O Wayne Memorial Hospital, localizado em Jesup, Georgia, confirmou um vazamento de dados que afetou 163.440 pessoas, revelando informações sensíveis como números de Seguro Social, senhas, dados financeiros e históricos médicos. O incidente, que ocorreu entre 30 de maio e 3 de junho de 2024, foi atribuído ao grupo de ransomware Monti, que ameaçou divulgar os dados roubados até 8 de julho de 2024. Inicialmente, o hospital havia notificado apenas 2.500 pessoas sobre o vazamento em agosto de 2024, mas atualizou o número após uma investigação forense que revelou o alcance do ataque. O hospital está oferecendo 12 meses de assistência contra fraudes e monitoramento de crédito aos afetados. Monti, que já foi responsável por outros ataques a instituições de saúde, utiliza vulnerabilidades de software para acessar e criptografar dados, exigindo resgates para a devolução das informações. Em 2024, foram registrados 174 ataques de ransomware a provedores de saúde nos EUA, comprometendo cerca de 28,6 milhões de registros, destacando a crescente ameaça a esse setor.

Na última semana, o incidente de segurança envolvendo a Salesloft e a Drift destacou a vulnerabilidade das integrações entre sistemas. Ataques direcionados resultaram no roubo de tokens OAuth, permitindo acesso a dados do Salesforce de várias empresas de tecnologia de grande porte. A Salesloft decidiu retirar temporariamente a Drift do ar para revisar a aplicação e aumentar a segurança do sistema. Entre as empresas afetadas estão Cloudflare, Google Workspace e Palo Alto Networks. Além disso, o artigo menciona outras ameaças ativas, como a exploração de uma vulnerabilidade no Sitecore, que permite execução remota de código, e um novo backdoor do grupo de hackers russo APT28, que visa usuários do Microsoft Outlook. O uso de inteligência artificial por hackers também foi destacado, com ferramentas como HexStrike AI sendo utilizadas para explorar falhas de segurança. O artigo enfatiza a importância de manter sistemas atualizados e monitorar vulnerabilidades ativas para evitar danos significativos.

Pesquisadores de cibersegurança revelaram uma nova campanha de malware sofisticada que utiliza anúncios pagos em motores de busca, como o Google, para disseminar malware a usuários desavisados em busca de ferramentas populares, como o GitHub Desktop. A campanha, que começou a ser observada em dezembro de 2024, tem como alvo empresas de TI e desenvolvimento de software na Europa Ocidental. Os links maliciosos, disfarçados como commits legítimos do GitHub, redirecionam os usuários para um domínio falso, ‘gitpage[.]app’, onde um instalador de software malicioso de 128 MB é baixado. Este instalador é projetado para evitar a detecção por sandboxes de segurança devido ao seu tamanho e utiliza uma rotina de descriptografia que depende de uma unidade de processamento gráfico (GPU), chamada GPUGate. O malware executa scripts em PowerShell com privilégios de administrador, permitindo a adição de exclusões ao Microsoft Defender e a execução de tarefas agendadas para persistência. A análise sugere que os atacantes têm proficiência em russo, indicando uma possível origem russa. Além disso, a campanha está associada ao Atomic macOS Stealer, sugerindo uma abordagem multiplataforma. Este incidente destaca a necessidade de vigilância constante e de medidas de segurança robustas para proteger as organizações contra ameaças emergentes.

O artigo explora a origem dos primeiros vírus de computador, destacando o Creeper e o Brain. O Creeper, criado em 1971 por Bob Thomas, foi o primeiro programa autorreplicante, que se movia entre computadores na ARPANET, exibindo a mensagem ‘I’M THE CREEPER: CATCH ME IF YOU CAN!’. Em resposta, surgiu o Reaper, considerado o primeiro antivírus, que tinha a função de eliminar o Creeper. Já em 1986, o Brain, desenvolvido pelos irmãos paquistaneses Basit e Amjad Farooq Alvi, se tornou o primeiro vírus de PC a se disseminar em massa através de disquetes, alterando o nome do volume para ‘© Brain’ e causando lentidão nos drives. Embora ambos os programas não fossem destrutivos, eles marcaram o início de uma longa história de cibersegurança, que evoluiu para ameaças digitais complexas e destrutivas nos dias atuais. O artigo conclui que, enquanto o Creeper foi um experimento inofensivo, o Brain representa a primeira epidemia digital, estabelecendo as bases para a batalha contínua entre malware e antivírus.

Uma vulnerabilidade crítica foi identificada na plataforma Argo CD, amplamente utilizada para entrega contínua em ambientes Kubernetes. Essa falha permite que tokens de API com permissões básicas de projeto acessem credenciais sensíveis de repositórios, incluindo nomes de usuário e senhas. A vulnerabilidade, designada como GHSA-786q-9hcg-v9ff, foi revelada pelo pesquisador de segurança Michael Crenshaw e afeta todas as versões do Argo CD a partir da 2.2.0-rc1.

O problema ocorre no endpoint da API de detalhes do projeto (/api/v1/projects/{project}/detailed), onde tokens com permissões padrão podem recuperar credenciais sem a necessidade de acesso explícito a segredos. Isso representa uma séria escalada de privilégios, pois tokens destinados a operações rotineiras de aplicação obtêm acesso não autorizado a dados de autenticação sensíveis. A falha não se limita apenas a permissões de nível de projeto, mas também se estende a qualquer token com permissões de obtenção de projeto, aumentando o impacto potencial em implementações empresariais do Argo CD.

Um ataque cibernético conhecido como GhostAction comprometeu 327 usuários do GitHub e 817 repositórios, destacando a sofisticação dos atacantes em manter a infraestrutura maliciosa apenas pelo tempo necessário para coletar credenciais. A análise da GitGuardian revelou que a infraestrutura foi desativada rapidamente após o início das divulgações, indicando um nível profissional de inteligência de ameaças. O ataque não apresentou sobreposição com a recente campanha S1ngularity, sugerindo que diferentes grupos de ameaças estão operando de forma independente. A resposta imediata de organizações e registros de pacotes, como o PyPI, que rapidamente colocou projetos comprometidos em modo somente leitura, ajudou a evitar uma contaminação generalizada da cadeia de suprimentos de software. O incidente ressalta a importância da gestão de segredos em ambientes de CI/CD e a necessidade de monitoramento de segurança aprimorado nos fluxos de trabalho do GitHub Actions. As organizações devem implementar varreduras de segurança abrangentes, rotacionar credenciais comprometidas imediatamente e monitorar modificações não autorizadas nos fluxos de trabalho para prevenir ataques semelhantes.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma vulnerabilidade crítica no WhatsApp, identificada como CVE-2025-55177, que já está sendo explorada por cibercriminosos em campanhas de ataque. Essa falha de zero-day afeta a funcionalidade de sincronização de dispositivos do aplicativo, permitindo que atacantes manipulem mensagens de sincronização e forcem dispositivos a processar conteúdo malicioso. O problema reside em uma verificação de autorização incorreta no framework de sincronização entre dispositivos, classificada como CWE-863. A CISA estabeleceu um prazo até 23 de setembro para que agências federais e organizações de infraestrutura crítica implementem correções. A exploração dessa vulnerabilidade pode levar a acessos não autorizados, exfiltração de dados e instalação de malware, ampliando significativamente o risco para os usuários do WhatsApp. A natureza silenciosa do ataque, que não requer interação do usuário, torna a conscientização tradicional ineficaz contra essa ameaça.

