Uma nova campanha de malware, denominada EvilAI, está utilizando ferramentas de inteligência artificial (IA) aparentemente legítimas para infiltrar malware em organizações ao redor do mundo. De acordo com a Trend Micro, os ataques têm como alvo setores como manufatura, governo, saúde, tecnologia e varejo, afetando países como Índia, EUA, França, Itália, Brasil, Alemanha, Reino Unido, Noruega, Espanha e Canadá. Os atacantes se destacam por sua habilidade em disfarçar software malicioso como aplicativos de produtividade, utilizando interfaces profissionais e assinaturas digitais válidas, dificultando a identificação por usuários e ferramentas de segurança.

O GoAnywhere MFT, uma solução popular de transferência de arquivos gerenciada, apresenta uma vulnerabilidade crítica, identificada como CVE-2025-10035, que permite a injeção de comandos através do servlet de licença. Essa falha foi classificada com a severidade máxima de 10/10 e está sendo explorada ativamente por atacantes, conforme evidências credíveis encontradas pelos pesquisadores da WatchTowr Labs. A exploração da vulnerabilidade começou antes da divulgação pública, com registros de ataques datando de 10 de setembro de 2025, oito dias antes do aviso oficial da Fortra, empresa responsável pelo GoAnywhere. Para mitigar os riscos, os usuários são aconselhados a atualizar para a versão corrigida mais recente (7.8.4) ou a versão de Sustentação (7.6.3). Aqueles que não puderem aplicar o patch devem isolar o sistema do GoAnywhere da internet pública. A falha é especialmente preocupante, pois no início de 2023, um ataque semelhante resultou no roubo de dados de várias organizações, com o grupo de ransomware Cl0p reivindicando a responsabilidade. Portanto, a urgência em aplicar as correções é crítica para evitar possíveis brechas de segurança e vazamentos de dados.

O ransomware Akira está explorando a vulnerabilidade CVE-2024-40766 para acessar dispositivos VPN SSL da SonicWall, mesmo em contas que utilizam autenticação multifator (MFA). Pesquisadores de segurança, como os da Arctic Wolf Labs, relataram um aumento nos logins maliciosos em instâncias da SonicWall SSL VPN, sugerindo que os atacantes conseguiram comprometer as sementes de senhas de uso único (OTP), permitindo que contornassem as proteções de MFA. Apesar de a SonicWall ter lançado patches e recomendado a redefinição de credenciais, os ataques continuam a ocorrer. O Google identificou um grupo de ameaças, denominado UNC6148, que está utilizando credenciais e sementes de OTP roubadas em campanhas de ataque direcionadas a dispositivos SonicWall SMA 100, que estão fora de suporte. Isso levanta preocupações significativas sobre a eficácia das medidas de segurança implementadas, uma vez que os atacantes estão conseguindo autenticar-se em contas protegidas por MFA. A situação destaca a necessidade de vigilância contínua e de ações proativas para proteger as infraestruturas de TI contra essas ameaças emergentes.

Uma nova vulnerabilidade de execução remota de código (RCE) sem interação do usuário foi descoberta no WhatsApp, afetando dispositivos iOS, macOS e iPadOS. A falha, identificada como CVE-2025-55177, permite que atacantes enviem uma imagem DNG maliciosa que, ao ser processada automaticamente pelo aplicativo, compromete completamente o dispositivo da vítima. O ataque ocorre em duas etapas: primeiro, uma falha lógica no manuseio de mensagens do WhatsApp permite que um invasor falsifique a origem de uma mensagem e insira um arquivo DNG malicioso na conversa. Em seguida, uma segunda vulnerabilidade, CVE-2025-43300, no parser de arquivos DNG, causa corrupção de memória, permitindo que o invasor execute código arbitrário. A exploração é silenciosa, sem necessidade de interação do usuário, tornando a detecção extremamente difícil. Tanto o WhatsApp quanto a Apple estão cientes das vulnerabilidades e estão trabalhando em correções. Usuários são aconselhados a atualizar seus aplicativos assim que as correções forem disponibilizadas e a ter cautela ao receber mensagens multimídia não solicitadas. A situação destaca a complexidade de proteger aplicativos de mensagens contra vetores de ataque que exploram formatos de arquivo aparentemente seguros.

