Ransomware

A Rockrose Development notificou 47.392 pessoas sobre um vazamento de dados ocorrido em julho de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, identificações fiscais, números de carteira de motorista, passaportes, informações financeiras e dados médicos. O grupo de ransomware Play reivindicou a responsabilidade pelo ataque, alegando ter roubado documentos relacionados a clientes, contabilidade e informações financeiras. A Rockrose não confirmou se pagou um resgate ou como a violação ocorreu. A empresa está oferecendo 24 meses de proteção de identidade gratuita aos afetados. O ataque é parte de uma tendência crescente de ataques de ransomware em empresas de construção e desenvolvimento imobiliário nos EUA, com 12 ataques confirmados em 2025, comprometendo mais de 69 mil registros. O ataque à Rockrose é o maior registrado desde 2018, destacando a vulnerabilidade do setor a esse tipo de crime cibernético.

O grupo hacktivista pro-Rússia conhecido como CyberVolk, também chamado de GLORIAMIST, voltou a atuar com uma nova oferta de ransomware como serviço (RaaS) chamada VolkLocker. Lançado em agosto de 2025, o VolkLocker é capaz de atacar sistemas Windows e Linux, utilizando a linguagem de programação Golang. Apesar de suas características típicas de ransomware, como a modificação do Registro do Windows e a exclusão de cópias de sombra, uma análise revelou uma falha crítica: as chaves mestres do ransomware estão codificadas nos binários e são armazenadas em um arquivo de texto simples na pasta %TEMP%, permitindo que as vítimas recuperem seus arquivos sem pagar o resgate. O ransomware utiliza criptografia AES-256 em modo Galois/Counter (GCM) e impõe um timer que apaga pastas do usuário se o pagamento não for realizado em 48 horas ou se a chave de descriptografia for inserida incorretamente três vezes. O CyberVolk também oferece um trojan de acesso remoto e um keylogger, ampliando sua estratégia de monetização. A operação é gerenciada via Telegram, com preços variando de $800 a $2,200, dependendo do sistema operacional. Apesar das tentativas de banimento de contas no Telegram, o grupo conseguiu restabelecer suas operações, refletindo uma tendência crescente entre grupos de ameaças politicamente motivadas.

A fabricante nova-iorquina Fieldtex notificou 247.363 pessoas sobre uma violação de dados ocorrida em agosto de 2025, afetando informações pessoais de membros do programa de benefícios de saúde. O ataque cibernético, reivindicado pelo grupo de ransomware Akira, comprometeu dados como nomes, endereços, datas de nascimento e números de identificação de membros de planos de saúde. A Fieldtex, que fabrica equipamentos médicos e kits de primeiros socorros, confirmou a atividade não autorizada em seus sistemas em 19 de agosto de 2025. Embora o grupo Akira tenha afirmado ter roubado 14 GB de dados da marca E-First Aid Supplies, a empresa não confirmou a veracidade da alegação, mas admitiu que informações de saúde protegidas foram impactadas. A Fieldtex está oferecendo monitoramento de crédito gratuito para as vítimas. O ataque é um dos maiores registrados em 2025, destacando a crescente ameaça de ransomware no setor de saúde, que já contabiliza 19 ataques confirmados a empresas que não prestam cuidados diretos, comprometendo cerca de 5,8 milhões de registros pessoais.

Entre janeiro e novembro de 2025, o grupo de ransomware Akira reivindicou 683 ataques, tornando-se a segunda variante mais ativa do ano, atrás do Qilin, que teve 864 ataques no mesmo período. Este número já supera mais do que o dobro dos 272 ataques registrados em 2024. A atividade do Akira apresentou dois picos notáveis, com um aumento significativo no primeiro trimestre de 2025, seguido por uma queda entre abril e julho, e um novo aumento nos últimos meses, impulsionado pela exploração de vulnerabilidades do SonicWall SSL VPN (CVE-2024-40766). O FBI e outras agências dos EUA emitiram um alerta sobre a atividade do Akira, destacando a ameaça iminente à infraestrutura crítica. Até setembro de 2025, o grupo alegou ter arrecadado aproximadamente 244,17 milhões de dólares em resgates. Os alvos principais incluem pequenas e médias empresas, com um foco crescente em fabricantes, enquanto os ataques ao setor educacional diminuíram drasticamente. Os Estados Unidos foram o país mais afetado, com 455 ataques, seguidos por Alemanha e Canadá. O Akira também é conhecido por suas altas demandas de resgate, com casos documentados de valores que chegam a 1,4 milhão de dólares.

O grupo de ransomware Inc reivindicou a responsabilidade por um ataque cibernético ocorrido em novembro de 2025 contra a Rainbow Communications, uma provedora de telefonia e internet rural no nordeste do Kansas. No dia 16 de novembro, a Rainbow anunciou problemas de serviço devido a um evento de cibersegurança que afetou a telefonia e a internet de seus clientes, com a normalização dos serviços ocorrendo em 19 de novembro. O grupo alegou ter roubado 200 GB de dados, incluindo informações contábeis, de recursos humanos e dados de clientes, e publicou amostras desses documentos em seu site de vazamento de dados. Até o momento, a Rainbow não confirmou as alegações do grupo, e detalhes sobre a extensão da violação, o número de pessoas afetadas, se um resgate foi pago ou como a rede foi comprometida permanecem desconhecidos. O grupo Inc, que surgiu em julho de 2023, já foi responsável por 54 ataques confirmados em 2025, afetando setores como saúde, educação e governo. Os ataques de ransomware em empresas de utilidade nos EUA têm se tornado cada vez mais comuns, resultando em interrupções significativas nos serviços e riscos de fraude para os clientes.

A gangue de ransomware DragonForce reivindicou um ataque cibernético à cidade de La Vergne, no Tennessee, que resultou na interrupção dos sistemas de computador da administração local. Em um comunicado emitido em 17 de outubro de 2025, os oficiais da cidade informaram que estavam investigando um incidente de rede que comprometeu os servidores do governo, com a gangue afirmando ter roubado 382 GB de dados. DragonForce deu um prazo de uma semana para que a cidade pagasse um valor não revelado em resgate, ameaçando divulgar os dados roubados caso a exigência não fosse atendida. Embora a cidade tenha tomado medidas imediatas para isolar os sistemas afetados e envolvido profissionais de cibersegurança e autoridades policiais, ainda não há confirmação sobre a veracidade das alegações da gangue. Este ataque é parte de uma tendência crescente de ataques de ransomware a entidades governamentais nos Estados Unidos, com mais de 70 incidentes confirmados em 2025, comprometendo cerca de 450 mil registros. A situação destaca a vulnerabilidade das infraestruturas governamentais e a necessidade urgente de medidas de proteção e resposta a incidentes.

