O artigo da TechRadar destaca que a infraestrutura ociosa nas organizações pode ser uma porta de entrada para ataques cibernéticos. Muitas empresas ainda operam com contas de usuário inativas e senhas que nunca expiram, criando vulnerabilidades que os cibercriminosos podem explorar. Além disso, dispositivos de armazenamento físico, como pen drives e discos externos, frequentemente contêm dados sensíveis que não são adequadamente protegidos. O autor, Camellia Chan, CEO da X-PHY, enfatiza que a inatividade não deve ser ignorada, pois pode facilitar o acesso de atacantes. Para mitigar esses riscos, as empresas devem revisar suas contas e dispositivos, desativar ou proteger adequadamente aqueles que não estão em uso e implementar armazenamento seguro que se mantenha protegido mesmo quando inativo. A abordagem deve ser proativa, tratando a ociosidade como parte da estratégia de defesa cibernética.

A plataforma de financiamento coletivo APOIA.se confirmou um vazamento de dados pessoais de seus usuários, ocorrido devido a uma vulnerabilidade em seu sistema. Em um comunicado enviado aos afetados, a empresa informou que informações como nome completo, e-mail e identificadores internos foram expostas, mas garantiu que dados sensíveis, como senhas e informações de pagamento, não foram comprometidos. A falha foi detectada em 6 de janeiro de 2026 e corrigida imediatamente, com a empresa reforçando seus controles de segurança e notificando as autoridades competentes. Apesar de não ter revelado o número exato de usuários afetados, o incidente levanta preocupações sobre a segurança de dados cadastrais, que podem ser utilizados em ataques de phishing. Especialistas recomendam que os usuários fiquem atentos a comunicações suspeitas e adotem boas práticas de segurança, como o uso de senhas fortes e a instalação de antivírus. O caso também foi associado a alertas anteriores sobre a exposição de e-mails na dark web, embora a relação não tenha sido confirmada.

O spear phishing é uma forma sofisticada de phishing que visa indivíduos específicos, utilizando informações pessoais e profissionais para enganar as vítimas. Diferente do phishing tradicional, que envia e-mails genéricos, o spear phishing é um ataque direcionado, onde os cibercriminosos realizam um trabalho de inteligência para coletar dados sobre a vítima, como cargo, empresa e até detalhes pessoais, geralmente através de redes sociais e vazamentos de dados. Segundo o relatório da Verizon, 68% das violações de dados têm o elemento humano como fator, e o spear phishing é uma das principais portas de entrada para esses ataques. Os golpistas podem se passar por figuras de autoridade, como um diretor de TI, ou por fornecedores legítimos, utilizando técnicas como spoofing de e-mail e domínios similares aos reais para enganar os filtros de segurança. O impacto financeiro é significativo, com perdas globais superiores a US$ 50 bilhões, afetando não apenas o setor financeiro, mas também áreas como Recursos Humanos e Cadeia de Suprimentos. Para se proteger, é essencial ter uma cultura de confirmação, verificar remetentes e utilizar autenticação de dois fatores, além de estar atento a sinais de urgência nas comunicações.

O grupo de ciberespionagem iraniano conhecido como MuddyWater está por trás de uma nova campanha de spear-phishing que visa entidades diplomáticas, marítimas, financeiras e de telecomunicações no Oriente Médio. A campanha utiliza um implante baseado em Rust, denominado RustyWater, que é entregue através de documentos do Microsoft Word maliciosos que solicitam ao usuário habilitar conteúdo para ativar uma macro VBA. Essa macro é responsável por implantar o malware, que possui capacidades de controle remoto, persistência no registro do Windows e coleta de informações do sistema da vítima. MuddyWater, que opera desde 2017 e é vinculado ao Ministério da Inteligência e Segurança do Irã, tem evoluído suas táticas, reduzindo a dependência de softwares de acesso remoto legítimos em favor de um arsenal diversificado de malware. A atividade recente também foi observada em ataques a empresas de tecnologia e recursos humanos em Israel, destacando a relevância da ameaça. A introdução de implantes baseados em Rust representa uma evolução significativa nas capacidades do grupo, tornando suas operações mais estruturadas e discretas.

Um estudo recente revelou que 73% dos CISOs enfrentaram um incidente de segurança significativo nos últimos seis meses, com 58% desses eventos ocorrendo apesar da presença de ferramentas que deveriam ter prevenido tais falhas. A crescente complexidade das ferramentas de segurança e a sobrecarga de dados têm gerado frustração nas equipes, levando a uma percepção de reatividade em vez de proatividade. Para enfrentar esses desafios, muitas organizações estão adotando a Gestão Contínua da Exposição a Ameaças (CTEM), que oferece uma abordagem estruturada para identificar, avaliar e reduzir continuamente a exposição a riscos. O CTEM se destaca ao transformar a visibilidade em ação, priorizando vulnerabilidades com base em sua relevância para os negócios e permitindo que os líderes de segurança comuniquem progresso de forma clara e mensurável aos executivos. Essa metodologia não apenas melhora a eficiência das ferramentas existentes, mas também fortalece a relação entre as equipes de segurança e a alta administração, promovendo uma cultura de transparência e confiança. Ao mudar a percepção da segurança cibernética de um centro de custo para um parceiro na gestão de riscos, as organizações podem se preparar melhor para enfrentar as ameaças cibernéticas de forma proativa.

A Europol anunciou a prisão de 34 indivíduos na Espanha, supostamente ligados à organização criminosa internacional Black Axe. A operação, realizada pela Polícia Nacional Espanhola em colaboração com a Polícia Criminal do Estado da Baviera e a Europol, resultou em 28 detenções em Sevilha, além de prisões em Madrid, Málaga e Barcelona. A Black Axe é conhecida por uma variedade de atividades criminosas, incluindo fraudes cibernéticas, tráfico de drogas, tráfico humano, sequestros e roubos armados. Estima-se que a rede criminosa tenha causado danos superiores a €5,93 milhões (cerca de $6,9 milhões) em fraudes. Durante a operação, as autoridades congelaram contas bancárias totalizando €119.352 ($138.935) e apreenderam €66.403 ($77.290) em dinheiro. A Black Axe, originada na Nigéria em 1977, é considerada uma das mais proeminentes organizações criminosas transnacionais da África Ocidental, com cerca de 30.000 membros registrados. Em operações anteriores, a INTERPOL já havia realizado 75 prisões relacionadas ao grupo, que é associado a uma série de fraudes cibernéticas, como golpes de e-mail empresarial, fraudes românticas e lavagem de dinheiro. A continuidade das ações contra a Black Axe demonstra a crescente preocupação com o crime organizado e suas implicações globais.

