Joseph James O’Connor, um hacker britânico de 26 anos, foi condenado a pagar aproximadamente R$ 28,8 milhões em Bitcoin por sua participação em um ataque ao Twitter (atualmente X) em 2020. O ataque comprometeu contas de várias figuras públicas, incluindo Barack Obama, Joe Biden e Elon Musk, e envolveu fraudes com criptomoedas. O’Connor foi extraditado da Espanha para os Estados Unidos, onde já cumpria uma pena de cinco anos de prisão por crimes como invasão de computadores e extorsão. O Serviço de Promotoria da Coroa Britânica obteve uma ordem de recuperação civil para apreender 42 bitcoins e outros ativos relacionados ao crime. O promotor Adrian Foster destacou a importância de garantir que criminosos não se beneficiem de suas ações, mesmo que não sejam condenados no Reino Unido. O incidente levantou preocupações sobre a segurança das contas verificadas no Twitter, levando a plataforma a restringir o acesso a essas contas até que a situação fosse resolvida.

A Comissão Federal de Comunicações dos EUA (FCC) decidiu revogar regulamentações de cibersegurança que foram implementadas após os ataques do grupo de ameaças cibernéticas conhecido como Salt Typhoon, que infiltrou redes de telecomunicações americanas por mais de um ano. As regras exigiam que as empresas de telecomunicações adotassem controles básicos de segurança e colaborassem para proteger consumidores e a segurança nacional. A FCC argumentou que as regulamentações eram ineficazes e impunham um ônus legal desnecessário, já que as empresas estariam voluntariamente fortalecendo suas defesas cibernéticas. A decisão reflete uma tendência da administração Trump de desregulamentar o setor tecnológico, priorizando a liberdade das empresas em detrimento de proteções robustas contra ameaças cibernéticas. A revogação das regras pode aumentar a vulnerabilidade das redes de telecomunicações, especialmente em um cenário onde ataques cibernéticos estão se tornando cada vez mais sofisticados e frequentes.

O grupo de ameaças APT24, vinculado à China, tem utilizado um malware inédito chamado BADAUDIO para obter acesso remoto persistente a redes comprometidas, em uma campanha que já dura quase três anos. Inicialmente, o grupo se concentrava em compromissos estratégicos de sites legítimos, mas recentemente mudou sua abordagem para alvos mais sofisticados, especialmente em Taiwan. APT24, também conhecido como Pitty Tiger, tem atacado setores como governo, saúde e telecomunicações nos EUA e em Taiwan. O malware BADAUDIO, escrito em C++, é altamente ofuscado e atua como um downloader que pode baixar e executar cargas úteis criptografadas. Desde novembro de 2022, o grupo comprometeu mais de 20 sites legítimos, injetando código JavaScript malicioso para enganar usuários e forçá-los a baixar o malware disfarçado de atualização do Google Chrome. Além disso, a partir de julho de 2024, o grupo orquestrou um ataque à cadeia de suprimentos ao comprometer uma empresa de marketing digital em Taiwan, permitindo que mais de 1.000 domínios fossem afetados. A complexidade das técnicas utilizadas, como engenharia social e comprometimento de serviços em nuvem, demonstra a capacidade do grupo para espionagem persistente e adaptativa.

O uso de dispositivos móveis no ambiente corporativo traz benefícios, mas também riscos significativos à segurança de dados. Para mitigar esses riscos, muitas empresas estão adotando soluções da Samsung, especialmente os dispositivos Galaxy e o Knox Suite. O Knox é uma plataforma de segurança integrada que combina proteção em hardware e software, oferecendo uma defesa em múltiplas camadas contra ataques de malware. Além disso, os dispositivos Galaxy são projetados para atender aos rigorosos padrões de segurança exigidos por empresas, incluindo funcionalidades como inicialização segura e ambientes de execução confiáveis.

Em uma atualização significativa, o Google anunciou que seu serviço de transferência de arquivos Quick Share agora é compatível com o AirDrop da Apple, permitindo que usuários de dispositivos Android e iOS compartilhem arquivos e fotos de forma mais fácil. Inicialmente, essa funcionalidade está disponível apenas para a linha Pixel 10, mas há planos para expandi-la a outros dispositivos Android no futuro. Para realizar a transferência, o dispositivo Apple deve estar configurado como ‘descoberto’ por um período de 10 minutos, enquanto os usuários do Android precisam ajustar as configurações de visibilidade do Quick Share.

A Grafana lançou atualizações de segurança para corrigir uma falha crítica, classificada com um CVSS de 10.0, que pode permitir a escalada de privilégios ou a impersonação de usuários em configurações específicas. A vulnerabilidade, identificada como CVE-2025-41115, reside no componente SCIM (System for Cross-domain Identity Management), que facilita o provisionamento e gerenciamento automatizado de usuários. A falha afeta as versões do Grafana Enterprise de 12.0.0 a 12.2.1, quando o provisionamento SCIM está habilitado e configurado. Um cliente SCIM malicioso pode provisionar um usuário com um ’externalId’ numérico, que pode ser interpretado como um ID de usuário interno, possibilitando a impersonação de contas existentes, como a de um administrador. A vulnerabilidade foi descoberta internamente em 4 de novembro de 2025, e a Grafana recomenda que os usuários apliquem os patches disponíveis imediatamente para mitigar os riscos potenciais. As versões corrigidas incluem Grafana Enterprise 12.0.6+security-01, 12.1.3+security-01, 12.2.1+security-01 e 12.3.0.

A Salesforce emitiu um alerta sobre atividades incomuns relacionadas a aplicativos publicados pela Gainsight que estão conectados à sua plataforma. A investigação preliminar sugere que essa atividade pode ter possibilitado o acesso não autorizado a dados de clientes da Salesforce através da conexão com esses aplicativos. Como medida de precaução, a empresa revogou todos os tokens de acesso e atualização associados a esses aplicativos e os removeu temporariamente do AppExchange. Embora a Salesforce não tenha revelado quantos clientes foram afetados, informou que todos foram notificados. A empresa enfatizou que não há indícios de que a vulnerabilidade tenha origem na plataforma Salesforce, mas sim na conexão externa dos aplicativos. O analista Austin Larsen, do Google Threat Intelligence Group, classificou a situação como uma campanha emergente, possivelmente ligada ao grupo de ameaças ShinyHunters, que já havia realizado ataques semelhantes anteriormente. Organizações são aconselhadas a revisar aplicativos de terceiros conectados à Salesforce e a revogar tokens de acesso para aplicações suspeitas.