O grupo de cibercriminosos conhecido como Storm-0249 está mudando sua abordagem, deixando de ser apenas um corretor de acesso inicial para adotar táticas mais sofisticadas, como spoofing de domínio, side-loading de DLL e execução de PowerShell sem arquivo, visando facilitar ataques de ransomware. Segundo um relatório da ReliaQuest, essas técnicas permitem que o grupo contorne defesas, infiltre redes e opere de forma indetectável, o que representa uma preocupação significativa para as equipes de segurança. O Storm-0249, que já foi identificado pela Microsoft como um corretor de acesso inicial, tem colaborado com outros grupos de ransomware, como o Storm-0501, vendendo acesso a redes corporativas. Recentemente, o grupo utilizou uma campanha de phishing com temas relacionados a impostos para infectar usuários nos EUA. Uma das táticas mais recentes envolve o uso de engenharia social para induzir as vítimas a executar comandos maliciosos, utilizando o utilitário legítimo “curl.exe” para baixar scripts PowerShell de domínios falsificados que imitam a Microsoft. Isso resulta na execução de pacotes MSI maliciosos com privilégios de sistema, permitindo que o grupo mantenha comunicação com servidores de comando e controle de forma furtiva. A mudança para ataques mais precisos, que exploram a confiança em processos assinados, aumenta o risco de ataques de ransomware direcionados, especialmente em um cenário onde grupos como LockBit e ALPHV utilizam identificadores de sistema únicos para criptografar dados de forma eficaz.

Organizações canadenses estão sendo alvo de uma campanha cibernética direcionada, orquestrada pelo grupo de ameaças STAC6565, conforme relatado pela empresa de cibersegurança Sophos. Entre fevereiro de 2024 e agosto de 2025, foram investigadas quase 40 intrusões ligadas a esse ator, que também é associado ao grupo de hackers Gold Blade. Inicialmente focado em espionagem cibernética, o grupo evoluiu para uma operação híbrida que combina roubo de dados com ataques de ransomware, utilizando um malware personalizado chamado QWCrypt.

O cenário de cibersegurança está em constante evolução, com ameaças cada vez mais sofisticadas e direcionadas. Um relatório recente da Bridewell destaca a crescente incidência de táticas de roubo de dados e extorsão, onde grupos de ransomware, como Warlock e Clop, têm priorizado a exfiltração de informações sensíveis em vez da simples criptografia de dados. O ataque à Colt Technology Services, que resultou no roubo de centenas de gigabytes de dados, exemplifica essa mudança de abordagem, onde os atacantes ameaçaram divulgar informações se o resgate não fosse pago. Além disso, a exploração de vulnerabilidades em dispositivos de rede e software de transferência de arquivos, como o MOVEit, tem sido uma estratégia comum entre os cibercriminosos. Os grupos de ransomware também estão se adaptando para evitar sistemas de Detecção e Resposta de Endpoint (EDR), utilizando ferramentas que se disfarçam como operações normais do sistema. À medida que as organizações enfrentam essas ameaças, é crucial que implementem medidas proativas de segurança, como o monitoramento contínuo e a atualização de sistemas, para se protegerem contra esses ataques em evolução.

Um grave incidente de segurança cibernética ocorreu com a ASUS, uma das principais fabricantes de hardware e eletrônicos do mundo. O grupo de ransomware Everest anunciou ter roubado mais de 1 TB de dados da empresa, incluindo o código-fonte de câmeras, o que pode comprometer a segurança de dispositivos como notebooks e smartphones. Os hackers exigiram que a ASUS se comunicasse com eles em um prazo de 21 horas através de uma plataforma de mensagens criptografadas, mas não divulgaram o valor do resgate. A ASUS ainda não se pronunciou sobre a violação. Este ataque se junta a uma série de ações do Everest contra grandes organizações, incluindo a Petrobras e a Under Armour, levantando preocupações sobre a segurança de dados sensíveis e a integridade de sistemas críticos. Especialistas alertam que a violação pode ter afetado firmware e drivers internos, aumentando o risco de exploração de vulnerabilidades em dispositivos da empresa. O ataque à ASUS destaca a crescente ameaça de grupos de ransomware e a necessidade urgente de medidas de segurança robustas.

O grupo de ransomware Rhysida reivindicou um ataque cibernético ao Escritório do Xerife do Condado de Cleveland, em Oklahoma, ocorrido em 20 de novembro de 2025. O ataque comprometeu partes do sistema interno do escritório, resultando na exigência de um resgate de 9 bitcoins, equivalente a aproximadamente $787.000. Para corroborar suas alegações, Rhysida divulgou imagens de documentos que supostamente foram roubados, incluindo cartões de Seguro Social, checagens de antecedentes criminais e registros médicos. Embora o escritório do xerife tenha confirmado a ocorrência do ataque, não houve verificação da autenticidade das informações divulgadas pelo grupo. Até o momento, não se sabe como os atacantes conseguiram acessar a rede do escritório ou se o resgate será pago. O grupo Rhysida, que surgiu em maio de 2023, já reivindicou 246 ataques de ransomware, afetando diversas agências governamentais nos EUA. Em 2025, foram registrados 72 ataques confirmados a entidades governamentais nos EUA, comprometendo cerca de 450.000 registros, com um resgate médio de $1,18 milhão. O ataque ao escritório do xerife destaca a crescente ameaça de ransomware a instituições governamentais e a necessidade de medidas de segurança robustas.

Em novembro de 2025, o número de ataques de ransomware totalizou 659, apresentando uma leve queda de 5% em relação a outubro. O setor de saúde viu uma redução significativa, com ataques caindo 44%, enquanto empresas do setor de saúde, como farmacêuticas, enfrentaram um aumento de 43%. O setor de manufatura também registrou um aumento expressivo de 35%, e a educação teve um crescimento de 24%. Os grupos de ransomware mais ativos foram Qilin, Akira e Clop, com Qilin liderando com 107 ataques confirmados. Os dados indicam que mais de 31.200 TB de dados foram supostamente roubados, com um ataque específico alegando a violação de 31.063.838 GB de uma fabricante nos EUA. Os EUA foram o país mais afetado, com 354 ataques, seguidos pelo Canadá e Reino Unido. O artigo destaca a importância de monitorar e proteger sistemas, especialmente em setores vulneráveis como saúde e educação, onde os ataques têm consequências diretas para a segurança de dados sensíveis.