A empresa de cibersegurança Tenable confirmou um grande vazamento de dados que afetou informações de contato de seus clientes. O incidente ocorreu devido a uma exploração de vulnerabilidades em integrações de aplicativos de terceiros, especificamente entre o Salesforce e a plataforma de marketing conversacional Drift da Salesloft. Dados de suporte ao cliente, como descrições de problemas e informações de contato, foram acessados por agentes não autorizados. Apesar do vazamento, a Tenable assegurou que seus produtos principais de avaliação de vulnerabilidades não foram comprometidos. A resposta da empresa incluiu a revogação imediata de credenciais, a remoção da aplicação Drift e a implementação de controles de segurança adicionais. Este incidente ressalta a crescente preocupação com a segurança em ambientes de Software como Serviço (SaaS), onde as integrações de APIs podem aumentar a superfície de ataque. A Tenable também reforçou a importância da gestão de riscos de terceiros e da necessidade de soluções robustas de gerenciamento de postura de segurança em SaaS para prevenir acessos não autorizados e manter a conformidade com normas de proteção de dados.

Uma falha crítica de segurança foi identificada no Apache Jackrabbit, um sistema de repositório de conteúdo baseado em Java, que pode colocar milhares de aplicações empresariais em risco de execução remota de código (RCE). A vulnerabilidade, rastreada como CVE-2025-58782, afeta os componentes Apache Jackrabbit Core e JCR Commons, sendo classificada como importante. O problema decorre da desserialização insegura de dados não confiáveis por meio de buscas de repositório baseadas em JNDI, permitindo que atacantes executem código arbitrário em sistemas vulneráveis.

O artigo aborda a crescente ameaça de fraudes na contratação, onde atacantes se infiltram em empresas disfarçados de funcionários legítimos. O caso de ‘Jordan de Colorado’ ilustra como um novo contratado pode ter um histórico impecável, mas na verdade ser um invasor. Com o aumento do trabalho remoto, as organizações perderam as proteções intuitivas das entrevistas presenciais, permitindo que indivíduos mal-intencionados utilizem identidades falsas, referências forjadas e até deepfakes para obter acesso a sistemas críticos. Um relatório recente revelou que mais de 320 operativos norte-coreanos se infiltraram em empresas como trabalhadores de TI remotos, utilizando perfis gerados por IA e manipulação em tempo real para passar por processos de seleção. O artigo sugere a implementação de um modelo de ‘Zero Standing Privileges’ (ZSP), que limita o acesso a informações e sistemas apenas ao necessário, garantindo que mesmo após a contratação, o acesso seja sempre verificado e controlado. Essa abordagem visa equilibrar segurança e produtividade, evitando que a rigidez das políticas de segurança atrapalhe o fluxo de trabalho.

A Microsoft enfrenta crescente escrutínio após a revelação de que a empresa utilizou engenheiros baseados na China para corrigir falhas no SharePoint, um produto que foi alvo de hackers apoiados pelo Estado. O ataque cibernético afetou centenas de empresas e agências governamentais dos EUA, incluindo o Departamento de Segurança Interna (DHS) e a Administração Nacional de Segurança Nuclear (NNSA). As vulnerabilidades permitiram que os invasores acessassem completamente o conteúdo do SharePoint, executando código remotamente e implantando ransomware. Embora a Microsoft tenha emitido um patch rapidamente, ele foi insuficiente para conter os ataques. A empresa confirmou a participação de uma equipe de engenharia da China, mas afirmou que o trabalho era supervisionado por engenheiros dos EUA. Especialistas em cibersegurança expressaram preocupações sobre as leis chinesas que permitem que agências estatais exijam cooperação de empresas privadas, levantando temores sobre a coleta de inteligência. Em resposta à pressão, a Microsoft anunciou que encerrará o uso de engenheiros da China em projetos do Pentágono e está avaliando sua presença em outros projetos governamentais. A empresa também planeja descontinuar o suporte para o SharePoint On-Premises em julho de 2026, incentivando a migração para seu serviço em nuvem, Azure.

Em agosto de 2025, pesquisadores de cibersegurança da Arctic Wolf® descobriram uma campanha sofisticada que utiliza o Google Ads e a infraestrutura do GitHub para implantar o malware GPUGate. Este malware foi projetado para evitar análises padrão e comprometer alvos de TI de alto valor. Os atacantes manipulam os resultados de busca patrocinados do Google para palavras-chave como ‘GitHub Desktop’, levando os usuários a um link de download que parece legítimo, mas redireciona para um repositório GitHub com um link malicioso oculto. Após o download do instalador falso, que imita o verdadeiro GitHub Desktop, a cadeia de infecção começa. O arquivo de 128 MB contém executáveis falsos para confundir ambientes de segurança e utiliza rotinas que só são ativadas em sistemas com GPUs reais, explorando a API OpenCL para um processo de descriptografia baseado em hardware. O malware estabelece persistência através de scripts PowerShell e pode baixar cargas secundárias, como módulos de ransomware e ladrões de informações. A campanha tem como alvo profissionais do setor de TI na Europa Ocidental e destaca a necessidade de novas abordagens de defesa em cibersegurança.

O Let’s Encrypt é amplamente reconhecido por fornecer certificados SSL/TLS gratuitos e automatizados, mas sua política não permite a emissão de certificados para endereços IP. Este artigo explora as limitações e alternativas para obter segurança em serviços que operam diretamente em IPs. A principal barreira é que o Let’s Encrypt exige controle sobre um nome de domínio para validar a identidade, o que não se aplica a endereços IP. Para contornar essa limitação, o artigo sugere algumas abordagens. A primeira e mais recomendada é registrar um domínio, mesmo que gratuito, e apontá-lo para o IP do servidor, permitindo assim a obtenção de um certificado Let’s Encrypt. Outra opção é utilizar certificados autoassinados, que, embora não sejam confiáveis por padrão, podem ser instalados manualmente. Além disso, o uso de proxies reversos, como Nginx ou Traefik, pode facilitar a terminação TLS para um domínio, enquanto o serviço interno opera em um IP. O artigo também menciona que algumas autoridades certificadoras comerciais oferecem certificados para IPs, mas geralmente a um custo elevado. Por fim, são discutidos erros comuns a evitar e práticas recomendadas de segurança, como redirecionar HTTP para HTTPS e habilitar HSTS.

