Ransomware

Novas ameaças de cibersegurança RaaS e phishing em alta

O boletim ThreatsDay desta semana destaca uma série de ameaças emergentes em cibersegurança, com foco em operações de Ransomware-as-a-Service (RaaS) e campanhas de phishing. O grupo ‘The Gentlemen’ utiliza uma vulnerabilidade crítica (CVE-2024-55591) em dispositivos FortiGate para realizar ataques, mantendo um banco de dados com 14.700 dispositivos comprometidos. Além disso, falhas no BMC FootPrints podem permitir execução remota de código, enquanto o malware SnappyClient, entregue pelo Hijack Loader, é projetado para roubo de dados e evasão de segurança. Outra técnica emergente, chamada CursorJack, explora links profundos para execução de comandos maliciosos. A campanha de phishing via Microsoft Teams tem aumentado, com atacantes se passando por equipes de TI para obter acesso remoto. A situação é preocupante, pois a exploração de falhas conhecidas em plataformas amplamente utilizadas, como Citrix, e o uso de engenharia social em ferramentas de comunicação, revelam a necessidade urgente de medidas de segurança mais robustas.

Grupo cibercriminoso Medusa ataca o Condado de Passaic, NJ

O grupo cibercriminoso Medusa reivindicou um ataque de malware ao Condado de Passaic, em Nova Jersey, ocorrido em março de 2026. Em um comunicado, as autoridades do condado informaram que o ataque afetou seus sistemas de TI e linhas telefônicas. Medusa exigiu um resgate de $800.000, com prazo até o final do mês, e publicou imagens de documentos que alegam ter sido roubados dos servidores do governo local. Embora o Condado de Passaic tenha reconhecido a ocorrência de um incidente de segurança, não confirmou a responsabilidade do grupo. A investigação está em andamento para determinar a natureza e a extensão do acesso não autorizado aos dados. Medusa, que opera um esquema de ransomware como serviço, já reivindicou outros ataques em 2026, incluindo instituições educacionais e governamentais. Os ataques de ransomware a entidades governamentais nos EUA têm se tornado mais frequentes, resultando em riscos significativos, como perda de dados e interrupção de serviços essenciais. O Condado de Passaic abriga cerca de 524.000 pessoas e está localizado na área metropolitana de Nova York.

Campanha de ransomware Interlock explora falha crítica da Cisco

A Amazon Threat Intelligence alertou sobre uma campanha ativa de ransomware chamada Interlock, que está explorando uma falha crítica de segurança no Cisco Secure Firewall Management Center (FMC) Software, identificada como CVE-2026-20131, com uma pontuação CVSS de 10.0. Essa vulnerabilidade permite que atacantes remotos não autenticados contornem a autenticação e executem código Java arbitrário como root em dispositivos afetados. A falha foi explorada como um zero-day desde 26 de janeiro de 2026, antes de ser divulgada publicamente pela Cisco. A campanha de Interlock utiliza uma cadeia de ataque complexa, que inclui scripts de reconhecimento em PowerShell, trojans de acesso remoto personalizados e técnicas de evasão. A Amazon compartilhou suas descobertas com a Cisco para ajudar a proteger os clientes. Diante da exploração ativa da falha, os usuários são aconselhados a aplicar patches imediatamente e realizar avaliações de segurança. A Cisco atualizou seu aviso sobre a vulnerabilidade, recomendando a atualização para uma versão corrigida do software.

Grupo de ransomware Genesis ataca associação de programas de abuso de drogas

O grupo de ransomware Genesis reivindicou a responsabilidade por um ataque cibernético à National Association on Drug Abuse Programs (NADAP) ocorrido em 10 de janeiro de 2026. A NADAP, uma organização sem fins lucrativos que oferece serviços de saúde e emprego a comunidades carentes em Nova York, notificou sobre a violação de dados em 13 de fevereiro de 2026, após detectar atividades suspeitas em sua rede. Os dados comprometidos incluem números de Seguro Social, datas de nascimento, informações médicas e financeiras. Genesis alegou ter roubado 2 TB de dados e justificou o ataque, embora a NADAP não tenha confirmado a reivindicação do grupo. Até o momento, não se sabe se um resgate foi pago ou como a violação ocorreu. Este incidente é parte de uma tendência crescente de ataques de ransomware nos EUA, com 27 ataques confirmados em 2026 até agora, em comparação com 662 em 2025. A NADAP, que já ajudou mais de 35.000 nova-iorquinos anualmente, não ofereceu monitoramento de crédito ou proteção contra roubo de identidade para as vítimas da violação.

Grupo de ransomware LockBit ataca distrito escolar no Mississippi

O grupo de ransomware LockBit reivindicou um ataque cibernético ao Alcorn School District, no Mississippi, ocorrido no início de março. Em 1º de março, o distrito anunciou a desativação de sua rede devido a atividades suspeitas que estavam causando interrupções em seus sistemas. LockBit, que é conhecido por suas táticas de sequestro de dados e extorsão, listou o Alcorn Schools em seu site de vazamento de dados e exigiu um pagamento de resgate em um prazo de duas semanas. O distrito escolar não confirmou a reivindicação do grupo, e não há informações sobre como os atacantes conseguiram acessar a rede ou se um resgate foi pago. O LockBit, que opera desde 2019 e é baseado na Rússia, já atacou diversas instituições, incluindo escolas, e em 2026, registrou 72 ataques de ransomware, com oito confirmados. Os ataques de ransomware em instituições educacionais podem causar não apenas a perda de dados, mas também interrupções significativas nas operações diárias, afetando a comunicação, a gestão de notas e a segurança dos dados dos alunos. O Alcorn School District atende cerca de 3.800 alunos em várias escolas na região.

Grupo de ransomware Medusa ataca Centro Médico da Universidade do Mississippi

O grupo de ransomware Medusa reivindicou a responsabilidade pelo ataque cibernético ao Centro Médico da Universidade do Mississippi (UMMC), ocorrido entre 19 de fevereiro e 2 de março de 2026. O ataque resultou no fechamento das clínicas e no cancelamento de consultas, afetando gravemente o atendimento ao paciente, que teve que ser realizado com registros manuais e em centros de comando improvisados. A UMMC perdeu acesso a linhas telefônicas, e-mails e registros de pacientes, levando à transferência de alguns pacientes para outras instituições. Medusa exigiu um resgate de $800.000 em troca da restauração dos sistemas e da não divulgação de dados supostamente roubados, que foram demonstrados em seu site de vazamento de dados. Embora a UMMC tenha retomado suas operações normais após nove dias, a extensão dos dados comprometidos e se o resgate foi pago permanecem desconhecidos. O grupo Medusa, ativo desde 2019, já realizou 154 ataques confirmados, sendo 33 direcionados a prestadores de serviços de saúde, comprometendo cerca de 3,7 milhões de registros pessoais. Os ataques de ransomware a instituições de saúde nos EUA têm se tornado cada vez mais frequentes e disruptivos, colocando em risco a segurança e a privacidade dos pacientes.