O FBI emitiu um alerta sobre uma nova campanha de phishing originada na Coreia do Norte, que utiliza QR Codes maliciosos para contornar sistemas de segurança de e-mails. Desde maio de 2025, grupos criminosos têm como alvo laboratórios de pesquisa, instituições acadêmicas e entidades governamentais em todo o mundo. O método principal envolve o envio de QR Codes comprometidos via e-mail, disfarçados como mensagens de remetentes confiáveis, como funcionários de embaixadas. Ao escanear o código, as vítimas são direcionadas a um ambiente controlado pelos hackers, que coletam informações sensíveis, como logins e localização. Além disso, esses códigos podem reproduzir tokens de sessão, burlando a autenticação multifator (MFA) e permitindo o sequestro de identidades na nuvem. Para se proteger, o FBI recomenda que as organizações eduquem seus funcionários sobre a verificação da origem dos QR Codes, implementem protocolos de denúncia de atividades suspeitas e utilizem ferramentas de segurança, como gerenciadores de senhas e anti-malware.

A Austrália enfrenta um aumento alarmante de ciberataques, com um crescimento de 50% em crimes cibernéticos em 2025, em comparação ao ano anterior. O governo australiano, com base na Lei de Segurança Cibernética de 2024, prevê que 2026 pode ser ainda mais desafiador, especialmente para setores corporativos e financeiros. Em 2024, cerca de 47 milhões de contas foram comprometidas, e em 2025, 5,7 milhões de acessos indevidos foram registrados. Os dados mais visados pelos hackers incluem nomes de usuário e endereços de e-mail, frequentemente encontrados em mercados clandestinos na dark web. As principais ameaças incluem campanhas de phishing e roubo de identidade. Para combater essa crescente onda de ataques, a Lei de Segurança Cibernética impõe obrigações às empresas, como a notificação de pagamentos de ransomware em até 72 horas e a criação de um Conselho de Revisão de Incidentes Cibernéticos. Além disso, penalidades severas podem ser aplicadas para o mau uso de dados sensíveis, com multas que podem chegar a AU$ 50 milhões.

O FBI alertou sobre uma nova técnica de phishing, chamada ‘quishing’, utilizada pelo grupo de hackers norte-coreano Kimsuky. Esses ataques visam roubar credenciais de acesso a serviços como Microsoft 365, Okta e VPNs, direcionando usuários a páginas falsas por meio de QR codes maliciosos. Os hackers enviam e-mails que contêm imagens com QR codes, que são mais difíceis de serem detectados por sistemas de segurança, permitindo que os e-mails cheguem às caixas de entrada dos alvos. Ao escanear o código, a vítima é redirecionada por múltiplos links que coletam informações como sistema operacional e endereço IP, levando-a a uma página de captura de credenciais. Uma vez que as credenciais são inseridas, os atacantes podem roubar tokens de sessão, permitindo que eles contornem a autenticação multifator (MFA). O FBI recomenda uma defesa em múltiplas camadas, incluindo treinamento de funcionários e gestão de dispositivos móveis, para mitigar esses riscos. O uso crescente de dispositivos móveis não gerenciados aumenta a vulnerabilidade a esses ataques, tornando-os uma preocupação significativa para organizações, especialmente aquelas que lidam com informações sensíveis.

O Colégio Comunitário de Clackamas, localizado em Oregon, confirmou que notificou 33.381 pessoas sobre uma violação de dados ocorrida em outubro de 2025. A violação comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, registros de estudantes, números de identificação do governo, informações médicas e financeiras. Este é o segundo ataque de ransomware que a instituição enfrenta em dois anos, sendo que o grupo criminoso Medusa reivindicou a responsabilidade pelo ataque mais recente, exigindo um resgate de $300.000 por 1,2 terabytes de dados. A escola não confirmou se pagou o resgate e está oferecendo um ano de monitoramento de crédito gratuito para as vítimas. A investigação forense revelou que um terceiro não autorizado acessou um número limitado de sistemas e adquiriu arquivos em 24 de outubro de 2025. O grupo Medusa, ativo desde 2019, já foi responsável por 154 ataques de ransomware em 2025, afetando mais de 1,7 milhão de registros. O ataque ao Colégio Comunitário de Clackamas é parte de uma tendência crescente de ataques a instituições educacionais nos EUA, que registraram 49 ataques confirmados em 2025, comprometendo mais de 3,8 milhões de registros.

Recentemente, atores de ameaça associados ao governo russo, identificados como APT28 (também conhecido como BlueDelta), foram vinculados a uma série de ataques de coleta de credenciais. Os alvos incluem indivíduos ligados a uma agência de pesquisa energética e nuclear da Turquia, além de funcionários de um think tank europeu e organizações na Macedônia do Norte e Uzbequistão. Os ataques, que ocorreram entre fevereiro e setembro de 2025, utilizaram páginas de login falsas que imitavam serviços populares como Microsoft Outlook e Google, redirecionando os usuários para sites legítimos após a inserção de credenciais, o que dificultou a detecção. A campanha se destacou pelo uso de documentos PDF legítimos como iscas, incluindo publicações relacionadas a conflitos geopolíticos. A APT28 demonstrou uma dependência contínua de serviços de internet legítimos para hospedar suas páginas de phishing, o que ressalta a eficácia e a sofisticação de suas táticas. A empresa Recorded Future destacou que esses ataques refletem o interesse da inteligência russa em organizações ligadas à pesquisa energética e à cooperação em defesa.

Um grupo de atores de ameaças que fala chinês é suspeito de ter utilizado um dispositivo VPN SonicWall comprometido como vetor de acesso inicial para implantar um exploit do VMware ESXi. Essa atividade foi observada pela empresa de cibersegurança Huntress em dezembro de 2025, que conseguiu interrompê-la antes que avançasse para um ataque de ransomware. O ataque explorou três vulnerabilidades do VMware, divulgadas como zero-days pela Broadcom em março de 2025, com pontuações CVSS variando de 7.1 a 9.3. A exploração permitiu que um ator malicioso com privilégios de administrador vazasse memória do processo VMX ou executasse código como o processo VMX. O toolkit utilizado no ataque inclui componentes sofisticados, como um driver de kernel não assinado e um backdoor que oferece acesso remoto persistente ao host ESXi. A comunicação entre o cliente e o backdoor é feita através do protocolo VSOCK, que permite interações diretas entre máquinas virtuais e o hipervisor, dificultando a detecção. A análise sugere que o desenvolvimento do exploit pode ter ocorrido mais de um ano antes da divulgação pública, indicando um desenvolvedor bem financiado operando em uma região de língua chinesa.