Em 2025, a gestão da superfície de ataque (ASM) se torna essencial para a segurança cibernética, à medida que as organizações ampliam sua presença digital através de serviços em nuvem e trabalho remoto. O ASM é uma disciplina proativa que envolve a descoberta, inventário e monitoramento contínuo de ativos expostos à internet, permitindo a identificação e mitigação de vulnerabilidades antes que sejam exploradas. As melhores empresas de ASM utilizam automação e inteligência artificial para oferecer uma visão abrangente da postura de segurança externa das organizações.

A Windscribe lançou uma atualização significativa para seu aplicativo VPN, focando na facilidade de uso e personalização. As mudanças incluem uma tela inicial mais limpa, uma seção de configurações simplificada e acesso mais rápido a configurações importantes. Os usuários agora podem escolher entre temas de interface, como o Alpha e o minimalista Van Gogh, além de modos claro e escuro para dispositivos móveis. A nova seção ‘Look and Feel’ permite personalizar ainda mais a experiência, com opções para adicionar fundos e sons personalizados ao conectar ou desconectar da VPN. A atualização também facilita o acesso a configurações cruciais, como o Auto-Secure, que ativa automaticamente a VPN em redes não confiáveis, e a troca de protocolos, que agora é feita com um único clique. Embora as opções de personalização sejam divertidas, elas também melhoram a usabilidade, especialmente para novos usuários que podem achar a interface anterior complexa. A Windscribe oferece uma versão gratuita e uma versão Pro, com preços acessíveis a partir de $5,75 por mês.

Os ataques de roubo de contas (Account Takeover - ATO) estão em ascensão, representando uma ameaça significativa no cenário digital atual. Com bilhões de credenciais comprometidas disponíveis no dark web e ferramentas automatizadas que testam milhares de tentativas de login por segundo, cada página de login se torna um alvo potencial. Os atacantes evoluíram suas táticas, utilizando phishing, engenharia social e troca de SIM para contornar autenticações de dois fatores. O artigo destaca cinco soluções eficazes para prevenir ATOs em 2025: Lunar, Telesign, Feedzai, Kount e Sift. Essas plataformas oferecem recursos como monitoramento em tempo real, análise comportamental, autenticação multifatorial e inteligência de risco. A solução Lunar, por exemplo, se destaca por sua ampla cobertura de dados e capacidade de detectar ameaças emergentes rapidamente. A necessidade de soluções robustas contra ATOs é imperativa, especialmente para empresas que não possuem segurança em camadas e detecção de ameaças em tempo real. Com a crescente complexidade dos ataques, as organizações devem adotar medidas proativas para proteger suas credenciais e dados sensíveis.

Um novo conjunto de ataques cibernéticos, denominado Operação BarrelFire, foi atribuído a um grupo de ameaças possivelmente de origem russa, conhecido como Noisy Bear. Os ataques visam especificamente a KazMunaiGas, uma empresa do setor de energia do Cazaquistão, e começaram em abril de 2025. Os atacantes utilizaram e-mails de phishing com documentos falsos que simulavam comunicações internas da empresa, incluindo temas como atualizações de políticas e procedimentos de certificação. O vetor inicial da infecção é um arquivo ZIP que contém um atalho do Windows (LNK) que baixa um script malicioso e um programa chamado ‘KazMunayGaz_Viewer’. O ataque culmina na instalação de um implante DLL que permite o controle remoto do sistema comprometido. Além disso, a infraestrutura dos atacantes está hospedada em um provedor de serviços de hospedagem à prova de balas na Rússia, sancionado pelos EUA. Em paralelo, outras campanhas de ciberespionagem têm sido observadas, incluindo ataques a empresas na Polônia e na Ucrânia, utilizando técnicas semelhantes de engenharia social e malware. Esses incidentes destacam a crescente complexidade e a sofisticação das ameaças cibernéticas na região.

Recentemente, quatro pacotes maliciosos foram identificados no registro npm, projetados para roubar credenciais de carteiras de criptomoedas de desenvolvedores Ethereum. Os pacotes, que se disfarçam como utilitários criptográficos legítimos e infraestrutura MEV da Flashbots, exfiltram chaves privadas e frases mnemônicas para um bot do Telegram controlado por atacantes. O primeiro pacote foi carregado em setembro de 2023, e o mais recente em agosto de 2025. Entre os pacotes, o ‘@flashbotts/ethers-provider-bundle’ é o mais perigoso, pois oculta operações maliciosas sob a aparência de compatibilidade com a API da Flashbots, redirecionando transações não assinadas para carteiras controladas pelos atacantes. A presença de comentários em vietnamita no código-fonte sugere que os atacantes podem ser falantes de vietnamita. Essa situação destaca a exploração da confiança dos desenvolvedores em pacotes conhecidos, transformando o desenvolvimento Web3 em um canal direto para bots maliciosos. A confiança depositada na Flashbots, amplamente utilizada por desenvolvedores DeFi, aumenta o risco de adoção desses pacotes comprometidos, resultando em possíveis perdas financeiras significativas.

Uma nova variante do golpe conhecido como ‘golpe das entregas’ está circulando no Brasil, desta vez utilizando o nome da transportadora Jadlog. Os cibercriminosos têm se aproveitado da crescente movimentação do e-commerce, enviando mensagens que alegam que encomendas estão retidas e exigindo o pagamento de taxas inexistentes via Pix. O diferencial desta versão é a utilização de códigos de rastreamento válidos, que conferem um nível de credibilidade à fraude. No entanto, pequenos detalhes, como a apresentação de pacotes com etiquetas dos Correios, revelam a natureza fraudulenta do golpe. Os golpistas utilizam dados reais das vítimas, obtidos de vazamentos anteriores, para criar uma comunicação convincente. A abordagem é feita em horários estratégicos, como de madrugada, para explorar a vulnerabilidade cognitiva das pessoas. Apesar da sofisticação técnica, a falta de atenção a detalhes básicos e a reutilização de imagens para diferentes vítimas são falhas que podem ser percebidas por usuários mais atentos. Especialistas alertam que a combinação de dados vazados e técnicas de engenharia social torna esses golpes cada vez mais eficazes, exigindo cautela dos consumidores.

