Uma falha crítica de segurança foi identificada no Apache Jackrabbit, um sistema de repositório de conteúdo baseado em Java, que pode colocar milhares de aplicações empresariais em risco de execução remota de código (RCE). A vulnerabilidade, rastreada como CVE-2025-58782, afeta os componentes Apache Jackrabbit Core e JCR Commons, sendo classificada como importante. O problema decorre da desserialização insegura de dados não confiáveis por meio de buscas de repositório baseadas em JNDI, permitindo que atacantes executem código arbitrário em sistemas vulneráveis.

O artigo aborda a crescente ameaça de fraudes na contratação, onde atacantes se infiltram em empresas disfarçados de funcionários legítimos. O caso de ‘Jordan de Colorado’ ilustra como um novo contratado pode ter um histórico impecável, mas na verdade ser um invasor. Com o aumento do trabalho remoto, as organizações perderam as proteções intuitivas das entrevistas presenciais, permitindo que indivíduos mal-intencionados utilizem identidades falsas, referências forjadas e até deepfakes para obter acesso a sistemas críticos. Um relatório recente revelou que mais de 320 operativos norte-coreanos se infiltraram em empresas como trabalhadores de TI remotos, utilizando perfis gerados por IA e manipulação em tempo real para passar por processos de seleção. O artigo sugere a implementação de um modelo de ‘Zero Standing Privileges’ (ZSP), que limita o acesso a informações e sistemas apenas ao necessário, garantindo que mesmo após a contratação, o acesso seja sempre verificado e controlado. Essa abordagem visa equilibrar segurança e produtividade, evitando que a rigidez das políticas de segurança atrapalhe o fluxo de trabalho.

A Microsoft enfrenta crescente escrutínio após a revelação de que a empresa utilizou engenheiros baseados na China para corrigir falhas no SharePoint, um produto que foi alvo de hackers apoiados pelo Estado. O ataque cibernético afetou centenas de empresas e agências governamentais dos EUA, incluindo o Departamento de Segurança Interna (DHS) e a Administração Nacional de Segurança Nuclear (NNSA). As vulnerabilidades permitiram que os invasores acessassem completamente o conteúdo do SharePoint, executando código remotamente e implantando ransomware. Embora a Microsoft tenha emitido um patch rapidamente, ele foi insuficiente para conter os ataques. A empresa confirmou a participação de uma equipe de engenharia da China, mas afirmou que o trabalho era supervisionado por engenheiros dos EUA. Especialistas em cibersegurança expressaram preocupações sobre as leis chinesas que permitem que agências estatais exijam cooperação de empresas privadas, levantando temores sobre a coleta de inteligência. Em resposta à pressão, a Microsoft anunciou que encerrará o uso de engenheiros da China em projetos do Pentágono e está avaliando sua presença em outros projetos governamentais. A empresa também planeja descontinuar o suporte para o SharePoint On-Premises em julho de 2026, incentivando a migração para seu serviço em nuvem, Azure.

Em agosto de 2025, pesquisadores de cibersegurança da Arctic Wolf® descobriram uma campanha sofisticada que utiliza o Google Ads e a infraestrutura do GitHub para implantar o malware GPUGate. Este malware foi projetado para evitar análises padrão e comprometer alvos de TI de alto valor. Os atacantes manipulam os resultados de busca patrocinados do Google para palavras-chave como ‘GitHub Desktop’, levando os usuários a um link de download que parece legítimo, mas redireciona para um repositório GitHub com um link malicioso oculto. Após o download do instalador falso, que imita o verdadeiro GitHub Desktop, a cadeia de infecção começa. O arquivo de 128 MB contém executáveis falsos para confundir ambientes de segurança e utiliza rotinas que só são ativadas em sistemas com GPUs reais, explorando a API OpenCL para um processo de descriptografia baseado em hardware. O malware estabelece persistência através de scripts PowerShell e pode baixar cargas secundárias, como módulos de ransomware e ladrões de informações. A campanha tem como alvo profissionais do setor de TI na Europa Ocidental e destaca a necessidade de novas abordagens de defesa em cibersegurança.

O Let’s Encrypt é amplamente reconhecido por fornecer certificados SSL/TLS gratuitos e automatizados, mas sua política não permite a emissão de certificados para endereços IP. Este artigo explora as limitações e alternativas para obter segurança em serviços que operam diretamente em IPs. A principal barreira é que o Let’s Encrypt exige controle sobre um nome de domínio para validar a identidade, o que não se aplica a endereços IP. Para contornar essa limitação, o artigo sugere algumas abordagens. A primeira e mais recomendada é registrar um domínio, mesmo que gratuito, e apontá-lo para o IP do servidor, permitindo assim a obtenção de um certificado Let’s Encrypt. Outra opção é utilizar certificados autoassinados, que, embora não sejam confiáveis por padrão, podem ser instalados manualmente. Além disso, o uso de proxies reversos, como Nginx ou Traefik, pode facilitar a terminação TLS para um domínio, enquanto o serviço interno opera em um IP. O artigo também menciona que algumas autoridades certificadoras comerciais oferecem certificados para IPs, mas geralmente a um custo elevado. Por fim, são discutidos erros comuns a evitar e práticas recomendadas de segurança, como redirecionar HTTP para HTTPS e habilitar HSTS.

Em 2025, a gestão da superfície de ataque (ASM) se torna essencial para a segurança cibernética, à medida que as organizações ampliam sua presença digital através de serviços em nuvem e trabalho remoto. O ASM é uma disciplina proativa que envolve a descoberta, inventário e monitoramento contínuo de ativos expostos à internet, permitindo a identificação e mitigação de vulnerabilidades antes que sejam exploradas. As melhores empresas de ASM utilizam automação e inteligência artificial para oferecer uma visão abrangente da postura de segurança externa das organizações.

A Windscribe lançou uma atualização significativa para seu aplicativo VPN, focando na facilidade de uso e personalização. As mudanças incluem uma tela inicial mais limpa, uma seção de configurações simplificada e acesso mais rápido a configurações importantes. Os usuários agora podem escolher entre temas de interface, como o Alpha e o minimalista Van Gogh, além de modos claro e escuro para dispositivos móveis. A nova seção ‘Look and Feel’ permite personalizar ainda mais a experiência, com opções para adicionar fundos e sons personalizados ao conectar ou desconectar da VPN. A atualização também facilita o acesso a configurações cruciais, como o Auto-Secure, que ativa automaticamente a VPN em redes não confiáveis, e a troca de protocolos, que agora é feita com um único clique. Embora as opções de personalização sejam divertidas, elas também melhoram a usabilidade, especialmente para novos usuários que podem achar a interface anterior complexa. A Windscribe oferece uma versão gratuita e uma versão Pro, com preços acessíveis a partir de $5,75 por mês.