JBS sofre novo mega-ataque hacker com 3 TB de dados roubados

A JBS Brasil, uma das maiores produtoras de carne do mundo, foi alvo de um novo ataque cibernético, desta vez pelo grupo de ransomware Coinbasecartel, que afirma ter roubado 3 terabytes de dados corporativos. O ataque foi anunciado em um fórum clandestino, mas detalhes sobre a natureza dos dados e a vulnerabilidade explorada não foram divulgados. Este incidente é um lembrete da crescente vulnerabilidade da JBS, que já havia enfrentado um ataque significativo em 2021, quando foi forçada a pagar R$ 57 milhões em resgate ao grupo REvil. O Coinbasecartel é conhecido por sua abordagem agressiva em negociações e por focar em informações estratégicas e financeiras de alto valor. Até o momento, a JBS não se pronunciou oficialmente sobre o ataque, o que levanta preocupações sobre a situação atual e possíveis negociações em andamento. O aumento de 50% nos ataques de ransomware, conforme relatado recentemente, destaca a necessidade de as empresas reforçarem suas medidas de segurança cibernética.

Gangue de ransomware Genesis ataca a cidade de Hart, Michigan

No último fim de semana, a gangue de ransomware Genesis adicionou a cidade de Hart, Michigan, ao seu site de vazamento de dados, alegando ter roubado 300 GB de informações. A cidade recebeu um ultimato de menos de seis dias para atender às exigências de resgate antes que os dados sejam divulgados publicamente. Em uma reunião pública realizada em 24 de fevereiro de 2026, a cidade confirmou a descoberta de um possível incidente de segurança e informou que as senhas de todos os usuários foram redefinidas. A cidade está colaborando com especialistas em cibersegurança para investigar o acesso não autorizado a uma parte limitada de sua rede. Embora a investigação esteja em andamento, a cidade enfatizou que a segurança de seus sistemas é uma prioridade e que medidas adicionais de monitoramento foram implementadas. Os residentes e funcionários foram alertados a ficarem atentos a possíveis campanhas de phishing. Genesis, que começou a operar em outubro de 2025, utiliza táticas de dupla extorsão, criptografando sistemas e roubando dados, exigindo resgates tanto para a chave de descriptografia quanto para a exclusão dos dados roubados. Este ataque à cidade de Hart é o segundo confirmado em 2026, seguindo um aumento significativo de ataques a entidades governamentais nos Estados Unidos, com seis incidentes confirmados até agora neste ano.

Grupo Velvet Tempest usa técnicas avançadas para implantar malware

O grupo de cibercriminosos conhecido como Velvet Tempest, também identificado como DEV-0504, tem utilizado a técnica ClickFix e utilitários legítimos do Windows para implantar o malware DonutLoader e o backdoor CastleRAT. Pesquisadores da MalBeacon monitoraram as atividades do grupo em um ambiente simulado de uma organização sem fins lucrativos nos EUA, onde foram observadas ações como reconhecimento do Active Directory e coleta de credenciais armazenadas no Chrome. A invasão inicial ocorreu através de uma campanha de malvertising que direcionou as vítimas a inserir um comando ofuscado no diálogo de execução do Windows. Este comando ativou uma cadeia de comandos que buscou os primeiros carregadores de malware. Embora o Velvet Tempest seja conhecido por ataques de dupla extorsão, nesta intrusão específica não foi implantado o ransomware Termite, que já afetou vítimas de alto perfil. A técnica ClickFix tem sido adotada por outros grupos de ransomware, evidenciando uma tendência crescente de uso de engenharia social em ataques cibernéticos.

Nacional russo se declara culpado por fraude em operação de ransomware

Evgenii Ptitsyn, um cidadão russo de 43 anos, se declarou culpado por um esquema de fraude eletrônica relacionado à operação de ransomware Phobos, que afetou centenas de vítimas em todo o mundo. O Phobos, uma operação de ransomware como serviço (RaaS) ligada à família Crysis, foi responsável por mais de 39 milhões de dólares em pagamentos de resgate de mais de 1.000 entidades públicas e privadas. Ptitsyn foi extraditado da Coreia do Sul em novembro de 2024 e acusado de supervisionar a venda e distribuição do ransomware. Os afiliados do Phobos invadiam redes de alvos, incluindo escolas e hospitais, utilizando credenciais roubadas, criptografando dados sensíveis e exigindo pagamento sob ameaça de vazamento. A operação Aether, coordenada pela Europol, resultou em detenções e apreensões de equipamentos relacionados ao Phobos, destacando a colaboração internacional no combate a esse tipo de crime cibernético. Ptitsyn enfrenta até 20 anos de prisão e sua sentença está marcada para 15 de julho de 2025.

Campanha de força bruta revela rede de ransomware em operação

O Huntress Tactical Response Team investigou um alerta de força bruta em um servidor RDP exposto à internet, que inicialmente parecia ser um incidente comum. Ao analisar os logs de eventos do Windows, a equipe descobriu que um único login bem-sucedido levou a um comportamento incomum de busca por credenciais, revelando uma infraestrutura geograficamente distribuída e um serviço VPN suspeito, indicando a presença de um ecossistema de ransomware como serviço.

Centro Médico da Universidade de Mississippi retoma operações após ataque

O Centro Médico da Universidade de Mississippi (UMMC) anunciou que retomou suas operações normais após um ataque de ransomware que durou nove dias, bloqueando o acesso a registros médicos eletrônicos e desativando muitos de seus sistemas de TI. O ataque forçou a instituição a cancelar procedimentos ambulatoriais e consultas de imagem, embora os serviços hospitalares continuassem a ser prestados. A UMMC confirmou que conseguiu restaurar o acesso aos registros dos pacientes e reabriu suas clínicas, que agora funcionam em horários estendidos para acomodar os pacientes. Embora nenhum grupo de ransomware tenha reivindicado a responsabilidade pelo ataque, a UMMC está em contato com os atacantes e trabalhando com o FBI e a CISA para investigar o incidente. A UMMC é um dos maiores empregadores do Mississippi, com mais de 10.000 funcionários e uma infraestrutura crítica que inclui o único programa de transplante de órgãos e medula óssea do estado. O ataque destaca a crescente ameaça de ransomware a instituições de saúde, que são alvos atraentes devido à sensibilidade dos dados que gerenciam.

Ataques de ransomware aumentam 50, mas pagamentos caem para mínimo histórico

Um recente relatório da Chainalysis revelou um aumento de 50% nos ataques de ransomware em comparação ao ano anterior, enquanto o número de vítimas que pagaram resgates caiu para 28%, o menor índice já registrado. Essa queda na taxa de pagamentos reflete uma tendência de quatro anos, onde em 2024, 62,8% das vítimas pagaram, e em 2022, esse número foi ainda maior, atingindo 78,9%. Apesar da diminuição no número de pagamentos, o valor médio dos resgates aumentou drasticamente, passando de US$ 12.738 para US$ 59.556, um aumento de 368%. Os Estados Unidos, Canadá, Alemanha e Reino Unido foram identificados como os países mais visados. A análise sugere que a melhoria nas respostas a incidentes e a crescente regulamentação contra ataques são fatores que contribuíram para a queda na taxa de pagamentos, embora o valor dos resgates tenha aumentado, indicando que algumas vítimas estão dispostas a pagar quantias maiores para recuperar seus dados sequestrados.