A Comissão de Valores Mobiliários dos EUA (SEC) decidiu abandonar o processo judicial contra a SolarWinds e seu diretor de segurança da informação, Timothy G. Brown, que alegavam que a empresa havia enganado investidores sobre suas práticas de segurança cibernética, levando ao ataque à cadeia de suprimentos em 2020. A SEC havia acusado a SolarWinds de ‘fraude e falhas de controle interno’, afirmando que a empresa exagerou suas práticas de cibersegurança e não divulgou adequadamente os riscos conhecidos. O ataque, atribuído ao grupo APT29, patrocinado pelo Estado russo, expôs vulnerabilidades significativas. Em julho de 2024, o tribunal descartou várias alegações, afirmando que não havia evidências suficientes para sustentar as acusações. O CEO da SolarWinds, Sudhakar Ramakrishna, declarou que a empresa emerge mais forte e preparada após esse desafio. A decisão da SEC não reflete sua posição em outros casos relacionados, e a empresa continua a ser um ponto focal em discussões sobre segurança cibernética e conformidade regulatória.

A WEL Companies, fornecedora de transporte, notificou 122.960 pessoas sobre um vazamento de dados ocorrido em janeiro de 2025. Informações pessoais comprometidas incluem números de Seguro Social e identificações emitidas pelo estado. O grupo de ransomware RansomHub reivindicou a responsabilidade pelo ataque, alegando ter roubado 189 GB de dados, incluindo documentos sensíveis como passaportes e relatórios de acidentes. Embora a WEL tenha identificado atividade incomum em sua rede no dia 31 de janeiro, a empresa ainda não confirmou se pagou um resgate ou como a violação ocorreu. Para mitigar os danos, a WEL está oferecendo monitoramento de identidade gratuito através da Kroll. Este ataque é um dos maiores registrados contra empresas de transporte nos EUA, destacando a crescente ameaça de ransomware nesse setor. Em 2025, já foram registrados seis ataques confirmados a empresas de transporte nos EUA, com 99 alegações adicionais ainda não verificadas. Os ataques de ransomware não apenas comprometem dados, mas também podem paralisar sistemas, resultando em perdas financeiras significativas e riscos de fraude para os clientes.

Pesquisadores de cibersegurança alertaram sobre a botnet Tsundere, que está em expansão e visa usuários do Windows. Desde meados de 2025, essa ameaça é capaz de executar código JavaScript arbitrário a partir de um servidor de comando e controle (C2). Embora os detalhes sobre a propagação do malware ainda sejam escassos, há indícios de que os atacantes tenham utilizado uma ferramenta legítima de Monitoramento e Gerenciamento Remoto (RMM) para baixar um arquivo MSI de um site comprometido. Os nomes dos artefatos de malware, como Valorant e cs2, sugerem que a botnet pode estar sendo disseminada através de iscas relacionadas a jogos, possivelmente visando usuários em busca de versões piratas. O instalador falso é projetado para instalar o Node.js e executar um script que decifra e executa o payload principal da botnet. A análise também revelou que a botnet utiliza a blockchain Ethereum para obter detalhes do servidor C2, permitindo uma infraestrutura resiliente. Embora a origem exata dos atacantes não seja clara, a presença do idioma russo no código sugere que eles são falantes dessa língua. A botnet Tsundere representa uma ameaça significativa, com a capacidade de se adaptar a várias ações maliciosas.

A Oligo Security alertou sobre ataques em andamento que exploram uma vulnerabilidade de dois anos no framework de inteligência artificial (IA) open-source Ray, transformando clusters infectados com GPUs da NVIDIA em uma botnet de mineração de criptomoedas autossustentável. Denominada ShadowRay 2.0, a campanha se baseia em uma falha crítica de autenticação (CVE-2023-48022, pontuação CVSS: 9.8) que permite o controle de instâncias vulneráveis para mineração ilícita usando o XMRig. Os atacantes submetem trabalhos maliciosos a uma API de submissão de trabalhos do Ray, criando um worm que se espalha entre dashboards expostos. A campanha utiliza repositórios no GitLab e GitHub para distribuir o malware, e os atacantes têm demonstrado resiliência ao criar novas contas após a remoção de contas anteriores. Além disso, a infecção é projetada para eliminar concorrentes, terminando processos de mineração em execução. A Oligo também observou que os clusters comprometidos estão sendo usados para ataques de negação de serviço (DDoS), ampliando o escopo da operação. Com mais de 230.500 servidores Ray acessíveis publicamente, a exposição à internet representa um risco significativo, e a Anyscale, desenvolvedora do Ray, lançou ferramentas para ajudar na configuração adequada dos clusters.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan bancário para Android chamado Sturnus, que permite o roubo de credenciais e a tomada total do dispositivo para fraudes financeiras. Uma das características mais notáveis do Sturnus é sua capacidade de contornar mensagens criptografadas, capturando conteúdo diretamente da tela do dispositivo após a descriptografia. Isso permite que o malware monitore comunicações em aplicativos como WhatsApp, Telegram e Signal. Além disso, o Sturnus realiza ataques de sobreposição, exibindo telas de login falsas sobre aplicativos bancários para roubar credenciais dos usuários. O malware é direcionado a instituições financeiras na Europa Central e do Sul, utilizando sobreposições específicas para cada região. Após ser ativado, o Sturnus se conecta a um servidor remoto via WebSocket e HTTP, recebendo cargas úteis criptografadas. Ele também pode abusar dos serviços de acessibilidade do Android para capturar pressionamentos de tecla e registrar interações da interface do usuário. O Sturnus é projetado para evitar a detecção, bloqueando tentativas de desinstalação e monitorando continuamente a atividade do dispositivo. Embora sua disseminação ainda seja limitada, a combinação de geografia-alvo e foco em aplicativos de alto valor sugere que os atacantes estão refinando suas ferramentas para operações mais amplas no futuro.

A CTM360 identificou uma campanha de hacking de contas do WhatsApp, chamada HackOnChat, que está se espalhando rapidamente pelo mundo. Os atacantes utilizam portais de autenticação enganosos e páginas de impersonação para enganar os usuários e comprometer suas contas. A campanha se destaca pelo uso de URLs maliciosas hospedadas em domínios de baixo custo, geradas por plataformas modernas de criação de sites, permitindo que os hackers criem novas páginas em grande escala. As técnicas de ataque incluem o sequestro de sessão, onde os criminosos aproveitam a funcionalidade de dispositivos vinculados para assumir sessões ativas do WhatsApp Web, e a tomada de conta, que envolve enganar as vítimas para que entreguem chaves de autenticação. Uma vez que os atacantes controlam uma conta, eles a utilizam para atingir os contatos da vítima, solicitando dinheiro ou informações sensíveis. A campanha tem mostrado um aumento significativo de atividades, especialmente no Oriente Médio e na Ásia, e destaca a eficácia das táticas de engenharia social, que exploram interfaces familiares e a confiança humana.