Recentemente, a TP-Link confirmou uma vulnerabilidade crítica em vários modelos de roteadores, que ainda não possui correção. A falha, identificada pelo pesquisador Mehrun da ByteRay, é uma vulnerabilidade de zero-day relacionada à sobrecarga de buffer no Protocolo de Gerenciamento CPE WAN (CWMP). Essa falha permite a execução remota de códigos maliciosos, especialmente quando o tamanho dos buffers ultrapassa 3072 bytes. Os atacantes podem explorar essa vulnerabilidade através de um servidor CWMP malicioso, comprometendo roteadores que utilizam credenciais padrão ou firmwares desatualizados. Modelos como Archer AX10 e AX1500 já foram confirmados como vulneráveis, e a TP-Link está desenvolvendo um patch para modelos fora da Europa. Enquanto isso, recomenda-se que os usuários alterem as senhas padrão, desativem o CWMP se não for necessário e atualizem seus dispositivos para a versão mais recente do firmware. A situação é preocupante, especialmente considerando que botnets têm explorado falhas em roteadores para disseminar malware e roubar credenciais, como observado em ataques recentes.

Agências do Federal Civilian Executive Branch (FCEB) dos EUA foram alertadas para atualizar suas instâncias do Sitecore até 25 de setembro de 2025, devido a uma vulnerabilidade crítica identificada como CVE-2025-53690, com um CVSS de 9.0. Essa falha permite a execução remota de código através da deserialização de dados não confiáveis, explorando chaves de máquina ASP.NET expostas. A Mandiant, que descobriu a exploração ativa, observou que a vulnerabilidade foi utilizada em ataques que começaram a ser documentados em dezembro de 2024. Os atacantes, que demonstraram um conhecimento profundo do produto comprometido, conseguiram escalar privilégios e realizar movimentos laterais na rede, resultando em roubo de dados. Para mitigar essa ameaça, as organizações são aconselhadas a rotacionar suas chaves de máquina ASP.NET e verificar suas configurações. A situação destaca a importância de não utilizar chaves padrão expostas em documentações públicas, uma prática que deixou muitas implementações vulneráveis a ataques de deserialização de ViewState.

A Walt Disney Company concordou em pagar US$ 10 milhões (aproximadamente R$ 54 milhões) à Comissão Federal de Comércio dos Estados Unidos (FTC) devido à coleta indevida de dados pessoais de crianças no YouTube, sem o consentimento dos pais. A questão gira em torno da falha da Disney em marcar corretamente o conteúdo infantil na plataforma, o que levou à coleta de informações de crianças abaixo de 13 anos, em violação à Regra de Proteção de Privacidade Online Infantil (COPPA). A Disney havia marcado seus vídeos como ‘Feito Para Crianças’ (FPC) a nível de canal, mas muitos vídeos individuais foram erroneamente classificados como ‘Não Feito Para Crianças’ (NFPC). Isso resultou na exibição de publicidade direcionada a crianças, o que é proibido pela COPPA. Além da multa, a Disney terá que implementar um novo programa para garantir a correta classificação de seus vídeos e notificar os pais antes de coletar dados pessoais. Este caso destaca a importância da conformidade com as regulamentações de privacidade, especialmente em plataformas que atendem a um público jovem.

O festival The Town 2025, que acontece de 6 a 10 de setembro, deve atrair cerca de meio milhão de pessoas, tornando essencial a proteção dos celulares dos participantes. O Canaltech recomenda que os usuários anotem o número IMEI de seus dispositivos, que funciona como um ‘CPF do celular’, permitindo o bloqueio em caso de furto. Além disso, é aconselhável cadastrar o aparelho no aplicativo Celular Seguro BR, que possibilita o bloqueio remoto. Os usuários devem ativar os serviços de localização, como ‘Encontre meu dispositivo’ no Android e ‘Buscar iPhone’ no iOS, para facilitar a localização do celular perdido. Durante o festival, recomenda-se evitar guardar o celular em bolsos traseiros ou soltos, utilizar doleiras ou pochetes e estar atento ao redor ao usar o aparelho. Para garantir que o celular não fique sem bateria, há pontos de carregamento gratuitos disponíveis no evento. Essas medidas visam proporcionar uma experiência mais tranquila e segura para os participantes do festival.

Um novo método de cibercrime foi identificado na rede social X, onde a inteligência artificial Grok está sendo utilizada para disseminar malwares. A técnica, chamada ‘grokking’, permite que golpistas incluam links maliciosos em postagens pagas, burlando as restrições da plataforma. Os criminosos publicam vídeos de conteúdo adulto com links ocultos nos metadados, que não são verificados pela rede social. Quando um usuário pergunta à IA sobre a origem do vídeo, Grok revela o link, dando uma falsa sensação de segurança. Essa prática não apenas engana os usuários, mas também melhora a visibilidade dos domínios maliciosos, levando as vítimas a redes de publicidade suspeitas e CAPTCHAs falsos que visam roubar dados. A empresa de cibersegurança Guardio Labs identificou centenas de contas envolvidas nessa atividade, com milhares de postagens diárias. O diretor da Guardio, Nati Tal, recomendou que a plataforma implemente verificações mais rigorosas nos metadados das postagens para combater essa ameaça. A situação está sob investigação, com a equipe de engenharia da IA analisando o problema.

A TP-Link lançou atualizações de firmware para corrigir duas vulnerabilidades críticas em seus roteadores de pequeno escritório e home office (SOHO), especificamente nos modelos Archer C7 e TL-WR841N/ND. As falhas, identificadas como CVE-2025-50224 e CVE-2025-9377, foram exploradas por um grupo de ameaças cibernéticas chinês conhecido como Quad7, que utilizou um botnet para realizar ataques de password-spraying contra contas do Microsoft 365. A CVE-2025-50224 é uma vulnerabilidade de bypass de autenticação com severidade média (6.5/10), enquanto a CVE-2025-9377 é uma vulnerabilidade de execução remota de comando (RCE) com severidade alta (8.6/10). Apesar de os roteadores estarem em status de fim de vida (EoL), a gravidade das falhas levou a TP-Link a emitir atualizações. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) também emitiu avisos sobre essas vulnerabilidades, incluindo a CVE-2025-9377 em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), dando um prazo de três semanas para que agências aplicassem os patches ou substituíssem o hardware. A situação é alarmante, pois qualquer usuário de roteadores afetados está em risco, e muitos provedores de serviços de internet (ISPs) têm distribuído esses dispositivos.