Pesquisadores da Ox Security identificaram atividades maliciosas em duas extensões da Chrome Web Store, que estão coletando dados de usuários de chatbots de IA, como ChatGPT e DeepSeek. As extensões, chamadas ‘Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI’ e ‘AI Sidebar with Deepseek, ChatGPT, Claude, and more’, possuem, respectivamente, 600 mil e 300 mil usuários. Elas enviam informações a servidores controlados por hackers a cada 30 segundos, utilizando um truque que solicita consentimento para compartilhar ‘dados analíticos anônimos’. Na verdade, elas coletam todo o conteúdo das conversas dos usuários. Essa prática, conhecida como ‘Prompt Poaching’, já foi observada em outras extensões, como a Urban VPN Proxy. As extensões maliciosas imitam uma ferramenta legítima, mas podem expor dados sensíveis, incluindo informações corporativas. Apesar de perderem o selo ‘Em Destaque’, continuam disponíveis na loja. A recomendação é que os usuários evitem instalar extensões de fontes desconhecidas, mesmo que pareçam confiáveis.

A Microsoft alertou sobre a exploração de roteamento de e-mails mal configurado, que pode facilitar ataques de phishing interno. Esses ataques, que se tornaram mais frequentes desde maio de 2025, utilizam técnicas de spoofing para enviar mensagens que parecem vir de fontes internas, enganando os funcionários. Os e-mails fraudulentos frequentemente contêm temas como mensagens de voz, documentos compartilhados e solicitações de redefinição de senhas, tornando difícil a detecção por parte dos usuários. A empresa identificou o uso de plataformas de phishing-as-a-service (PhaaS), como a Tycoon 2FA, que permitiram a criação de e-mails maliciosos. Em outubro de 2025, a Microsoft bloqueou mais de 13 milhões de e-mails maliciosos gerados por essa plataforma. Para mitigar esses riscos, as organizações devem implementar políticas rigorosas de autenticação, como DMARC e SPF, além de configurar adequadamente serviços de filtragem de spam. O alerta destaca a importância de uma configuração correta do roteamento de e-mails para evitar que hackers comprometam dados sensíveis e realizem fraudes financeiras.

O grupo hacker chinês UAT-7290 tem se destacado por suas atividades de invasão a instituições no sul da Ásia e sudeste da Europa, utilizando malwares como RushDrop, DriveSwitch e SilentRaid. Desde 2022, o grupo tem se concentrado em realizar um reconhecimento técnico detalhado de seus alvos antes de executar os ataques, que incluem a instalação de centros de Operação de Caixa de Retransmissão (ORB) para garantir anonimato e facilitar a espionagem. Os malwares utilizados são predominantemente baseados em Linux e permitem uma série de atividades maliciosas, como execução de shellcode, gerenciamento de arquivos e keylogging. Os hackers estão associados a outros grupos chineses, como Stone Panda e RedFoxTrot, e utilizam vulnerabilidades zero-day e força bruta SSH para comprometer dispositivos. A maioria das vítimas está localizada no sul da Ásia, mas também há registros de ataques na Europa. A situação é preocupante, pois a infraestrutura de telecomunicações pode ser um alvo estratégico para espionagem e ataques cibernéticos em larga escala.

Recentes ataques cibernéticos, como os que afetaram a Marks & Spencer e a Jaguar Land Rover, revelaram que os suspeitos envolvidos são predominantemente jovens, com idades entre 17 e 20 anos. Essa tendência crescente de cibercrime juvenil pode ser atribuída à maior acessibilidade de ferramentas de ransomware, oferecidas por grupos de Ransomware-as-a-Service (RaaS), que permitem que indivíduos sem habilidades avançadas em hacking realizem ataques. Além disso, fatores como fama, frustração, finanças e a influência de comunidades de jogos online têm atraído jovens para o mundo do crime cibernético. A percepção negativa das carreiras em cibersegurança, consideradas monótonas em comparação com o glamour do hacking ilegal, também contribui para essa situação. Para combater essa tendência, é essencial que a indústria de cibersegurança mude sua imagem e busque atrair novos talentos, especialmente aqueles que não seguem os caminhos tradicionais de educação. Isso inclui a valorização de habilidades autodidatas e neurodiversas, que frequentemente são ignoradas nas contratações tradicionais. A indústria deve agir rapidamente para mostrar que existem oportunidades legítimas e recompensadoras para esses jovens talentos, antes que eles se tornem parte do problema.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) anunciou o encerramento de 10 diretrizes de emergência (EDs) emitidas entre 2019 e 2024, que visavam mitigar riscos cibernéticos enfrentados por agências federais. As diretrizes abordavam vulnerabilidades significativas, incluindo problemas relacionados ao DNS, Windows, SolarWinds e Microsoft Exchange. A CISA trabalhou em colaboração com agências federais para implementar as ações necessárias e garantir a resiliência da infraestrutura digital. A agência destacou que as ações exigidas foram implementadas com sucesso ou estão agora sendo aplicadas através da Diretiva Operacional Vinculante (BOD) 22-01, que visa reduzir riscos de vulnerabilidades conhecidas. O diretor interino da CISA, Madhu Gottumukkala, enfatizou a importância da colaboração para eliminar acessos persistentes e enfrentar ameaças emergentes, além de promover princípios de segurança desde o design. O fechamento dessas diretrizes reflete o compromisso da CISA com a segurança cibernética federal e a defesa contra riscos inaceitáveis, especialmente de atores estatais hostis.

A Trend Micro lançou atualizações de segurança para corrigir várias vulnerabilidades que afetam as versões on-premise do Apex Central para Windows, incluindo uma falha crítica que pode permitir a execução de código arbitrário. A vulnerabilidade, identificada como CVE-2025-69258, possui uma pontuação CVSS de 9.8, indicando seu alto risco. Essa falha permite que um atacante remoto não autenticado carregue uma DLL controlada por ele em um executável chave, resultando na execução de código com privilégios elevados. Além disso, duas outras vulnerabilidades, CVE-2025-69259 e CVE-2025-69260, ambas com pontuação CVSS de 7.5, podem causar condições de negação de serviço. As falhas foram descobertas pela Tenable em agosto de 2025, e a exploração requer que o atacante tenha acesso físico ou remoto ao endpoint vulnerável. A Trend Micro recomenda que os clientes apliquem as correções imediatamente e revisem o acesso remoto a sistemas críticos, além de manter políticas de segurança atualizadas.