A Jaguar Land Rover (JLR) anunciou a retomada controlada e gradual de suas operações de fabricação após um incidente significativo de cibersegurança que interrompeu a produção no início de setembro de 2025. A empresa está reativando seções-chave de suas linhas de montagem, priorizando áreas de produção não críticas para minimizar a interrupção aos clientes e concessionárias. A JLR está colaborando com especialistas em cibersegurança, agências governamentais e forças de segurança para garantir que o reinício ocorra de forma segura. A primeira fase da recuperação permitirá a fabricação gradual de modelos de alta demanda, com a condição de que todos os sistemas e redes sejam validados quanto à segurança antes da reativação. Embora a JLR não tenha divulgado detalhes sobre a natureza do ataque, a empresa assegurou que dados críticos de clientes e negócios permaneceram seguros durante o incidente. O Centro Nacional de Segurança Cibernética do Reino Unido está apoiando a análise forense da infraestrutura de TI da JLR para identificar a causa raiz do ataque e fortalecer as defesas contra futuras ameaças. A JLR também está reforçando seus protocolos de resposta a incidentes cibernéticos e investindo em ferramentas de monitoramento aprimoradas para detectar anomalias em tempo real.

Pesquisadores identificaram 18 amostras distintas do Acreed, um infostealer avançado que está se tornando popular entre redes de cibercriminosos. A arquitetura do Acreed é notável por seu mecanismo inovador de recuperação de comando e controle (C2), que utiliza tanto a BNB Smartchain Testnet quanto a plataforma de jogos Steam como resolutores de dead drop. Ao embutir instruções criptografadas em transações de blockchain e chamadas legítimas da API do Steam, os atacantes garantem comunicações C2 resilientes que se misturam ao tráfego de rede benigno.

O malware TamperedChef foi identificado pela equipe de Resposta a Incidentes da Field Effect em 22 de setembro de 2025, disfarçado como utilitários legítimos, ImageLooker.exe e Calendaromatic.exe. Esses arquivos, assinados digitalmente pela CROWN SKY LLC, foram projetados para contornar as proteções do Windows, utilizando a exploração da vulnerabilidade CVE-2025-0411. Distribuídos por meio de manipulação de motores de busca e publicidade enganosa, os executáveis carregavam cargas úteis de JavaScript que interagiam com APIs do sistema, permitindo a coleta de dados sensíveis e execução de comandos.

Em 25 de setembro de 2025, a unidade de resposta a ameaças da eSentire identificou uma operação de spear phishing sofisticada que visava o e-mail de suporte Zendesk de um cliente do setor de manufatura. Os atacantes enviaram um e-mail com tema bancário, intitulado ‘Swift Message MT103 Addiko Bank ad: FT2521935SVT’, que continha um anexo ZIP malicioso. Ao ser extraído, o arquivo implantou o malware DarkCloud, um ladrão de informações que coleta uma ampla gama de dados sensíveis, como senhas armazenadas em navegadores, detalhes de cartões de crédito, credenciais de FTP e até mesmo arquivos de carteiras de criptomoedas. O DarkCloud se destaca por suas características de evasão, utilizando técnicas de criptografia de strings e detecção de ambientes de análise. A exfiltração de dados ocorre por múltiplos canais, incluindo API do Telegram e SMTP. A eSentire conseguiu interceptar os e-mails de spam e evitar a execução do malware, recomendando políticas de segurança de e-mail e treinamento de conscientização sobre phishing para os funcionários. Este incidente ressalta a necessidade de defesas em camadas para proteger as organizações contra campanhas de malware furtivas.

Um estudo recente com 282 líderes de segurança revela que os Centros de Operações de Segurança (SOCs) enfrentam um aumento insustentável no volume de alertas, com uma média de 960 alertas processados diariamente, e até 3.000 em grandes empresas. Essa sobrecarga tem levado a uma situação crítica, onde 40% dos alertas não são investigados devido à falta de recursos. O tempo médio para investigar um alerta é de 70 minutos, mas 56 minutos se passam antes que qualquer ação seja tomada. Essa realidade resulta em um risco operacional significativo, pois 61% das equipes admitem ignorar alertas que se tornaram incidentes críticos. A adoção de Inteligência Artificial (IA) está se tornando essencial, com 55% das equipes já utilizando assistentes de IA para triagem e investigação. A pesquisa indica que 60% das cargas de trabalho dos SOCs podem ser geridas por IA nos próximos três anos, permitindo que analistas se concentrem em investigações mais complexas. Apesar das barreiras como preocupações com privacidade e integração, a tendência é clara: a IA está se tornando uma prioridade estratégica para melhorar a eficiência operacional e reduzir a fadiga dos analistas.

