainda não foram divulgados. O grupo PEAR, que se concentra em roubo de dados e extorsão sem criptografar informações, já reivindicou 22 ataques, sendo apenas dois confirmados. Este incidente destaca a crescente ameaça de ataques de ransomware a entidades governamentais nos EUA, que podem comprometer sistemas críticos e a privacidade de cidadãos e funcionários.

A empresa de cibersegurança ESET revelou a descoberta de um novo ransomware chamado PromptLock, que utiliza inteligência artificial para gerar scripts maliciosos em tempo real. Escrito em Golang, o PromptLock emprega o modelo gpt-oss:20b da OpenAI através da API Ollama para criar scripts em Lua que podem enumerar sistemas de arquivos, inspecionar arquivos-alvo, exfiltrar dados e criptografar informações. Este ransomware é compatível com Windows, Linux e macOS, e é capaz de gerar notas personalizadas para as vítimas, dependendo dos arquivos afetados. Embora ainda não se saiba quem está por trás do malware, a ESET identificou que artefatos do PromptLock foram enviados ao VirusTotal a partir dos Estados Unidos em 25 de agosto de 2025. A natureza do ransomware, que é considerada uma prova de conceito, utiliza o algoritmo de criptografia SPECK de 128 bits. A ESET alerta que a variabilidade dos indicadores de comprometimento (IoCs) torna a detecção mais desafiadora, complicando as tarefas de defesa. O surgimento do PromptLock destaca como a IA pode facilitar a criação de campanhas de malware, mesmo para criminosos com pouca experiência técnica.

O grupo de cibercriminosos conhecido como Storm-0501 tem aprimorado suas táticas para realizar ataques de exfiltração de dados e extorsão, focando em ambientes de nuvem. Ao contrário do ransomware tradicional, que geralmente criptografa arquivos em redes locais, o Storm-0501 utiliza capacidades nativas da nuvem para exfiltrar rapidamente grandes volumes de dados, destruir informações e backups, e exigir resgates, tudo isso sem depender de malware convencional. Desde sua primeira documentação pela Microsoft em 2024, o grupo tem atacado setores como governo, manufatura e transporte nos EUA, mostrando uma evolução para um modelo de ransomware como serviço (RaaS). O acesso inicial é frequentemente facilitado por corretores de acesso, explorando credenciais comprometidas ou vulnerabilidades em servidores expostos. Recentemente, o grupo realizou um ataque a uma grande empresa, utilizando técnicas como DCSync para extrair credenciais do Active Directory e, em seguida, comprometer um servidor de sincronização do Entra Connect. Após a exfiltração de dados, o grupo deletou recursos críticos da Azure, dificultando a recuperação pela vítima. A Microsoft implementou mudanças para mitigar esses ataques, incluindo atualizações no Entra Connect e recomendações para habilitar o Trusted Platform Module (TPM) nos servidores de sincronização.

O Healthcare Services Group (HCSG) confirmou que notificou 624.496 pessoas sobre uma violação de dados ocorrida em outubro de 2024, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados bancários e informações médicas. O grupo de ransomware Underground reivindicou a responsabilidade pelo ataque, alegando ter roubado 1,1 TB de dados, incluindo documentos legais e financeiros confidenciais. A HCSG informou que o acesso não autorizado ocorreu entre 27 de setembro e 3 de outubro de 2024, mas não confirmou se um resgate foi pago. A empresa está oferecendo assistência gratuita de restauração de identidade aos afetados. Embora a HCSG tenha afirmado que o incidente não causou interrupções significativas em suas operações, o ataque destaca a crescente ameaça de ransomware no setor de saúde, onde ataques podem comprometer a segurança e a privacidade dos pacientes. Em 2024, foram registrados 30 ataques a empresas de saúde, comprometendo mais de 196 milhões de registros, com o ataque à HCSG sendo o quarto maior em termos de registros comprometidos.