À medida que as organizações se preparam para 2026, as previsões de cibersegurança estão em alta, mas muitas estratégias ainda são moldadas por especulações. Um webinar da Bitdefender busca esclarecer essas previsões, focando em dados reais e riscos emergentes. O evento abordará três tendências principais: a evolução do ransomware, que está se tornando mais direcionado e impactante; a adoção descontrolada de inteligência artificial (IA), que gera uma crise interna de segurança; e a possibilidade de ataques orquestrados por IA. Os especialistas da Bitdefender discutirão a necessidade de ceticismo em relação à capacidade de ataques adaptativos baseados em IA no curto prazo. O webinar visa ajudar líderes de segurança a diferenciar previsões sensacionalistas de aquelas que realmente devem influenciar suas estratégias de segurança. Os participantes aprenderão a justificar investimentos em segurança com base em riscos reais e a atualizar suas defesas antes que novas técnicas de ataque se tornem comuns.

As autoridades de Jammu e Caxemira impuseram uma proibição de dois meses ao uso de VPNs não autorizadas, citando a necessidade de combater atividades maliciosas. Desde a implementação da medida, cerca de 800 usuários foram identificados e penalizados por acessar aplicativos de VPN. A proibição foi justificada com base na Seção 163 do código de processo penal indiano, permitindo que a polícia realize buscas em dispositivos móveis para verificar a presença de aplicativos ilegais. Especialistas em direitos digitais consideram a ordem ’legalmente impermissível’, argumentando que a proibição geral de uma tecnologia não deve ser permitida sob poderes de emergência. A situação é preocupante, pois as VPNs são ferramentas essenciais para os cidadãos que buscam contornar a censura e proteger suas comunicações. A proibição atual pode ser uma formalidade, mas há riscos de extensão. A pressão sobre o uso de VPNs não é nova na região, que já enfrentou um shutdown de internet prolongado em 2019. Embora a situação seja crítica, especialistas recomendam o uso de protocolos ofuscados para tentar contornar a proibição, mas alertam sobre os riscos legais envolvidos.

O FBI divulgou um alerta sobre um novo vetor de ataque de phishing, denominado ‘quishing’, utilizado por atores de ameaça patrocinados pelo Estado norte-coreano, especificamente o grupo Kimsuky. Desde 2025, esses atacantes têm direcionado suas campanhas a instituições acadêmicas, think tanks e entidades governamentais dos EUA, utilizando códigos QR maliciosos em e-mails de spear-phishing. Essa técnica força as vítimas a transitar de dispositivos seguros para dispositivos móveis, que podem não ter a mesma proteção, permitindo que os atacantes contornem defesas tradicionais. O grupo Kimsuky, associado ao Bureau Geral de Reconhecimento da Coreia do Norte, tem um histórico de exploração de falhas em protocolos de autenticação de e-mail. O FBI observou várias tentativas de phishing em que os códigos QR levavam a questionários ou páginas falsas de login, visando roubar credenciais. O uso de QR codes em ataques de phishing representa um vetor de intrusão de identidade resistente à autenticação multifatorial, aumentando o risco para organizações que não monitoram adequadamente dispositivos móveis não gerenciados.

Pesquisadores de segurança da Group-IB identificaram uma nova campanha de malware chamada Ghost Tap, que visa fraudar transações de pagamento por aproximação (NFC) sem a necessidade de acessar fisicamente o cartão bancário das vítimas. O malware se disfarça como aplicativos legítimos de pagamento ou serviços financeiros, permitindo que os atacantes realizem transações fraudulentas remotamente. As vítimas são geralmente convencidas a instalar o aplicativo malicioso por meio de técnicas de smishing e vishing. Uma vez instalado, o malware transmite os dados do cartão para um servidor controlado pelos golpistas, que completam as transações usando terminais de ponto de venda (POS) obtidos ilegalmente. Entre novembro de 2024 e agosto de 2025, aproximadamente R$ 1,9 milhão foram roubados através de um terminal POS promovido no Telegram. Grupos como TX-NFC e X-NFC estão envolvidos na venda do malware, que já resultou em prisões em vários países. Para combater essa ameaça, é essencial unir a educação do usuário com um monitoramento mais rigoroso das fraudes.

Os Estados Unidos decidiram suspender seu apoio ao Global Forum on Cyber Expertise (GFCE), um importante fórum global dedicado à cibersegurança. A decisão foi anunciada pelo presidente Donald Trump em uma ordem executiva que retirou o país de cerca de 66 agências internacionais, incluindo 31 vinculadas à ONU. O GFCE, que conta com a participação de mais de 100 países, tem como objetivo fortalecer a colaboração entre nações para enfrentar desafios de segurança digital, especialmente em um cenário onde as ameaças cibernéticas se tornam cada vez mais frequentes e sofisticadas, em parte devido ao avanço da inteligência artificial. Além do GFCE, os EUA também se retiraram do European Centre of Excellence for Countering Hybrid Threats (Hybrid CoE), que se concentra na análise e resposta a ameaças híbridas. A decisão reflete uma postura do governo americano de se distanciar de iniciativas que considera contrárias aos seus interesses, o que pode gerar preocupações sobre a eficácia da colaboração internacional em cibersegurança em um momento crítico para a proteção de dados e infraestruturas digitais.

Pesquisadores da Zscaler identificaram três pacotes npm maliciosos que distribuem um malware de acesso remoto chamado NodeCordRAT, disfarçado como bibliotecas relacionadas à criptomoeda Bitcoin. Os pacotes, bitcoin-main-lib, bitcoin-lib-js e bip40, foram removidos em novembro de 2025 após serem enviados por um usuário identificado como wenmoonx. Durante a instalação, os pacotes executam um script que instala o bip40, que contém o payload malicioso. O NodeCordRAT é um trojan que pode roubar dados sensíveis, como credenciais do Chrome e tokens de API, além de utilizar servidores do Discord para comunicação de comando e controle. O malware é capaz de executar comandos na máquina da vítima, tirar capturas de tela e enviar arquivos para o Discord. Embora os pacotes maliciosos tenham sido removidos, é essencial que os desenvolvedores permaneçam vigilantes ao baixar pacotes, verificando sua popularidade e comentários antes da instalação.