Nesta semana, o cenário de cibersegurança foi marcado por diversas ameaças significativas. Entre os principais destaques, duas falhas de segurança em firewalls da Cisco foram exploradas por grupos de hackers, resultando na entrega de novos tipos de malware, como RayInitiator e LINE VIPER. Essas falhas, CVE-2025-20362 e CVE-2025-20333, possuem pontuações CVSS de 6.5 e 9.9, respectivamente, e permitem a execução de código malicioso em dispositivos vulneráveis. Além disso, o grupo de espionagem cibernética Nimbus Manticore, alinhado ao Irã, ampliou suas operações para atacar infraestruturas críticas na Europa, utilizando variantes de malware como MiniJunk e MiniBrowse. Outro ponto alarmante foi a campanha de DDoS do botnet ShadowV2, que visa contêineres Docker mal configurados na AWS, transformando ataques em um negócio por encomenda. Em resposta a essas ameaças, a Cloudflare conseguiu mitigar um ataque DDoS recorde, que atingiu 22.2 Tbps. Por fim, vulnerabilidades em servidores da Supermicro foram identificadas, permitindo a instalação remota de firmware malicioso, o que representa um risco elevado para a segurança de dados. As organizações devem priorizar a aplicação de patches e a revisão de suas configurações de segurança para evitar compromissos.

Uma vulnerabilidade de dia zero, ou zero-day, refere-se a uma falha de segurança recém-descoberta que ainda não foi corrigida pelos desenvolvedores. O termo ‘dia zero’ indica que não há tempo para uma correção antes que a vulnerabilidade possa ser explorada por hackers. Esses cibercriminosos podem criar malwares para explorar essas falhas, comprometendo dados de usuários e sistemas. A exploração geralmente ocorre através de engenharia social, como e-mails de phishing, e pode resultar em invasões prolongadas, já que muitos usuários não atualizam seus sistemas rapidamente após a liberação de patches. A Kaspersky identifica diversos atores que exploram essas vulnerabilidades, incluindo cibercriminosos, hacktivistas e espiões corporativos. Exemplos notáveis incluem falhas no navegador Chrome e na plataforma Zoom, além do famoso worm Stuxnet, que afetou o programa nuclear do Irã. Para mitigar riscos, é crucial que os usuários mantenham seus sistemas atualizados e adotem práticas de segurança, como o uso de firewalls e antivírus.

Uma vulnerabilidade crítica foi identificada no SUSE Rancher Manager, permitindo que atacantes bloqueiem contas administrativas por meio de manipulação de nomes de usuário. Essa falha, resultante de uma validação inadequada no sistema de gerenciamento de usuários, possibilita que usuários mal-intencionados com permissões de atualização alterem nomes de usuários, impedindo o acesso de administradores legítimos. Existem dois vetores principais de ataque: a tomada de conta, onde um usuário pode alterar o nome de outro para ‘admin’, e o bloqueio direto de contas administrativas. A exploração dessa vulnerabilidade pode causar interrupções significativas nas operações de gerenciamento de plataformas, deixando sistemas críticos sem supervisão adequada. A SUSE já disponibilizou correções nas versões v2.12.2, v2.11.6, v2.10.10 e v2.9.12, que implementam validações para impedir a modificação de nomes de usuário após a atribuição inicial. Para organizações que não podem atualizar imediatamente, recomenda-se a implementação de controles de acesso rigorosos. A auditoria regular de permissões e o monitoramento de alterações não autorizadas são essenciais para detectar tentativas de exploração antes que causem danos operacionais.