Os ataques de roubo de contas (Account Takeover - ATO) estão em ascensão, representando uma ameaça significativa no cenário digital atual. Com bilhões de credenciais comprometidas disponíveis no dark web e ferramentas automatizadas que testam milhares de tentativas de login por segundo, cada página de login se torna um alvo potencial. Os atacantes evoluíram suas táticas, utilizando phishing, engenharia social e troca de SIM para contornar autenticações de dois fatores. O artigo destaca cinco soluções eficazes para prevenir ATOs em 2025: Lunar, Telesign, Feedzai, Kount e Sift. Essas plataformas oferecem recursos como monitoramento em tempo real, análise comportamental, autenticação multifatorial e inteligência de risco. A solução Lunar, por exemplo, se destaca por sua ampla cobertura de dados e capacidade de detectar ameaças emergentes rapidamente. A necessidade de soluções robustas contra ATOs é imperativa, especialmente para empresas que não possuem segurança em camadas e detecção de ameaças em tempo real. Com a crescente complexidade dos ataques, as organizações devem adotar medidas proativas para proteger suas credenciais e dados sensíveis.

Um novo conjunto de ataques cibernéticos, denominado Operação BarrelFire, foi atribuído a um grupo de ameaças possivelmente de origem russa, conhecido como Noisy Bear. Os ataques visam especificamente a KazMunaiGas, uma empresa do setor de energia do Cazaquistão, e começaram em abril de 2025. Os atacantes utilizaram e-mails de phishing com documentos falsos que simulavam comunicações internas da empresa, incluindo temas como atualizações de políticas e procedimentos de certificação. O vetor inicial da infecção é um arquivo ZIP que contém um atalho do Windows (LNK) que baixa um script malicioso e um programa chamado ‘KazMunayGaz_Viewer’. O ataque culmina na instalação de um implante DLL que permite o controle remoto do sistema comprometido. Além disso, a infraestrutura dos atacantes está hospedada em um provedor de serviços de hospedagem à prova de balas na Rússia, sancionado pelos EUA. Em paralelo, outras campanhas de ciberespionagem têm sido observadas, incluindo ataques a empresas na Polônia e na Ucrânia, utilizando técnicas semelhantes de engenharia social e malware. Esses incidentes destacam a crescente complexidade e a sofisticação das ameaças cibernéticas na região.

Recentemente, quatro pacotes maliciosos foram identificados no registro npm, projetados para roubar credenciais de carteiras de criptomoedas de desenvolvedores Ethereum. Os pacotes, que se disfarçam como utilitários criptográficos legítimos e infraestrutura MEV da Flashbots, exfiltram chaves privadas e frases mnemônicas para um bot do Telegram controlado por atacantes. O primeiro pacote foi carregado em setembro de 2023, e o mais recente em agosto de 2025. Entre os pacotes, o ‘@flashbotts/ethers-provider-bundle’ é o mais perigoso, pois oculta operações maliciosas sob a aparência de compatibilidade com a API da Flashbots, redirecionando transações não assinadas para carteiras controladas pelos atacantes. A presença de comentários em vietnamita no código-fonte sugere que os atacantes podem ser falantes de vietnamita. Essa situação destaca a exploração da confiança dos desenvolvedores em pacotes conhecidos, transformando o desenvolvimento Web3 em um canal direto para bots maliciosos. A confiança depositada na Flashbots, amplamente utilizada por desenvolvedores DeFi, aumenta o risco de adoção desses pacotes comprometidos, resultando em possíveis perdas financeiras significativas.

Uma nova variante do golpe conhecido como ‘golpe das entregas’ está circulando no Brasil, desta vez utilizando o nome da transportadora Jadlog. Os cibercriminosos têm se aproveitado da crescente movimentação do e-commerce, enviando mensagens que alegam que encomendas estão retidas e exigindo o pagamento de taxas inexistentes via Pix. O diferencial desta versão é a utilização de códigos de rastreamento válidos, que conferem um nível de credibilidade à fraude. No entanto, pequenos detalhes, como a apresentação de pacotes com etiquetas dos Correios, revelam a natureza fraudulenta do golpe. Os golpistas utilizam dados reais das vítimas, obtidos de vazamentos anteriores, para criar uma comunicação convincente. A abordagem é feita em horários estratégicos, como de madrugada, para explorar a vulnerabilidade cognitiva das pessoas. Apesar da sofisticação técnica, a falta de atenção a detalhes básicos e a reutilização de imagens para diferentes vítimas são falhas que podem ser percebidas por usuários mais atentos. Especialistas alertam que a combinação de dados vazados e técnicas de engenharia social torna esses golpes cada vez mais eficazes, exigindo cautela dos consumidores.

Recentemente, a TP-Link confirmou uma vulnerabilidade crítica em vários modelos de roteadores, que ainda não possui correção. A falha, identificada pelo pesquisador Mehrun da ByteRay, é uma vulnerabilidade de zero-day relacionada à sobrecarga de buffer no Protocolo de Gerenciamento CPE WAN (CWMP). Essa falha permite a execução remota de códigos maliciosos, especialmente quando o tamanho dos buffers ultrapassa 3072 bytes. Os atacantes podem explorar essa vulnerabilidade através de um servidor CWMP malicioso, comprometendo roteadores que utilizam credenciais padrão ou firmwares desatualizados. Modelos como Archer AX10 e AX1500 já foram confirmados como vulneráveis, e a TP-Link está desenvolvendo um patch para modelos fora da Europa. Enquanto isso, recomenda-se que os usuários alterem as senhas padrão, desativem o CWMP se não for necessário e atualizem seus dispositivos para a versão mais recente do firmware. A situação é preocupante, especialmente considerando que botnets têm explorado falhas em roteadores para disseminar malware e roubar credenciais, como observado em ataques recentes.

Agências do Federal Civilian Executive Branch (FCEB) dos EUA foram alertadas para atualizar suas instâncias do Sitecore até 25 de setembro de 2025, devido a uma vulnerabilidade crítica identificada como CVE-2025-53690, com um CVSS de 9.0. Essa falha permite a execução remota de código através da deserialização de dados não confiáveis, explorando chaves de máquina ASP.NET expostas. A Mandiant, que descobriu a exploração ativa, observou que a vulnerabilidade foi utilizada em ataques que começaram a ser documentados em dezembro de 2024. Os atacantes, que demonstraram um conhecimento profundo do produto comprometido, conseguiram escalar privilégios e realizar movimentos laterais na rede, resultando em roubo de dados. Para mitigar essa ameaça, as organizações são aconselhadas a rotacionar suas chaves de máquina ASP.NET e verificar suas configurações. A situação destaca a importância de não utilizar chaves padrão expostas em documentações públicas, uma prática que deixou muitas implementações vulneráveis a ataques de deserialização de ViewState.