O sistema escolar de Pell City, no Alabama, notificou os pais sobre uma violação de dados resultante de um ataque de ransomware ocorrido no final do ano passado. O superintendente Justin Burns afirmou que o sistema de informações dos alunos não foi afetado, mas dados foram roubados por um terceiro em um ‘incidente de segurança’. A gangue de cibercriminosos SafePay reivindicou a responsabilidade pela violação em dezembro de 2025, embora o distrito não tenha confirmado a alegação. Não foram divulgados detalhes sobre os dados comprometidos ou o valor do resgate exigido. O sistema escolar decidiu não pagar o resgate, conforme relatado pela WBRC. SafePay, que utiliza um esquema de dupla extorsão, já realizou 57 ataques confirmados, afetando diversas instituições educacionais. Em 2025, foram registrados 48 ataques de ransomware em escolas dos EUA, comprometendo mais de 3,8 milhões de registros. Os ataques a escolas podem não apenas roubar dados, mas também interromper operações diárias, colocando alunos e funcionários em risco de fraudes. O sistema escolar de Pell City é um distrito público que abrange várias instituições educacionais na região.

Pesquisadores de cibersegurança revelaram uma nova campanha que utiliza o WhatsApp como vetor de distribuição para um trojan bancário chamado Astaroth, visando usuários no Brasil. Denominada Boto Cor-de-Rosa pela Acronis Threat Research Unit, a campanha se destaca pelo uso de um módulo de worm em Python que coleta a lista de contatos do WhatsApp da vítima e envia mensagens maliciosas para cada um deles, facilitando a propagação do malware. O Astaroth, que opera desde 2015, é conhecido por roubar dados financeiros e tem se adaptado a novas táticas, como o uso do WhatsApp, uma plataforma amplamente utilizada no Brasil. A campanha atual, que começou em setembro de 2025, envolve o envio de arquivos ZIP contendo scripts que, ao serem extraídos, instalam o trojan. O malware não só propaga-se automaticamente, mas também monitora a atividade de navegação da vítima, ativando-se em sites bancários para roubar credenciais. A Acronis destacou que o autor do malware implementou um mecanismo para rastrear métricas de propagação em tempo real, aumentando a eficácia do ataque.

Cibercriminosos estão aproveitando uma vulnerabilidade crítica em roteadores D-Link de gateway DSL que não recebem suporte há anos. A falha, identificada como CVE-2026-0625, afeta o endpoint dnscfg.cgi devido à má sanitização em uma biblioteca CGI, permitindo a execução remota de códigos maliciosos. Os modelos afetados incluem DSL-526B, DSL-2640B, DSL-2740R e DSL-2780B, todos considerados ’end-of-life’ desde 2020, o que significa que não receberão mais atualizações de firmware ou patches de segurança. A D-Link recomenda que os usuários desses dispositivos os substituam por modelos mais novos. A empresa ainda investiga se outros produtos podem ser impactados pela falha. Embora não se saiba quais hackers estão explorando a vulnerabilidade, a maioria das configurações permite apenas acesso LAN a interfaces administrativas. A exploração da falha pode ocorrer através de ataques baseados em navegador ou mirando dispositivos configurados para administração remota. A situação é preocupante, pois a falta de suporte para esses dispositivos pode expor redes a riscos significativos.

Uma nova campanha de malware, chamada ‘Boto Cor-de-Rosa’, foi identificada por especialistas da Acronis, utilizando o WhatsApp como meio para disseminar um software malicioso com foco em roubo de dados financeiros. O golpe se inicia quando a vítima recebe uma mensagem com um arquivo ZIP infectado, disfarçado de solicitação amigável. A mensagem é elaborada com uma linguagem casual e adaptada ao horário local, aumentando a probabilidade de que a vítima clique no arquivo. Uma vez extraído, o malware instala um payload bancário e um módulo de propagação que coleta automaticamente os contatos da vítima, enviando o mesmo arquivo malicioso para eles. O malware também monitora seu desempenho em tempo real, registrando estatísticas sobre a disseminação. Embora a ameaça tenha sido bloqueada, especialistas alertam para a necessidade de cautela ao abrir arquivos não solicitados, mesmo que enviados por contatos conhecidos, pois podem ser a porta de entrada para o roubo de informações sigilosas.

A empresa de cibersegurança Resecurity implementou uma estratégia inovadora para combater o grupo de hackers ShinyHunters, que estava realizando ciberataques a companhias aéreas e agências policiais. Utilizando contas honeypot, que são perfis falsos criados para atrair criminosos digitais, a Resecurity simulou um banco de dados com mais de 190 mil registros falsos de transações financeiras e dados pessoais. O grupo ShinyHunters, acreditando que os dados eram legítimos, atacou a conta honeypot, realizando mais de 188 mil requisições em um curto período. A Resecurity monitorou as atividades e, ao final, enviou todas as informações coletadas para as autoridades policiais. Essa abordagem não apenas protegeu a empresa, mas também permitiu a identificação e rastreamento dos hackers, que deixaram rastros de seus endereços IP durante os ataques. A Resecurity nega que sua infraestrutura tenha sido comprometida, afirmando que o que foi roubado eram apenas dados falsos.

A Roblox Corporation anunciou a expansão de sua verificação de idade obrigatória para recursos de chat, incluindo voz e texto, em todas as regiões. A partir de agora, todos os usuários que desejam utilizar essas ferramentas sociais devem passar por um processo que envolve a digitalização facial para determinar seu grupo etário. Essa medida visa proteger usuários mais jovens de conteúdos inadequados e comportamentos predatórios, em um contexto de crescente regulamentação da internet. No entanto, especialistas em privacidade expressaram preocupações sobre os riscos associados à coleta de dados biométricos e documentos de identificação, que podem se tornar alvos para cibercriminosos. A Roblox afirma que a privacidade dos usuários é uma prioridade, mas a exigência de compartilhar informações sensíveis pode ser vista como um grande compromisso em termos de privacidade. Os usuários também têm a opção de contestar a estimativa de idade através de métodos alternativos, como verificação de identidade ou controles parentais. A medida levanta questões sobre a segurança dos dados e o potencial impacto de um possível vazamento de informações pessoais, considerando o grande número de usuários da plataforma.