O Olymp Loader, uma oferta de Malware-as-a-Service (MaaS) do coletivo de cibercriminosos OLYMPO, tem ganhado popularidade entre criminosos de baixo e médio nível desde seu lançamento em 5 de junho de 2025. O software, totalmente escrito em linguagem assembly e promovido como FUD (Fully UnDetectable), combina atualizações rápidas de recursos com módulos de roubo integrados e técnicas agressivas de evasão de defesa. Inicialmente concebido como um botnet, o projeto foi rebatizado e pivotou para um loader focado em capacidades de ‘crypter’, atendendo à demanda do mercado. O Olymp Loader oferece módulos de roubo de dados para navegadores, Telegram e carteiras de criptomoedas, além de técnicas de evasão que incluem a adição de si mesmo às exclusões do Windows Defender. Com preços que variam de $50 a $200, o serviço permite personalizações e exclusividades, tornando-o acessível a uma ampla gama de usuários. A evolução contínua do Olymp Loader e suas funcionalidades exigem que as defesas cibernéticas monitorem ativamente as discussões em fóruns subterrâneos e comportamentos em sandbox para mitigar essa crescente ameaça.

No dia 25 de setembro de 2025, a equipe de Detecção e Resposta Gerenciada da Conscia identificou uma campanha de malvertising sofisticada que visava comprometer sistemas corporativos através de um instalador falso do Microsoft Teams. A cadeia de infecção foi descoberta quando as regras de Redução da Superfície de Ataque (ASR) do Microsoft Defender bloquearam tráfego suspeito, levando a uma investigação forense detalhada. A campanha utilizou resultados de busca envenenados para redirecionar usuários a um domínio malicioso, onde o malware estava hospedado. O instalador, MSTeamsSetup.exe, parecia legítimo devido a uma assinatura digital válida, permitindo que o malware evitasse detecções baseadas em assinatura. Após a execução, o malware tentou estabelecer uma conexão de comando e controle, mas foi interceptado pelas regras do Defender. Para se proteger contra essa ameaça, as organizações devem implementar estratégias de detecção focadas em anomalias de certificados e comportamentos de rede, além de monitorar conexões de saída para domínios recém-registrados. Este incidente destaca a convergência de técnicas modernas de ataque, como envenenamento de SEO e abuso de certificados, exigindo uma resposta proativa das equipes de segurança.

O Formbricks, uma plataforma de análise de código aberto, apresenta uma vulnerabilidade crítica que permite redefinições de senha não autorizadas. A falha está relacionada ao manuseio de JSON Web Tokens (JWT), onde os tokens são decodificados sem verificações de assinatura ou expiração. Isso possibilita que atacantes criem tokens arbitrários e sequestram contas de usuários. A vulnerabilidade se origina do uso inadequado da operação de decodificação (jwt.decode) em vez da verificação completa (jwt.verify), resultando na falta de validação da assinatura do token, tempo de expiração, emissor e público-alvo. Um atacante, ao obter um identificador de usuário válido, pode gerar um token com o cabeçalho alg: “none” e, em seguida, usar esse token para redefinir a senha da conta da vítima. O impacto dessa falha é significativo, pois permite não apenas a redefinição de senhas, mas também o controle de outras funcionalidades baseadas em contas, levando ao roubo de dados e manipulação de registros analíticos. Para mitigar essa vulnerabilidade, os desenvolvedores devem substituir todas as chamadas jwt.decode por jwt.verify e implementar medidas adicionais de segurança, como limitação de taxa e monitoramento de solicitações incomuns.

Pesquisadores de cibersegurança identificaram a primeira instância de um servidor do Model Context Protocol (MCP) malicioso em uso, o que eleva os riscos na cadeia de suprimentos de software. O código malicioso foi inserido em um pacote npm chamado ‘postmark-mcp’, que imitava uma biblioteca legítima da Postmark Labs. A versão comprometida, 1.0.16, foi lançada em 17 de setembro de 2025, e desde então, o pacote tem enviado cópias de todos os e-mails enviados através do servidor MCP para um servidor pessoal do desenvolvedor. O pacote foi removido do npm, mas já havia sido baixado 1.643 vezes. O CTO da Koi Security, Idan Dardikman, destacou que a simplicidade do ataque, que consistia em uma única linha de código, revela a fragilidade do ecossistema de software aberto. Os desenvolvedores que utilizaram o pacote são aconselhados a removê-lo imediatamente e a revisar logs de e-mail para identificar possíveis vazamentos de informações. A situação ressalta a necessidade de medidas de segurança mais rigorosas em ambientes empresariais que utilizam soluções de código aberto.