Um novo método de engenharia social, denominado ClickFix, está sendo utilizado por cibercriminosos para implantar ransomware através de resumos gerados por inteligência artificial (IA). Essa técnica envolve a injeção de comandos maliciosos em elementos HTML, que se tornam invisíveis para os usuários, mas são processados por modelos de IA. Os atacantes escondem instruções em caracteres de largura zero, texto branco sobre fundo branco e fontes minúsculas, fazendo com que os resumos gerados incluam guias passo a passo para a instalação de ransomware. Quando os destinatários confiam nesses resumos, podem executar comandos sem perceber que estão seguindo instruções maliciosas. O ataque reduz a barreira técnica para usuários não especializados, permitindo que eles se tornem vetores de ransomware. Para mitigar esses riscos, recomenda-se a sanitização de atributos CSS invisíveis, filtragem de prompts e reconhecimento de padrões de payload. À medida que as ferramentas de resumo de IA se tornam comuns, essa técnica pode ser rapidamente adotada por criminosos, exigindo uma colaboração entre desenvolvedores de IA e equipes de segurança para prevenir campanhas de ransomware mediadas por IA.

Recentemente, o estúdio de design Nissan Creative Box, parte da rede global de design da montadora japonesa Nissan, foi alvo de um ataque de ransomware que resultou no roubo de mais de 4TB de dados sensíveis. O grupo de hackers Qilin, que se destacou por sua atividade em 2025, afirmou ter copiado mais de 400 mil arquivos, incluindo dados de design 3D, relatórios, fotos e vídeos relacionados a automóveis da Nissan. Os especialistas alertam que a divulgação desses dados pode prejudicar a competitividade da empresa, comparando o roubo a ‘furtar uma invenção de um inventor’. O grupo ameaçou liberar os dados se a Nissan não responder, o que poderia permitir que concorrentes tivessem acesso a informações detalhadas sobre projetos da empresa. Este incidente destaca a crescente ameaça de ransomware, com o Qilin tendo atacado quase 500 organizações no último ano, sendo 401 apenas em 2025. A situação levanta preocupações sobre a segurança de dados em um setor tão inovador e competitivo como o automotivo.

A empresa de recrutamento de TI The Computer Merchant confirmou que notificou 34.127 pessoas sobre uma violação de dados ocorrida em julho de 2024, que comprometeu nomes e números de Seguro Social. O grupo de ransomware Play reivindicou a responsabilidade pelo ataque, alegando ter roubado dados confidenciais, incluindo documentos de clientes, orçamentos, folhas de pagamento e contratos. A empresa não confirmou se pagou o resgate exigido, nem como a violação ocorreu, e levou mais de um ano para notificar algumas das vítimas. Em resposta ao incidente, a The Computer Merchant está oferecendo monitoramento de crédito gratuito e uma apólice de seguro de até US$ 1 milhão. O grupo Play, ativo desde junho de 2022, utiliza um modelo de dupla extorsão, exigindo pagamento tanto para a recuperação de sistemas quanto para evitar a divulgação dos dados roubados. Em 2024, foram registrados 854 ataques de ransomware nos EUA, comprometendo mais de 276,5 milhões de registros, e o Play já reivindicou 20 ataques confirmados em 2025. Este incidente destaca a crescente ameaça de ransomware e a necessidade de medidas de segurança robustas para proteger dados sensíveis.

A Colt Technology Services, uma empresa de telecomunicações do Reino Unido, confirmou que dados sensíveis de seus clientes foram roubados em um recente ataque cibernético. O grupo de ransomware conhecido como Warlock reivindicou a responsabilidade pelo ataque e está leiloando um banco de dados com um milhão de arquivos na dark web por US$ 200.000. A empresa enfrentou interrupções em seus serviços, levando à necessidade de desativar partes de sua infraestrutura. A Colt está atualmente investigando a natureza exata dos dados comprometidos, que, segundo o Warlock, incluem informações financeiras, dados de arquitetura de rede e informações de clientes. A situação representa um risco significativo para os clientes, pois esses dados podem ser utilizados para fraudes, phishing e roubo de identidade. A Colt disponibilizou um canal para que os clientes solicitem uma lista dos arquivos expostos na dark web. Especialistas acreditam que o ataque pode ter sido direcionado a servidores SharePoint da empresa, que têm se mostrado alvos atraentes para hackers. Após o ataque, a Colt implementou medidas de segurança adicionais, como firewalls, para proteger seus servidores.