Ataques de ransomware continuam altos em fevereiro de 2026

Em fevereiro de 2026, os ataques de ransomware globalmente se mantiveram elevados, com 685 incidentes registrados, uma leve queda em relação aos 718 de janeiro. O setor de saúde viu um aumento de 30% nos ataques, subindo de 37 para 48, enquanto o setor de transporte teve um crescimento ainda maior, com um aumento de 39%, passando de 23 para 32 ataques. Os fabricantes, embora ainda sejam alvos significativos com 120 ataques, estão experimentando uma diminuição nas ocorrências. O grupo de ransomware Qilin continua sendo o mais ativo, com 104 ataques, seguido pelo grupo The Gentlemen, que registrou 84. Este último ganhou notoriedade, especialmente por seus ataques a instituições educacionais no Brasil, incluindo a Universidade Federal de Sergipe e a Centro Universitário Filadélfia. No total, mais de 89,5 TB de dados foram roubados em fevereiro, com os Estados Unidos liderando em número de ataques, seguidos pelo Canadá e Brasil. O aumento nos ataques a setores críticos, como saúde e transporte, destaca a necessidade urgente de medidas de segurança robustas e vigilância contínua.

Universidade do Havai confirma roubo de dados por ransomware

A Universidade do Havai (UH) confirmou que um ataque de ransomware comprometeu os dados de aproximadamente 1,2 milhão de indivíduos, após uma violação na Divisão de Epidemiologia do seu Centro de Câncer em agosto de 2025. O ataque resultou no roubo de informações pessoais, incluindo números de Seguro Social (SSNs) e dados de registro de veículos. Em 23 de fevereiro, a universidade notificou mais de 87 mil participantes do Estudo Multiétnico (MEC) realizado entre 1993 e 1996, além de outros 900 mil indivíduos cujos e-mails foram encontrados. A UH informou que não houve impacto nas operações clínicas ou registros de alunos. O ataque causou danos significativos, atrasando os esforços de restauração e investigação. A universidade admitiu ter pago aos atacantes para obter uma ferramenta de descriptografia e garantir a destruição segura das informações roubadas. O diretor do UH Cancer Center expressou arrependimento pelo incidente e reafirmou o compromisso com a transparência e a proteção dos dados de pesquisa. Este incidente segue um padrão crescente de ataques de ransomware, que têm se tornado mais sofisticados e impactantes.

Grupo de ransomware Rhysida ataca governo local em Southold, NY

O grupo de ransomware Rhysida reivindicou a responsabilidade por um ataque cibernético ao governo local de Southold, Nova York, ocorrido em novembro de 2025. O ataque, anunciado em 24 de novembro, afetou diversos sistemas da cidade, incluindo e-mails, folha de pagamento e coleta de impostos, resultando em um período de inatividade de duas semanas para a restauração dos serviços. Rhysida exigiu um resgate de 10 bitcoins, equivalente a aproximadamente $661,400, e ameaçou vender os dados comprometidos caso o pagamento não fosse realizado em sete dias. O supervisor de Southold, Al Krupski, afirmou que a cidade não tem intenção de pagar o resgate. Desde o incidente, a cidade investiu $500,000 em melhorias de segurança. Rhysida, que opera como um serviço de ransomware, já foi responsável por 21 ataques confirmados em 2025, afetando principalmente entidades governamentais. Os ataques de ransomware têm se tornado uma preocupação crescente nos EUA, com 84 incidentes confirmados em 2025, comprometendo cerca de 639,000 registros pessoais. O caso de Southold destaca a vulnerabilidade das administrações locais a ataques cibernéticos e a necessidade de investimentos em segurança da informação.

Queda no pagamento de resgates por vítimas de ransomware atinge 28

O número de vítimas de ransomware que pagaram aos criminosos caiu para 28% no último ano, o menor índice já registrado, apesar do aumento significativo no número de ataques. A plataforma de inteligência em blockchain Chainalysis observou uma tendência de queda nos pagamentos nos últimos quatro anos. Em 2025, os pagamentos totais em ransomware chegaram a $820 milhões, com a expectativa de que esse valor ultrapasse $900 milhões à medida que mais eventos e pagamentos sejam atribuídos. Embora o número total de pagamentos tenha se mantido relativamente estável, o número de ataques de ransomware aumentou 50% em relação ao ano anterior. Em 2024, a taxa de pagamento foi de 62,8%, enquanto em 2022 foi de 78,9%. A análise também revelou que, apesar da queda no número de vítimas que pagam, o valor médio dos resgates aumentou 368%, passando de $12,738 em 2024 para $59,556 em 2025. Os Estados Unidos continuam sendo o país mais visado, seguidos por Canadá, Alemanha e Reino Unido. O relatório destaca que o cenário de ransomware está em adaptação, com grupos de extorsão se diversificando e aumentando a complexidade de seus ataques.

Marquis processa SonicWall por negligência em ataque de ransomware

A Marquis Software Solutions entrou com um processo contra a SonicWall, alegando negligência grave e falsas representações que resultaram em um ataque de ransomware que afetou 74 bancos nos EUA. O ataque, ocorrido em 14 de agosto de 2025, comprometeu a rede da Marquis após a invasão de um firewall da SonicWall, resultando no roubo de informações pessoais sensíveis, como nomes, endereços e números de segurança social. A investigação revelou que os hackers exploraram dados de configuração extraídos da infraestrutura de backup em nuvem da SonicWall, e não uma falha não corrigida, como inicialmente se pensava. A SonicWall introduziu uma vulnerabilidade em seu serviço de backup em nuvem MySonicWall devido a uma alteração de código em fevereiro de 2025, permitindo acesso não autorizado a arquivos de backup de configuração do firewall. Embora a SonicWall tenha inicialmente estimado que apenas 5% de seus clientes foram afetados, foi posteriormente confirmado que todos os clientes estavam em risco. A Marquis agora busca compensação financeira e está enfrentando mais de 36 ações coletivas relacionadas ao ataque. Este caso destaca a importância da segurança cibernética e a responsabilidade dos fornecedores em proteger os dados de seus clientes.

Brasil é um dos países com mais ataques de ransomware no mundo

O Brasil se destacou em um relatório da Acronis, publicado em fevereiro de 2026, como um dos três países com maior incidência de ataques de ransomware globalmente, atrás apenas dos Estados Unidos e da Índia. O estudo revelou que mais de 7.600 vítimas foram registradas no país, com setores como manufatura, tecnologia e saúde sendo os mais afetados. Os hackers têm utilizado ferramentas legítimas da Microsoft e softwares de acesso remoto, como AnyDesk e TeamViewer, para realizar os ataques. Além disso, 52% dos incidentes foram iniciados por e-mails fraudulentos, evidenciando a crescente utilização de engenharia social para roubar informações sensíveis. O uso de inteligência artificial pelos cibercriminosos também foi destacado, permitindo uma negociação mais eficiente dos resgates. O aumento de 16% no volume médio de incidentes por organização em comparação ao ano anterior ressalta a urgência da situação, exigindo atenção redobrada das empresas brasileiras em relação à segurança cibernética.