Recentemente, o cenário de cibersegurança tem sido marcado por uma série de incidentes significativos. O MI5, agência de inteligência do Reino Unido, alertou sobre espiões chineses que utilizam o LinkedIn para recrutar parlamentares e coletar informações. Além disso, a Comissão Europeia propôs mudanças no Regulamento Geral sobre a Proteção de Dados (GDPR), permitindo que empresas processem dados pessoais para treinamento de IA sem consentimento prévio, o que gerou críticas por reduzir a proteção de dados. No campo das ameaças, extensões de navegador maliciosas têm sido usadas para roubar dados de usuários, com cerca de 31 mil instalações registradas. Um caso notável de lavagem de dinheiro em criptomoedas também foi reportado, onde um homem da Califórnia se declarou culpado por lavar 25 milhões de dólares de um golpe de 230 milhões. Por fim, vulnerabilidades críticas foram descobertas em produtos da Oracle e em dispositivos inteligentes, que podem permitir o controle total dos sistemas afetados. Esses eventos destacam a necessidade de vigilância constante e atualização das medidas de segurança.

Em 2025, pelo menos sete países do Oriente Médio, incluindo Turquia, Síria, Jordânia e Catar, impuseram restrições à internet, afetando o acesso de cidadãos e turistas a conteúdos online. Essas restrições variam de bloqueios temporários, como o ocorrido na Turquia, onde o acesso a redes sociais foi limitado por 42 horas, a bloqueios prolongados, como o do jogo Roblox no Catar, que permanece inacessível devido a preocupações com a segurança infantil. A resposta a essas limitações tem sido um aumento significativo no uso de VPNs, sendo o Proton VPN uma das opções mais populares. Com sede na Suíça, o Proton VPN se destaca por suas características avançadas de anti-censura, prometendo contornar bloqueios severos. A empresa oferece um serviço gratuito, essencial para aqueles que não podem pagar por opções premium, mas também disponibiliza uma versão paga com recursos adicionais, como uma rede de servidores em 127 países e uma política rigorosa de não registro. O Proton VPN também introduziu o protocolo Stealth e um recurso de ícone discreto para evitar a detecção em ambientes de censura. Essa ferramenta é especialmente relevante em países com alta vigilância e censura, tornando-se uma solução viável para quem busca privacidade e liberdade online.

A campanha de malvertising chamada TamperedChef está em andamento, utilizando instaladores falsos que se disfarçam como softwares populares para enganar usuários e instalar malware. O objetivo principal é estabelecer persistência e entregar um malware em JavaScript que permite acesso remoto e controle. Os atacantes empregam engenharia social, utilizando nomes de aplicativos comuns, malvertising e certificados digitais abusados para aumentar a confiança do usuário e evitar a detecção de segurança. Os instaladores falsos são assinados com certificados de empresas de fachada registradas em países como EUA, Panamá e Malásia. A campanha, que faz parte de um conjunto mais amplo de ataques denominado EvilAI, tem como alvo usuários que buscam editores de PDF ou manuais de produtos, levando-os a domínios maliciosos. Após a instalação, um backdoor em JavaScript é ativado, conectando-se a servidores externos e enviando informações básicas sobre o sistema infectado. A campanha já afetou setores como saúde, construção e manufatura, com uma concentração significativa de infecções nos EUA e em menor grau em países como Israel e Alemanha. Os dados indicam que os atacantes podem estar buscando monetizar o acesso a outros cibercriminosos ou coletar dados sensíveis para venda em fóruns clandestinos.

Um recente relatório da equipe de inteligência de ameaças da Amazon revela que atores de ameaças ligados ao Irã estão utilizando operações cibernéticas para facilitar ataques físicos, uma prática que a empresa chama de ‘alvo cinético habilitado por ciber’. O relatório destaca que as linhas entre ataques cibernéticos patrocinados por estados e a guerra cinética estão se tornando cada vez mais tênues. O CISO da Amazon, CJ Moses, afirma que essas operações não são meros ataques cibernéticos que causam danos físicos, mas sim campanhas coordenadas onde operações digitais são projetadas para apoiar objetivos militares físicos. Exemplos incluem o grupo Imperial Kitten, que realizou reconhecimento digital de sistemas de identificação automática de navios, e o grupo MuddyWater, que acessou câmeras de vigilância em tempo real para coletar inteligência visual. Esses casos demonstram como a espionagem cibernética pode servir como um trampolim para ataques físicos direcionados, ressaltando a necessidade de uma nova abordagem na segurança cibernética que integre ameaças digitais e físicas. A Amazon alerta que essa evolução na guerra representa um desafio significativo para a segurança global e a infraestrutura crítica.

Uma operação da Europol resultou na remoção de mais de 6 mil links que continham conteúdos extremistas em plataformas de jogos, com a colaboração de oito países. Dentre os links removidos, 5.408 estavam relacionados a conteúdos jihadistas, 1.070 a materiais de extrema-direita e 105 a publicações racistas e xenofóbicas. Os especialistas apontam que os criadores desses conteúdos utilizam plataformas de jogos e transmissões ao vivo para disseminar suas mensagens, aproveitando chats em tempo real e fóruns de discussão. A dificuldade em identificar contas extremistas nessas plataformas é um desafio, pois muitas não apresentam ligações visíveis com esse tipo de conteúdo. A ação da Europol visa coibir a propagação de materiais extremistas na internet, especialmente entre jovens, e reflete uma preocupação crescente com a segurança online e a influência de conteúdos nocivos em ambientes populares entre os usuários de jogos.

Pesquisadores da Check Point Research alertam sobre uma nova onda de e-mails de phishing que utilizam o domínio legítimo @facebookmail.com para enganar administradores de contas do Facebook Ads. Esses e-mails, que aparentam ser comunicações oficiais da Meta, têm como objetivo roubar credenciais de acesso. Aproximadamente 40 mil e-mails foram enviados a cerca de 5 mil usuários em várias regiões, incluindo Austrália, Canadá, Europa e Estados Unidos. Os assuntos das mensagens incluem ‘Verificação de Conta Necessária’ e ‘Convite para parceria Meta Agency’. Ao clicar nos links, as vítimas são direcionadas a páginas fraudulentas que imitam o branding da Meta, hospedadas em domínios como vercel.app. A campanha é massiva e visa empresas que dependem da Meta para marketing, como setores automotivo, educacional e financeiro. Para se proteger, recomenda-se a ativação da autenticação em duas etapas e a verificação de convites diretamente na plataforma do Facebook Business antes de clicar em links suspeitos.