A gangue de ransomware conhecida como Inc reivindicou um ataque cibernético ao Valley View Independent School District, no Texas, ocorrido em 29 de novembro de 2025. O distrito confirmou, em 10 de novembro, que seus sistemas de computador e linhas telefônicas foram afetados. Inc alegou ter roubado 68 GB de dados e deu ao distrito um prazo de duas semanas para pagar um valor de resgate não divulgado. Para corroborar sua afirmação, a gangue publicou imagens de documentos que afirma ter obtido. Até o momento, o distrito não confirmou a veracidade das alegações da gangue, e detalhes sobre como os atacantes conseguiram acessar a rede ainda não foram divulgados. A Inc, que surgiu em meados de 2023, utiliza métodos como spear phishing e exploração de vulnerabilidades conhecidas, operando sob um modelo de ransomware como serviço. Em 2025, a gangue já reivindicou 51 ataques confirmados, sendo 17 direcionados ao setor educacional. Os ataques de ransomware têm o potencial de interromper operações diárias em instituições de ensino, afetando a comunicação, a gestão de dados e a segurança dos alunos e funcionários.

A JASCO Applied Sciences, uma consultoria científica canadense, notificou residentes dos EUA sobre uma violação de dados resultante de um ataque cibernético iniciado em julho de 2025. O grupo de ransomware Rhysida reivindicou a responsabilidade pelo ataque em outubro, exigindo um resgate de 10 bitcoins, equivalente a aproximadamente 1,22 milhão de dólares americanos. A violação foi descoberta em 21 de julho, mas a empresa só confirmou a aquisição de informações pessoais em 20 de outubro. Os dados comprometidos incluem nomes, informações de contato, datas de nascimento, números de contas bancárias, números de Seguro Social, informações fiscais, números de carteira de motorista, números de cartões de saúde e informações de passaporte. Até o momento, 66 residentes dos EUA foram informados sobre o incidente. Rhysida, que tem laços com o grupo Vice Society, já realizou 95 ataques confirmados desde sua origem em maio de 2023, afetando cerca de 5,5 milhões de registros. Este ataque à JASCO destaca a vulnerabilidade de empresas que oferecem serviços a múltiplos setores, tornando-se alvos atrativos para grupos de ransomware.

A Gainsight, empresa de software de gestão de clientes, anunciou que um ataque cibernético afetou mais clientes do que o inicialmente reportado. A Salesforce, parceira da Gainsight, detectou atividades suspeitas em aplicações publicadas pela Gainsight, levando à revogação de acessos e tokens. O grupo de cibercrime ShinyHunters reivindicou a responsabilidade pelo ataque. Embora a Gainsight não tenha divulgado o número exato de clientes afetados, seu CEO mencionou que apenas alguns tiveram dados comprometidos. Como medida de precaução, empresas como Zendesk e HubSpot suspenderam integrações com a Gainsight. A Gainsight também listou produtos que estão temporariamente sem acesso ao Salesforce, como Customer Success e Community. Para mitigar riscos, a Gainsight recomenda que seus clientes rotacionem chaves de acesso e reautorizem aplicações conectadas. O incidente ocorre em um contexto de crescente atividade de ransomware, com o surgimento de uma nova plataforma chamada ShinySp1d3r, que apresenta características inovadoras e potencializa as ameaças cibernéticas. O ataque destaca a necessidade de vigilância constante e ações proativas para proteger dados sensíveis.

O setor financeiro da Coreia do Sul foi alvo de um sofisticado ataque de cadeia de suprimentos, resultando na implementação do ransomware Qilin. Segundo a Bitdefender, esse ataque envolveu um grupo de Ransomware-as-a-Service (RaaS) e possivelmente atores ligados ao estado norte-coreano, utilizando a violação de um Provedor de Serviços Gerenciados (MSP) como vetor de acesso inicial. Em outubro de 2025, o Qilin se destacou por um crescimento explosivo, atingindo mais de 180 vítimas, com 29% de todos os ataques de ransomware atribuídos a esse grupo. A análise revelou que 25 casos de ransomware na Coreia do Sul em setembro foram exclusivamente atribuídos ao Qilin, com 24 das vítimas pertencendo ao setor financeiro. Os atacantes se autodenominaram ‘Korean Leaks’, e a campanha foi marcada por uma abordagem de propaganda, ameaçando expor corrupção sistêmica e manipulação do mercado financeiro. O ataque resultou no roubo de mais de 1 milhão de arquivos e 2 TB de dados de 28 vítimas. Para mitigar riscos semelhantes, a Bitdefender recomenda a implementação de autenticação multifator (MFA) e a aplicação do Princípio do Menor Privilégio (PoLP).

O grupo de ransomware conhecido como Devman reivindicou um ataque cibernético contra a Georgia Superior Court Clerks’ Cooperative Authority (GSCCCA), que resultou na interrupção do acesso ao seu site. O ataque ocorreu no final de semana, e o grupo afirmou ter roubado 500 GB de dados, exigindo um pagamento de resgate em um prazo de três dias, que já expirou. A GSCCCA, em sua página no Facebook, confirmou a ameaça cibernética e ativou protocolos de segurança defensiva, restringindo temporariamente o acesso aos seus serviços. Embora a GSCCCA não tenha confirmado a reivindicação de Devman, o grupo é conhecido por operar um modelo de ransomware como serviço, permitindo que afiliados lancem ataques utilizando sua infraestrutura. Desde abril de 2025, Devman já atacou mais de 50 organizações, incluindo agências governamentais. Em 2025, foram registrados 71 ataques de ransomware em entidades governamentais dos EUA, com um resgate médio de 1,2 milhão de dólares. O impacto desses ataques pode ser severo, resultando em perda de dados e interrupção de serviços essenciais, o que levanta preocupações sobre a segurança cibernética em instituições públicas.

Um estudo da Beazley Security revelou que 48% dos ataques de ransomware têm início com o roubo de credenciais de VPN, um aumento alarmante de 38% em relação ao trimestre anterior. Os cibercriminosos utilizam técnicas como o credential stuffing para acessar redes privadas virtuais, explorando vulnerabilidades como a falta de Autenticação Multifator (MFA). Além disso, 23% dos ataques foram realizados através da exploração de serviços externos. A pesquisa também destacou que 65% dos sequestros digitais foram perpetrados por três grupos criminosos notórios. O aumento nos vazamentos de dados sensíveis, que subiu 11% em comparação ao trimestre anterior, gera preocupação entre especialistas em segurança. É fundamental que as empresas escolham cuidadosamente seus provedores de VPN e implementem medidas de segurança adicionais, como antivírus e políticas de proteção de dados, para mitigar esses riscos. O uso de VPNs, embora ofereça uma navegação mais segura, não garante proteção contra ataques de phishing e ransomware, exigindo uma abordagem holística de segurança digital.