Grupos cibercriminosos invadem empresa de faturamento médico nos EUA

Duas gangues de cibercriminosos afirmaram ter invadido a Resource Corporation of America (RCA), uma empresa de faturamento médico, e roubaram dados pessoais significativos, incluindo números de Seguro Social, informações de seguro de saúde, diagnósticos médicos e datas de nascimento. A RCA confirmou a violação de seus sistemas em dezembro de 2025, após detectar atividades suspeitas. As gangues Medusa e Qilin reivindicaram a responsabilidade pelo ataque, com Medusa exigindo um resgate de $800.000, enquanto Qilin não divulgou seu pedido. Medusa publicou amostras de documentos supostamente roubados e reiterou que os dados foram publicados após negociações de resgate fracassadas. O ataque ocorreu entre 9 e 17 de dezembro de 2025, comprometendo a segurança de dados de milhões de pessoas. A RCA não confirmou as reivindicações das gangues, e a Comparitech está aguardando um comentário da empresa. Este incidente destaca a crescente ameaça de ataques de ransomware no setor de saúde, que já registrou 30 ataques confirmados em 2025, afetando mais de 6 milhões de pessoas.

Hackers norte-coreanos atacam organizações de saúde dos EUA com ransomware

Hackers apoiados pelo Estado norte-coreano, associados ao grupo de ameaças Lazarus, estão atacando organizações de saúde nos Estados Unidos com extorsões utilizando o ransomware Medusa. Desde sua emergência em janeiro de 2021, o Medusa, que opera como um serviço de ransomware (RaaS), afetou mais de 300 organizações em setores críticos, com a gangue reivindicando pelo menos 80 novas vítimas até fevereiro de 2025. A Symantec, empresa de cibersegurança, relatou que um subgrupo do Lazarus, possivelmente Andariel/Stonefly, está agora utilizando o Medusa em ataques cibernéticos motivados financeiramente. Os ataques têm como alvo não apenas instituições de saúde, mas também organizações sem fins lucrativos, com um dos alvos sendo uma instituição educacional para crianças autistas. O valor do resgate pode chegar a 15 milhões de dólares, embora a média seja de cerca de 260 mil dólares. Os fundos obtidos são utilizados para apoiar operações de espionagem contra entidades nos setores de defesa, tecnologia e governo dos EUA, Taiwan e Coreia do Sul. A Symantec também forneceu indicadores de comprometimento (IoCs) que incluem dados de infraestrutura de rede e hashes do malware utilizado nos ataques.

Grupo Lazarus utiliza ransomware Medusa em ataques no Oriente Médio e EUA

O grupo de hackers Lazarus, vinculado à Coreia do Norte, foi identificado utilizando o ransomware Medusa em um ataque recente a uma entidade não revelada no Oriente Médio. De acordo com um relatório da equipe de inteligência de ameaças da Symantec e Carbon Black, o mesmo grupo tentou, sem sucesso, atacar uma organização de saúde nos Estados Unidos. O Medusa, que é uma operação de ransomware como serviço (RaaS) lançada pelo grupo Spearwing em 2023, já foi responsável por mais de 366 ataques. Desde novembro de 2025, foram registradas invasões a quatro organizações de saúde e sem fins lucrativos nos EUA, incluindo uma instituição de saúde mental e uma escola para crianças autistas, com um pedido médio de resgate de $260.000. A análise sugere que os grupos de hackers da Coreia do Norte estão mudando suas táticas, optando por usar variantes de ransomware já disponíveis em vez de desenvolver suas próprias ferramentas. Isso pode indicar uma abordagem mais pragmática, onde os benefícios de se associar a grupos estabelecidos de RaaS superam os custos de desenvolvimento. A campanha Medusa do Lazarus inclui o uso de diversas ferramentas, como Mimikatz e um backdoor personalizado chamado Comebacker. O uso de ransomware por grupos da Coreia do Norte continua a ser uma preocupação crescente, especialmente em setores críticos como saúde.

Grupo de ransomware Inc ataca cidade de Cocoa, na Flórida

O grupo de ransomware conhecido como Inc reivindicou um ataque cibernético à cidade de Cocoa, na Flórida, ocorrido em fevereiro de 2026. A cidade anunciou problemas técnicos em seus sistemas de TI e pagamentos de serviços públicos, que foram interrompidos. No site de vazamento de dados do grupo, Inc afirmou ter roubado arquivos dos servidores oficiais da cidade, apresentando imagens como prova. Até o momento, as autoridades de Cocoa não confirmaram a reivindicação e não se sabe quais dados foram comprometidos, nem se um resgate foi exigido ou pago. O grupo Inc, que surgiu em julho de 2023, é conhecido por atacar setores como saúde, educação e governo, utilizando técnicas de phishing direcionado e explorando vulnerabilidades conhecidas. Em 2025, o grupo foi responsável por 360 ataques de ransomware, com 68 confirmações de suas reivindicações. O ataque à Cocoa se insere em um contexto mais amplo de ataques a entidades governamentais nos EUA, que têm enfrentado desafios significativos com a segurança de seus sistemas, podendo resultar em perda de dados e interrupções nos serviços públicos.

Companhia de faturamento médico confirma violação de dados em 2025

A Catalyst RCM, uma empresa de faturamento médico, confirmou que notificou vítimas de uma violação de dados ocorrida em novembro de 2025, que comprometeu informações pessoais e médicas. Embora a Catalyst não tenha divulgado o número exato de notificações, um de seus clientes, a Vikor Scientific, informou que 139.964 pessoas foram afetadas, sugerindo que ambas as divulgações se referem ao mesmo incidente. Os dados comprometidos incluem nomes, informações de cartões de pagamento, tratamentos médicos, histórico médico, diagnósticos, informações de seguro de saúde e datas de nascimento.

Advantest sofre ataque de ransomware que pode afetar dados de clientes

A Advantest Corporation, uma líder global em equipamentos de teste para semicondutores, revelou que sua rede corporativa foi alvo de um ataque de ransomware, que pode ter comprometido dados de clientes e funcionários. A empresa, com sede em Tóquio e que emprega cerca de 7.600 pessoas, detectou atividades incomuns em seu ambiente de TI no dia 15 de fevereiro, levando à ativação de protocolos de resposta a incidentes, incluindo a contenção de sistemas afetados. Especialistas em cibersegurança foram contratados para ajudar na investigação e contenção da ameaça. Embora a empresa não tenha confirmado o roubo de dados até o momento, a situação pode evoluir à medida que a investigação avança. A Advantest se comprometeu a notificar diretamente qualquer pessoa impactada e fornecer orientações sobre medidas de proteção. O ataque ocorre em um contexto de aumento de ciberataques a empresas japonesas, incluindo casos notáveis como os de Nissan e Muji. A empresa continuará a atualizar o público sobre novos desenvolvimentos relacionados ao incidente.