Um novo ator de ameaças cibernéticas, conhecido como TAG-150, tem causado estragos desde março de 2025, utilizando uma infraestrutura sofisticada e uma variedade de famílias de malware personalizadas. Pesquisas do Insikt Group revelaram que a estrutura do TAG-150 é dividida em quatro camadas, incluindo servidores de comando e controle (C2) voltados para as vítimas, que gerenciam e implantam malwares como CastleLoader, CastleBot e o recém-descoberto CastleRAT, um trojan de acesso remoto (RAT) com variantes em Python e C. O CastleRAT se destaca pela sua sofisticação técnica, sendo capaz de coletar informações do sistema, executar comandos e evadir detecções. Os ataques geralmente começam com técnicas de phishing, onde vítimas são induzidas a executar comandos PowerShell disfarçados. A taxa de infecção entre as vítimas interativas é alarmante, alcançando 28,7%. Para dificultar a identificação, o TAG-150 utiliza serviços de privacidade e move sua infraestrutura frequentemente. Especialistas recomendam bloquear a infraestrutura identificada e monitorar canais de exfiltração de dados. O grupo deve continuar inovando e desenvolvendo novas famílias de malware, representando uma ameaça crescente para organizações em todo o mundo.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) elevou a prioridade de uma nova vulnerabilidade zero-day no componente Android Runtime, classificando-a como de alta gravidade. A falha, identificada como CVE-2025-48543, resulta de um erro de uso após a liberação de memória, permitindo que atacantes escapem do sandbox do Chrome e executem código arbitrário, potencialmente elevando privilégios a nível root em dispositivos Android. A CISA recomenda que organizações e usuários finais implementem medidas de mitigação até 25 de setembro de 2025 para evitar possíveis violações de dados ou controle não autorizado de dispositivos. A vulnerabilidade é especialmente preocupante devido à ampla adoção do Android, que opera bilhões de dispositivos globalmente, expondo dados pessoais e credenciais a agentes maliciosos. As recomendações incluem verificar atualizações de firmware, endurecer configurações do Android Runtime e implementar diretrizes operacionais para monitoramento. Embora não haja evidências de ligação com campanhas de ransomware, a urgência para a aplicação de patches é destacada, uma vez que sistemas não corrigidos permanecerão vulneráveis a acessos não autorizados e exfiltração de dados.

O cenário global de ransomware em 2025 está em constante evolução, com o grupo SafePay se destacando como uma das ameaças mais ativas e disruptivas. Em junho, o grupo assumiu a responsabilidade por ataques a 73 organizações, um recorde mensal que o posicionou no topo do ranking de ameaças da Bitdefender. Em julho, mais 42 vítimas foram divulgadas, totalizando mais de 270 organizações atacadas até agora neste ano. O SafePay, que surgiu em setembro de 2024 após a desarticulação de grandes grupos de ransomware, adota uma abordagem diferente ao rejeitar o modelo de ransomware como serviço (RaaS) e realizar seus próprios ataques, visando empresas de médio e grande porte, especialmente em setores como manufatura, saúde e construção. O grupo utiliza táticas como credenciais comprometidas e ataques de força bruta para obter acesso inicial, seguido por movimentos laterais na rede e exfiltração de dados. A criptografia dos arquivos é realizada com o algoritmo ChaCha20, e os resgates variam amplamente, podendo ultrapassar US$ 100 milhões. A eficiência e a rapidez das divulgações do SafePay destacam a necessidade urgente de medidas de segurança em múltiplas camadas e monitoramento proativo.

Uma vulnerabilidade de alta severidade no SAP S/4HANA, identificada como CVE-2025-42957 e com um score CVSS de 9.9, está sendo ativamente explorada. Essa falha permite que um usuário com privilégios baixos, que possua acesso mínimo ao SAP, realize injeção de código remoto, resultando em uma tomada de controle total do sistema. A vulnerabilidade foi descoberta pelo SecurityBridge em 27 de junho de 2025 e divulgada de forma responsável à SAP, que lançou correções em 11 de agosto de 2025. No entanto, tentativas de exploração já foram observadas no mundo real. Para que um ataque seja bem-sucedido, é necessário apenas um usuário SAP válido com acesso a um módulo RFC vulnerável e a autorização S_DMIS com atividade 02. Uma vez explorada, a falha permite ao atacante executar código ABAP arbitrário, modificar ou excluir registros no banco de dados SAP, criar novos usuários administrativos com privilégios totais e até implantar ransomware. As organizações que utilizam SAP S/4HANA, tanto em ambientes on-premise quanto em nuvem privada, devem aplicar as atualizações de segurança imediatamente para mitigar esse risco crítico.

No segundo trimestre de 2025, a Kaspersky identificou 143.000 pacotes de instalação maliciosos direcionados a dispositivos Android e novas variantes de spyware que infiltraram o ecossistema iOS. Embora o número total de incidentes de malware móvel tenha diminuído para 10,71 milhões em comparação ao trimestre anterior, os trojans e malwares bancários continuam a representar os riscos mais severos para os usuários de smartphones. Os trojans bancários, especialmente da família Mamont, foram responsáveis por 42.220 das infecções, destacando-se o Mamont.ev, que teve um aumento significativo de atividade. Além disso, um novo spyware chamado SparkKitty, que coleta imagens e códigos de recuperação de carteiras de criptomoedas, foi detectado em ambas as plataformas. A descoberta de backdoors pré-instalados em dispositivos Android e a utilização de serviços VPN fraudulentos para ocultar funcionalidades de spyware também foram alarmantes. Apesar da queda no número de incidentes, a qualidade e a diversidade das ameaças aumentaram, exigindo vigilância constante na instalação de aplicativos e na integridade da cadeia de suprimentos.

Uma vulnerabilidade crítica de segurança, identificada como CVE-2025-42957, está afetando o software SAP S/4HANA, amplamente utilizado para gestão empresarial. Com uma pontuação CVSS de 9.9, essa falha permite a injeção de código ABAP arbitrário por atacantes com privilégios de usuário, comprometendo a confidencialidade, integridade e disponibilidade do sistema. A exploração bem-sucedida pode levar a sérias consequências, como a modificação de bancos de dados, criação de contas de superusuário e instalação de ransomware. A empresa SecurityBridge alertou que a exploração ativa já foi observada, afetando tanto as edições on-premise quanto as de nuvem privada. Embora a exploração em larga escala ainda não tenha sido detectada, a facilidade de engenharia reversa do patch torna a situação alarmante. As organizações são aconselhadas a aplicar os patches imediatamente, monitorar logs em busca de chamadas RFC suspeitas e implementar medidas de segmentação e backup adequadas. Recomenda-se também a implementação do SAP UCON para restringir o uso de RFC e revisar o acesso ao objeto de autorização S_DMIS.

O grupo de cibercriminosos TAG-150, ativo desde março de 2025, está por trás do malware CastleLoader e do trojan de acesso remoto CastleRAT. O CastleRAT, disponível nas versões Python e C, permite coletar informações do sistema, baixar e executar cargas adicionais, além de executar comandos via CMD e PowerShell. A análise da Recorded Future indica que o CastleLoader é utilizado como vetor de acesso inicial para uma variedade de malwares, incluindo trojans de acesso remoto e ladrões de informações. As infecções geralmente ocorrem por meio de ataques de phishing que imitam plataformas legítimas ou repositórios do GitHub. O CastleRAT possui funcionalidades avançadas, como registro de teclas e captura de telas, e utiliza perfis da Steam como servidores de comando e controle. Recentemente, foram identificadas técnicas de evasão, como o uso de prompts de Controle de Conta de Usuário (UAC) para evitar detecções. Além disso, novas famílias de malware, como TinkyWinkey e Inf0s3c Stealer, foram descobertas, aumentando a preocupação com a segurança cibernética. A situação exige atenção redobrada das empresas, especialmente em relação à proteção de dados e conformidade com a LGPD.