O grupo cibercriminoso Everest, especializado em ransomware, anunciou ter invadido a Petrobras, uma das maiores empresas do Brasil, e sua parceira SAExploration. Os hackers afirmam ter roubado mais de 176 gigabytes de dados, dos quais mais de 90 GB pertencem diretamente à Petrobras. Esses dados incluem informações críticas sobre navegação sísmica, como posicionamento de navios e medições de profundidade, essenciais para a indústria de petróleo e gás. O grupo deu um prazo de quatro dias para que a Petrobras inicie negociações de resgate, sob a ameaça de divulgar os dados ao público. A divulgação dessas informações poderia permitir que concorrentes replicassem métodos da Petrobras, reduzindo custos e aumentando a competitividade. A invasão foi confirmada por capturas de tela publicadas pelos hackers, que também se comunicaram com a empresa através de uma mensagem encriptada. Este incidente destaca a crescente ameaça de ransomware e a vulnerabilidade de grandes corporações a ataques cibernéticos.

O grupo de ransomware Sinobi reivindicou um ataque cibernético contra o Heywood Healthcare, localizado em Massachusetts, que resultou na paralisação dos sistemas de TI em suas duas unidades: Heywood Hospital em Gardner e Athol Hospital em Athol. O ataque, que começou em 12 de outubro, levou à interrupção de serviços essenciais, embora a maioria tenha sido restaurada até 31 de outubro. Sinobi afirmou ter roubado 550 GB de dados e exigiu um resgate não revelado. Até o momento, Heywood não confirmou a veracidade da reivindicação do grupo, e detalhes sobre o número de pessoas afetadas e a natureza dos dados comprometidos permanecem desconhecidos. O Sinobi é conhecido por operar um esquema de ransomware como serviço, permitindo que afiliados utilizem sua infraestrutura para realizar ataques. Em 2025, foram registrados 75 ataques confirmados de ransomware em provedores de saúde nos EUA, comprometendo cerca de 7,6 milhões de registros. A situação ressalta a vulnerabilidade do setor de saúde a ataques cibernéticos, que podem comprometer a segurança e a privacidade dos pacientes.

A Tata Motors, proprietária da Jaguar Land Rover (JLR), divulgou que um ciberataque de ransomware ocorrido em setembro resultou em um prejuízo de £ 196 milhões (aproximadamente R$ 1,3 bilhão). O ataque interrompeu a produção nas fábricas da JLR por quase um mês, impactando significativamente os resultados financeiros da empresa. No relatório do segundo semestre, a JLR registrou uma queda de 24% na receita em comparação ao ano anterior, totalizando £ 4,9 bilhões (R$ 34 bilhões). O prejuízo total do período foi de £ 485 milhões (R$ 3,3 bilhões), enquanto no ano anterior a empresa havia reportado um lucro de £ 398 milhões (R$ 2,7 bilhões).

A Fulgar, uma renomada produtora de fios sintéticos, confirmou ter sido alvo de um ataque de ransomware vinculado ao grupo RansomHouse. Os atacantes publicaram documentos internos, incluindo informações financeiras, listas de clientes e comunicações sensíveis, em seu site de vazamento no dia 12 de novembro, alegando que os dados estavam criptografados desde 31 de outubro. A Fulgar, que fornece para grandes marcas como H&M e Adidas, opera em várias regiões, incluindo Europa, Sri Lanka e Turquia. O ataque destaca a vulnerabilidade de grandes fornecedores, mostrando que mesmo empresas consolidadas podem ser comprometidas. A divulgação de informações confidenciais pode facilitar tentativas de phishing direcionadas, aumentando os riscos para a empresa e seus parceiros. O grupo RansomHouse, ativo desde 2021, já listou mais de cem vítimas, e as autoridades cibernéticas dos EUA o associaram a atores iranianos. A proteção contra roubo de identidade e o uso de software antivírus eficaz são essenciais para mitigar riscos adicionais durante esses períodos de incerteza.

O aumento dos ataques de ransomware tem gerado um intenso debate sobre a questão dos pagamentos de resgate. Em 2025, houve um crescimento de 126% nos ataques em relação ao trimestre anterior, levando o governo do Reino Unido a considerar a proibição desses pagamentos, especialmente para o setor público e infraestrutura crítica. A proposta visa desencorajar organizações de cederem a demandas de criminosos, que muitas vezes não garantem a devolução dos dados. Embora pagar um resgate possa parecer uma solução rápida, isso alimenta um ciclo de criminalidade cibernética. Em 2025, 41% das organizações admitiram ter pago resgates, mas apenas 67% conseguiram recuperar totalmente seus dados. A proibição dos pagamentos poderia forçar as organizações a se concentrarem em resiliência cibernética, planejamento de resposta a incidentes e estratégias de recuperação. Para se proteger, as empresas devem investir em provedores de serviços gerenciados (MSPs), treinamento de conscientização em segurança e planos de resposta a incidentes. A discussão sobre a proibição dos pagamentos de resgate levanta questões sobre a eficácia dessa abordagem e a necessidade de alternativas viáveis para a recuperação de dados sensíveis.

Recentemente, a vila de Mundelein, Illinois, notificou vítimas de uma violação de dados ocorrida em janeiro de 2025, onde informações pessoais sensíveis foram comprometidas. Entre os dados vazados estão números de Seguro Social, informações financeiras, dados médicos e números de identificação emitidos pelo estado, como carteiras de motorista e passaportes. O grupo de ransomware Medusa reivindicou a responsabilidade pelo ataque, alegando ter roubado 118 GB de dados do Distrito de Parques e Recreação de Mundelein. Após a violação, Medusa exigiu um resgate inicial de $400,000, que foi posteriormente reduzido para $250,000. A vila ainda não confirmou a veracidade das alegações do grupo ou se um resgate foi pago. Para mitigar os danos, Mundelein está oferecendo 24 meses de monitoramento de crédito gratuito para as vítimas afetadas. O incidente destaca a crescente ameaça de ataques de ransomware a entidades governamentais, com 69 ataques confirmados nos EUA em 2025, comprometendo dados de aproximadamente 450,000 pessoas.