Um novo ataque de phishing, identificado pela Microsoft, está direcionado a organizações baseadas nos Estados Unidos e utiliza modelos de linguagem avançados para ocultar suas intenções maliciosas. Detectado em 28 de agosto de 2025, o ataque se aproveita de contas de e-mail corporativas comprometidas para enviar mensagens que se disfarçam como notificações de compartilhamento de arquivos. Os atacantes utilizam arquivos SVG, que permitem a inclusão de JavaScript e conteúdo dinâmico, para criar iscas mais convincentes. Os e-mails são enviados com endereços de remetente e destinatário iguais, ocultando os verdadeiros alvos no campo BCC, o que dificulta a detecção inicial. O conteúdo do SVG é estruturado para parecer um painel de análise de negócios, enquanto a funcionalidade maliciosa é disfarçada por uma sequência de termos corporativos. A Microsoft alerta que, embora esta campanha tenha sido bloqueada, técnicas semelhantes estão sendo cada vez mais adotadas por cibercriminosos. Além disso, outras campanhas de phishing têm explorado temas relacionados à Administração da Seguridade Social dos EUA e à violação de direitos autorais, utilizando métodos inovadores para distribuir malware.

Com a popularização dos serviços da Amazon, muitos usuários brasileiros enfrentam o risco de terem suas contas hackeadas. O artigo orienta sobre as ações a serem tomadas em caso de invasão. Se a Amazon bloquear sua conta, é essencial verificar e-mails e SMS para seguir as instruções de desbloqueio. Caso você perceba atividades suspeitas, deve acessar sua conta e seguir o caminho indicado para proteger seus dados, como mudar a senha e ativar a verificação em duas etapas. Sinais de que sua conta pode estar comprometida incluem tentativas de login falhadas, compras não autorizadas e alterações em métodos de pagamento. Para prevenir ataques, recomenda-se o uso de senhas fortes, a ativação de chaves de acesso e a cautela com links suspeitos. O artigo destaca que a segurança da conta é crucial, especialmente em um cenário onde a Amazon é amplamente utilizada no Brasil.

O doxxing é a prática criminosa de expor informações pessoais de indivíduos na internet sem seu consentimento, frequentemente com objetivos maliciosos como assédio e intimidação. O termo deriva da expressão ‘dropping documents’ e ganhou notoriedade com o vazamento de dados de figuras públicas, como streamers e criadores de conteúdo. Os doxxers geralmente não precisam ser hackers; muitas vezes, eles coletam informações disponíveis publicamente em redes sociais, registros públicos e por meio de engenharia social. Para se proteger, é essencial auditar as configurações de privacidade nas redes sociais, realizar buscas periódicas sobre suas informações na internet e usar senhas fortes e autenticação de dois fatores. Caso alguém se torne vítima de doxxing, é crucial documentar o incidente, denunciar nas plataformas afetadas e notificar amigos e familiares. O doxxing representa uma ameaça real no ambiente digital, e a prevenção é a melhor defesa contra essa prática.

A GL.iNet lançou o Comet Pro Remote KVM, um dispositivo que permite o controle total de computadores, estações de trabalho ou servidores via Wi-Fi. Com uma campanha de crowdfunding no Kickstarter, o projeto já arrecadou mais de $600 mil, superando em muito a meta inicial de $10 mil. O Comet Pro oferece desempenho de ultra-baixa latência e suporte para vídeo 4K a 30 quadros por segundo, utilizando codificação H.264 para manter a latência entre 30 e 60 milissegundos. O dispositivo é compatível com as bandas Wi-Fi 6 de 2.4GHz e 5GHz, eliminando a necessidade de cabos LAN. Além disso, possui um mecanismo de failover que combina Wi-Fi e Ethernet para maior estabilidade. O Comet Pro também permite comunicação de áudio bidirecional e conta com uma interface de controle touchscreen. Em termos de segurança, oferece autenticação de dois fatores, bloqueio de tela por hardware e suporte integrado para VPN WireGuard. Para usuários que preferem não depender de serviços operados por fornecedores, há a opção de auto-hospedagem do controle em nuvem. O dispositivo é especialmente útil para administradores de TI e operadores industriais que precisam reiniciar sistemas críticos remotamente.