Centro Médico da Universidade de Mississippi fecha clínicas após ataque de ransomware

O Centro Médico da Universidade de Mississippi (UMMC) fechou todas as suas clínicas em decorrência de um ataque de ransomware que comprometeu seus sistemas de TI, incluindo o acesso aos registros médicos eletrônicos da Epic. Com mais de 10.000 funcionários e sendo um dos maiores empregadores do estado, o UMMC opera sete hospitais e 35 clínicas, além de ser o único centro de trauma de nível I e o único hospital infantil do Mississippi. O ataque levou ao cancelamento de cirurgias ambulatoriais e consultas, mas os serviços hospitalares continuaram através de procedimentos de contingência. A UMMC está investigando o incidente com a ajuda da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e do FBI. Embora os atacantes tenham se comunicado com a UMMC, não há confirmação sobre a responsabilidade pelo ataque. A situação permanece em avaliação, e a UMMC desativou todos os sistemas de rede como precaução. O impacto potencial inclui não apenas a interrupção dos serviços, mas também a possibilidade de roubo de dados, que pode ser usado como pressão para pagamento de resgate. A UMMC assegura que os cuidados aos pacientes estão sendo mantidos e que as aulas presenciais continuam normalmente.

Novas ameaças cibernéticas e evolução de ransomware em 2026

O cenário de cibersegurança continua a evoluir rapidamente, com novas ameaças e táticas emergindo constantemente. O Google lançou a versão beta do Android 17, que inclui melhorias significativas em privacidade e segurança, como a descontinuação do tráfego em texto claro e suporte à criptografia híbrida HPKE. Por outro lado, o ransomware LockBit 5.0 se destaca por suas técnicas avançadas de evasão e suporte a múltiplas plataformas, incluindo Proxmox, um alvo crescente entre empresas. Além disso, novas campanhas de engenharia social, como ClickFix, estão explorando usuários de macOS através de técnicas de obfuscação, levando à instalação de malware e roubo de credenciais. A detenção de um suspeito na Polônia, ligado ao grupo de ransomware Phobos, e o aumento de ataques a organizações industriais, com um crescimento de 49% em grupos de ransomware focados nesse setor, destacam a gravidade da situação. A Microsoft também enfrentou um problema de segurança com o Copilot, que resumiu e-mails confidenciais sem permissão, violando políticas de proteção de dados. Esses eventos ressaltam a necessidade urgente de que as organizações reavaliem suas estratégias de segurança e resposta a incidentes.

Grupo de ransomware Rhysida ataca sistemas das Tribos Cheyenne e Arapaho

O grupo de ransomware Rhysida reivindicou a responsabilidade por um ataque cibernético ocorrido em 8 de dezembro de 2025, que afetou os sistemas de TI das Tribos Cheyenne e Arapaho. A liderança tribal anunciou publicamente o incidente em 7 de janeiro de 2026, informando que 80% de seus sistemas estavam operacionais um mês após o ataque. Rhysida exigiu um resgate de 10 bitcoins, equivalente a cerca de R$ 700 mil, em troca da recuperação dos dados. Embora a tribo tenha tomado medidas imediatas para proteger as informações dos membros e a infraestrutura crítica, não está claro se houve perda de dados ou se o resgate foi pago. Este não é o primeiro incidente de ransomware enfrentado pelas Tribos Cheyenne e Arapaho, que já haviam sido atacadas em 2021. Rhysida, que opera um modelo de ransomware como serviço, já reivindicou 104 ataques confirmados, sendo 21 contra entidades governamentais. Em 2025, foram registrados 83 ataques de ransomware a entidades governamentais nos EUA, com um impacto significativo na segurança de dados e operações governamentais.

Hackers usam aplicativos de monitoramento para invadir redes corporativas

O grupo de ransomware conhecido como Crazy está explorando softwares legítimos de monitoramento de funcionários, como o Net Monitor for Employees Professional e a plataforma de suporte SimpleHelp, para realizar invasões em redes corporativas. Segundo um estudo da empresa de segurança Huntress, os cibercriminosos utilizam esses aplicativos para se infiltrar nas máquinas das vítimas, aproveitando-se de redes vulneráveis e disfarçando suas atividades como ações administrativas normais. Uma vez dentro do sistema, os hackers conseguem transferir arquivos, executar comandos e obter permissões de administrador, além de instalar ferramentas adicionais para garantir o acesso contínuo. Um dos métodos utilizados inclui a desativação do Windows Defender e a configuração de alertas em caso de acesso a carteiras de criptomoeda. Essa abordagem de usar ferramentas legítimas para realizar ataques de ransomware representa uma nova tática que dificulta a detecção por parte das equipes de segurança. A Huntress recomenda que as organizações monitorem de perto a instalação não autorizada de aplicativos de suporte para proteger dados sensíveis contra roubo.

Polícia polonesa detém suspeito de ransomware Phobos

A polícia da Polônia prendeu um homem de 47 anos suspeito de ligação com o grupo de ransomware Phobos, durante uma operação conjunta que resultou na apreensão de computadores e celulares contendo credenciais roubadas, números de cartões de crédito e dados de acesso a servidores. A ação faz parte da ‘Operação Aether’, uma iniciativa internacional coordenada pela Europol, que visa desmantelar a infraestrutura do ransomware Phobos e seus afiliados. Durante a busca na residência do suspeito, foram encontrados arquivos que poderiam ser utilizados para acessar sistemas de computador de forma não autorizada e facilitar ataques de ransomware. O homem se comunicava com a organização criminosa por meio de aplicativos de mensagens criptografadas. Ele enfrenta acusações sob o Código Penal Polonês, podendo pegar até cinco anos de prisão se condenado. O ransomware Phobos, que opera como um serviço (RaaS), tem sido responsável por uma série de ataques a empresas em todo o mundo, com pagamentos de resgates que ultrapassam 16 milhões de dólares. A Operação Aether já resultou em várias prisões e na interrupção de atividades do grupo, incluindo a extradição de um administrador para os Estados Unidos e a apreensão de servidores na Tailândia.

Rede de hotéis Washington no Japão sofre ataque de ransomware

A marca de hotéis Washington, operada pela Fujita Kanko Inc., anunciou que seus servidores foram comprometidos em um ataque de ransomware, resultando na exposição de dados empresariais. O incidente ocorreu em 13 de fevereiro de 2026, quando hackers invadiram a rede da empresa. A equipe de TI desconectou imediatamente os servidores da internet para conter a propagação do ataque. A empresa formou um grupo de trabalho interno e consultou especialistas em cibersegurança e a polícia para avaliar o impacto e coordenar os esforços de recuperação. Embora a investigação esteja em andamento, a empresa confirmou que dados de clientes provavelmente não foram expostos, pois essas informações estão armazenadas em servidores de uma empresa separada. No entanto, o ataque afetou as operações de alguns hotéis, incluindo a indisponibilidade temporária de terminais de cartão de crédito. O impacto financeiro do incidente ainda está sendo analisado. Até o momento, nenhum grupo de ransomware reivindicou a responsabilidade pelo ataque. O incidente ocorre em um contexto de aumento de ataques cibernéticos a empresas no Japão, incluindo grandes nomes como Nissan e NTT.