Pesquisadores de cibersegurança descobriram três pacotes npm maliciosos que visam distribuir um malware inédito chamado NodeCordRAT. Os pacotes, que foram removidos em novembro de 2025, são ‘bitcoin-main-lib’, ‘bitcoin-lib-js’ e ‘bip40’, todos enviados por um usuário identificado como ‘wenmoonx’. Os dois primeiros pacotes executam um script de pós-instalação que instala o pacote ‘bip40’, que contém o payload malicioso. O NodeCordRAT é um trojan de acesso remoto (RAT) que possui a capacidade de roubar credenciais do Google Chrome, tokens de API e frases-semente de carteiras de criptomoedas como a MetaMask. O malware utiliza servidores do Discord para comunicação de comando e controle, permitindo que o invasor execute comandos arbitrários, capture screenshots e exfiltre arquivos. A ameaça é considerada significativa, pois o ator por trás da campanha nomeou os pacotes de forma semelhante a repositórios legítimos do projeto bitcoinjs, o que pode enganar desenvolvedores. A Zscaler, empresa de cibersegurança que identificou a ameaça, alerta para a necessidade de vigilância em relação a pacotes npm e suas dependências.

A Cisco lançou atualizações para corrigir uma vulnerabilidade de segurança de média gravidade no Identity Services Engine (ISE) e no ISE Passive Identity Connector (ISE-PIC), identificada como CVE-2026-20029, com uma pontuação CVSS de 4.9. Essa falha está relacionada ao recurso de licenciamento e pode permitir que um atacante remoto autenticado com privilégios administrativos acesse informações sensíveis. A vulnerabilidade decorre de uma análise inadequada de XML processada pela interface de gerenciamento baseada na web do Cisco ISE e do ISE-PIC. Um atacante poderia explorar essa falha ao fazer o upload de um arquivo malicioso para a aplicação, possibilitando a leitura de arquivos arbitrários do sistema operacional subjacente, o que deveria ser restrito até mesmo para administradores. A Cisco informou que não há soluções alternativas e que está ciente da disponibilidade de um código de prova de conceito (PoC) para a exploração da falha, embora não haja indícios de que tenha sido explorada ativamente. Além disso, a empresa também corrigiu outras duas vulnerabilidades de média gravidade relacionadas ao processamento de solicitações DCE/RPC, que poderiam permitir que um atacante remoto não autenticado causasse vazamento de informações ou reiniciasse o mecanismo de detecção Snort 3, afetando a disponibilidade.

O relatório ‘The State of Trusted Open Source’, elaborado pela Chainguard, oferece uma visão abrangente sobre o uso de software livre nas organizações modernas e os riscos associados. A análise de mais de 1800 projetos de imagens de contêiner e 10.100 instâncias de vulnerabilidades revelou que a popularidade de um projeto não necessariamente se correlaciona com o risco. Por exemplo, 98% das vulnerabilidades encontradas estavam fora dos 20 projetos mais populares, indicando que a maior parte da carga de segurança está em imagens menos visíveis. Além disso, a conformidade com regulamentações, como o FIPS, tem impulsionado a adoção de software seguro, com 44% dos clientes da Chainguard utilizando imagens FIPS em produção. O relatório também destaca que a velocidade de remediação é crucial para construir confiança, com a Chainguard resolvendo vulnerabilidades críticas em menos de 20 horas, o que é significativamente mais rápido do que os padrões do setor. Esses dados são essenciais para que as empresas brasileiras compreendam a importância de manter a segurança em toda a sua infraestrutura de software livre, especialmente em um cenário onde a conformidade e a segurança são cada vez mais exigidas.

O cenário de cibersegurança continua a evoluir rapidamente, com novos ataques e vulnerabilidades surgindo semanalmente. Um dos destaques foi a ação da empresa Resecurity, que armou uma armadilha para hackers do grupo Scattered LAPSUS$ Hunters, capturando suas tentativas de acesso a dados falsos. Durante um período de duas semanas, o grupo fez mais de 188 mil solicitações em busca de dados sintéticos, permitindo à Resecurity identificar e rastrear os atacantes.

O grupo de ameaças UAT-7290, vinculado à China, tem sido associado a intrusões focadas em espionagem contra entidades na Ásia do Sul e no Sudeste Europeu desde pelo menos 2022. De acordo com um relatório da Cisco Talos, a atividade deste ator é caracterizada por uma extensa fase de reconhecimento técnico das organizações-alvo antes de iniciar os ataques, que frequentemente resultam na implantação de malwares como RushDrop, DriveSwitch e SilentRaid.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), afetando o Microsoft Office e o HPE OneView. A primeira, CVE-2009-0556, com uma pontuação CVSS de 8.8, é uma vulnerabilidade de injeção de código no PowerPoint que permite a execução remota de código por atacantes. A segunda, CVE-2025-37164, possui uma pontuação máxima de 10.0 e também permite a execução remota de código, afetando todas as versões do HPE OneView anteriores à versão 11.00. A HPE já disponibilizou correções para as versões afetadas. Embora a origem dos ataques ainda não esteja clara, a disponibilidade pública de um código de prova de conceito (PoC) para a CVE-2025-37164 aumenta o risco para as organizações que utilizam versões vulneráveis do software. A CISA recomenda que as agências federais apliquem as correções necessárias até 28 de janeiro de 2026 para proteger suas redes contra ameaças ativas.

A OpenAI anunciou o lançamento do ChatGPT Health, uma nova funcionalidade que permite aos usuários interagir com um chatbot sobre questões de saúde. Este espaço dedicado oferece a opção de conectar de forma segura registros médicos e aplicativos de bem-estar, como Apple Health e MyFitnessPal, para fornecer respostas personalizadas, conselhos nutricionais e sugestões de exercícios. A empresa enfatiza que o ChatGPT Health foi projetado para apoiar, e não substituir, cuidados médicos, e que as conversas são protegidas por criptografia e isolamento. Além disso, as interações na plataforma não são utilizadas para treinar modelos de IA da OpenAI. A nova funcionalidade está disponível para usuários fora da Área Econômica Europeia, Suíça e Reino Unido. A OpenAI também destacou que o modelo foi avaliado com base em padrões clínicos, visando garantir que ele atenda às necessidades reais dos usuários. No entanto, a empresa enfrenta críticas e processos judiciais relacionados a informações de saúde potencialmente prejudiciais fornecidas por suas ferramentas, levantando preocupações sobre a segurança e a confiabilidade das informações médicas geradas por IA.