A Walt Disney Company concordou em pagar US$ 10 milhões (aproximadamente R$ 54 milhões) à Comissão Federal de Comércio dos Estados Unidos (FTC) devido à coleta indevida de dados pessoais de crianças no YouTube, sem o consentimento dos pais. A questão gira em torno da falha da Disney em marcar corretamente o conteúdo infantil na plataforma, o que levou à coleta de informações de crianças abaixo de 13 anos, em violação à Regra de Proteção de Privacidade Online Infantil (COPPA). A Disney havia marcado seus vídeos como ‘Feito Para Crianças’ (FPC) a nível de canal, mas muitos vídeos individuais foram erroneamente classificados como ‘Não Feito Para Crianças’ (NFPC). Isso resultou na exibição de publicidade direcionada a crianças, o que é proibido pela COPPA. Além da multa, a Disney terá que implementar um novo programa para garantir a correta classificação de seus vídeos e notificar os pais antes de coletar dados pessoais. Este caso destaca a importância da conformidade com as regulamentações de privacidade, especialmente em plataformas que atendem a um público jovem.

O festival The Town 2025, que acontece de 6 a 10 de setembro, deve atrair cerca de meio milhão de pessoas, tornando essencial a proteção dos celulares dos participantes. O Canaltech recomenda que os usuários anotem o número IMEI de seus dispositivos, que funciona como um ‘CPF do celular’, permitindo o bloqueio em caso de furto. Além disso, é aconselhável cadastrar o aparelho no aplicativo Celular Seguro BR, que possibilita o bloqueio remoto. Os usuários devem ativar os serviços de localização, como ‘Encontre meu dispositivo’ no Android e ‘Buscar iPhone’ no iOS, para facilitar a localização do celular perdido. Durante o festival, recomenda-se evitar guardar o celular em bolsos traseiros ou soltos, utilizar doleiras ou pochetes e estar atento ao redor ao usar o aparelho. Para garantir que o celular não fique sem bateria, há pontos de carregamento gratuitos disponíveis no evento. Essas medidas visam proporcionar uma experiência mais tranquila e segura para os participantes do festival.

Um novo método de cibercrime foi identificado na rede social X, onde a inteligência artificial Grok está sendo utilizada para disseminar malwares. A técnica, chamada ‘grokking’, permite que golpistas incluam links maliciosos em postagens pagas, burlando as restrições da plataforma. Os criminosos publicam vídeos de conteúdo adulto com links ocultos nos metadados, que não são verificados pela rede social. Quando um usuário pergunta à IA sobre a origem do vídeo, Grok revela o link, dando uma falsa sensação de segurança. Essa prática não apenas engana os usuários, mas também melhora a visibilidade dos domínios maliciosos, levando as vítimas a redes de publicidade suspeitas e CAPTCHAs falsos que visam roubar dados. A empresa de cibersegurança Guardio Labs identificou centenas de contas envolvidas nessa atividade, com milhares de postagens diárias. O diretor da Guardio, Nati Tal, recomendou que a plataforma implemente verificações mais rigorosas nos metadados das postagens para combater essa ameaça. A situação está sob investigação, com a equipe de engenharia da IA analisando o problema.

A TP-Link lançou atualizações de firmware para corrigir duas vulnerabilidades críticas em seus roteadores de pequeno escritório e home office (SOHO), especificamente nos modelos Archer C7 e TL-WR841N/ND. As falhas, identificadas como CVE-2025-50224 e CVE-2025-9377, foram exploradas por um grupo de ameaças cibernéticas chinês conhecido como Quad7, que utilizou um botnet para realizar ataques de password-spraying contra contas do Microsoft 365. A CVE-2025-50224 é uma vulnerabilidade de bypass de autenticação com severidade média (6.5/10), enquanto a CVE-2025-9377 é uma vulnerabilidade de execução remota de comando (RCE) com severidade alta (8.6/10). Apesar de os roteadores estarem em status de fim de vida (EoL), a gravidade das falhas levou a TP-Link a emitir atualizações. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) também emitiu avisos sobre essas vulnerabilidades, incluindo a CVE-2025-9377 em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), dando um prazo de três semanas para que agências aplicassem os patches ou substituíssem o hardware. A situação é alarmante, pois qualquer usuário de roteadores afetados está em risco, e muitos provedores de serviços de internet (ISPs) têm distribuído esses dispositivos.

Um novo ator de ameaças cibernéticas, conhecido como TAG-150, tem causado estragos desde março de 2025, utilizando uma infraestrutura sofisticada e uma variedade de famílias de malware personalizadas. Pesquisas do Insikt Group revelaram que a estrutura do TAG-150 é dividida em quatro camadas, incluindo servidores de comando e controle (C2) voltados para as vítimas, que gerenciam e implantam malwares como CastleLoader, CastleBot e o recém-descoberto CastleRAT, um trojan de acesso remoto (RAT) com variantes em Python e C. O CastleRAT se destaca pela sua sofisticação técnica, sendo capaz de coletar informações do sistema, executar comandos e evadir detecções. Os ataques geralmente começam com técnicas de phishing, onde vítimas são induzidas a executar comandos PowerShell disfarçados. A taxa de infecção entre as vítimas interativas é alarmante, alcançando 28,7%. Para dificultar a identificação, o TAG-150 utiliza serviços de privacidade e move sua infraestrutura frequentemente. Especialistas recomendam bloquear a infraestrutura identificada e monitorar canais de exfiltração de dados. O grupo deve continuar inovando e desenvolvendo novas famílias de malware, representando uma ameaça crescente para organizações em todo o mundo.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) elevou a prioridade de uma nova vulnerabilidade zero-day no componente Android Runtime, classificando-a como de alta gravidade. A falha, identificada como CVE-2025-48543, resulta de um erro de uso após a liberação de memória, permitindo que atacantes escapem do sandbox do Chrome e executem código arbitrário, potencialmente elevando privilégios a nível root em dispositivos Android. A CISA recomenda que organizações e usuários finais implementem medidas de mitigação até 25 de setembro de 2025 para evitar possíveis violações de dados ou controle não autorizado de dispositivos. A vulnerabilidade é especialmente preocupante devido à ampla adoção do Android, que opera bilhões de dispositivos globalmente, expondo dados pessoais e credenciais a agentes maliciosos. As recomendações incluem verificar atualizações de firmware, endurecer configurações do Android Runtime e implementar diretrizes operacionais para monitoramento. Embora não haja evidências de ligação com campanhas de ransomware, a urgência para a aplicação de patches é destacada, uma vez que sistemas não corrigidos permanecerão vulneráveis a acessos não autorizados e exfiltração de dados.