Recentemente, os setores de telecomunicações e manufatura em países da Ásia Central e do Sul têm sido alvo de uma campanha de ciberataques que distribui uma nova variante do malware PlugX, também conhecido como Korplug ou SOGU. Pesquisadores da Cisco Talos identificaram que essa nova variante compartilha características com os backdoors RainyDay e Turian, incluindo o uso de aplicações legítimas para o carregamento de DLLs maliciosas. A configuração do PlugX, que normalmente segue um formato específico, foi alterada para se assemelhar à estrutura utilizada pelo RainyDay, um backdoor associado ao grupo de ameaças Lotus Panda, vinculado à China. Além disso, o PlugX é um Trojan de Acesso Remoto (RAT) amplamente utilizado por grupos de hackers alinhados à China, como o Mustang Panda. As evidências sugerem uma possível conexão entre os grupos Lotus Panda e BackdoorDiplomacy, ambos focados em telecomunicações e países da Ásia do Sul. Os ataques geralmente envolvem o abuso de executáveis legítimos para carregar DLLs maliciosas que, por sua vez, executam os payloads do PlugX. A análise também destaca o malware Bookworm, utilizado pelo Mustang Panda, que permite controle extenso sobre sistemas comprometidos e se disfarça em tráfego de rede normal. Essa situação levanta preocupações sobre a segurança cibernética em setores críticos, especialmente no contexto de conformidade com a LGPD no Brasil.

A Python Software Foundation alertou sobre uma nova onda de ataques de phishing direcionados a desenvolvedores que utilizam a linguagem Python, especificamente através do Python Package Index (PyPI). Os golpistas estão enviando e-mails fraudulentos solicitando que os usuários verifiquem suas contas sob a ameaça de suspensão, levando-os a um site falso, pypi-mirror.org, que imita a página oficial do PyPI. Ao clicar no link, as vítimas podem ter suas credenciais de acesso roubadas. O PyPI é uma plataforma amplamente utilizada, hospedando mais de 681.400 projetos e 15 milhões de arquivos, tornando-se um alvo atrativo para ataques cibernéticos. O risco é significativo, pois os hackers podem não apenas roubar projetos, mas também injetar malwares em pacotes existentes ou publicar novos projetos maliciosos, afetando usuários e comprometendo dados sensíveis, como credenciais e informações financeiras. A fundação recomenda que os desenvolvedores alterem suas senhas imediatamente e revisem suas contas em busca de atividades suspeitas. Este ataque é parte de uma campanha mais ampla que já afetou a cadeia de suprimentos de software, com incidentes semelhantes ocorrendo no ecossistema npm.

Uma falha de segurança na versão 3.0.3 do Apache Airflow permitiu que usuários com permissões de leitura acessassem informações confidenciais, como senhas e tokens, que deveriam ser restritas a usuários com privilégios de edição. Essa vulnerabilidade, identificada como CVE-2025-54831, ocorreu devido a um erro na camada de serialização do ORM, que não filtrou adequadamente os campos sensíveis nas respostas da API e na interface do usuário. A situação é preocupante, especialmente em ambientes onde permissões de leitura são amplamente concedidas para monitoramento e auditoria, pois usuários mal-intencionados ou contas comprometidas podem explorar essa falha para acessar credenciais de conexão e, consequentemente, sistemas críticos. Em resposta, a equipe de desenvolvimento lançou a versão 3.0.4, que reestabelece o controle de acesso adequado, garantindo que campos sensíveis permaneçam ocultos para usuários não autorizados. As organizações são aconselhadas a atualizar imediatamente para a nova versão, rotacionar credenciais expostas e revisar permissões de acesso para mitigar riscos futuros.