O grupo de ransomware Qilin reivindicou a responsabilidade por um ataque cibernético à Inotiv, uma empresa de pesquisa farmacêutica conhecida por testes em animais, ocorrido em agosto de 2025. Em um comunicado à SEC, a Inotiv informou que partes de seus sistemas foram criptografadas, resultando em interrupções no acesso a redes e aplicações internas. Qilin alegou ter roubado 176 GB de dados durante o ataque e publicou imagens de documentos que afirma serem da Inotiv. A empresa não confirmou as alegações do grupo, e detalhes sobre o valor do resgate ou como os atacantes conseguiram acesso à rede ainda não foram divulgados. O ataque pode ter consequências severas, incluindo a possibilidade de rescisões contratuais e multas que podem ultrapassar centenas de milhões de dólares, afetando gravemente a reputação da Inotiv. O incidente é parte de uma tendência crescente de ataques de ransomware, especialmente em empresas de saúde nos EUA, onde já foram registrados vários ataques que comprometeram milhões de registros. A Inotiv continua a restaurar seus sistemas e investigar o alcance do ataque.

Um novo grupo de ransomware, chamado Crypto24, tem se destacado por sua habilidade em contornar soluções antivírus e sistemas de detecção de endpoint (EDR). De acordo com um relatório da Trend Micro, o Crypto24 utiliza ferramentas administrativas legítimas e malwares personalizados para realizar ataques direcionados a grandes organizações, especialmente nos setores financeiro, manufatura, entretenimento e tecnologia. O ataque começa com a infiltração nos sistemas-alvo, onde os atacantes criam contas administrativas e utilizam comandos nativos do Windows para estabelecer pontos de entrada persistentes. Uma das características mais preocupantes do Crypto24 é sua capacidade de ‘cegar’ soluções de segurança, utilizando uma versão modificada da ferramenta RealBlindingEDR para desativar mecanismos de detecção de quase 30 fornecedores de segurança. O grupo não apenas criptografa dados, mas também exfiltra informações críticas, utilizando um keylogger disfarçado para capturar dados sensíveis. A exfiltração é realizada através do Google Drive, o que reduz a suspeita. Para se proteger, as organizações devem adotar o princípio de privilégio mínimo, monitorar o uso de ferramentas de acesso remoto e implementar detecções comportamentais.

A Microsoft Threat Intelligence revelou uma campanha de malware sofisticada, onde criminosos cibernéticos disfarçam um software malicioso como a popular aplicação de desktop ChatGPT para implantar ransomware em diversos setores ao redor do mundo. O malware, denominado PipeMagic, combina engenharia social com capacidades técnicas avançadas, visando organizações nos setores de TI, financeiro e imobiliário, especialmente nos Estados Unidos, Europa, América do Sul e Oriente Médio.

O PipeMagic explora uma vulnerabilidade crítica do Windows (CVE-2025-29824) para obter privilégios elevados. Os atacantes utilizam a ferramenta certutil para baixar arquivos MSBuild maliciosos de sites legítimos previamente comprometidos. Esses arquivos parecem ser a aplicação ChatGPT, mas contêm código malicioso que ativa o PipeMagic diretamente na memória, dificultando a detecção.

Pesquisadores de cibersegurança revelaram a exploração de uma vulnerabilidade corrigida no Microsoft Windows, identificada como CVE-2025-29824, por agentes de ameaça para implantar o malware PipeMagic em ataques de ransomware RansomExx. Essa falha, que afeta o Windows Common Log File System (CLFS), foi abordada pela Microsoft em abril de 2025. O PipeMagic, que atua como uma backdoor, foi documentado pela primeira vez em 2022, visando empresas industriais no Sudeste Asiático. Os ataques utilizam também a CVE-2017-0144, uma falha de execução remota no Windows SMB, para infiltrar a infraestrutura das vítimas. Em 2025, os ataques se concentraram na Arábia Saudita e no Brasil, utilizando um arquivo do Microsoft Help Index como carregador para injetar código malicioso. O PipeMagic é um malware modular que permite comunicação assíncrona e execução de comandos em sistemas comprometidos. A detecção contínua do PipeMagic em ataques indica que os desenvolvedores estão aprimorando suas funcionalidades, aumentando o risco para organizações em várias regiões, incluindo o Brasil.