O cenário global de ransomware em 2025 está em constante evolução, com o grupo SafePay se destacando como uma das ameaças mais ativas e disruptivas. Em junho, o grupo assumiu a responsabilidade por ataques a 73 organizações, um recorde mensal que o posicionou no topo do ranking de ameaças da Bitdefender. Em julho, mais 42 vítimas foram divulgadas, totalizando mais de 270 organizações atacadas até agora neste ano. O SafePay, que surgiu em setembro de 2024 após a desarticulação de grandes grupos de ransomware, adota uma abordagem diferente ao rejeitar o modelo de ransomware como serviço (RaaS) e realizar seus próprios ataques, visando empresas de médio e grande porte, especialmente em setores como manufatura, saúde e construção. O grupo utiliza táticas como credenciais comprometidas e ataques de força bruta para obter acesso inicial, seguido por movimentos laterais na rede e exfiltração de dados. A criptografia dos arquivos é realizada com o algoritmo ChaCha20, e os resgates variam amplamente, podendo ultrapassar US$ 100 milhões. A eficiência e a rapidez das divulgações do SafePay destacam a necessidade urgente de medidas de segurança em múltiplas camadas e monitoramento proativo.

Uma vulnerabilidade de alta severidade no SAP S/4HANA, identificada como CVE-2025-42957 e com um score CVSS de 9.9, está sendo ativamente explorada. Essa falha permite que um usuário com privilégios baixos, que possua acesso mínimo ao SAP, realize injeção de código remoto, resultando em uma tomada de controle total do sistema. A vulnerabilidade foi descoberta pelo SecurityBridge em 27 de junho de 2025 e divulgada de forma responsável à SAP, que lançou correções em 11 de agosto de 2025. No entanto, tentativas de exploração já foram observadas no mundo real. Para que um ataque seja bem-sucedido, é necessário apenas um usuário SAP válido com acesso a um módulo RFC vulnerável e a autorização S_DMIS com atividade 02. Uma vez explorada, a falha permite ao atacante executar código ABAP arbitrário, modificar ou excluir registros no banco de dados SAP, criar novos usuários administrativos com privilégios totais e até implantar ransomware. As organizações que utilizam SAP S/4HANA, tanto em ambientes on-premise quanto em nuvem privada, devem aplicar as atualizações de segurança imediatamente para mitigar esse risco crítico.

No segundo trimestre de 2025, a Kaspersky identificou 143.000 pacotes de instalação maliciosos direcionados a dispositivos Android e novas variantes de spyware que infiltraram o ecossistema iOS. Embora o número total de incidentes de malware móvel tenha diminuído para 10,71 milhões em comparação ao trimestre anterior, os trojans e malwares bancários continuam a representar os riscos mais severos para os usuários de smartphones. Os trojans bancários, especialmente da família Mamont, foram responsáveis por 42.220 das infecções, destacando-se o Mamont.ev, que teve um aumento significativo de atividade. Além disso, um novo spyware chamado SparkKitty, que coleta imagens e códigos de recuperação de carteiras de criptomoedas, foi detectado em ambas as plataformas. A descoberta de backdoors pré-instalados em dispositivos Android e a utilização de serviços VPN fraudulentos para ocultar funcionalidades de spyware também foram alarmantes. Apesar da queda no número de incidentes, a qualidade e a diversidade das ameaças aumentaram, exigindo vigilância constante na instalação de aplicativos e na integridade da cadeia de suprimentos.

Uma vulnerabilidade crítica de segurança, identificada como CVE-2025-42957, está afetando o software SAP S/4HANA, amplamente utilizado para gestão empresarial. Com uma pontuação CVSS de 9.9, essa falha permite a injeção de código ABAP arbitrário por atacantes com privilégios de usuário, comprometendo a confidencialidade, integridade e disponibilidade do sistema. A exploração bem-sucedida pode levar a sérias consequências, como a modificação de bancos de dados, criação de contas de superusuário e instalação de ransomware. A empresa SecurityBridge alertou que a exploração ativa já foi observada, afetando tanto as edições on-premise quanto as de nuvem privada. Embora a exploração em larga escala ainda não tenha sido detectada, a facilidade de engenharia reversa do patch torna a situação alarmante. As organizações são aconselhadas a aplicar os patches imediatamente, monitorar logs em busca de chamadas RFC suspeitas e implementar medidas de segmentação e backup adequadas. Recomenda-se também a implementação do SAP UCON para restringir o uso de RFC e revisar o acesso ao objeto de autorização S_DMIS.

O grupo de cibercriminosos TAG-150, ativo desde março de 2025, está por trás do malware CastleLoader e do trojan de acesso remoto CastleRAT. O CastleRAT, disponível nas versões Python e C, permite coletar informações do sistema, baixar e executar cargas adicionais, além de executar comandos via CMD e PowerShell. A análise da Recorded Future indica que o CastleLoader é utilizado como vetor de acesso inicial para uma variedade de malwares, incluindo trojans de acesso remoto e ladrões de informações. As infecções geralmente ocorrem por meio de ataques de phishing que imitam plataformas legítimas ou repositórios do GitHub. O CastleRAT possui funcionalidades avançadas, como registro de teclas e captura de telas, e utiliza perfis da Steam como servidores de comando e controle. Recentemente, foram identificadas técnicas de evasão, como o uso de prompts de Controle de Conta de Usuário (UAC) para evitar detecções. Além disso, novas famílias de malware, como TinkyWinkey e Inf0s3c Stealer, foram descobertas, aumentando a preocupação com a segurança cibernética. A situação exige atenção redobrada das empresas, especialmente em relação à proteção de dados e conformidade com a LGPD.

A ExpressVPN, uma das principais fornecedoras de serviços de VPN, introduziu recentemente três níveis de assinatura: Basic, Advanced e Pro. Cada plano oferece diferentes recursos e preços, permitindo que os usuários escolham a opção que melhor atende às suas necessidades. O plano Basic, por exemplo, oferece acesso à VPN e uma ferramenta de bloqueio de anúncios, cobrindo até 10 dispositivos, com preços a partir de $3,49 por mês em um plano de dois anos. O plano Advanced inclui um gerenciador de senhas e monitoramento de identidade, além de suportar até 12 dispositivos, com preços a partir de $4,49 por mês. Já o plano Pro, o mais completo, oferece proteção para até 14 dispositivos, um endereço IP dedicado e cinco dias de dados eSIM ilimitados, com preços a partir de $7,49 por mês. Todos os planos vêm com uma garantia de devolução do dinheiro em 30 dias, permitindo que os usuários testem o serviço sem riscos. Essa nova estrutura de preços facilita a escolha do plano ideal, especialmente para usuários casuais que buscam segurança online e acesso a conteúdos restritos geograficamente.