Um servidor malicioso do Modelo de Protocolo de Contexto (MCP) foi descoberto, exfiltrando milhares de e-mails diariamente através de integrações com assistentes de IA. Este é o primeiro caso documentado de um ataque à cadeia de suprimentos visando o emergente ecossistema MCP. O pacote comprometido, postmark-mcp, foi baixado cerca de 1.500 vezes por semana e vinha furtando comunicações sensíveis desde a versão 1.0.16. Pesquisadores de segurança da Koi identificaram a porta dos fundos após mudanças comportamentais suspeitas no popular ferramenta de integração de e-mail. O código malicioso, que consiste em uma única linha, adiciona automaticamente uma cópia oculta (BCC) para “giftshop.club” em todos os e-mails processados pelo servidor MCP. O ataque destaca a evolução preocupante nas violações de segurança da cadeia de suprimentos, onde assistentes de IA operam com permissões amplas, criando relações de confiança cegas que ignoram controles de segurança convencionais. Estima-se que cerca de 300 organizações estejam afetadas, expondo entre 3.000 e 15.000 e-mails por dia a acessos não autorizados, incluindo informações financeiras e comunicações confidenciais. Organizações que utilizam a versão 1.0.16 ou superior do postmark-mcp devem remover imediatamente o pacote e revisar suas credenciais expostas.

Uma nova campanha de phishing tem como alvo agências governamentais da Ucrânia, utilizando e-mails fraudulentos que imitam notificações da Polícia Nacional do país. Os ataques empregam arquivos SVG maliciosos que, ao serem abertos, iniciam o download de um arquivo ZIP protegido por senha, contendo um arquivo CHM. Esse arquivo, ao ser executado, ativa o CountLoader, que é usado para implantar o Amatera Stealer e o PureMiner, um minerador de criptomoedas. O Amatera Stealer coleta informações do sistema e dados de navegadores e aplicativos, enquanto o PureMiner opera de forma furtiva, utilizando técnicas de execução em memória. A campanha destaca a evolução das táticas de phishing, onde um simples arquivo SVG pode desencadear uma cadeia de infecções complexas. Além disso, a Fortinet observa que tanto o Amatera Stealer quanto o PureMiner são ameaças sem arquivo, o que dificulta a detecção por soluções tradicionais de segurança. Essa situação é um alerta para a crescente sofisticação dos ataques cibernéticos, especialmente em contextos de instabilidade política.

A KNP Logistics, uma empresa britânica com 158 anos de história, faliu em junho de 2025 após ser vítima de um ataque de ransomware. O grupo Akira conseguiu acessar o sistema da empresa através de uma senha fraca de um funcionário que não utilizava autenticação em dois fatores. Os hackers apagaram todos os backups e sistemas de recuperação, exigindo um resgate de £5 milhões (cerca de R$ 35,6 milhões) para restaurar os dados. A KNP, que operava 500 caminhões e empregava 700 pessoas, não tinha recursos para pagar o resgate e, em poucas semanas, encerrou suas atividades, deixando os funcionários desempregados. Este incidente destaca a vulnerabilidade das empresas, mesmo as mais estabelecidas, a ataques cibernéticos, e a importância de implementar medidas de segurança robustas, como senhas fortes e autenticação multifatorial. Além disso, a falência da KNP Logistics ilustra o impacto devastador que um ataque cibernético pode ter não apenas na saúde financeira de uma empresa, mas também na comunidade que depende de seus serviços.

Uma vulnerabilidade crítica no sistema Microsoft Entra ID foi descoberta, permitindo que cibercriminosos acessassem inquilinos virtuais sem deixar rastros. Identificada pelo especialista Dirk-Jan Mollema, a falha, classificada como CVE-2025-55241, envolvia dois elementos: os Tokens de Autor, que são tokens de autenticação não documentados, e um bug de Elevação de Privilégios. Esses tokens, emitidos por um sistema legado, não eram verificados por controles de segurança comuns, permitindo acesso não autorizado a dados sensíveis e configurações de outras organizações. Mollema demonstrou que, utilizando informações publicamente disponíveis, era possível gerar tokens e acessar ambientes alheios, criando usuários e alterando senhas sem gerar logs. A Microsoft reconheceu a vulnerabilidade em julho de 2025 e lançou patches para corrigi-la em setembro. A falha destaca a importância de descontinuar sistemas obsoletos e reforçar a segurança em serviços amplamente utilizados, como o Azure AD Graph.