O Google anunciou que começará a sinalizar aplicativos na Play Store que apresentam consumo excessivo de bateria em dispositivos Android. Essa iniciativa visa informar os usuários sobre o impacto que determinados aplicativos podem ter na performance da bateria de seus dispositivos. A sinalização será feita na página do aplicativo, destacando um aviso para aqueles que ultrapassarem um limite de 5% de consumo em segundo plano, medido ao longo de 28 dias. Essa medida é parte de um esforço maior do Google para aprimorar a experiência do usuário e a qualidade técnica dos aplicativos disponíveis na loja. Embora a empresa tenha sido questionada sobre a possibilidade de a nova métrica detectar spyware e malware, ela esclareceu que o foco é apenas na performance da bateria. No entanto, o consumo excessivo de bateria pode ser um indicativo de que um dispositivo está infectado por software malicioso, já que esses programas frequentemente operam em segundo plano, drenando a energia do aparelho. Essa nova diretriz pode servir como um alerta para os usuários sobre a segurança de seus dispositivos, especialmente em um cenário onde o cibercrime está em ascensão.

Uma nova campanha de phishing foi identificada, envolvendo a criação de aproximadamente 4.300 sites fraudulentos de reservas de hotéis, com o objetivo de roubar dados de usuários. A pesquisa, conduzida por Andrew Brandt da Netcraft, revelou que hackers russos estão por trás dessa ação, que começou em fevereiro de 2025. Entre os sites falsos, 685 imitam o Booking.com, um dos portais de viagens mais populares. Os ataques ocorrem quando os usuários recebem e-mails que solicitam a confirmação de reservas em um curto prazo, levando-os a clicar em links que redirecionam para páginas fraudulentas. Essas páginas, que se apresentam como legítimas, solicitam informações de cartão de crédito sob a falsa premissa de que é necessário pagar uma taxa de reserva. O uso de um CAPTCHA falso e suporte em 43 idiomas amplia o alcance do golpe, tornando-o uma ameaça global. Os especialistas alertam que a campanha pode impactar significativamente a segurança dos dados pessoais e financeiros dos viajantes, exigindo atenção redobrada ao realizar reservas online.

O comando ‘finger’, uma ferramenta de consulta de usuários em sistemas Unix, voltou a ser explorado por atacantes para executar comandos remotos e roubar dados sem que os usuários percebam. Embora tenha caído em desuso, o método atual utiliza scripts em lote que fazem requisições a servidores ‘finger’ remotos, canalizando as respostas diretamente para sessões de comando do Windows. Um exemplo notável envolveu um usuário que, acreditando estar completando uma verificação humana, na verdade executou um comando que se conectava a um endereço ‘finger’, permitindo que um script malicioso fosse executado localmente.

O grupo de ransomware Sinobi reivindicou um ataque cibernético contra o Heywood Healthcare, localizado em Massachusetts, que resultou na paralisação dos sistemas de TI em suas duas unidades: Heywood Hospital em Gardner e Athol Hospital em Athol. O ataque, que começou em 12 de outubro, levou à interrupção de serviços essenciais, embora a maioria tenha sido restaurada até 31 de outubro. Sinobi afirmou ter roubado 550 GB de dados e exigiu um resgate não revelado. Até o momento, Heywood não confirmou a veracidade da reivindicação do grupo, e detalhes sobre o número de pessoas afetadas e a natureza dos dados comprometidos permanecem desconhecidos. O Sinobi é conhecido por operar um esquema de ransomware como serviço, permitindo que afiliados utilizem sua infraestrutura para realizar ataques. Em 2025, foram registrados 75 ataques confirmados de ransomware em provedores de saúde nos EUA, comprometendo cerca de 7,6 milhões de registros. A situação ressalta a vulnerabilidade do setor de saúde a ataques cibernéticos, que podem comprometer a segurança e a privacidade dos pacientes.

Uma falha de segurança recentemente divulgada no 7-Zip, identificada como CVE-2025-11001, está sendo ativamente explorada por atacantes. Com uma pontuação CVSS de 7.0, essa vulnerabilidade permite que invasores executem código arbitrário ao manipular links simbólicos em arquivos ZIP. A Trend Micro alertou que dados manipulados em um arquivo ZIP podem fazer com que o processo acesse diretórios não intencionais, possibilitando a execução de código em contas de serviço. A falha foi descoberta por Ryota Shiga, da GMO Flatt Security Inc., e corrigida na versão 25.00 do 7-Zip, lançada em julho de 2025. Além disso, outra vulnerabilidade, CVE-2025-11002, também foi resolvida na mesma versão, que apresenta um problema semelhante. A NHS England Digital confirmou a exploração ativa da CVE-2025-11001, embora detalhes sobre os atacantes e os métodos utilizados ainda não estejam disponíveis. Dada a existência de provas de conceito (PoC) para essa vulnerabilidade, é crucial que os usuários do 7-Zip atualizem para a versão mais recente o mais rápido possível para garantir a proteção adequada.

Um novo golpe de cibersegurança está se espalhando, onde criminosos utilizam a funcionalidade de compartilhamento de tela do WhatsApp para roubar dados pessoais e dinheiro de vítimas. Segundo uma pesquisa da ESET, os golpistas iniciam o ataque com uma videochamada inesperada de um número desconhecido, alegando ser de um banco ou suporte da Meta. Eles criam um clima de pânico, informando que a conta da vítima pode estar comprometida. Para resolver a situação, os golpistas pedem que a vítima compartilhe a tela ou instale aplicativos de acesso remoto, como AnyDesk ou TeamViewer. Essa técnica de engenharia social se baseia em confiança, urgência e controle, levando as vítimas a revelarem informações sensíveis, como senhas e dados bancários. A Meta já tomou medidas para combater essa ameaça, banindo milhões de contas fraudulentas e alertando os usuários sobre os riscos de compartilhar a tela com desconhecidos. O golpe já causou perdas significativas, como um caso em Hong Kong onde uma vítima perdeu R$ 3,69 milhões. É crucial que os usuários estejam cientes desses riscos e adotem práticas seguras ao utilizar plataformas de comunicação.