Pesquisadores de segurança da eSentire identificaram uma nova botnet e infostealer chamada NightshadeC2, que utiliza uma técnica inovadora chamada ‘UAC Prompt Bombing’ para contornar as defesas do Windows Defender. Essa técnica força as vítimas a aprovar exclusões no Windows Defender através de prompts repetidos, permitindo que o malware opere sem ser detectado. O NightshadeC2 possui variantes em C e Python, com a versão em C oferecendo uma gama completa de funcionalidades, como execução de comandos, captura de tela, keylogging e roubo de credenciais. A distribuição do malware ocorre por meio de ataques ClickFix, onde os usuários são levados a executar comandos maliciosos após interagir com CAPTCHAs falsificados. A técnica de ‘UAC Prompt Bombing’ não só permite que o malware evite a detecção pelo Windows Defender, mas também dificulta a análise em ambientes de sandbox, tornando-se um desafio significativo para a segurança cibernética. Em resposta, a eSentire implementou conteúdos de detecção e recomendações para mitigar os riscos associados, como desativar o prompt de execução do Windows e realizar treinamentos de conscientização sobre phishing. O caso do NightshadeC2 destaca a rápida evolução das táticas de ataque e a necessidade de estratégias de defesa adaptativas.

A Bridgestone Americas confirmou um “incidente cibernético limitado” que afetou temporariamente a fabricação em várias instalações na América do Norte. O ataque foi detectado por volta das 2h da manhã, quando a equipe de segurança da empresa notou tráfego de rede incomum e tentativas de acesso não autorizado aos sistemas de controle de produção, especificamente na rede SCADA (Supervisory Control and Data Acquisition). A resposta ao incidente incluiu a segmentação das VLANs afetadas, a ativação de uma equipe de resposta a incidentes e a verificação da integridade dos backups. Embora a produção tenha sido interrompida em locais como as fábricas em Aiken County, Carolina do Sul, e Joliette, Quebec, a empresa garantiu que não houve comprometimento de dados de clientes ou funcionários. A investigação forense está em andamento para identificar o vetor de ataque e as possíveis vulnerabilidades exploradas. A Bridgestone destacou que sua estrutura de cibersegurança, que inclui autenticação multifatorial e monitoramento contínuo, foi crucial para a rápida contenção do incidente. A empresa planeja publicar um relatório pós-incidente para reforçar a confiança entre seus colaboradores e clientes.

No final de agosto de 2025, houve um aumento significativo na atividade de reconhecimento direcionada a dispositivos Cisco Adaptive Security Appliance (ASA), com mais de 25.000 IPs únicos realizando varreduras no caminho de login da web do ASA. A empresa de inteligência de segurança GreyNoise identificou que 16.794 IPs únicos participaram dessas tentativas de acesso, com 14.000 deles compartilhando a mesma assinatura TLS e TCP, indicando uma infraestrutura de varredura unificada. A maioria das varreduras teve origem no Brasil (64%), com os alvos principais localizados nos Estados Unidos (97%). Essas atividades de escaneamento são frequentemente precursoras da divulgação pública de novas vulnerabilidades (CVEs), e a pesquisa sugere que as explosões de escaneamento podem indicar uma divulgação iminente de vulnerabilidades no ASA. Organizações, mesmo aquelas com sistemas atualizados, são aconselhadas a bloquear proativamente IPs maliciosos identificados para reduzir o risco de serem alvo de campanhas de exploração. O artigo destaca a importância de não expor interfaces de gerenciamento do ASA diretamente à Internet e de implementar autenticação multifator para acesso remoto.

Pesquisadores de segurança revelaram uma vulnerabilidade de estouro de buffer baseada em heap no Driver de Serviço WOW Thunk de Streaming do Kernel do Windows, identificado como CVE-2025-53149. A falha, localizada no componente ksthunk.sys, foi divulgada de forma responsável à Microsoft, que já lançou um patch para corrigir a vulnerabilidade. Essa falha crítica permite que atacantes executem código arbitrário com privilégios elevados por meio de solicitações IOCTL (Input/Output Control) maliciosas. A vulnerabilidade se origina na função CKSAutomationThunk::HandleArrayProperty(), que não valida corretamente os tamanhos dos buffers de saída durante operações de recuperação de propriedades de dispositivos multimídia. O problema ocorre quando o código não verifica adequadamente o comprimento do buffer de saída em relação ao tamanho real dos dados retornados, resultando em uma condição de estouro de buffer. Para explorar essa vulnerabilidade, os atacantes precisam criar solicitações IOCTL direcionadas a dispositivos multimídia que implementam os manipuladores de propriedades afetados. A Microsoft implementou validações adicionais no código para mitigar o risco de exploração. Organizações que utilizam sistemas Windows com hardware multimídia especializado devem priorizar a aplicação das atualizações de segurança de agosto de 2025 para evitar riscos de exploração associados a essa vulnerabilidade.

Pesquisadores de cibersegurança identificaram uma nova campanha de malware que utiliza arquivos SVG como parte de ataques de phishing, disfarçando-se como o sistema judicial colombiano. Os arquivos SVG são enviados por e-mail e contêm um código JavaScript embutido que decodifica e injeta uma página de phishing em HTML, simulando um portal da Fiscalía General de la Nación. Essa página finge realizar o download de documentos oficiais, enquanto, em segundo plano, baixa um arquivo ZIP não especificado. A análise do VirusTotal revelou 44 arquivos SVG únicos, todos não detectados por motores antivírus devido a técnicas de ofuscação e polimorfismo. Além disso, a campanha também está associada a um malware chamado Atomic macOS Stealer (AMOS), que visa usuários de macOS, especialmente aqueles que buscam versões piratas de software. AMOS é capaz de roubar uma ampla gama de dados, incluindo credenciais e carteiras de criptomoedas. A Apple implementou proteções para bloquear a instalação de arquivos .dmg não notarizados, mas os atacantes estão adaptando suas táticas para contornar essas defesas, utilizando comandos no Terminal para instalar o malware. Essa evolução nas técnicas de ataque destaca a necessidade de estratégias de defesa em profundidade.

Pesquisadores da Amazon identificaram e neutralizaram uma tentativa de invasão ao Microsoft 365, realizada pelo grupo de hackers conhecido como Midnight Blizzard, ou APT29, que é apoiado pelo governo russo. Utilizando uma técnica chamada Oásis, os cibercriminosos replicaram sites que os alvos costumam acessar, facilitando o roubo de senhas e a autorização de dispositivos maliciosos. A investigação revelou que o grupo comprometeu diversos sites legítimos e ocultou códigos maliciosos em codificação base64. Os hackers redirecionaram cerca de 10% dos visitantes de domínios afetados para páginas que imitavam a verificação do Cloudflare, levando os usuários a um fluxo de autenticação falso da Microsoft. Após a descoberta, a Amazon isolou as instâncias EC2 utilizadas pelos criminosos e colaborou com a Cloudflare e a Microsoft para interromper as atividades. A empresa recomenda que os usuários verifiquem autorizações de dispositivos e ativem a autenticação de dois fatores para aumentar a segurança. Embora a campanha não tenha comprometido a infraestrutura da Amazon, a situação destaca a necessidade de vigilância constante contra ataques cibernéticos.