A ExpressVPN, uma das principais fornecedoras de serviços de VPN, introduziu recentemente três níveis de assinatura: Basic, Advanced e Pro. Cada plano oferece diferentes recursos e preços, permitindo que os usuários escolham a opção que melhor atende às suas necessidades. O plano Basic, por exemplo, oferece acesso à VPN e uma ferramenta de bloqueio de anúncios, cobrindo até 10 dispositivos, com preços a partir de $3,49 por mês em um plano de dois anos. O plano Advanced inclui um gerenciador de senhas e monitoramento de identidade, além de suportar até 12 dispositivos, com preços a partir de $4,49 por mês. Já o plano Pro, o mais completo, oferece proteção para até 14 dispositivos, um endereço IP dedicado e cinco dias de dados eSIM ilimitados, com preços a partir de $7,49 por mês. Todos os planos vêm com uma garantia de devolução do dinheiro em 30 dias, permitindo que os usuários testem o serviço sem riscos. Essa nova estrutura de preços facilita a escolha do plano ideal, especialmente para usuários casuais que buscam segurança online e acesso a conteúdos restritos geograficamente.

Pesquisadores de segurança da eSentire identificaram uma nova botnet e infostealer chamada NightshadeC2, que utiliza uma técnica inovadora chamada ‘UAC Prompt Bombing’ para contornar as defesas do Windows Defender. Essa técnica força as vítimas a aprovar exclusões no Windows Defender através de prompts repetidos, permitindo que o malware opere sem ser detectado. O NightshadeC2 possui variantes em C e Python, com a versão em C oferecendo uma gama completa de funcionalidades, como execução de comandos, captura de tela, keylogging e roubo de credenciais. A distribuição do malware ocorre por meio de ataques ClickFix, onde os usuários são levados a executar comandos maliciosos após interagir com CAPTCHAs falsificados. A técnica de ‘UAC Prompt Bombing’ não só permite que o malware evite a detecção pelo Windows Defender, mas também dificulta a análise em ambientes de sandbox, tornando-se um desafio significativo para a segurança cibernética. Em resposta, a eSentire implementou conteúdos de detecção e recomendações para mitigar os riscos associados, como desativar o prompt de execução do Windows e realizar treinamentos de conscientização sobre phishing. O caso do NightshadeC2 destaca a rápida evolução das táticas de ataque e a necessidade de estratégias de defesa adaptativas.

A Bridgestone Americas confirmou um “incidente cibernético limitado” que afetou temporariamente a fabricação em várias instalações na América do Norte. O ataque foi detectado por volta das 2h da manhã, quando a equipe de segurança da empresa notou tráfego de rede incomum e tentativas de acesso não autorizado aos sistemas de controle de produção, especificamente na rede SCADA (Supervisory Control and Data Acquisition). A resposta ao incidente incluiu a segmentação das VLANs afetadas, a ativação de uma equipe de resposta a incidentes e a verificação da integridade dos backups. Embora a produção tenha sido interrompida em locais como as fábricas em Aiken County, Carolina do Sul, e Joliette, Quebec, a empresa garantiu que não houve comprometimento de dados de clientes ou funcionários. A investigação forense está em andamento para identificar o vetor de ataque e as possíveis vulnerabilidades exploradas. A Bridgestone destacou que sua estrutura de cibersegurança, que inclui autenticação multifatorial e monitoramento contínuo, foi crucial para a rápida contenção do incidente. A empresa planeja publicar um relatório pós-incidente para reforçar a confiança entre seus colaboradores e clientes.

No final de agosto de 2025, houve um aumento significativo na atividade de reconhecimento direcionada a dispositivos Cisco Adaptive Security Appliance (ASA), com mais de 25.000 IPs únicos realizando varreduras no caminho de login da web do ASA. A empresa de inteligência de segurança GreyNoise identificou que 16.794 IPs únicos participaram dessas tentativas de acesso, com 14.000 deles compartilhando a mesma assinatura TLS e TCP, indicando uma infraestrutura de varredura unificada. A maioria das varreduras teve origem no Brasil (64%), com os alvos principais localizados nos Estados Unidos (97%). Essas atividades de escaneamento são frequentemente precursoras da divulgação pública de novas vulnerabilidades (CVEs), e a pesquisa sugere que as explosões de escaneamento podem indicar uma divulgação iminente de vulnerabilidades no ASA. Organizações, mesmo aquelas com sistemas atualizados, são aconselhadas a bloquear proativamente IPs maliciosos identificados para reduzir o risco de serem alvo de campanhas de exploração. O artigo destaca a importância de não expor interfaces de gerenciamento do ASA diretamente à Internet e de implementar autenticação multifator para acesso remoto.

Pesquisadores de segurança revelaram uma vulnerabilidade de estouro de buffer baseada em heap no Driver de Serviço WOW Thunk de Streaming do Kernel do Windows, identificado como CVE-2025-53149. A falha, localizada no componente ksthunk.sys, foi divulgada de forma responsável à Microsoft, que já lançou um patch para corrigir a vulnerabilidade. Essa falha crítica permite que atacantes executem código arbitrário com privilégios elevados por meio de solicitações IOCTL (Input/Output Control) maliciosas. A vulnerabilidade se origina na função CKSAutomationThunk::HandleArrayProperty(), que não valida corretamente os tamanhos dos buffers de saída durante operações de recuperação de propriedades de dispositivos multimídia. O problema ocorre quando o código não verifica adequadamente o comprimento do buffer de saída em relação ao tamanho real dos dados retornados, resultando em uma condição de estouro de buffer. Para explorar essa vulnerabilidade, os atacantes precisam criar solicitações IOCTL direcionadas a dispositivos multimídia que implementam os manipuladores de propriedades afetados. A Microsoft implementou validações adicionais no código para mitigar o risco de exploração. Organizações que utilizam sistemas Windows com hardware multimídia especializado devem priorizar a aplicação das atualizações de segurança de agosto de 2025 para evitar riscos de exploração associados a essa vulnerabilidade.