Recentemente, a Microsoft enfrentou um dos maiores ataques de negação de serviço (DDoS) já registrados, com um pico de 15,72 terabits por segundo (Tbps) provenientes de 500 mil endereços IP diferentes. O ataque, que utilizou inundações de tráfego UDP, teve como alvo um endereço IP público na Austrália, parte da infraestrutura Azure da empresa. A botnet responsável, identificada como Aisuru, explorou vulnerabilidades em dispositivos de Internet das Coisas (IoT), como roteadores e câmeras de vigilância, para realizar o ataque. Este incidente envolveu aproximadamente 3,64 bilhões de pacotes por segundo e é parte de uma série de ataques que a Aisuru tem realizado, incluindo um recorde anterior de 22,2 Tbps contra a Cloudflare. A Microsoft destacou que os atacantes usaram técnicas de spoofing mínimas, o que facilitou a identificação e neutralização dos agentes maliciosos. O aumento da capacidade da botnet Aisuru está associado a uma invasão em um servidor de atualização de firmware, comprometendo 100 mil dispositivos. O crescimento dos ataques DDoS é alarmante, com um aumento de 358% nos incidentes reportados em 2025, totalizando 21,3 milhões de ataques.

A Samsung enfrenta críticas globais após alegações de que alguns modelos de celulares Galaxy, como as linhas A, M e F, vêm com um aplicativo chamado AppCloud, desenvolvido pela ironSource, uma empresa israelense. Este aplicativo, que não pode ser desinstalado por métodos convencionais, levanta preocupações sobre privacidade, pois supostamente coleta dados sensíveis dos usuários, como endereço IP, identificadores de dispositivos e localização, sem consentimento. O AppCloud é descrito como um serviço de recomendações que sugere aplicativos de terceiros, mas sua natureza irremovível e a dificuldade em acessar sua política de privacidade aumentam a desconfiança. A ironSource já foi acusada de operar plataformas de adware, o que intensifica a indignação dos consumidores. Até o momento, a Samsung não se pronunciou sobre a situação, que ocorre em um contexto de crescente tensão geopolítica entre Israel e Palestina, o que pode agravar as preocupações sobre a segurança e privacidade dos dados dos usuários.

A Google lançou uma correção de emergência para a sétima vulnerabilidade zero-day no Chrome em 2025, identificada como CVE-2025-13223. Essa falha, considerada de alta severidade, foi causada por uma confusão tipográfica no motor JavaScript V8 do navegador. A vulnerabilidade foi relatada por Clement Lecigne, do Grupo de Análise de Ameaças da Google, e já foi utilizada em ataques direcionados, especialmente contra indivíduos de alto risco, como jornalistas e políticos de oposição. As atualizações necessárias foram disponibilizadas para Windows, Mac e Linux, e a empresa recomenda que todos os usuários atualizem seus navegadores o mais rápido possível. A Google não divulgou detalhes sobre a exploração da falha até que a maioria dos usuários esteja atualizada, seguindo uma prática comum para evitar que informações sobre a vulnerabilidade sejam utilizadas por agentes maliciosos. Este ano, a Google já lançou seis patches para outras falhas zero-day, refletindo um aumento na atividade de exploração de vulnerabilidades em navegadores. A atualização pode ser verificada no menu do Chrome, e a empresa enfatiza a importância de manter o navegador sempre atualizado para garantir a segurança dos usuários.

Um novo alerta de segurança destaca como a plataforma de inteligência artificial Now Assist da ServiceNow pode ser explorada por agentes maliciosos. Segundo a AppOmni, configurações padrão da plataforma permitem ataques de injeção de prompt de segunda ordem, onde agentes podem descobrir e recrutar uns aos outros para realizar ações não autorizadas. Isso inclui a cópia e exfiltração de dados sensíveis, modificação de registros e escalonamento de privilégios. O problema não é um bug, mas sim um comportamento esperado devido às configurações padrão que facilitam a comunicação entre agentes. A vulnerabilidade é particularmente preocupante, pois as ações ocorrem em segundo plano, sem que a organização afetada perceba. Para mitigar esses riscos, recomenda-se configurar o modo de execução supervisionada para agentes privilegiados, desabilitar a propriedade de sobreposição autônoma e monitorar o comportamento dos agentes de IA. A ServiceNow reconheceu a questão e atualizou sua documentação, mas a situação ressalta a necessidade de uma proteção mais robusta para agentes de IA em ambientes corporativos.

O grupo de ameaças conhecido como PlushDaemon tem utilizado uma backdoor de rede baseada em Go, chamada EdgeStepper, para realizar ataques do tipo adversário no meio (AitM). Essa técnica redireciona todas as consultas DNS para um nó malicioso, desviando o tráfego de atualizações de software de infraestruturas legítimas para servidores controlados pelos atacantes. Ativo desde pelo menos 2018, o PlushDaemon é considerado alinhado à China e tem como alvo entidades nos EUA, Nova Zelândia, Camboja, Hong Kong, Taiwan, Coreia do Sul e China continental. O grupo foi documentado pela ESET após um ataque à cadeia de suprimentos de um provedor de VPN sul-coreano, visando empresas de semicondutores e desenvolvimento de software. O EdgeStepper compromete dispositivos de rede, como roteadores, explorando falhas de segurança ou credenciais fracas. O malware possui dois componentes principais: um módulo distribuidor que resolve endereços IP e um componente chamado Ruler que configura regras de filtragem de pacotes. O ataque também visa softwares chineses, como o Sogou Pinyin, para entregar um DLL malicioso. A capacidade do PlushDaemon de comprometer alvos globalmente destaca a necessidade de vigilância e proteção contínua contra essas ameaças.

Uma nova campanha de cibersegurança, chamada Operação WrtHug, comprometeu dezenas de milhares de roteadores ASUS desatualizados ou fora de suporte, principalmente em Taiwan, EUA e Rússia. Nos últimos seis meses, mais de 50.000 endereços IP únicos de dispositivos infectados foram identificados. Os ataques exploram seis vulnerabilidades conhecidas em roteadores ASUS WRT, permitindo que os invasores assumam o controle dos dispositivos. Todos os roteadores afetados compartilham um certificado TLS autoassinado com uma data de expiração de 100 anos a partir de abril de 2022. A maioria dos serviços que utilizam esse certificado está relacionada ao ASUS AiCloud, um serviço que permite acesso a armazenamento local pela internet. A campanha é semelhante a outras operações de botnets ligadas a grupos de hackers da China, levantando suspeitas sobre a origem dos atacantes. Os modelos de roteadores afetados incluem o ASUS Wireless Router 4G-AC55U, entre outros. A pesquisa destaca a crescente tendência de atores maliciosos visando dispositivos de rede em operações de infecção em massa, o que representa um risco significativo para a segurança cibernética global.