Um ciberataque ocorrido em 29 de agosto de 2025, afetou a Sinqia, empresa responsável por conectar diversos bancos brasileiros ao sistema de pagamentos instantâneos Pix. Os hackers conseguiram desviar aproximadamente R$ 710 milhões, sendo R$ 670 milhões do HSBC e R$ 41 milhões da fintech Artta. O Banco Central do Brasil, ao perceber a tentativa de acesso malicioso, bloqueou R$ 589 milhões, o que representa cerca de 83% do total desviado. A investigação revelou que a invasão foi realizada por meio de credenciais comprometidas de funcionários de TI, evidenciando a vulnerabilidade de senhas estáticas e métodos de proteção inadequados. A Sinqia não poderá retomar suas operações no Pix até que o Banco Central avalie e aprove as novas medidas de segurança implementadas. Este incidente destaca um aumento alarmante no uso de credenciais roubadas, que representaram 16% dos incidentes de invasão em 2024, e um crescimento de 800% no roubo de credenciais na primeira metade de 2025. O ataque ressalta a necessidade urgente de reforçar a segurança cibernética nas instituições financeiras brasileiras.

O Hook v3, a mais recente variante do trojan bancário para Android, apresenta um conjunto alarmante de funcionalidades, incluindo sobreposições de ransomware, prompts bancários falsos e funções de spyware. Pesquisadores da Zimperium zLabs identificaram que o malware agora suporta 107 comandos remotos, com 38 novos na última atualização, explorando os Serviços de Acessibilidade do Android. Essa evolução sugere uma transição de fraudes bancárias específicas para uma plataforma de ameaças mais versátil, aumentando o risco para usuários e instituições financeiras. Entre as novas táticas, destacam-se sobreposições que imitam telas de desbloqueio e pagamentos, como o Google Pay, que induzem as vítimas a fornecer dados sensíveis. Além disso, a capacidade de streaming em tempo real permite que os atacantes monitorem as atividades dos dispositivos das vítimas. O Hook v3 se espalha por meio de sites de phishing e APKs maliciosos hospedados no GitHub, o que facilita sua disseminação. A combinação de roubo passivo e monitoramento ativo torna essa ameaça particularmente intrusiva e preocupante para a segurança cibernética.

A Microsoft reconheceu que a atualização de segurança de agosto de 2025 (KB5063878) está gerando prompts inesperados do Controle de Conta de Usuário (UAC) para usuários não administradores ao tentar reparar ou atualizar certos aplicativos. Essa mudança foi implementada para reforçar a segurança do Windows Installer, corrigindo uma vulnerabilidade (CVE-2025-50173) que poderia ser explorada por atacantes. Como consequência, programas comuns, como AutoCAD e Civil 3D, agora solicitam aprovação de administrador para operações que antes eram realizadas sem essa necessidade. Além disso, aplicativos mais antigos, como o Office 2010, podem falhar completamente quando executados em contas padrão. A Microsoft planeja, em atualizações futuras, permitir que administradores de TI aprovem aplicativos específicos para realizar essas operações de reparo sem interrupções constantes. Até que essa solução seja implementada, os usuários devem estar cientes de que a exigência de permissões administrativas não indica um problema com os aplicativos, mas sim uma medida de segurança adicional do Windows.

Pesquisadores de cibersegurança da ESET revelaram um novo grupo de ameaças, denominado GhostRedirector, que comprometeu pelo menos 65 servidores Windows, principalmente no Brasil, Tailândia e Vietnã. Os ataques, que começaram em agosto de 2024, utilizam uma backdoor em C++ chamada Rungan e um módulo do Internet Information Services (IIS) chamado Gamshen. O objetivo do Gamshen é manipular resultados de busca, promovendo fraudes de SEO, enquanto a Rungan permite a execução de comandos em servidores comprometidos. O grupo também utiliza técnicas de injeção SQL para obter acesso inicial e ferramentas como PowerShell para implantar malware adicional. A ESET sugere que o GhostRedirector está alinhado a atores de ameaças da China, com indícios de que as fraudes de SEO estão direcionadas a sites de jogos de azar. A manipulação de SEO pode prejudicar a reputação de sites legítimos, associando-os a práticas desonestas. O impacto é significativo, afetando setores variados, como educação, saúde e tecnologia, e requer atenção urgente das equipes de segurança cibernética.

O grupo de hackers patrocinado pelo Estado russo, conhecido como APT28, foi associado a um novo backdoor no Microsoft Outlook, denominado NotDoor, que tem como alvo diversas empresas em países membros da OTAN. Segundo a equipe de inteligência de ameaças LAB52, o NotDoor é um macro VBA que monitora e-mails recebidos em busca de uma palavra-chave específica. Ao detectar um e-mail com essa palavra, o malware permite que o atacante exfiltre dados, faça upload de arquivos e execute comandos no computador da vítima.

Recentemente, surgiram preocupações sobre a privacidade das conversas no ChatGPT, após a OpenAI cancelar a funcionalidade que tornava as interações buscáveis, resultando na exposição de dados sensíveis. Uma análise de 1.000 conversas, realizada pela SafetyDetective, revelou que muitos usuários compartilham informações pessoais e discutem questões delicadas, como saúde mental e problemas legais, com a IA, tratando-a como um terapeuta ou consultor. A pesquisa indicou que 60% das interações se enquadravam na categoria de ‘consulta profissional’, levantando questões sobre a confiança dos usuários na precisão das respostas da IA. Além disso, a falta de compreensão sobre o que significa tornar as conversas buscáveis e a possibilidade de vazamentos de dados pessoais expõem os usuários a riscos como phishing e roubo de identidade. Especialistas recomendam que as empresas de IA tornem seus avisos mais claros e ocultem informações pessoais antes de disponibilizar as conversas na internet. A situação destaca a necessidade de cautela ao compartilhar informações sensíveis com chatbots, independentemente da percepção de privacidade da tecnologia.

Em 3 de setembro de 2025, a equipe de desenvolvimento do Django lançou três atualizações de segurança para corrigir uma vulnerabilidade de injeção SQL de alta gravidade, identificada como CVE-2025-57833. Essa falha afeta as versões 5.2.6, 5.1.12 e 4.2.24 do popular framework web em Python, especificamente na funcionalidade FilteredRelation. A vulnerabilidade permite que atacantes maliciosos explorem o sistema utilizando dicionários especialmente elaborados como argumentos de palavras-chave passados para os métodos QuerySet.annotate() ou QuerySet.alias(). O impacto potencial inclui a execução remota de código e comprometimento severo de dados, tornando a atualização imediata essencial. A equipe de segurança do Django recomenda que todos os usuários atualizem para as versões mais recentes, que estão disponíveis para download com assinaturas digitais para garantir a autenticidade. Essa situação ressalta a importância da comunidade de segurança em identificar e relatar ameaças, além de reforçar a necessidade de práticas de divulgação responsável para proteger os usuários antes que as vulnerabilidades se tornem amplamente conhecidas.