Grupo de ransomware Akira ataca varejista canadense Ardene

O grupo de ransomware Akira adicionou a varejista canadense Ardene ao seu site de vazamento de dados, alegando ter roubado 58 GB de informações. Recentemente, Ardene notificou seus clientes sobre um “incidente cibernético” que afetou seus sistemas internos em janeiro, resultando em atrasos nas entregas. Embora a empresa tenha afirmado que não tem conhecimento de comprometimento de dados de clientes até o momento, Akira alega ter acessado informações financeiras, dados de clientes e funcionários, além de informações confidenciais. O grupo Akira, que surgiu em março de 2023, é considerado um dos mais ativos em 2025, com 769 ataques registrados, incluindo outros alvos como Zurflüh-Feller e Travelmarket A/S. No Canadá, dois ataques confirmados foram registrados em 2025, sendo o mais recente o de Ardene. A empresa, que opera mais de 300 lojas, está investigando o incidente e implementou medidas de segurança imediatas. O ataque destaca a crescente ameaça de ransomware no setor varejista canadense e a necessidade de vigilância constante contra tais incidentes.

Novo ransomware sequestra PCs via atalhos offline

Uma nova campanha de ransomware, identificada pelos especialistas da Forcepoint X-Labs, está causando preocupação global ao sequestrar computadores sem a necessidade de conexão com a internet. O ataque utiliza táticas de phishing, enviando e-mails com anexos que parecem legítimos, mas que na verdade são atalhos do Windows. Quando o usuário clica no arquivo, comandos maliciosos são executados em segundo plano, permitindo que o malware se infiltre no sistema. O ransomware, associado ao grupo Global Group, gera uma chave de criptografia local, bloqueando arquivos e dificultando a recuperação dos dados. O ataque é descrito como ‘silencioso’, pois não requer comunicação com servidores externos, o que aumenta a complexidade da detecção e mitigação. Além disso, um temporizador embutido no malware apaga os arquivos originais após três segundos, tornando a recuperação ainda mais desafiadora. Essa nova abordagem representa uma evolução nas técnicas de ciberataque, exigindo atenção redobrada de usuários e profissionais de segurança da informação.

Grupo de ransomware Qilin ataca operadora de petróleo da Romênia

A operadora nacional de oleodutos da Romênia, Conpet S.A., confirmou que foi alvo de um ataque do grupo de ransomware Qilin, que resultou no roubo de dados da empresa. Em um comunicado, a Conpet informou que a infraestrutura de TI corporativa foi comprometida, mas as operações não foram afetadas. O grupo Qilin alegou ter extraído quase 1TB de documentos, incluindo informações financeiras e dados pessoais, como nomes e números de contas bancárias. A empresa está colaborando com a Direção Nacional de Segurança Cibernética da Romênia na investigação do incidente. Embora a quantidade exata de dados roubados ainda não tenha sido determinada, a Conpet alertou que as informações comprometidas podem ser utilizadas para fraudes. A empresa aconselha os indivíduos afetados a terem cautela com solicitações urgentes de informações pessoais, recomendando a verificação da legitimidade de tais pedidos através de canais oficiais. A Conpet S.A. é uma empresa estratégica controlada pelo Ministério da Energia da Romênia, responsável pelo transporte de petróleo e gás em uma rede de oleodutos de 3.800 km.

Grupo de ransomware Crazy usa software legítimo para ataques

Pesquisadores da Huntress identificaram que membros do grupo de ransomware Crazy estão utilizando softwares legítimos de monitoramento de funcionários e ferramentas de suporte remoto, como o SimpleHelp, para manter acesso persistente em redes corporativas e se preparar para a implantação de ransomware. Os atacantes instalaram o Net Monitor for Employees Professional em sistemas comprometidos, permitindo acesso remoto completo, incluindo visualização de desktop e execução de comandos. Além disso, tentaram ativar a conta de administrador local e instalaram o cliente SimpleHelp para garantir acesso contínuo, mesmo que o software de monitoramento fosse removido. Os atacantes monitoraram atividades relacionadas a carteiras de criptomoedas e ferramentas de gerenciamento remoto, buscando detectar qualquer atividade suspeita. A Huntress alerta que a utilização de ferramentas de gerenciamento remoto legítimas tem se tornado comum em intrusões de ransomware, permitindo que os atacantes se misturem ao tráfego de rede normal. A recomendação é que as organizações monitorem de perto a instalação não autorizada de tais ferramentas e implementem autenticação multifator (MFA) em serviços de acesso remoto para proteger suas redes.

Bug em ransomware faz grupo perder chaves e destrói dados hackeados

Um recente incidente envolvendo o grupo hacker Nitrogen revelou um bug crítico em sua variante de ransomware direcionada a hipervisores VMware ESXi. Este erro na programação resultou na perda das chaves de encriptação, tornando os dados das vítimas completamente irrecuperáveis. O ransomware, que já afetou diversas instituições financeiras e empresas industriais desde 2023, agora apresenta um novo desafio para suas vítimas: mesmo que não sejam obrigadas a pagar resgates, a falta de backups significa que os dados roubados estão perdidos para sempre. O problema ocorre durante a encriptação, onde parte da chave pública é sobrescrita, impossibilitando a combinação com a chave privada correspondente. A empresa de segurança Veeam, que reportou o incidente, não revelou os nomes das vítimas, mas destacou a gravidade da situação, especialmente para organizações que não possuem políticas de segurança robustas. Este evento ressalta a importância de medidas preventivas e de backup eficazes para mitigar os riscos associados a ataques de ransomware.

Peabody, MA confirma vazamento de dados de 48 mil residentes

A cidade de Peabody, Massachusetts, notificou 48.004 residentes sobre um vazamento de dados ocorrido em junho de 2025, que comprometeu números de Seguro Social, informações financeiras e carteiras de motorista. O grupo de ransomware Interlock reivindicou a responsabilidade pelo ataque, alegando ter roubado 124 GB de dados da rede governamental de Peabody. Embora a cidade tenha confirmado o acesso não autorizado a seus sistemas entre 13 de junho e 8 de julho de 2025, não há confirmação se um resgate foi pago ou como os atacantes conseguiram invadir a rede. Para mitigar os danos, Peabody está oferecendo monitoramento de crédito gratuito aos afetados até 5 de maio de 2026. O Interlock, que começou a operar em outubro de 2024, já reivindicou 41 ataques confirmados, incluindo seis contra entidades governamentais em 2025. Os ataques de ransomware a entidades governamentais nos EUA têm aumentado, comprometendo dados pessoais de mais de 630.000 pessoas em 2025. O impacto desses ataques pode ser severo, resultando em perda de dados, interrupções em serviços essenciais e riscos aumentados de fraudes.