Pesquisadores de segurança descobriram uma campanha de ataque sofisticada em que atores de ameaças estão explorando Arquivos de Índice de Ajuda da Microsoft (.mshi) como um novo mecanismo de entrega para o backdoor PipeMagic. Essa campanha culmina na exploração da vulnerabilidade crítica CVE-2025-29824, que foi corrigida pela Microsoft em abril de 2025. Os atacantes utilizam um arquivo chamado ‘metafile.mshi’, que contém código C# ofuscado, para executar um payload malicioso através do utilitário MSBuild da Microsoft. Após a execução, o malware explora a vulnerabilidade CVE-2025-29824, que permite elevação de privilégios, e injeta cargas em processos do sistema, como winlogon.exe, para extrair credenciais. O ataque resulta na implantação de ransomware, com arquivos criptografados recebendo extensões aleatórias e notas de resgate sendo deixadas nos sistemas comprometidos. A Microsoft atribui essa atividade ao grupo de ameaças Storm-2460, que continua a adaptar suas táticas e a expandir seus métodos de entrega para evitar detecções.

O Paquistão enfrenta uma grave ameaça cibernética com o ransomware Blue Locker, que atacou severamente a infraestrutura crítica do país, especialmente o setor de petróleo e gás. O ataque, que ocorreu em 6 de agosto de 2025, levou o Pakistan Petroleum Limited (PPL) a ativar protocolos internos de segurança. A natureza sofisticada do ransomware, que utiliza algoritmos de criptografia AES e RSA, sugere um envolvimento de atores estatais, especialmente considerando o timing próximo ao Dia da Independência do Paquistão. O malware opera através de um loader baseado em PowerShell, desativando defesas de segurança e aplicando extensões específicas aos arquivos criptografados. Além disso, emprega táticas de dupla extorsão, ameaçando vazar dados sensíveis se o resgate não for pago. A equipe nacional de resposta a emergências cibernéticas (NCERT) emitiu um alerta para 39 ministérios, destacando a falta de políticas estruturadas de cibersegurança e a necessidade urgente de medidas proativas. As recomendações incluem autenticação multifatorial e segmentação de rede, além de alertas sobre o perigo de downloads de fontes não verificadas. Este incidente expõe vulnerabilidades significativas na infraestrutura de TI do governo paquistanês e ressalta a necessidade de fortalecer as capacidades de cibersegurança nacional.

A gangue de ransomware Interlock reivindicou a responsabilidade por um ataque cibernético ao governo local de Box Elder County, em Utah, ocorrido em 6 de agosto de 2025. O ataque resultou em interrupções em alguns serviços do condado, embora os processos eleitorais não tenham sido afetados. A Interlock afirma ter roubado 4,5 TB de dados, totalizando cerca de 2,1 milhões de arquivos, e publicou amostras desses documentos em seu site de vazamento. Até o momento, Box Elder County não confirmou a veracidade das alegações da gangue, e não se sabe se um resgate foi pago ou como os atacantes conseguiram invadir a rede do condado. A investigação sobre o incidente ainda está em andamento. A Interlock, que começou a operar em outubro de 2024, já reivindicou 25 ataques confirmados, afetando quase 2,6 milhões de registros. Os ataques de ransomware a entidades governamentais nos EUA têm aumentado, com 47 incidentes confirmados apenas neste ano. Esses ataques não apenas sequestram dados, mas também podem causar paralisações prolongadas e riscos de fraude para os cidadãos.

O Departamento do Tesouro dos EUA renovou sanções contra a plataforma de câmbio de criptomoedas russa Garantex, acusada de facilitar atividades de ransomware e outros crimes cibernéticos, processando mais de US$ 100 milhões em transações ilícitas desde 2019. As sanções também foram estendidas ao sucessor da Garantex, Grinex, e a três de seus executivos. O Tesouro destacou que o uso de ativos digitais para lavagem de dinheiro e ataques de ransomware representa uma ameaça à segurança nacional e prejudica a reputação de provedores legítimos de serviços de ativos virtuais. Garantex já havia sido sancionada em abril de 2022 por facilitar transações de mercados darknet. Após a apreensão do site da Garantex em março de 2025, a plataforma rebranded como Grinex, continuando a processar transações ilícitas. O Tesouro também anunciou recompensas por informações que levem à prisão de executivos da Garantex. Além disso, o Departamento de Justiça dos EUA revelou a apreensão de mais de US$ 2,8 milhões em criptomoedas relacionadas a atividades de ransomware, destacando a importância de ações coordenadas contra redes criminosas.