O ransomware Akira está ampliando seu alcance ao atacar arquivos de disco de máquinas virtuais (VMs) da Nutanix AHV, conforme relatado por agências de segurança dos EUA, incluindo a CISA. Desde junho de 2025, o grupo tem explorado uma vulnerabilidade crítica no SonicWall SonicOS, identificada como CVE-2024-40766, que permite acesso não autorizado a recursos, resultando em falhas nos firewalls. Além disso, o Akira utiliza vulnerabilidades em servidores Veeam Backup & Replication para movimentação lateral e exclusão de backups. Até setembro de 2025, o grupo já havia extorquido mais de US$ 240 milhões em ataques de ransomware. A CISA recomenda que os usuários mantenham seus softwares atualizados e implementem autenticação multifatorial (MFA) para se protegerem contra essas ameaças. O ataque ao Nutanix AHV não é surpreendente, dado que o Akira já havia atacado outras soluções de virtualização, como VMware ESXi e Hyper-V. A situação destaca a necessidade urgente de medidas de segurança robustas em ambientes virtuais.

No terceiro trimestre de 2025, a pesquisa da Check Point revelou um aumento alarmante no número de grupos de ransomware ativos, totalizando 85, o maior já registrado. Esses grupos foram responsáveis pela divulgação de 1.592 novas vítimas em mais de 85 sites de vazamento, indicando uma atividade intensa e contínua, mesmo sob pressão das autoridades. A fragmentação do mercado de ransomware, antes dominado por grandes grupos de Ransomware-as-a-Service (RaaS), agora abriga uma variedade de operações menores e independentes, dificultando a atribuição de ataques e a eficácia das estratégias de defesa. Apesar de operações de desmantelamento de grupos como RansomHub e 8Base, a quantidade de ataques não diminuiu, pois os afiliados se reorganizam rapidamente. A reemergência do LockBit com sua versão 5.0 sugere uma possível recente centralização, oferecendo uma estrutura que pode atrair novos afiliados. Além disso, a evolução do DragonForce, que busca visibilidade através de parcerias e serviços de auditoria de dados, reflete uma mudança no marketing dentro do cibercrime. Com os Estados Unidos como principal alvo, a situação exige atenção redobrada das equipes de segurança cibernética, que devem se adaptar a um cenário em constante mudança.

Um novo relatório da CISA (Agência de Segurança Cibernética e Infraestrutura) revela que o grupo de ransomware Akira impactou mais de 250 organizações na América do Norte, Europa e Austrália desde março de 2023, coletando cerca de 42 milhões de dólares em resgates. O grupo, que visa principalmente pequenas e médias empresas, também comprometeu grandes organizações em setores críticos como manufatura, educação, TI, saúde, serviços financeiros e agricultura. O modelo de extorsão dupla utilizado pelo Akira envolve a exfiltração de dados sensíveis antes de criptografar os arquivos das vítimas, ameaçando vazamentos públicos caso o pagamento não seja feito. Desde abril de 2023, o Akira expandiu suas operações para incluir variantes que atacam sistemas Linux, demonstrando uma evolução técnica significativa. As táticas de ataque incluem a exploração de vulnerabilidades em produtos VPN não corrigidos, phishing direcionado e ataques de força bruta. A CISA recomenda que as organizações priorizem a correção de vulnerabilidades conhecidas, implementem autenticação multifator resistente a phishing e mantenham backups offline testados. O impacto do Akira ressalta a necessidade urgente de aprimorar a detecção de ameaças e preparar planos de resposta abrangentes.

O Habib Bank AG Zurich anunciou hoje que detectou acesso não autorizado à sua rede corporativa. Em 5 de novembro de 2025, o grupo de ransomware Qilin listou o banco em seu site de vazamento de dados, alegando ter roubado 2,56 TB de informações. Apesar da gravidade da situação, o banco afirmou que seus serviços bancários permanecem operacionais e que até o momento não foi identificado acesso persistente. A instituição não confirmou se pagou resgate ou como os atacantes conseguiram invadir sua rede. A equipe do banco, apoiada por especialistas em cibersegurança, está trabalhando para avaliar e mitigar o impacto do incidente. O grupo Qilin, baseado na Rússia, é conhecido por realizar ataques por meio de e-mails de phishing e já reivindicou 792 ataques de ransomware em 2025, afetando principalmente o setor financeiro. O aumento de ataques a instituições financeiras levanta preocupações sobre a segurança de dados e a conformidade com a LGPD no Brasil, uma vez que o setor bancário é um alvo frequente de cibercriminosos.

O governo do Reino Unido está considerando a implementação de uma proibição de pagamentos de resgates em casos de ransomware, visando proteger entidades públicas e infraestrutura crítica, como o NHS e escolas. A proposta inclui um regime de notificação obrigatória para empresas privadas que optarem por pagar resgates, com o objetivo de desestimular os ataques cibernéticos. No entanto, há preocupações de que essa medida possa redirecionar os ataques para o setor privado, aumentando a vulnerabilidade de pequenas e médias empresas, varejistas e organizações sem fins lucrativos. Uma pesquisa revelou que 75% dos líderes empresariais no Reino Unido admitiriam pagar um resgate, mesmo com a proibição, se isso significasse a sobrevivência da empresa. A proposta também levanta questões éticas e legais, já que o pagamento de resgates pode ser considerado crime. Para mitigar esses riscos, as empresas devem adotar um modelo de ’empresa mínima viável’ (MVC), focando na continuidade das operações essenciais durante um ataque cibernético e investindo em mecanismos avançados de proteção de dados. A preparação para um cenário de ataque é crucial, uma vez que o pagamento de resgates não garante a recuperação dos dados e pode aumentar a probabilidade de novos ataques.

O FBI prendeu três especialistas em cibersegurança acusados de realizar ataques de ransomware enquanto trabalhavam para a DigitalMint, uma empresa de Chicago que negocia resgates de ransomware. Os acusados, Kevin Tyler Martin, Ryan Clifford Goldberg e um terceiro não identificado, teriam iniciado suas atividades criminosas em maio de 2023, utilizando software malicioso para extorquir empresas, incluindo uma instituição médica na Flórida, que foi ameaçada a pagar US$ 10 milhões. Embora o grupo tenha conseguido roubar US$ 1,2 milhão, a investigação revelou que eles estavam por trás de vários ataques, incluindo tentativas contra uma empresa farmacêutica e um consultório médico na Califórnia. A DigitalMint afirmou estar cooperando com as investigações e demitiu os funcionários envolvidos por conduta não autorizada. As acusações incluem conspiração para interferir no comércio interestadual e dano intencional a computadores protegidos, destacando a gravidade da situação e a necessidade de vigilância constante no setor de cibersegurança.