Sermo confirma vazamento de dados e ataque de ransomware

A rede social Sermo, voltada para médicos, notificou 2.674 pessoas sobre um vazamento de dados ocorrido em março de 2024, que expôs números de Seguro Social. O grupo de ransomware Black Basta reivindicou a responsabilidade pelo ataque, alegando ter roubado 700 GB de dados. Embora Sermo tenha identificado Black Basta como o responsável, outro grupo, Medusa, também afirmou ter hackeado a plataforma e exigiu um resgate de US$ 500.000. A investigação revelou que o acesso não autorizado ocorreu entre 19 de março e 10 de abril de 2024, e a empresa enfrentou dificuldades para acessar os dados vazados, levando a um atraso na divulgação do incidente. Como compensação, Sermo está oferecendo 12 meses de monitoramento de crédito gratuito para as vítimas. O ataque destaca a vulnerabilidade do setor de saúde a ataques de ransomware, que podem comprometer dados sensíveis e impactar a segurança dos pacientes. Em 2024, foram registrados 32 ataques confirmados a empresas do setor de saúde, comprometendo mais de 196 milhões de registros. O incidente ressalta a necessidade de medidas de segurança robustas para proteger informações críticas.

Grupo de ransomware Warlock compromete rede da SmarterTools

A SmarterTools confirmou que sua rede foi invadida pelo grupo de ransomware Warlock (também conhecido como Storm-2603) ao explorar uma instância do SmarterMail que não estava atualizada. O incidente ocorreu em 29 de janeiro de 2026, quando um servidor de e-mail, que não recebeu as atualizações necessárias, foi comprometido. A empresa tinha cerca de 30 servidores com SmarterMail, mas um deles, configurado por um funcionário, não estava sendo monitorado. Embora a SmarterTools tenha garantido que a violação não afetou seu site ou dados de clientes, cerca de 12 servidores Windows e um centro de dados secundário foram impactados. O grupo Warlock utilizou vulnerabilidades conhecidas, como CVE-2026-23760 e CVE-2026-24423, para obter acesso não autorizado e implantar ransomware. A CISA confirmou que essas falhas estavam sendo ativamente exploradas em ataques de ransomware. A SmarterTools recomenda que os usuários atualizem para a versão mais recente do SmarterMail para garantir proteção adequada.

Nova família de ransomware Reynolds usa técnica BYOVD para evasão

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova família de ransomware chamada Reynolds, que incorpora um componente de ‘bring your own vulnerable driver’ (BYOVD) para evadir defesas. O BYOVD é uma técnica que explora drivers legítimos, mas vulneráveis, para escalar privilégios e desativar soluções de Detecção e Resposta de Endpoint (EDR), permitindo que atividades maliciosas passem despercebidas. Neste caso, o ransomware inclui um driver vulnerável da NsecSoft, que é utilizado para encerrar processos de programas de segurança como Avast e Symantec. Essa abordagem não é nova, tendo sido observada em ataques anteriores, como o Ryuk em 2020. Além disso, a campanha Reynolds também utilizou um loader suspeito semanas antes do ransomware ser implantado, e um programa de acesso remoto foi instalado um dia após a infecção. A técnica BYOVD é popular entre atacantes devido à sua eficácia e ao uso de arquivos legítimos, que não levantam suspeitas. O aumento da atividade de ransomware, com 4.737 ataques registrados em 2025, destaca a necessidade de vigilância constante e atualização das defesas de segurança.

Ataques de ransomware aumentam em janeiro de 2026

O início de 2026 foi marcado por um aumento significativo nos ataques de ransomware, totalizando 711 incidentes em janeiro, um número que, embora ligeiramente inferior ao de dezembro de 2025, representa um aumento de 33% em relação ao mesmo mês do ano anterior. Os setores mais afetados incluem finanças e tecnologia, com aumentos de 24% e 12%, respectivamente. O Reino Unido registrou um aumento alarmante de 83% nos ataques, enquanto os Estados Unidos e a Alemanha observaram uma diminuição. Um novo grupo de ransomware, 0APT, reivindicou mais de 80 vítimas, mas muitas de suas alegações não foram verificadas. Entre os ataques confirmados, 34 foram direcionados a empresas, 10 a entidades governamentais e 6 ao setor de saúde. O grupo Qilin liderou em ataques confirmados, seguido por Clop e Akira. O total de dados roubados ultrapassou 104 TB. O setor de saúde viu uma queda de 27% nos ataques, mas o número de ataques confirmados aumentou. A situação exige atenção especial dos profissionais de cibersegurança, especialmente em setores críticos como finanças e saúde.

Grupo de ransomware Warlock compromete rede da SmarterTools

A SmarterTools confirmou na semana passada que a gangue de ransomware Warlock invadiu sua rede após comprometer um sistema de e-mail, embora não tenha afetado aplicações comerciais ou dados de contas. O incidente ocorreu em 29 de janeiro, quando uma máquina virtual (VM) do SmarterMail, configurada por um funcionário, foi explorada. A empresa tinha cerca de 30 servidores/VMs com SmarterMail, mas uma delas não estava atualizada, permitindo que os atacantes acessassem a rede. Apesar de a SmarterTools garantir que os dados dos clientes não foram diretamente impactados, 12 servidores Windows na rede de escritório da empresa e um centro de dados secundário foram comprometidos. Os atacantes se moveram lateralmente pela rede usando o Active Directory e ferramentas específicas do Windows. A vulnerabilidade explorada foi a CVE-2026-23760, que permite a redefinição de senhas de administrador. Embora os operadores de ransomware tenham tentado criptografar os sistemas, produtos de segurança da Sentinel One impediram a execução da criptografia, e os dados foram restaurados a partir de backups. A empresa recomenda que os administradores atualizem para a versão Build 9511 ou posterior para corrigir as falhas recentes.

Ataque de ransomware causa interrupção em provedor de pagamentos nos EUA

Um ataque de ransomware afetou gravemente os sistemas da BridgePay Network Solutions, um importante provedor de soluções de pagamento nos Estados Unidos. O incidente, que começou na sexta-feira, resultou em uma interrupção generalizada dos serviços de processamento de cartões, impactando comerciantes em todo o país. A BridgePay confirmou que a causa da interrupção foi um ataque cibernético e que não houve comprometimento de dados de cartões de pagamento, pois os arquivos acessados estavam criptografados. A empresa está colaborando com a polícia federal, incluindo o FBI, e equipes externas de forense e recuperação para investigar o incidente. Os comerciantes afetados relataram que estavam limitados a aceitar apenas pagamentos em dinheiro devido à falha nos sistemas de processamento de cartões. A BridgePay ainda não forneceu uma estimativa para a recuperação total, mas enfatizou que o processo está sendo conduzido de maneira segura e responsável. Este incidente destaca a crescente onda de ataques de ransomware direcionados à infraestrutura de pagamento, que pode rapidamente interromper o comércio no mundo real.

Hackers alugam ransomware sob medida por R 1.300 para atacar o Brasil

O Brasil enfrenta uma nova ameaça cibernética com o surgimento do ransomware Vect, que começou a operar em janeiro de 2026. Este malware, desenvolvido em C++ e sem reaproveitamento de códigos antigos, é parte do modelo Ransomware-as-a-Service (RaaS), permitindo que hackers aluguem suas capacidades por R$ 1.300 em criptomoeda Monero. O Vect se destaca por sua sofisticação técnica, utilizando o algoritmo de encriptação AEAD ChaCha20-Poly1305, que é significativamente mais rápido que o AES-256-GCM. Ele é capaz de afetar sistemas operacionais como Windows e Linux, além de ambientes de virtualização VMware ESXi.