Uma nova campanha de phishing, identificada em dezembro de 2025, está atacando o setor de hotelaria na Europa, utilizando uma falsa tela azul da morte do Windows para disseminar malware. Especialistas da Securonix alertam que os criminosos se disfarçam como hóspedes do Booking, enviando e-mails que simulam cancelamentos de reservas. Esses e-mails geram pânico nas vítimas ao prometer reembolsos altos, levando-as a clicar em links que direcionam a páginas fraudulentas. Uma vez na página falsa, um erro de carregamento é apresentado, incentivando o usuário a clicar em um botão de atualização. Nesse momento, a tela azul do Windows aparece, fazendo com que a vítima acredite que seu sistema está com problemas. O ataque ClickFix se concretiza quando a vítima é instruída a abrir a janela de ‘Executar’ e colar um comando malicioso, que instala um trojan de acesso remoto. Esse malware permite que os hackers controlem o dispositivo da vítima, roubando dados e comprometendo sistemas sem que a pessoa perceba. A falta de conhecimento sobre a tela azul da morte torna os usuários mais vulneráveis a esse tipo de golpe.

Um recente incidente de cibersegurança revelou que a Polícia Militar do Brasil teve dados sensíveis comprometidos devido à falta de autenticação de dois fatores (2FA) em sistemas utilizados por diversas empresas. O hacker conhecido como Zestix, ou Sentap, explorou credenciais de nuvem comprometidas, obtidas através de malwares de infostealing, para acessar portais de compartilhamento de arquivos. Entre as 50 empresas afetadas, estavam organizações de setores críticos, como saúde e aviação, com dados sendo vendidos por milhões de reais em bitcoin. O caso da Maida Health, que teve 2,3 TB de dados vazados, destaca a gravidade do problema, evidenciando a necessidade urgente de implementar medidas de segurança robustas, como o 2FA, para proteger informações sensíveis. O relatório da Hudson Rock, que analisou o incidente, enfatiza que a maioria das empresas invadidas não havia adotado a autenticação multifatorial, permitindo que os hackers utilizassem senhas vazadas sem a necessidade de ataques mais complexos. Este incidente serve como um alerta para a importância de fortalecer a segurança cibernética em todas as organizações.

Uma nova ameaça de cibersegurança, conhecida como VVS Stealer, foi identificada como um malware que utiliza técnicas avançadas de ofuscamento para roubar dados sensíveis de usuários do Discord. Desenvolvido em Python, o VVS Stealer é distribuído como um pacote PyInstaller, o que permite sua execução sem dependências adicionais. O malware é capaz de se esconder no sistema da vítima, copiando seu código para a pasta de inicialização do Windows e utilizando mensagens de erro falsas para evitar detecção. Além de focar no Discord, ele também coleta informações de navegadores baseados em Chromium e Firefox, como senhas e cookies, comprimindo esses dados em arquivos ZIP. O uso de Pyarmor, uma ferramenta legítima, para proteger o código do malware dificulta a análise por antivírus. A Unit 42 da Palo Alto Networks, que estuda a ameaça, alerta que o malware faz requisições a APIs do Discord para coletar dados do usuário sem necessidade de autenticação. O VVS Stealer está em desenvolvimento ativo desde abril de 2025 e é comercializado em plataformas como o Telegram. Os especialistas recomendam que as plataformas monitorem o roubo de credenciais para evitar incidentes semelhantes.

A recente operação militar dos Estados Unidos que resultou na captura do presidente venezuelano Nicolás Maduro pode ter envolvido recursos cibernéticos, conforme sugerido por declarações do ex-presidente Donald Trump. Durante uma coletiva, Trump mencionou que ‘uma certa expertise’ foi utilizada, o que levantou especulações sobre a atuação do Comando Cibernético dos EUA. Especialistas, no entanto, alertam que a conexão entre a operação e um ciberataque ainda é incerta. A NetBlocks, uma rede de monitoramento, registrou perda de conexão de internet em Caracas durante a ação, mas seu diretor, Alp Toker, afirmou que isso não necessariamente indica um ataque cibernético, podendo ser resultado de explosões. O histórico dos EUA em operações cibernéticas, como o ataque ao programa nuclear do Irã em 2010, alimenta desconfianças sobre a possibilidade de um ciberataque. O general Dan Caine, chefe do Estado-Maior Conjunto dos EUA, confirmou que houve uma ‘sobreposição’ de medidas para facilitar a operação, mas não forneceu detalhes sobre a atuação das agências envolvidas.

Uma nova campanha de phishing está utilizando servidores de e-mail mal configurados para enganar vítimas, fazendo com que mensagens fraudulentas pareçam legítimas. De acordo com um relatório da Microsoft, os atacantes estão explorando falhas na configuração de segurança de e-mails, como SPF, DKIM e DMARC, que normalmente verificam a autenticidade das mensagens. Quando esses sistemas não são rigorosamente aplicados, os criminosos conseguem enviar e-mails que parecem vir de domínios internos da empresa, aumentando a probabilidade de que os funcionários caiam no golpe.

O artigo destaca a crescente importância das Identidades Não Humanas (NHIs) na cibersegurança, à medida que as empresas adotam Inteligência Artificial (IA) e automação em nuvem. Com 51% dos profissionais reconhecendo que a segurança das NHIs é tão crucial quanto a das contas humanas, a falta de visibilidade e supervisão sobre essas identidades representa um risco significativo. NHIs, como bots e contas de serviço, frequentemente têm acesso amplo e permanente a sistemas sensíveis, tornando-se alvos atraentes para cibercriminosos. Para mitigar esses riscos, as organizações devem implementar estratégias modernas de segurança, incluindo princípios de zero-trust, acesso com privilégios mínimos e rotação automatizada de credenciais. O gerenciamento adequado de segredos, como chaves de API e credenciais SSH, é essencial para evitar vulnerabilidades. O artigo conclui que, à medida que a infraestrutura das empresas se torna mais automatizada, as NHIs devem ser tratadas como identidades de primeira classe, com monitoramento contínuo e acesso controlado, para proteger dados e sistemas críticos.