Em 2025, investigações da ZenSec revelaram uma onda significativa de incidentes de ransomware explorando vulnerabilidades críticas na plataforma SimpleHelp Remote Monitoring and Management (RMM). As falhas, identificadas como CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728, permitiram que atacantes executassem código remotamente e assumissem controle total dos sistemas. Grupos de ransomware como Medusa e DragonForce aproveitaram essas vulnerabilidades para invadir Provedores de Serviços Gerenciados (MSPs) e se propagar para os sistemas de clientes. Apesar de patches estarem disponíveis, muitas organizações atrasaram sua implementação. Os atacantes desativaram ferramentas de segurança, roubaram dados e criptografaram sistemas, evidenciando como a confiança na cadeia de suprimentos pode amplificar o impacto. Medusa utilizou ferramentas como PDQ Deploy e RClone para distribuir payloads e exfiltrar dados, enquanto DragonForce focou na coleta de credenciais e na exfiltração usando Restic. Esses incidentes ressaltam a urgência de uma gestão rigorosa de patches nas dependências da cadeia de suprimentos.

A equipe de pesquisa Gen Digital, da Norton, identificou uma falha crítica no ransomware Midnight, uma variante do malware Babuk, que permite a recuperação de arquivos criptografados sem a necessidade de pagamento de resgate. O ransomware Midnight utiliza uma combinação de encriptações ChaCha20 e RSA, mas um erro na implementação da chave RSA possibilitou a descriptografia parcial dos arquivos. Essa vulnerabilidade foi explorada pelos especialistas da Norton, que disponibilizaram uma chave de desencriptação gratuita para sistemas Windows, tanto 32-bit quanto 64-bit. Os arquivos afetados geralmente têm extensões .Midnight ou .endpoint e são acompanhados por uma nota de resgate. A Norton recomenda que os usuários mantenham backups para evitar a perda de dados durante o processo de recuperação. Essa descoberta é significativa, pois o ransomware Midnight representa uma ameaça crescente, herdando características do Babuk, que já havia causado estragos em 2021. A chave de desencriptação é uma ferramenta valiosa para as vítimas, permitindo que recuperem seus dados sem ceder à extorsão dos hackers.

O ransomware Cephalus, identificado pela primeira vez em junho de 2025, representa uma nova e crescente ameaça no cenário de cibersegurança. Este grupo de atacantes, motivado financeiramente, utiliza táticas sofisticadas para invadir organizações e criptografar dados críticos. A principal vulnerabilidade explorada é a falta de autenticação multifatorial em credenciais do Protocolo de Área de Trabalho Remota (RDP), tornando as empresas alvos fáceis. Após obter acesso inicial, os atacantes realizam exfiltração de dados antes de implantar seu ransomware personalizado.

O Google Maps implementou uma nova funcionalidade que permite aos comerciantes reportarem tentativas de extorsão ligadas a avaliações falsas. Com o aumento de táticas de ‘review-bombing’, golpistas inundam perfis de empresas com avaliações negativas e, em seguida, contatam os proprietários exigindo pagamento para cessar a campanha de difamação. Essa prática prejudica a reputação de negócios legítimos, especialmente pequenos empreendimentos que dependem de avaliações para atrair clientes. O novo recurso de denúncia oferece um canal direto para que os comerciantes informem o Google sobre essas tentativas, permitindo uma investigação mais rápida e a remoção de conteúdo malicioso. O Google recomenda que os proprietários não interajam com os extorsionistas e preservem evidências, como capturas de tela e registros de comunicação, para fortalecer suas denúncias. Essa iniciativa visa não apenas proteger os negócios, mas também desmantelar redes de extorsão organizadas.

O LockBit 5.0, uma variante de ransomware como serviço (RaaS), foi analisado em um relatório técnico da Flashpoint, revelando um avanço significativo em suas capacidades. Lançado em setembro de 2025, o LockBit 5.0 apresenta uma arquitetura de implantação modular em duas etapas, projetada para maximizar a evasão de sistemas de detecção modernos. A primeira etapa atua como um carregador furtivo, utilizando técnicas de ofuscação de controle de fluxo e resolução dinâmica de APIs para evitar a detecção. O carregador também realiza a desativação de bibliotecas de segurança, permitindo que o payload seja injetado em processos sem acionar alertas de segurança.

Uma investigação recente revelou uma campanha cibernética que explora extensões maliciosas do Visual Studio Code (VS Code) para disseminar ransomware, utilizando repositórios do GitHub como parte de sua infraestrutura de comando e controle (C2). Os pesquisadores identificaram várias extensões no Marketplace do Visual Studio que continham cargas ocultas disfarçadas de utilitários legítimos para desenvolvedores. Após a instalação, esses pacotes executavam JavaScript ofuscado que lançava comandos do PowerShell. Os scripts maliciosos recuperavam cargas secundárias de repositórios do GitHub sob contas aparentemente benignas.

Uma nova variante de ransomware, chamada Midnight, tem chamado a atenção da comunidade de segurança cibernética devido às suas vulnerabilidades. Identificada por pesquisadores da Gen, essa variante é semelhante ao ransomware Babuk, que se destacou em 2021. Midnight utiliza o cifrador de fluxo ChaCha20 para criptografar dados e RSA para proteger as chaves de criptografia, mas apresenta falhas que permitem a recuperação gratuita de arquivos. O ransomware normalmente adiciona as extensões ‘.Midnight’ ou ‘.endpoint’ aos arquivos comprometidos e impede a execução simultânea de múltiplas instâncias do processo de criptografia. Pesquisadores conseguiram explorar as fraquezas do Midnight, permitindo a recuperação de dados sem pagamento de resgate. Especialistas de segurança, como os da Avast e Norton, disponibilizaram um decryptor funcional que pode ser utilizado por vítimas, recomendando que o programa seja executado com privilégios administrativos. Apesar das falhas, a variante Midnight destaca uma tendência crescente entre desenvolvedores de ransomware em iterar sobre códigos vazados, como o do Babuk. Organizações são aconselhadas a manter backups offline e monitorar logs de sistema em busca de indicadores associados ao Midnight.

Pesquisadores de segurança digital da Expel identificaram uma nova campanha de ransomware que utiliza anúncios falsos do Microsoft Teams para enganar usuários. A quadrilha Rhysida, conhecida por seus ataques desde junho de 2025, cria páginas que imitam o site oficial de download do Teams. Quando a vítima clica no anúncio, é redirecionada para uma página falsa, onde, ao tentar baixar o software, seu dispositivo é infectado por dois malwares: OysterLoader e Latrodectus. Esses malwares permitem que os cibercriminosos acessem remotamente o aparelho da vítima, criptografando seus dados e abrindo portas para outros golpes digitais. A Rhysida já foi responsável por ataques significativos, como o que resultou no roubo de quase 600 GB de dados da Biblioteca Britânica em 2023. A campanha atual destaca a importância de cautela ao clicar em anúncios, mesmo em plataformas confiáveis como o Bing, e reforça a necessidade de medidas de segurança robustas para proteger dados sensíveis.