Universidade La Sapienza de Roma sofre ataque cibernético

A Universidade La Sapienza, em Roma, foi alvo de um ciberataque que afetou seus sistemas de TI, resultando em interrupções operacionais significativas. A instituição, que é a maior da Europa em número de alunos, com mais de 112.500 matriculados, anunciou o incidente em uma postagem nas redes sociais, informando que sua infraestrutura de TI foi comprometida. Como medida de precaução, a universidade decidiu desligar imediatamente seus sistemas de rede para garantir a integridade dos dados. Embora detalhes sobre o tipo de ataque e os responsáveis não tenham sido amplamente divulgados, informações da imprensa italiana sugerem que se trata de um ataque de ransomware, possivelmente realizado por um grupo pro-Rússia chamado Femwar02, que resultou na criptografia de dados. A universidade está colaborando com o CSIRT italiano e especialistas da Agenzia per la Cybersicurezza Nazionale para restaurar os sistemas a partir de backups que, segundo relatos, não foram afetados. Enquanto isso, pontos de informação temporários foram estabelecidos para ajudar alunos e funcionários durante a recuperação. A situação alerta para a necessidade de vigilância contra ataques de phishing, uma vez que dados roubados podem ser vendidos ou divulgados na internet.

Operadores de ransomware abusam de VMs legítimas para ataques

Pesquisadores da Sophos identificaram uma nova tática utilizada por operadores de ransomware, que consiste em abusar de máquinas virtuais (VMs) fornecidas pela ISPsystem, uma empresa legítima de gerenciamento de infraestrutura virtual. Durante a investigação de incidentes recentes relacionados ao ransomware ‘WantToCry’, foi observado que os atacantes utilizavam VMs Windows com nomes de host idênticos, indicando o uso de templates padrão do VMmanager da ISPsystem. Essa prática foi encontrada em várias infraestruturas de grupos de ransomware conhecidos, como LockBit e Conti. A ISPsystem, que oferece uma plataforma de gerenciamento de virtualização, não parece estar ciente do uso indevido de seus templates, que reutilizam nomes de host e identificadores de sistema, facilitando a operação de cibercriminosos. A maioria das VMs maliciosas foi hospedada por provedores com má reputação, o que complica a atribuição de responsabilidades e torna a remoção rápida dessas infraestruturas improvável. A Sophos destaca que quatro nomes de host da ISPsystem representam mais de 95% das VMs expostas à internet associadas a atividades cibercriminosas.

Ciberataque interrompe operações da Conpet, operadora de oleodutos da Romênia

A Conpet, operadora nacional de oleodutos da Romênia, sofreu um ciberataque que afetou seus sistemas corporativos e derrubou seu site na terça-feira. A empresa, que gerencia quase 4.000 quilômetros de rede de oleodutos, informou que, apesar da interrupção em sua infraestrutura de TI, suas operações de transporte de petróleo e derivados não foram comprometidas. A Conpet está investigando o incidente com a ajuda das autoridades de cibersegurança do país e notificou a Diretoria de Investigação do Crime Organizado e do Terrorismo (DIICOT), apresentando uma queixa criminal. O grupo de ransomware Qilin reivindicou a responsabilidade pelo ataque, alegando ter roubado cerca de 1TB de documentos e vazado informações internas, incluindo dados financeiros e cópias de passaportes. Este ataque segue uma série de incidentes cibernéticos que afetaram outras entidades romenas, como a Autoridade de Águas da Romênia e o Complexo Energético Oltenia, evidenciando um aumento nas ameaças cibernéticas no país.

Grupos de ransomware exploram vulnerabilidade crítica do VMware ESXi

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) confirmou que grupos de ransomware começaram a explorar uma vulnerabilidade crítica no VMware ESXi, identificada como CVE-2025-22225. Esta falha, que permite a escrita arbitrária no kernel e a fuga do ambiente de sandbox, foi corrigida pela Broadcom em março de 2025, juntamente com outras vulnerabilidades. A exploração dessa falha é particularmente preocupante, pois pode ser encadeada com outras vulnerabilidades para comprometer sistemas virtuais. A CISA já havia classificado essa vulnerabilidade como um zero-day e alertou agências federais para que tomassem medidas de segurança até 25 de março de 2025. Relatórios indicam que atores de ameaças que falam chinês estão utilizando essas falhas em ataques sofisticados desde fevereiro de 2024. A CISA também destacou que a exploração de vulnerabilidades do VMware é comum entre grupos de ransomware, devido à ampla utilização desses produtos em sistemas empresariais que armazenam dados sensíveis. O alerta é um chamado à ação para que as organizações revisem suas defesas e apliquem as correções necessárias para evitar possíveis ataques.

Grupo de ransomware Lynx ataca saúde pública em Ontário, Canadá

O grupo de ransomware Lynx reivindicou um ataque cibernético à Lakelands Public Health, em Ontário, Canadá, que ocorreu em 29 de janeiro de 2026. O incidente afetou sistemas internos, incluindo linhas telefônicas, e a organização confirmou a descoberta de um problema de cibersegurança em 3 de fevereiro. Lynx alegou ter acessado e roubado dados confidenciais da instituição, publicando amostras de documentos em seu site de vazamento de dados. No entanto, a Lakelands Public Health não confirmou a autenticidade das alegações e não forneceu detalhes sobre a natureza dos dados comprometidos, se um resgate foi pago ou como a rede foi invadida. A organização está colaborando com autoridades e especialistas em cibersegurança para mitigar o impacto do ataque. Este incidente é parte de um aumento de 31% nos ataques de ransomware em organizações canadenses em 2025, com Lynx sendo responsável por 49 ataques confirmados desde sua formação em julho de 2024. O ataque à Lakelands Public Health é o primeiro incidente confirmado em 2026, destacando a crescente ameaça de ransomware, especialmente em setores críticos como a saúde pública.

Instâncias de MongoDB sofrem ataques de extorsão de dados

Recentemente, mais de 200.000 servidores MongoDB foram identificados como mal configurados, com cerca de 3.000 deles expostos sem senhas. Esses servidores estão sendo alvo de ataques de extorsão, onde hackers apagaram dados e deixaram notas de resgate exigindo pagamentos em bitcoin. A pesquisa da Flare revelou que aproximadamente metade dos servidores expostos contém informações operacionais sensíveis. Além disso, muitos desses servidores estão rodando versões desatualizadas do MongoDB, que são vulneráveis a falhas conhecidas e desconhecidas, aumentando o risco de acesso persistente e negação de serviço (DoS). Os administradores de sistemas são aconselhados a verificar suas configurações e garantir que suas instâncias não estejam expostas à internet sem as devidas proteções, como senhas fortes e regras de firewall rigorosas. O cenário é alarmante, pois a maioria dos servidores vulneráveis pode ser facilmente acessada, e a falta de segurança pode resultar em perdas significativas de dados e financeiros.