Pesquisadores de cibersegurança identificaram uma nova campanha de malware que utiliza arquivos SVG como parte de ataques de phishing, disfarçando-se como o sistema judicial colombiano. Os arquivos SVG são enviados por e-mail e contêm um código JavaScript embutido que decodifica e injeta uma página de phishing em HTML, simulando um portal da Fiscalía General de la Nación. Essa página finge realizar o download de documentos oficiais, enquanto, em segundo plano, baixa um arquivo ZIP não especificado. A análise do VirusTotal revelou 44 arquivos SVG únicos, todos não detectados por motores antivírus devido a técnicas de ofuscação e polimorfismo. Além disso, a campanha também está associada a um malware chamado Atomic macOS Stealer (AMOS), que visa usuários de macOS, especialmente aqueles que buscam versões piratas de software. AMOS é capaz de roubar uma ampla gama de dados, incluindo credenciais e carteiras de criptomoedas. A Apple implementou proteções para bloquear a instalação de arquivos .dmg não notarizados, mas os atacantes estão adaptando suas táticas para contornar essas defesas, utilizando comandos no Terminal para instalar o malware. Essa evolução nas técnicas de ataque destaca a necessidade de estratégias de defesa em profundidade.

Pesquisadores da Amazon identificaram e neutralizaram uma tentativa de invasão ao Microsoft 365, realizada pelo grupo de hackers conhecido como Midnight Blizzard, ou APT29, que é apoiado pelo governo russo. Utilizando uma técnica chamada Oásis, os cibercriminosos replicaram sites que os alvos costumam acessar, facilitando o roubo de senhas e a autorização de dispositivos maliciosos. A investigação revelou que o grupo comprometeu diversos sites legítimos e ocultou códigos maliciosos em codificação base64. Os hackers redirecionaram cerca de 10% dos visitantes de domínios afetados para páginas que imitavam a verificação do Cloudflare, levando os usuários a um fluxo de autenticação falso da Microsoft. Após a descoberta, a Amazon isolou as instâncias EC2 utilizadas pelos criminosos e colaborou com a Cloudflare e a Microsoft para interromper as atividades. A empresa recomenda que os usuários verifiquem autorizações de dispositivos e ativem a autenticação de dois fatores para aumentar a segurança. Embora a campanha não tenha comprometido a infraestrutura da Amazon, a situação destaca a necessidade de vigilância constante contra ataques cibernéticos.

Um ciberataque ocorrido em 29 de agosto de 2025, afetou a Sinqia, empresa responsável por conectar diversos bancos brasileiros ao sistema de pagamentos instantâneos Pix. Os hackers conseguiram desviar aproximadamente R$ 710 milhões, sendo R$ 670 milhões do HSBC e R$ 41 milhões da fintech Artta. O Banco Central do Brasil, ao perceber a tentativa de acesso malicioso, bloqueou R$ 589 milhões, o que representa cerca de 83% do total desviado. A investigação revelou que a invasão foi realizada por meio de credenciais comprometidas de funcionários de TI, evidenciando a vulnerabilidade de senhas estáticas e métodos de proteção inadequados. A Sinqia não poderá retomar suas operações no Pix até que o Banco Central avalie e aprove as novas medidas de segurança implementadas. Este incidente destaca um aumento alarmante no uso de credenciais roubadas, que representaram 16% dos incidentes de invasão em 2024, e um crescimento de 800% no roubo de credenciais na primeira metade de 2025. O ataque ressalta a necessidade urgente de reforçar a segurança cibernética nas instituições financeiras brasileiras.

O Hook v3, a mais recente variante do trojan bancário para Android, apresenta um conjunto alarmante de funcionalidades, incluindo sobreposições de ransomware, prompts bancários falsos e funções de spyware. Pesquisadores da Zimperium zLabs identificaram que o malware agora suporta 107 comandos remotos, com 38 novos na última atualização, explorando os Serviços de Acessibilidade do Android. Essa evolução sugere uma transição de fraudes bancárias específicas para uma plataforma de ameaças mais versátil, aumentando o risco para usuários e instituições financeiras. Entre as novas táticas, destacam-se sobreposições que imitam telas de desbloqueio e pagamentos, como o Google Pay, que induzem as vítimas a fornecer dados sensíveis. Além disso, a capacidade de streaming em tempo real permite que os atacantes monitorem as atividades dos dispositivos das vítimas. O Hook v3 se espalha por meio de sites de phishing e APKs maliciosos hospedados no GitHub, o que facilita sua disseminação. A combinação de roubo passivo e monitoramento ativo torna essa ameaça particularmente intrusiva e preocupante para a segurança cibernética.

A Microsoft reconheceu que a atualização de segurança de agosto de 2025 (KB5063878) está gerando prompts inesperados do Controle de Conta de Usuário (UAC) para usuários não administradores ao tentar reparar ou atualizar certos aplicativos. Essa mudança foi implementada para reforçar a segurança do Windows Installer, corrigindo uma vulnerabilidade (CVE-2025-50173) que poderia ser explorada por atacantes. Como consequência, programas comuns, como AutoCAD e Civil 3D, agora solicitam aprovação de administrador para operações que antes eram realizadas sem essa necessidade. Além disso, aplicativos mais antigos, como o Office 2010, podem falhar completamente quando executados em contas padrão. A Microsoft planeja, em atualizações futuras, permitir que administradores de TI aprovem aplicativos específicos para realizar essas operações de reparo sem interrupções constantes. Até que essa solução seja implementada, os usuários devem estar cientes de que a exigência de permissões administrativas não indica um problema com os aplicativos, mas sim uma medida de segurança adicional do Windows.

Pesquisadores de cibersegurança da ESET revelaram um novo grupo de ameaças, denominado GhostRedirector, que comprometeu pelo menos 65 servidores Windows, principalmente no Brasil, Tailândia e Vietnã. Os ataques, que começaram em agosto de 2024, utilizam uma backdoor em C++ chamada Rungan e um módulo do Internet Information Services (IIS) chamado Gamshen. O objetivo do Gamshen é manipular resultados de busca, promovendo fraudes de SEO, enquanto a Rungan permite a execução de comandos em servidores comprometidos. O grupo também utiliza técnicas de injeção SQL para obter acesso inicial e ferramentas como PowerShell para implantar malware adicional. A ESET sugere que o GhostRedirector está alinhado a atores de ameaças da China, com indícios de que as fraudes de SEO estão direcionadas a sites de jogos de azar. A manipulação de SEO pode prejudicar a reputação de sites legítimos, associando-os a práticas desonestas. O impacto é significativo, afetando setores variados, como educação, saúde e tecnologia, e requer atenção urgente das equipes de segurança cibernética.

O grupo de hackers patrocinado pelo Estado russo, conhecido como APT28, foi associado a um novo backdoor no Microsoft Outlook, denominado NotDoor, que tem como alvo diversas empresas em países membros da OTAN. Segundo a equipe de inteligência de ameaças LAB52, o NotDoor é um macro VBA que monitora e-mails recebidos em busca de uma palavra-chave específica. Ao detectar um e-mail com essa palavra, o malware permite que o atacante exfiltre dados, faça upload de arquivos e execute comandos no computador da vítima.