Um estudo da MIT Sloan School of Management, que afirmava que 80,83% dos ataques de ransomware eram realizados por criminosos utilizando inteligência artificial (IA), foi retirado após críticas severas de especialistas em cibersegurança. O estudo, co-autorado por pesquisadores do MIT e executivos da Safe Security, foi amplamente desacreditado por figuras proeminentes da área, como Kevin Beaumont e Marcus Hutchins, que consideraram as alegações como ‘ridículas’ e ‘sem provas’. Beaumont destacou que o estudo mencionava grupos de ransomware que não utilizam IA e até citou o Emotet, que não está ativo há anos. Após a repercussão negativa, o MIT anunciou que o documento estava sendo revisado. O autor Michael Siegel afirmou que o objetivo do estudo era alertar sobre o aumento do uso de IA em ataques cibernéticos e a necessidade de medições adequadas. A controvérsia ressalta a tensão crescente na pesquisa em cibersegurança, onde o entusiasmo por IA pode ofuscar a análise factual. Embora a IA tenha potencial tanto para ataques quanto para defesas, exagerar seu uso malicioso pode distorcer prioridades, especialmente quando proveniente de instituições respeitáveis como o MIT.

Um novo consórcio de cibercriminosos, denominado Scattered LAPSUS$ Hunters (SLH), surgiu a partir da fusão de três grupos notórios: Scattered Spider, ShinyHunters e LAPSUS$. De acordo com a equipe de inteligência de ameaças da Trustwave SpiderLabs, o SLH é descrito como uma “aliança federada” que oferece Extorsão como Serviço (EaaS), herdando características operacionais do ecossistema cibercriminoso conhecido como The Com. O grupo utiliza o Telegram como plataforma de coordenação e identidade pública, mesclando motivação financeira com um estilo hacktivista. Desde sua primeira aparição em agosto de 2025, o SLH tem demonstrado uma notável capacidade de adaptação, reestabelecendo sua presença mesmo após frequentes desmantelamentos. O grupo promove seu modelo EaaS, convidando afiliados a “alugar” sua marca para campanhas de extorsão. Além disso, o SLH está desenvolvendo um ransomware chamado “Sh1nySp1d3r”. As táticas do grupo incluem engenharia social avançada e exploração de vulnerabilidades, como CVE-2025-31324 e CVE-2025-61882, indicando uma possível colaboração com outros operadores de ransomware. A análise sugere que o SLH representa uma reestruturação estratégica de operadores veteranos, sinalizando um novo modelo de ciberextorsão para 2026.

O grupo de ransomware Clop está em atividade com uma nova campanha de exploração, utilizando uma vulnerabilidade zero-day identificada no Oracle E-Business Suite (CVE-2025-61882). Essa falha, detectada em junho de 2025 e confirmada pela Oracle em outubro, permite que atacantes remotos acessem funções críticas de ERP, como compras e logística, sem autorização. Durante a investigação, foram identificados dois IPs de comando e controle, além de mais de 90 servidores ativos em diversos países, com a Alemanha apresentando o maior número de servidores. O Brasil, junto com Panamá e Hong Kong, também está entre os países afetados. A infraestrutura utilizada pelo Clop mostra uma continuidade operacional com campanhas anteriores, indicando uma estratégia de reutilização de infraestrutura para evitar bloqueios geopolíticos. Especialistas em segurança alertam que organizações que utilizam sistemas ERP, como o Oracle EBS, devem implementar monitoramento em nível de rede para essas sub-redes, já que a exploração de software empresarial não corrigido continua a ser uma prioridade para o grupo. A situação é crítica, e ações imediatas são recomendadas para mitigar riscos.

O grupo de ransomware Interlock reivindicou um ataque cibernético ao Departamento de Polícia de Shelbyville, no Kentucky, ocorrido em outubro de 2025. O chefe da polícia, Bruce Gentry, confirmou que a rede de computadores da instituição foi comprometida, resultando na interrupção de suas operações. Interlock alegou ter roubado 208 GB de dados, incluindo gravações de câmeras de segurança, e publicou amostras para corroborar sua afirmação. Até o momento, o departamento não confirmou a veracidade das alegações nem se pagará o resgate exigido. Interlock, que começou a operar em outubro de 2024, já reivindicou 72 ataques, sendo 35 confirmados por organizações-alvo. O grupo também é responsável por outras violações de dados em entidades governamentais. Os ataques de ransomware a entidades governamentais nos EUA têm se tornado cada vez mais frequentes, com 68 incidentes confirmados em 2025, causando interrupções significativas em serviços essenciais. O caso do Departamento de Polícia de Shelbyville destaca a vulnerabilidade das instituições públicas e a necessidade urgente de medidas de segurança cibernética eficazes.

O Relatório de Ameaças Europeu de 2025, da Crowdstrike, revela um aumento alarmante de 13% nos ataques de ransomware na Europa, com o Reino Unido sendo o país mais afetado. Entre setembro de 2024 e agosto de 2025, 1.380 vítimas enfrentaram vazamentos de dados, com 92% delas sofrendo encriptação e roubo de informações. Os setores mais atingidos incluem manufatura, serviços profissionais e tecnologia. Os grupos de ransomware mais ativos foram Akira, LockBit e RansomHub, focando em grandes empresas, uma prática conhecida como ‘big game hunting’. Além disso, o relatório destaca um aumento no uso de ‘violência como serviço’ (VaaS), que envolve ameaças físicas e sequestros, com 17 incidentes relacionados a criptomoedas, sendo a maioria na França. O caso do co-fundador da Ledger, sequestrado em janeiro de 2025, exemplifica essa nova tática. O aumento de ataques de vishing e ClickFix também foi notado, evidenciando a evolução das técnicas de engenharia social utilizadas pelos hackers.