Em 4 de setembro de 2025, Mandiant e Sitecore divulgaram uma vulnerabilidade zero-day, identificada como CVE-2025-53690, que afeta produtos populares da Sitecore. A falha permite a execução remota de código, explorando chaves de máquina ASP.NET expostas para criar payloads maliciosos no ViewState, comprometendo servidores e permitindo infiltração na rede. A vulnerabilidade, originada em guias de implantação legados, impacta diversas implementações locais e gerenciadas por clientes, levando a Sitecore a emitir avisos urgentes e patches. Os atacantes, ao explorar essa falha, conseguiram comprometer servidores e realizar reconhecimento profundo da rede, utilizando ferramentas como WEEPSTEEL e EARTHWORM para coletar informações do sistema. Em resposta, a Sitecore recomendou a rotação das chaves de máquina e a ativação da validação e criptografia do ViewState. Organizações que utilizam ASP.NET devem adotar essas práticas para se proteger contra ameaças semelhantes, uma vez que a falha pode ter implicações significativas na segurança e conformidade, especialmente em relação à LGPD.

O FBI emitiu um alerta sobre uma campanha em andamento de operadores cibernéticos do Serviço Federal de Segurança da Rússia (FSB), conhecida como Centro 16, que visa equipamentos de rede legados. A exploração de uma vulnerabilidade não corrigida, CVE-2018-0171, na funcionalidade Smart Install (SMI) da Cisco, permite que atacantes remotos acessem arquivos de configuração dos dispositivos e, em alguns casos, injetem modificações maliciosas que garantem acesso não autorizado persistente. Essa vulnerabilidade, divulgada pela primeira vez em 2018, afeta dispositivos Cisco que utilizam o SMI sem exigir autenticação do usuário. O FBI observou que os operadores russos estão atacando milhares de dispositivos de rede associados a organizações dos EUA em setores críticos, como sistemas de controle industrial e tecnologia operacional, levantando preocupações sobre possíveis interrupções em serviços essenciais. O FBI recomenda que as organizações apliquem imediatamente atualizações de software da Cisco, desativem o SMI onde não for possível aplicar atualizações e implementem monitoramento contínuo de arquivos de configuração. A situação destaca a importância de práticas rigorosas de higiene cibernética, especialmente em um cenário onde a infraestrutura de rede está envelhecendo e as atividades patrocinadas pelo estado estão se intensificando.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou quatro avisos em 2 de setembro de 2025, alertando sobre vulnerabilidades recém-descobertas em sistemas de controle industrial (ICS) que podem ser exploradas em ataques cibernéticos. Essas falhas afetam produtos de empresas como Delta Electronics, Fuji Electric, SunPower e Hitachi Energy, destacando a crescente ameaça enfrentada por utilidades e operadores de infraestrutura crítica em todo o mundo.

O primeiro aviso refere-se a uma vulnerabilidade de travessia de diretório no software EIP Builder da Delta Electronics, que pode permitir que atacantes realizem operações não autorizadas. O segundo alerta destaca um estouro de buffer no FRENIC-Loader 4 da Fuji Electric, que pode levar à execução arbitrária de código. O terceiro aviso menciona uma falha de bypass de autenticação na plataforma de gerenciamento de inversores solares PVS6 da SunPower, permitindo que atacantes alterem configurações críticas. Por fim, o quarto aviso aborda várias vulnerabilidades nos relés de proteção Relion da Hitachi Energy, incluindo operações não autorizadas via interface Modbus.

O grupo de ransomware Inc reivindicou a responsabilidade por um ataque cibernético ocorrido em agosto de 2025 na Universidade de St. Thomas, em Houston, Texas. O ataque, que causou uma interrupção de nove dias nos sistemas da instituição, foi relatado pela universidade em 13 de agosto, que inicialmente afirmou não haver evidências de dados comprometidos. No entanto, Inc alegou ter roubado 1,8 TB de dados e publicou amostras de documentos supostamente extraídos da universidade. A Universidade de St. Thomas ainda não confirmou a alegação do grupo, e não se sabe se um resgate foi pago ou quais dados foram realmente comprometidos. O ataque resultou na paralisação do site e dos servidores da universidade, afetando serviços essenciais para os alunos, como acesso à moradia e registro de cursos. O grupo Inc, que surgiu em 2023, utiliza táticas como phishing direcionado e exploração de vulnerabilidades conhecidas, operando sob um modelo de ransomware como serviço. Até agora, o grupo já reivindicou 122 ataques confirmados, incluindo 15 em instituições educacionais. A crescente onda de ataques de ransomware em escolas nos EUA, com 30 incidentes confirmados em 2025, destaca a vulnerabilidade do setor educacional e a necessidade de medidas de segurança robustas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou duas vulnerabilidades críticas que afetam roteadores TP-Link ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). As falhas, CVE-2023-50224 e CVE-2025-9377, têm sido exploradas ativamente. A primeira, com um CVSS de 6.5, permite a bypass de autenticação no serviço httpd do modelo TL-WR841N, resultando na exposição de credenciais armazenadas. A segunda, com um CVSS de 8.6, é uma vulnerabilidade de injeção de comandos do sistema operacional que pode levar à execução remota de código em modelos como o Archer C7 e TL-WR841N. Embora a TP-Link tenha lançado atualizações de firmware em novembro de 2024, os modelos afetados já atingiram o status de fim de vida (EoL) e não recebem mais suporte ativo. A CISA recomenda que as agências federais implementem as mitig ações necessárias até 24 de setembro de 2025. A atividade maliciosa associada a essas vulnerabilidades está ligada a um botnet conhecido como Quad7, utilizado por um ator de ameaças vinculado à China. A falta de relatórios públicos sobre a exploração dessas falhas não diminui a urgência de ações corretivas.

A Comissão Nacional de Informática e Liberdade (CNIL) da França impôs multas significativas a Google e Shein por violarem as regras de consentimento de cookies. Google foi multada em €325 milhões (cerca de R$ 379 milhões) e Shein em €150 milhões (aproximadamente R$ 175 milhões) por instalar cookies de publicidade nos navegadores dos usuários sem obter consentimento adequado. A CNIL destacou que, ao criar uma conta no Google, os usuários eram incentivados a aceitar cookies para anúncios personalizados, sem serem devidamente informados de que essa aceitação era uma condição para acessar os serviços da empresa. Embora Google tenha introduzido uma opção de recusa de cookies em outubro de 2023, a falta de consentimento informado ainda persistiu. Além disso, a CNIL criticou a prática do Google de exibir anúncios em e-mails do Gmail sem o consentimento explícito dos usuários, o que também contraria o Código Postal e de Comunicações Eletrônicas da França. A CNIL deu um prazo de seis meses para que o Google se adeque às normas, sob pena de multas diárias de €100 mil. O caso ocorre em um contexto mais amplo de crescente vigilância sobre a privacidade dos dados, com ações semelhantes sendo tomadas contra outras empresas, como a Disney nos EUA, por violações de privacidade infantil.