Pesquisadores de cibersegurança revelaram uma nova campanha que utiliza engenharia social e sequestro de contas do WhatsApp para disseminar um trojan bancário chamado Eternidade Stealer, visando usuários no Brasil. O malware, desenvolvido em Delphi, se destaca por sua capacidade de atualizar endereços de comando e controle (C2) via IMAP, permitindo que os atacantes mantenham controle sobre a infecção. A distribuição ocorre através de um worm no WhatsApp, utilizando um script em Python para automatizar o envio de mensagens maliciosas. O ataque começa com um script em Visual Basic ofuscado que, ao ser executado, entrega dois payloads: um script Python que propaga o malware e um instalador MSI que ativa o Eternidade Stealer. Este último verifica se o sistema está em português brasileiro antes de prosseguir, indicando um foco local. O Eternidade Stealer monitora janelas ativas e processos em busca de informações de credenciais bancárias, capturando dados de serviços como Bradesco e Binance. A campanha reflete uma tendência crescente de uso de malware baseado em Delphi na América Latina, aproveitando a popularidade do WhatsApp para realizar ataques em larga escala contra instituições brasileiras. Os especialistas alertam para a necessidade de vigilância em atividades suspeitas no WhatsApp e execuções inesperadas de scripts.

A Fortinet emitiu um alerta sobre uma nova vulnerabilidade no FortiWeb, identificada como CVE-2025-58034, que já está sendo explorada ativamente. Classificada como de severidade média, a falha possui um CVSS de 6.7, permitindo que um atacante autenticado execute comandos não autorizados no sistema subjacente por meio de requisições HTTP manipuladas ou comandos CLI. Para que um ataque seja bem-sucedido, o invasor deve primeiro se autenticar de alguma forma, o que torna a vulnerabilidade um vetor de ataque em cadeia. A Fortinet já lançou patches para diversas versões do FortiWeb, recomendando atualizações para versões mais recentes. A empresa também foi criticada por não ter emitido um aviso formal sobre a correção de outra vulnerabilidade crítica, CVE-2025-64446, que foi corrigida silenciosamente. Especialistas em segurança alertam que a falta de comunicação sobre novas falhas de segurança pode colocar os defensores em desvantagem, facilitando o trabalho dos atacantes. A situação destaca a importância de uma comunicação clara e proativa por parte dos fornecedores de tecnologia em relação a questões de segurança.

Pesquisadores da NVISO identificaram uma nova tática do grupo de hackers norte-coreano Contagious Interview, que utiliza serviços de armazenamento JSON para disseminar malware. O ataque visa principalmente plataformas de networking profissional, como o LinkedIn, onde os criminosos se passam por recrutadores ou colaboradores. O malware, denominado BeaverTail, é um trojan que pode roubar dados sensíveis e instalar uma backdoor Python chamada InvisibleFerret. Um dos métodos utilizados envolve a ofuscação de um arquivo que parece conter uma chave de API, mas na verdade redireciona para uma URL de armazenamento JSON. Além disso, um novo payload chamado TsunamiKit foi introduzido, permitindo que os hackers coletem dados e baixem mais malwares de endereços .onion. Essa abordagem disfarçada, utilizando serviços legítimos, demonstra a evolução das táticas de ciberataque, tornando a detecção mais difícil e aumentando o risco para usuários e empresas.

Um estudo realizado por pesquisadores da Universidade de Viena revelou uma falha de segurança no WhatsApp que expôs dados de 206 milhões de usuários brasileiros. A pesquisa, que envolveu a adição de números aleatórios ao aplicativo, resultou na coleta de 3,5 bilhões de números de celular, dos quais 57% tinham fotos de perfil visíveis e 29% apresentavam informações públicas, como status e nomes. Essa vulnerabilidade já havia sido reportada em 2017, mas a Meta, empresa controladora do WhatsApp, não implementou medidas eficazes para corrigi-la. Embora a Meta tenha afirmado que os dados expostos são informações públicas e que os usuários podem tornar suas informações privadas, os pesquisadores não encontraram barreiras significativas durante o teste. A situação é preocupante, especialmente considerando que 61% dos usuários brasileiros têm suas fotos de perfil expostas. Além disso, a pesquisa identificou usuários em países onde o aplicativo é banido, o que levanta questões sobre a segurança e privacidade em contextos de uso clandestino. A Meta declarou que está trabalhando em defesas contra scraping de dados, mas a eficácia dessas medidas ainda é questionada pelos pesquisadores.

A Marquis Software Solutions, fornecedora de serviços de marketing e conformidade para mais de 700 bancos e cooperativas de crédito nos Estados Unidos, sofreu um vazamento de dados em agosto de 2025. O incidente comprometeu informações sensíveis, incluindo números de Seguro Social, números de identificação fiscal, números de contas e datas de nascimento de 6.876 pessoas, conforme notificado pela Community 1st Credit Union. Acredita-se que a Marquis tenha pago um resgate após um ataque de ransomware, embora os detalhes sobre o valor e a forma de ataque ainda não tenham sido divulgados. A Community 1st Credit Union inicialmente não identificou a inclusão de informações de seus membros no vazamento, mas posteriormente foi informada de que dados pessoais não públicos estavam envolvidos. Este incidente destaca a crescente preocupação com a segurança cibernética, especialmente em um cenário onde ataques de ransomware estão se tornando mais frequentes, com 24 ataques confirmados em empresas de tecnologia dos EUA apenas em 2025, afetando cerca de 825.000 registros. A Marquis está oferecendo proteção de identidade gratuita para as vítimas afetadas pelo vazamento.

A Meta anunciou a disponibilização do WhatsApp Research Proxy para pesquisadores de bug bounty, visando aprimorar a segurança da plataforma de mensagens. A iniciativa busca facilitar a pesquisa em tecnologias específicas do WhatsApp, que continua sendo um alvo atrativo para atores patrocinados por estados e fornecedores de spyware. Nos últimos 15 anos, a Meta pagou mais de US$ 25 milhões em recompensas a mais de 1.400 pesquisadores, com mais de US$ 4 milhões pagos apenas neste ano. Entre as vulnerabilidades descobertas, destaca-se uma falha de validação incompleta em versões anteriores do WhatsApp, que poderia permitir que um usuário processasse conteúdo de URLs arbitrárias em dispositivos de outros usuários, embora não haja evidências de exploração dessa falha. Além disso, a Meta implementou proteções contra scraping após a descoberta de um método que poderia expor dados de 3,5 bilhões de usuários do WhatsApp. A empresa reafirmou que as mensagens dos usuários permanecem seguras devido à criptografia de ponta a ponta. A pesquisa também revelou números significativos de contas do WhatsApp em países onde o aplicativo é banido, como China e Myanmar.