O Departamento do Tesouro dos EUA anunciou sanções contra oito indivíduos e duas entidades ligadas à Coreia do Norte, acusados de lavagem de dinheiro para financiar atividades ilícitas, incluindo cibercrime e fraudes trabalhistas. Segundo John K. Hurley, Subsecretário do Tesouro, hackers patrocinados pelo Estado norte-coreano têm roubado e lavado dinheiro para sustentar o programa de armas nucleares do regime, representando uma ameaça direta à segurança global. Entre os sancionados estão Jang Kuk Chol e Ho Jong Son, que gerenciavam fundos de um banco sancionado anteriormente, e a Korea Mangyongdae Computer Technology Company, que utilizava trabalhadores de TI para ocultar a origem de seus rendimentos. O artigo destaca que, nos últimos três anos, cibercriminosos ligados à Coreia do Norte roubaram mais de US$ 3 bilhões, principalmente em ativos digitais, utilizando malware sofisticado e engenharia social. A atividade criminosa inclui a contratação de programadores estrangeiros para estabelecer parcerias comerciais, com parte da receita sendo enviada de volta à Coreia do Norte. As sanções visam cortar as fontes de receita ilícitas do regime, que utiliza tanto canais tradicionais quanto digitais, como criptomoedas, para financiar suas operações.

Dois ex-profissionais de segurança cibernética, Ryan Clifford Goldberg e Kevin Tyler Martin, foram acusados de liderar uma operação de ransomware sofisticada que visava empresas americanas. Entre maio de 2023 e abril de 2025, eles supostamente utilizaram a variante ALPHV BlackCat para atacar pelo menos cinco grandes corporações em setores como dispositivos médicos e farmacêuticos. As acusações incluem conspiração para extorsão e danos intencionais a computadores protegidos. Os criminosos operavam por meio de um painel na dark web, onde as vítimas podiam negociar pagamentos em criptomoedas. O caso destaca a crescente capacidade das autoridades de rastrear cibercriminosos, mesmo em um ambiente de criptomoedas, e representa um aumento significativo nas ações legais contra operadores de ransomware. Os réus enfrentam penas de até 20 anos de prisão por extorsão e 10 anos por danos a computadores, além de possíveis multas e confisco de ativos relacionados ao esquema de ransomware.

Um novo coletivo cibercriminoso, formado por grupos como Scattered Spider, LAPSUS$ e ShinyHunters, tem se destacado por sua atividade no Telegram, onde já criou 16 canais desde agosto de 2025. O grupo, denominado Scattered LAPSUS$ Hunters (SLH), tem se envolvido em ataques de extorsão de dados, visando empresas que utilizam plataformas como Salesforce. O SLH oferece um serviço de extorsão como serviço (EaaS), permitindo que afiliados se unam para exigir pagamentos em troca do uso de sua marca. Além disso, o grupo tem se posicionado como uma entidade organizada, utilizando uma estrutura administrativa que confere legitimidade a suas operações. As atividades incluem campanhas de pressão contra executivos de alto escalão e a promoção de uma nova família de ransomware chamada Sh1nySp1d3r, que pode rivalizar com grupos estabelecidos como LockBit. A análise da Trustwave sugere que o SLH combina motivações financeiras com elementos de hacktivismo, utilizando técnicas de engenharia social e desenvolvimento de exploits para realizar suas operações. O uso do Telegram como plataforma central para coordenação e visibilidade reflete uma estratégia de comunicação eficaz entre os membros do grupo.

Os ataques de ransomware aumentaram 25% em outubro de 2025, totalizando 684 incidentes, o terceiro maior número mensal do ano. O setor industrial continua sendo o mais atacado, com 19% dos casos, mas o setor de saúde registrou um aumento alarmante de 115%, passando de 26 para 56 ataques. O grupo de ransomware Qilin destacou-se como o mais ativo, reivindicando 186 vítimas em outubro. Dos 684 ataques, 47 foram confirmados, sendo 27 em empresas, 10 em entidades governamentais e 3 em empresas de saúde. Os dados indicam que mais de 162 TB de dados foram supostamente roubados em 315 casos. Os Estados Unidos lideraram o número de ataques, com 374 incidentes, seguidos por aumentos significativos na Austrália e no Japão. O cenário é preocupante, especialmente para o setor de saúde, que já contabiliza 104 ataques confirmados em 2025, o que levanta questões sobre a segurança de dados sensíveis e conformidade com a LGPD.

O ransomware é um software malicioso que bloqueia o acesso a sistemas ou criptografa dados até que um resgate seja pago. Este tipo de ataque cibernético é uma das ameaças mais comuns e prejudiciais no cenário digital, afetando indivíduos, empresas e infraestruturas críticas em todo o mundo. Os ataques geralmente começam com a infiltração do malware por meio de e-mails de phishing, downloads maliciosos ou exploração de vulnerabilidades de software. Uma vez ativado, o ransomware utiliza algoritmos criptográficos para tornar os arquivos inacessíveis, exigindo pagamento, frequentemente em criptomoedas como Bitcoin, para fornecer a chave de descriptografia.

Três indivíduos foram acusados de invadir redes de cinco empresas nos EUA utilizando o ransomware BlackCat, também conhecido como ALPHV, entre maio e novembro de 2023. Os acusados, Ryan Clifford Goldberg, Kevin Tyler Martin e um co-conspirador não identificado, teriam atacado uma empresa de dispositivos médicos na Flórida, uma farmacêutica em Maryland, um consultório médico na Califórnia, uma empresa de engenharia na Califórnia e um fabricante de drones na Virgínia. Os ataques resultaram em extorsões, com a empresa de dispositivos médicos pagando cerca de 1,27 milhão de dólares em criptomoeda, embora os outros ataques não tenham gerado pagamentos. Os acusados foram identificados como negociadores de ameaças de ransomware e um gerente de resposta a incidentes em empresas de cibersegurança. As acusações incluem conspiração para interferir no comércio interestadual por extorsão e danos intencionais a computadores protegidos, com penas que podem chegar a 50 anos de prisão. O caso destaca a crescente ameaça do ransomware e a necessidade de vigilância constante na segurança cibernética.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma vulnerabilidade crítica no kernel do Linux, identificada como CVE-2024-1086. Essa falha, que se localiza no componente netfilter, permite que atacantes que já tenham acesso inicial a um sistema Linux elevem seus privilégios a nível root, concedendo controle total sobre a máquina comprometida. A vulnerabilidade é classificada como ‘use-after-free’, uma condição que ocorre quando um programa continua a usar um ponteiro de memória após a memória ter sido liberada, possibilitando a execução de código arbitrário. A exploração dessa falha tem sido utilizada em campanhas de ransomware, permitindo que operadores de ransomware criptografem arquivos em sistemas inteiros e realizem operações de exfiltração de dados. A CISA recomenda que todas as organizações realizem um inventário de seus sistemas Linux, priorizem a aplicação de patches e implementem controles compensatórios onde a correção imediata não for viável. A gravidade da situação exige atenção imediata de administradores de rede e defensores de sistemas, especialmente em ambientes empresariais e de infraestrutura crítica que dependem de sistemas baseados em Linux.