Recentemente, surgiram preocupações sobre a privacidade das conversas no ChatGPT, após a OpenAI cancelar a funcionalidade que tornava as interações buscáveis, resultando na exposição de dados sensíveis. Uma análise de 1.000 conversas, realizada pela SafetyDetective, revelou que muitos usuários compartilham informações pessoais e discutem questões delicadas, como saúde mental e problemas legais, com a IA, tratando-a como um terapeuta ou consultor. A pesquisa indicou que 60% das interações se enquadravam na categoria de ‘consulta profissional’, levantando questões sobre a confiança dos usuários na precisão das respostas da IA. Além disso, a falta de compreensão sobre o que significa tornar as conversas buscáveis e a possibilidade de vazamentos de dados pessoais expõem os usuários a riscos como phishing e roubo de identidade. Especialistas recomendam que as empresas de IA tornem seus avisos mais claros e ocultem informações pessoais antes de disponibilizar as conversas na internet. A situação destaca a necessidade de cautela ao compartilhar informações sensíveis com chatbots, independentemente da percepção de privacidade da tecnologia.

Em 3 de setembro de 2025, a equipe de desenvolvimento do Django lançou três atualizações de segurança para corrigir uma vulnerabilidade de injeção SQL de alta gravidade, identificada como CVE-2025-57833. Essa falha afeta as versões 5.2.6, 5.1.12 e 4.2.24 do popular framework web em Python, especificamente na funcionalidade FilteredRelation. A vulnerabilidade permite que atacantes maliciosos explorem o sistema utilizando dicionários especialmente elaborados como argumentos de palavras-chave passados para os métodos QuerySet.annotate() ou QuerySet.alias(). O impacto potencial inclui a execução remota de código e comprometimento severo de dados, tornando a atualização imediata essencial. A equipe de segurança do Django recomenda que todos os usuários atualizem para as versões mais recentes, que estão disponíveis para download com assinaturas digitais para garantir a autenticidade. Essa situação ressalta a importância da comunidade de segurança em identificar e relatar ameaças, além de reforçar a necessidade de práticas de divulgação responsável para proteger os usuários antes que as vulnerabilidades se tornem amplamente conhecidas.

Em 4 de setembro de 2025, Mandiant e Sitecore divulgaram uma vulnerabilidade zero-day, identificada como CVE-2025-53690, que afeta produtos populares da Sitecore. A falha permite a execução remota de código, explorando chaves de máquina ASP.NET expostas para criar payloads maliciosos no ViewState, comprometendo servidores e permitindo infiltração na rede. A vulnerabilidade, originada em guias de implantação legados, impacta diversas implementações locais e gerenciadas por clientes, levando a Sitecore a emitir avisos urgentes e patches. Os atacantes, ao explorar essa falha, conseguiram comprometer servidores e realizar reconhecimento profundo da rede, utilizando ferramentas como WEEPSTEEL e EARTHWORM para coletar informações do sistema. Em resposta, a Sitecore recomendou a rotação das chaves de máquina e a ativação da validação e criptografia do ViewState. Organizações que utilizam ASP.NET devem adotar essas práticas para se proteger contra ameaças semelhantes, uma vez que a falha pode ter implicações significativas na segurança e conformidade, especialmente em relação à LGPD.

O FBI emitiu um alerta sobre uma campanha em andamento de operadores cibernéticos do Serviço Federal de Segurança da Rússia (FSB), conhecida como Centro 16, que visa equipamentos de rede legados. A exploração de uma vulnerabilidade não corrigida, CVE-2018-0171, na funcionalidade Smart Install (SMI) da Cisco, permite que atacantes remotos acessem arquivos de configuração dos dispositivos e, em alguns casos, injetem modificações maliciosas que garantem acesso não autorizado persistente. Essa vulnerabilidade, divulgada pela primeira vez em 2018, afeta dispositivos Cisco que utilizam o SMI sem exigir autenticação do usuário. O FBI observou que os operadores russos estão atacando milhares de dispositivos de rede associados a organizações dos EUA em setores críticos, como sistemas de controle industrial e tecnologia operacional, levantando preocupações sobre possíveis interrupções em serviços essenciais. O FBI recomenda que as organizações apliquem imediatamente atualizações de software da Cisco, desativem o SMI onde não for possível aplicar atualizações e implementem monitoramento contínuo de arquivos de configuração. A situação destaca a importância de práticas rigorosas de higiene cibernética, especialmente em um cenário onde a infraestrutura de rede está envelhecendo e as atividades patrocinadas pelo estado estão se intensificando.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou quatro avisos em 2 de setembro de 2025, alertando sobre vulnerabilidades recém-descobertas em sistemas de controle industrial (ICS) que podem ser exploradas em ataques cibernéticos. Essas falhas afetam produtos de empresas como Delta Electronics, Fuji Electric, SunPower e Hitachi Energy, destacando a crescente ameaça enfrentada por utilidades e operadores de infraestrutura crítica em todo o mundo.

O primeiro aviso refere-se a uma vulnerabilidade de travessia de diretório no software EIP Builder da Delta Electronics, que pode permitir que atacantes realizem operações não autorizadas. O segundo alerta destaca um estouro de buffer no FRENIC-Loader 4 da Fuji Electric, que pode levar à execução arbitrária de código. O terceiro aviso menciona uma falha de bypass de autenticação na plataforma de gerenciamento de inversores solares PVS6 da SunPower, permitindo que atacantes alterem configurações críticas. Por fim, o quarto aviso aborda várias vulnerabilidades nos relés de proteção Relion da Hitachi Energy, incluindo operações não autorizadas via interface Modbus.

O grupo de ransomware Inc reivindicou a responsabilidade por um ataque cibernético ocorrido em agosto de 2025 na Universidade de St. Thomas, em Houston, Texas. O ataque, que causou uma interrupção de nove dias nos sistemas da instituição, foi relatado pela universidade em 13 de agosto, que inicialmente afirmou não haver evidências de dados comprometidos. No entanto, Inc alegou ter roubado 1,8 TB de dados e publicou amostras de documentos supostamente extraídos da universidade. A Universidade de St. Thomas ainda não confirmou a alegação do grupo, e não se sabe se um resgate foi pago ou quais dados foram realmente comprometidos. O ataque resultou na paralisação do site e dos servidores da universidade, afetando serviços essenciais para os alunos, como acesso à moradia e registro de cursos. O grupo Inc, que surgiu em 2023, utiliza táticas como phishing direcionado e exploração de vulnerabilidades conhecidas, operando sob um modelo de ransomware como serviço. Até agora, o grupo já reivindicou 122 ataques confirmados, incluindo 15 em instituições educacionais. A crescente onda de ataques de ransomware em escolas nos EUA, com 30 incidentes confirmados em 2025, destaca a vulnerabilidade do setor educacional e a necessidade de medidas de segurança robustas.