O malware Sneaky 2FA, associado ao modelo Phishing-as-a-Service (PhaaS), introduziu a funcionalidade Browser-in-the-Browser (BitB), facilitando ataques de phishing para roubo de credenciais de contas Microsoft. Essa técnica, documentada pelo pesquisador de segurança mr.d0x, utiliza HTML e CSS para criar janelas de navegador falsas que imitam páginas de login legítimas, enganando os usuários. O ataque começa com um URL suspeito que, após uma verificação de proteção contra bots, exibe um botão ‘Entrar com Microsoft’ para acessar um documento PDF. Ao clicar, o usuário é redirecionado para uma página de phishing que coleta informações de login. Além disso, os atacantes utilizam técnicas de carregamento condicional e obfuscação para evitar a detecção. A pesquisa também destaca a possibilidade de ataques que burlam métodos de autenticação resistentes a phishing, como os passkeys, por meio de extensões maliciosas que manipulam o processo de autenticação. Com a evolução contínua das técnicas de phishing, é crucial que usuários e organizações adotem medidas de segurança rigorosas, como políticas de acesso condicional, para mitigar o risco de sequestro de contas.

A Protei, uma empresa russa conhecida por desenvolver ferramentas de vigilância como DPI (Deep Packet Inspection) e SORM (Sistema de Interceptação Legal), foi recentemente hackeada, resultando no roubo de 182GB de dados, incluindo anos de correspondência por e-mail. O ataque ocorreu em torno de 8 de novembro e foi realizado por um grupo de hacktivistas que também desfigurou o site da empresa, deixando uma mensagem de oposição ao ecossistema de vigilância da Rússia. A Protei fornece soluções de software e hardware para operadores de telecomunicações e clientes governamentais em diversos países, incluindo Rússia, Belarus e Cuba, permitindo que autoridades monitorem comunicações. O roubo de dados e a desfiguração do site levantam questões sobre a segurança das informações sensíveis e a eficácia das medidas de proteção adotadas por empresas que operam nesse setor. O incidente destaca a crescente atividade de hacktivismo e a vulnerabilidade de empresas que atuam em áreas de vigilância e controle de dados.

Pesquisadores de cibersegurança identificaram um conjunto de sete pacotes npm maliciosos publicados por um ator de ameaça conhecido como ‘dino_reborn’ entre setembro e novembro de 2025. Esses pacotes utilizam um serviço de cloaking chamado Adspect para distinguir entre vítimas reais e pesquisadores de segurança, redirecionando as vítimas para sites fraudulentos relacionados a criptomoedas. Se um visitante é identificado como vítima, ele é levado a um site malicioso após interagir com um CAPTCHA falso. Se o visitante é um pesquisador, ele é apresentado a uma página de engano sem funcionalidades maliciosas. Seis dos pacotes contêm um malware de 39kB que captura impressões digitais do sistema e impede a análise do código-fonte. O uso do Adspect é notável, pois combina cloaking de tráfego e controles anti-pesquisa em pacotes de código aberto, permitindo que o ator de ameaça distribua um kit de ferramentas de controle de tráfego. O impacto potencial inclui roubo de ativos digitais e a possibilidade de comprometer a segurança de desenvolvedores que utilizam npm, uma plataforma amplamente utilizada no Brasil.

O Fabric de Segurança de Identidade (ISF) é uma estrutura arquitetônica unificada que integra diversas capacidades de identidade, como governança, gerenciamento de acesso e detecção de ameaças. Com o aumento da complexidade dos ambientes de TI e a prevalência de ataques cibernéticos, a abordagem tradicional com ferramentas isoladas se torna insuficiente. O ISF se destaca por proteger todos os tipos de identidade, incluindo humanos, máquinas e agentes de IA, em ambientes on-premises, híbridos e multi-nuvem.

Um grupo de ameaças cibernéticas suspeito de espionagem, atribuído ao Irã, tem utilizado backdoors como TWOSTROKE e DEEPROOT para atacar indústrias de defesa e aviação no Oriente Médio. O grupo, identificado como UNC1549, foi monitorado entre 2023 e 2025, empregando técnicas sofisticadas para obter acesso inicial, como o abuso de relacionamentos com terceiros e campanhas de phishing direcionadas. Recentemente, a empresa PRODAFT associou o grupo a uma campanha que comprometeu 11 empresas de telecomunicações na Europa, utilizando engenharia social via LinkedIn. As cadeias de infecção incluem phishing para roubo de credenciais e exploração de vulnerabilidades em serviços como Citrix e Azure. Após a infiltração, as atividades dos atacantes incluem reconhecimento, movimentação lateral e roubo de informações sensíveis. Ferramentas personalizadas, como MINIBIKE e TWOSTROKE, são utilizadas para coletar dados do sistema e manter a persistência na rede alvo. O grupo se destaca por sua capacidade de evitar detecções e garantir acesso contínuo, utilizando técnicas como shells reversos SSH e domínios que imitam a indústria das vítimas.

Pesquisadores de cibersegurança revelaram detalhes sobre um ataque cibernético que visou uma grande empresa imobiliária dos EUA, utilizando um novo framework de comando e controle (C2) chamado Tuoni. O ataque ocorreu em meados de outubro de 2025 e, segundo a Morphisec, os invasores provavelmente usaram engenharia social por meio de uma imitação no Microsoft Teams para obter acesso inicial. Os atacantes se passaram por fornecedores ou colegas de confiança para induzir um funcionário a executar um comando PowerShell. Esse comando baixou um segundo script PowerShell de um servidor externo, que utilizou técnicas de esteganografia para ocultar um payload dentro de uma imagem bitmap. O objetivo principal era extrair e executar shellcode diretamente na memória, resultando na execução do ‘TuoniAgent.dll’, que permitiu o controle remoto da máquina alvo. Embora o ataque tenha sido frustrado, ele evidencia o uso indevido de ferramentas de red teaming para fins maliciosos. A Morphisec também observou que o mecanismo de entrega do ataque apresentava indícios de assistência de inteligência artificial na geração de código, refletindo uma tendência preocupante no uso de tecnologias emergentes para atividades ilícitas.