O cenário da cibersegurança evoluiu significativamente desde o vírus ‘Love Bug’ em 2001, transformando-se em um empreendimento criminoso lucrativo. Para enfrentar essa nova realidade, líderes de segurança cibernética, como CISOs e administradores de TI, precisam adotar estratégias proativas que não apenas respondam a ameaças, mas as previnam. O artigo de Yuriy Tsibere destaca a importância de políticas de segurança por padrão, como a autenticação multifator (MFA), a abordagem de negar por padrão e a contenção de aplicativos. Essas medidas podem eliminar categorias inteiras de riscos, como a execução de ransomware e a infiltração de ferramentas não autorizadas. O autor sugere ações simples, como desabilitar macros do Office e bloquear tráfego de servidores não autorizado, que podem criar um ambiente mais seguro. Além disso, a remoção de direitos administrativos locais e o bloqueio de portas não utilizadas são recomendados para limitar a superfície de ataque. A implementação de configurações seguras desde o início é essencial para fortalecer a defesa contra ataques cibernéticos, que estão em constante evolução. A mentalidade de segurança por padrão não é apenas inteligente, mas essencial para reduzir a complexidade e aumentar a resiliência organizacional.

Pesquisadores de cibersegurança identificaram uma nova técnica utilizada por cibercriminosos para contornar as proteções contra malvertising da plataforma de mídia social X, utilizando o assistente de inteligência artificial Grok. A técnica, chamada de Grokking, permite que links maliciosos sejam propagados através de postagens promovidas. Os malvertisers utilizam conteúdo adulto como isca, escondendo links maliciosos no campo de metadados ‘From:’ abaixo do player de vídeo, que não é escaneado pela plataforma. Em seguida, eles mencionam Grok em respostas, fazendo com que o chatbot exiba o link, que agora é amplificado em SEO e reputação de domínio. Os links direcionam os usuários para redes de anúncios suspeitas, levando a fraudes como CAPTCHAs falsos e malware que rouba informações. A Guardio Labs observou centenas de contas envolvidas nesse comportamento, que postam incessantemente até serem suspensas. Essa técnica representa um risco significativo, pois permite que links proibidos pela plataforma se espalhem rapidamente, atingindo milhões de usuários.

A Tesco, uma das maiores redes de supermercados do Reino Unido, processou a Broadcom e um revendedor da VMware, buscando £100 milhões em danos por suposta violação de contrato relacionada a licenças de software. A disputa surgiu após a aquisição de licenças perpétuas para os produtos VMware vSphere Foundation e Cloud Foundation em janeiro de 2021, que deveriam incluir suporte e atualizações até 2026, com a opção de extensão por mais quatro anos. No entanto, após a compra da VMware, a Broadcom interrompeu o suporte a essas licenças perpétuas, direcionando os clientes para modelos de assinatura mais lucrativos. A Tesco argumenta que essa nova estratégia de preços a força a pagar valores excessivos por um software pelo qual já havia pago. A empresa afirma que a interrupção do suporte pode impactar suas operações, já que o software da VMware é fundamental para cerca de 40.000 cargas de trabalho em seus servidores, incluindo sistemas de caixa. Além disso, a Tesco incluiu a Computacenter como co-ré na ação. A situação é preocupante, pois a substituição do software VMware poderia ser custosa e arriscada, levando a mais interrupções nas operações. Outras empresas, como AT&T e Siemens, também apresentaram queixas semelhantes contra a Broadcom, que defende sua estratégia de assinatura como padrão da indústria.

A Cloudflare, empresa especializada em infraestrutura digital, anunciou a neutralização do maior ataque DDoS da história, que atingiu um pico de 11,5 terabits por segundo (Tbps). O ataque, que durou aproximadamente 35 segundos, foi realizado a partir de uma combinação de fontes, incluindo Google Cloud e dispositivos da Internet das Coisas (IoT), como câmeras de segurança e computadores comprometidos. Este incidente é parte de um aumento alarmante nos ataques DDoS, que cresceram 358% em 2025 em comparação ao ano anterior. A Cloudflare também relatou que mitigou 21,3 milhões de ataques DDoS em 2024, com um aumento significativo de 509% nas tentativas de ataque a nível de rede. O aumento na frequência e na intensidade desses ataques levanta preocupações sobre a segurança digital, especialmente para empresas que dependem de serviços online. O Brasil, em particular, se tornou um dos principais alvos de ataques DDoS na América Latina, o que destaca a necessidade de medidas de segurança robustas para proteger a infraestrutura digital do país.

A Jaguar Land Rover (JLR) anunciou que sofreu um ciberataque em seus sistemas nos dias 30 e 31 de agosto de 2025, resultando na interrupção indefinida da produção e no desligamento de vários sistemas. A empresa, que produz mais de 400 mil veículos anualmente e tem um retorno anual de US$ 38 bilhões, informou que as vendas e a produção foram severamente afetadas, especialmente no Reino Unido. Embora não haja evidências de roubo de dados, a companhia está trabalhando para retomar suas atividades globais. Os primeiros relatos de problemas vieram de vendedores britânicos, que não conseguiam registrar novos carros ou peças. A fábrica de Solihull, responsável pela produção de modelos como o Land Rover Discovery e o Range Rover, foi uma das mais impactadas. O ataque ocorreu durante o final de semana, um período em que as empresas têm menos capacidade de resposta. Até o momento, não foram divulgados detalhes sobre a autoria do ataque nem se algum grupo de ransomware se manifestou. A JLR ainda não informou quando as operações serão normalizadas.

Pesquisadores da Cisco Talos identificaram mais de 1.100 instâncias do framework Ollama, utilizado para hospedar modelos de linguagem, acessíveis publicamente na internet. Aproximadamente 20% desses servidores estavam operando sem qualquer forma de autenticação, tornando-os vulneráveis a ataques severos. Em uma varredura rápida usando o Shodan, foram encontrados 1.139 endpoints expostos, dos quais 214 permitiam consultas de modelos sem credenciais. Essa falta de controle de acesso possibilita ataques de extração de modelo e a injeção de conteúdo malicioso. Mesmo os 80% restantes, que estavam inativos no momento da descoberta, apresentam riscos significativos, como uploads não autorizados de modelos e ataques de exaustão de recursos. A análise geoespacial revelou que a maioria dos servidores expostos está localizada nos Estados Unidos, China e Alemanha, evidenciando falhas na segurança da infraestrutura de IA. Para mitigar essas vulnerabilidades, recomenda-se a implementação de mecanismos de autenticação robustos, isolamento de rede e auditorias regulares de exposição. Essas medidas são essenciais para proteger a integridade dos modelos de IA e evitar abusos.