A gangue de cibercrime conhecida como Black Cat está por trás de uma campanha de envenenamento de SEO que utiliza sites fraudulentos para enganar usuários a baixarem um backdoor capaz de roubar dados sensíveis. Segundo um relatório do CNCERT/CC e da ThreatBook, a estratégia envolve posicionar sites falsos no topo dos resultados de busca em motores como o Bing, visando usuários que procuram por softwares populares como Google Chrome e Notepad++. Ao acessar essas páginas de phishing, os usuários são levados a baixar pacotes de instalação que contêm programas maliciosos. Uma vez instalado, o malware cria uma porta dos fundos no sistema, permitindo que os atacantes acessem informações privadas. A gangue está ativa desde 2022 e, em 2023, teria roubado cerca de $160.000 em criptomoedas. Recentemente, cerca de 277.800 dispositivos foram comprometidos na China, com um pico de 62.167 máquinas comprometidas em um único dia. Para se proteger, os usuários devem evitar clicar em links de fontes desconhecidas e utilizar apenas fontes confiáveis para downloads.

O grupo hacker DarkSpectre, conhecido por suas campanhas maliciosas, lançou uma nova iniciativa chamada Zoom Stealer, que já afetou mais de 2,2 milhões de usuários dos navegadores Google Chrome, Microsoft Edge e Mozilla Firefox. De acordo com a Koi Security, os ataques, que têm origem na China, também incluem as campanhas ShadyPanda e GhostPoster, totalizando mais de 8,8 milhões de vítimas ao longo de sete anos.

As extensões comprometidas, como New Tab - Customized Dashboard e várias ferramentas de download de vídeo, foram projetadas para parecer inofensivas, mas na verdade, escondem códigos maliciosos que podem roubar dados sensíveis, como credenciais de acesso e informações de reuniões online. O ataque Zoom Stealer, em particular, foca no roubo de dados de plataformas de videoconferência, utilizando conexões WebSocket para coletar informações em tempo real.

O WhatsApp, um dos aplicativos de comunicação mais populares do mundo, corrigiu recentemente uma vulnerabilidade relacionada ao fingerprinting, que permitia a cibercriminosos identificar o dispositivo utilizado pelos usuários. Apesar da criptografia de ponta a ponta (E2EE) que protege a comunicação, falhas no design do aplicativo possibilitavam que hackers descobrissem informações sensíveis, como o sistema operacional do dispositivo. A correção foi implementada de forma silenciosa e incompleta, afetando inicialmente apenas a lógica de encriptação no Android, que agora se tornou randômica, dificultando a identificação do dispositivo. No entanto, outras plataformas ainda não receberam atualizações semelhantes, o que mantém a possibilidade de identificação. Pesquisadores de segurança, como Tal Be’ery, já haviam alertado sobre essa falha anteriormente, mas a Meta, empresa responsável pelo WhatsApp, não reconheceu a gravidade do problema. A falta de transparência e reconhecimento por parte da empresa em relação aos pesquisadores que reportaram a vulnerabilidade levanta preocupações sobre a privacidade dos usuários e a responsabilidade da plataforma em garantir a segurança de seus dados.

Um estudo realizado pela NordVPN em parceria com a Saily revelou que milhares de contas de programas de fidelidade de companhias aéreas estão sendo comercializadas na dark web. O roubo de dados, que ocorreu ao longo dos últimos cinco anos, envolve informações de clientes de companhias aéreas como American Airlines, Southwest, Emirates, United, Alaska e Delta, que representam 54% dos perfis vazados. Os criminosos vendem as milhas acumuladas a preços que variam de US$ 0,75 a US$ 200, permitindo que eles reservem voos gratuitamente usando as informações legítimas das vítimas. Além disso, o estudo também identificou que dados de redes hoteleiras, como Hilton, Marriott e IHG, estão sendo vendidos, com informações pessoais de hóspedes, incluindo contas de fidelidade e números de passaporte, com valores que podem chegar a US$ 3 mil. Essa situação levanta preocupações sobre a segurança dos dados dos consumidores e a necessidade de medidas de proteção mais rigorosas.

A empresa de cibersegurança Synthient revelou a descoberta da botnet Kimwolf, que já comprometeu mais de 2 milhões de dispositivos Android, especialmente TV boxes, no Brasil e em outros países. A botnet, que se conecta a redes proxy residenciais, é uma evolução da botnet Aisuru, que anteriormente havia invadido 1,8 milhões de aparelhos. A Kimwolf utiliza técnicas avançadas de encriptação e comunicação, como DNS sobre TLS e EtherHiding, para evitar detecções e desmantelamentos. Os cibercriminosos monetizam as infecções por meio da venda de SDKs e revenda de banda larga, além de permitir o preenchimento de credenciais em massa. A maioria das infecções foi observada em países como Brasil, Índia, Arábia Saudita e Vietnã. A Synthient recomenda que provedores de proxy bloqueiem portas arriscadas e que usuários verifiquem e destruam dispositivos infectados.

A Gulshan Management Services (GMS), que opera cerca de 150 postos de gasolina no Texas, notificou 377.082 pessoas sobre um vazamento de dados ocorrido em setembro de 2025. O incidente, resultante de um ataque de phishing bem-sucedido, comprometeu informações sensíveis, incluindo nomes, números de Seguro Social, dados de cartões de crédito e débito, números de carteira de motorista e informações de contato. A empresa descobriu a invasão em 27 de setembro, após uma investigação que revelou que o acesso não autorizado ocorreu em 17 de setembro. Além de acessar servidores que armazenavam dados pessoais, o atacante implantou um software malicioso que criptografou partes da rede da GMS. A empresa está oferecendo monitoramento de identidade gratuito para as vítimas e enfrenta várias ações judiciais coletivas em decorrência do vazamento. Este ataque é considerado o quinto maior do ano em termos de registros comprometidos, com um total de 325 ataques de ransomware registrados em 2025 nos EUA, afetando mais de 25,9 milhões de registros pessoais.

A Veeam lançou atualizações de segurança para seu software Backup & Replication, abordando múltiplas vulnerabilidades, incluindo uma falha crítica que pode permitir a execução remota de código (RCE). A vulnerabilidade, identificada como CVE-2025-59470, possui uma pontuação CVSS de 9.0 e permite que operadores de backup ou fita executem código malicioso como o usuário postgres ao enviar parâmetros manipulados. Os papéis de Backup e Tape Operator são considerados altamente privilegiados, o que aumenta o risco de exploração. Além dessa falha, outras três vulnerabilidades foram identificadas, com pontuações CVSS variando de 6.7 a 7.2, todas afetando versões do Backup & Replication 13.0.1.180 e anteriores. A Veeam recomenda que os usuários apliquem as correções imediatamente, embora não haja relatos de exploração ativa das falhas. A empresa classifica a gravidade da vulnerabilidade como alta, enfatizando a importância de seguir as diretrizes de segurança recomendadas para mitigar riscos.