O uso da nuvem se tornou uma prática comum entre empresas, oferecendo agilidade e eficiência. No entanto, à medida que a infraestrutura em nuvem se expande, a gestão de acesso se torna mais complexa, aumentando o risco de vazamentos de dados e problemas legais. O artigo destaca a importância de estabelecer regras de acesso robustas e de se manter em conformidade com legislações globais, como a LGPD no Brasil. Para ajudar as empresas a enfrentar esses desafios, um webinar gratuito com especialistas da CyberArk será realizado, abordando estratégias práticas para proteger cargas de trabalho em nuvem. Os participantes aprenderão a limitar danos em caso de roubo de credenciais, a definir regras de acesso sem comprometer a agilidade da equipe e a alinhar-se com as normas de segurança internacionais. A crescente sofisticação dos atacantes exige que as empresas adotem um plano de segurança eficaz para proteger suas operações na nuvem, garantindo que a inovação não comprometa a segurança.

No dia 18 de novembro de 2025, o Google lançou atualizações de segurança para seu navegador Chrome, abordando duas falhas críticas, incluindo uma que está sendo ativamente explorada. A vulnerabilidade identificada como CVE-2025-13223, com uma pontuação CVSS de 8.8, é uma falha de confusão de tipo no motor V8 do JavaScript e WebAssembly, que pode permitir a execução de código arbitrário ou causar falhas no programa. Segundo o NIST, essa falha pode ser explorada por atacantes remotos através de uma página HTML manipulada. O especialista Clément Lecigne, do Google Threat Analysis Group, descobriu a vulnerabilidade em 12 de novembro de 2025. O Google confirmou que um exploit para essa falha já está disponível na internet. Além disso, a atualização também corrige outra vulnerabilidade de confusão de tipo (CVE-2025-13224), também com pontuação 8.8, identificada por um agente de inteligência artificial do Google. Para se proteger, os usuários devem atualizar o Chrome para as versões 142.0.7444.175/.176 para Windows, 142.0.7444.176 para macOS e 142.0.7444.175 para Linux. É recomendado que usuários de navegadores baseados em Chromium, como Microsoft Edge e Brave, também apliquem as correções assim que disponíveis.

A Microsoft anunciou a neutralização de um ataque de negação de serviço distribuído (DDoS) que atingiu 15,72 terabits por segundo (Tbps) e 3,64 bilhões de pacotes por segundo (pps), o maior já observado na nuvem. O ataque, originado de uma botnet de Internet das Coisas (IoT) chamada AISURU, envolveu mais de 500.000 endereços IP de origem. Os ataques foram caracterizados por inundações UDP de alta taxa, com pouca falsificação de origem, o que facilitou a rastreabilidade. A botnet AISURU, composta por cerca de 300.000 dispositivos infectados, como roteadores e câmeras de segurança, é responsável por alguns dos maiores ataques DDoS registrados. Embora a Microsoft tenha conseguido neutralizar o ataque, a vulnerabilidade dos dispositivos comprometidos ainda representa um risco. Além disso, a botnet também é utilizada para outras atividades ilícitas, como phishing e scraping. A crescente capacidade de ataque é impulsionada pelo aumento da velocidade da internet e pela potência dos dispositivos IoT. Este incidente destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger infraestruturas críticas.

Pesquisadores da Oligo identificaram vulnerabilidades graves em motores de inferência de inteligência artificial, impactando grandes empresas como Meta, Microsoft e Nvidia. As falhas, que permitem a execução de código remoto, estão ligadas ao uso inseguro do ZeroMQ e à desserialização de dados com o módulo pickle do Python, resultando em um padrão de vulnerabilidade denominado ShadowMQ. A principal brecha foi encontrada no framework Llama da Meta, classificada como CVE-2024-50050, com um score CVSS de 6,3/9,3, que foi corrigida em outubro de 2025. Outras tecnologias, como a TensorRT-LLM da Nvidia e o Sarathi-Serve da Microsoft, também apresentaram falhas, com algumas ainda sem correção. A exploração dessas vulnerabilidades pode permitir que invasores executem códigos arbitrários, aumentem privilégios e até roubem modelos de IA. A situação é crítica, pois comprometer um único motor de inferência pode ter consequências severas, como a inserção de agentes maliciosos nas LLMs. O alerta é para que as empresas revisem suas implementações e apliquem as correções necessárias para evitar possíveis ataques.

A Tata Motors, proprietária da Jaguar Land Rover (JLR), divulgou que um ciberataque de ransomware ocorrido em setembro resultou em um prejuízo de £ 196 milhões (aproximadamente R$ 1,3 bilhão). O ataque interrompeu a produção nas fábricas da JLR por quase um mês, impactando significativamente os resultados financeiros da empresa. No relatório do segundo semestre, a JLR registrou uma queda de 24% na receita em comparação ao ano anterior, totalizando £ 4,9 bilhões (R$ 34 bilhões). O prejuízo total do período foi de £ 485 milhões (R$ 3,3 bilhões), enquanto no ano anterior a empresa havia reportado um lucro de £ 398 milhões (R$ 2,7 bilhões).

A Logitech confirmou ter sido alvo de um ataque de dia zero, resultando em um vazamento de dados considerado ’limitado’. O grupo de cibercrime Clop, conhecido por suas práticas de extorsão, foi identificado como responsável pelo ataque. Embora a empresa tenha garantido que a violação não afetou seus produtos ou operações, especialistas acreditam que informações sobre funcionários, consumidores e fornecedores podem ter sido comprometidas. A Logitech não tem certeza sobre quais dados específicos foram roubados, mas afirma que informações sensíveis, como registros de identidade e dados de cartão de crédito, não estavam armazenadas no sistema afetado. A vulnerabilidade explorada estava em uma plataforma de software de terceiros, que foi corrigida imediatamente após a descoberta. O incidente destaca a crescente preocupação com a segurança cibernética, especialmente em um cenário onde grupos como o Clop têm intensificado suas atividades de ransomware, afetando diversas empresas ao redor do mundo.

Pesquisadores de cibersegurança identificaram campanhas de malware que utilizam a tática de engenharia social ClickFix para implantar o Amatera Stealer e o NetSupport RAT. O Amatera, uma evolução do ACR Stealer, foi observado pela primeira vez em junho de 2025 e está disponível por meio de planos de assinatura que variam de $199 a $1.499 por ano. Este malware é projetado para exfiltrar dados sensíveis de carteiras de criptomoedas, navegadores e aplicativos de mensagens, utilizando técnicas avançadas para evitar detecções por soluções de segurança.