A Microsoft identificou uma nova variante do malware XCSSET, uma backdoor para macOS que tem sido utilizada em ataques direcionados limitados. Este malware, que já era conhecido desde 2020 por infectar projetos de desenvolvimento no Xcode, agora apresenta novas funcionalidades que aumentam sua capacidade de roubo de dados. A nova versão é capaz de roubar informações do navegador Firefox e sequestrar a área de transferência do sistema, substituindo endereços de criptomoedas por aqueles dos atacantes, o que pode resultar em perdas financeiras significativas para as vítimas. Além disso, o XCSSET implementa um método de persistência que o torna mais difícil de ser detectado e removido. Embora a Microsoft tenha observado apenas ataques limitados até o momento, a situação é preocupante, levando Apple e GitHub a remover repositórios maliciosos associados. É essencial que desenvolvedores e usuários de macOS estejam cientes dessa ameaça e adotem medidas de segurança adequadas.

Em 2025, o LummaStealer se destacou como um ladrão de informações, atacando setores como telecomunicações, saúde, bancos e marketing. Apesar de uma operação policial em maio que interrompeu suas atividades, novas variantes do malware surgiram. A análise do Netskope Threat Labs revelou que o LummaStealer utiliza técnicas avançadas de ofuscação e evasão, dificultando a detecção por métodos tradicionais. O instalador do malware se disfarça como um instalador NSIS e, ao ser descompactado, revela um script ofuscado que executa um payload em AutoIt. Este script implementa várias verificações para evitar ambientes de análise, como a verificação de variáveis de ambiente e processos de virtualização. Além disso, o LummaStealer utiliza técnicas de persistência, como a criação de atalhos na pasta de inicialização do Windows. A detecção do malware é aprimorada por um modelo de machine learning que analisa comportamentos em um ambiente isolado, permitindo identificar ameaças novas com alta confiança. Essa abordagem demonstra a eficácia da inteligência artificial na luta contra malware sofisticado.

Um estudo da empresa de cibersegurança Resecurity revelou evidências de colaboração entre três grupos de cibercrime de língua inglesa: LAPSUS$, Scattered Spider e ShinyHunters. Esses grupos formam um ecossistema de crime cibernético adaptável, que tem como alvo corporações da Fortune 100 e agências governamentais entre 2023 e 2025. Em agosto de 2025, eles uniram forças em um canal do Telegram para coordenar ameaças e oferecer um novo serviço de ransomware chamado ‘shinysp1d3r’. A pesquisa indica que Scattered Spider fornece acesso inicial aos alvos, enquanto LAPSUS$ participa de campanhas coordenadas, incluindo ataques a ambientes da Salesforce e Snowflake. Os ataques recentes demonstraram táticas semelhantes entre os grupos, como engenharia social avançada e técnicas de SIM swapping. Entre as vítimas estão grandes companhias aéreas e marcas de luxo, com impactos financeiros significativos. Além disso, há preocupações sobre a violação de sistemas de aplicação da lei, o que representa uma escalada nas ações contra os grupos. Apesar de anunciarem sua ‘aposentadoria’, a Resecurity acredita que eles continuam a operar de forma discreta, exigindo atenção contínua das empresas em relação a essas ameaças emergentes.

Uma nova campanha de botnet, classificada como Loader-as-a-Service, tem se mostrado altamente eficaz na exploração de roteadores SOHO e dispositivos IoT, aumentando em 230% entre julho e agosto de 2025. A pesquisa da CloudSEK revelou que atacantes estão utilizando logs de comando e controle expostos para automatizar a injeção de comandos e entrega de payloads, como o Mirai. Os atacantes exploram parâmetros POST não sanitizados em interfaces de gerenciamento web, testando credenciais padrão e realizando injeções de comandos. Uma vez que o acesso é obtido, os dispositivos são mapeados para coleta de informações, como endereços MAC e versões de firmware, permitindo a instalação de binários maliciosos para recrutamento em DDoS ou mineração de criptomoedas. A campanha também se aproveita de CVEs conhecidos em pilhas empresariais, como falhas no Oracle WebLogic e vulnerabilidades em plugins do WordPress. A recomendação é implementar filtragem de saída para bloquear tráfego malicioso e reforçar a segurança das interfaces web expostas. A segmentação de redes IoT e a aplicação de patches de firmware são essenciais para mitigar os riscos associados a essa ameaça emergente.

Em setembro de 2025, a Zscaler ThreatLabz revelou uma campanha cibernética sofisticada chamada ClickFix, atribuída ao grupo APT COLDRIVER, vinculado à Rússia. A campanha visa membros da sociedade civil russa, utilizando engenharia social e malware leve para roubo de documentos e acesso persistente. O ataque começa em uma página maliciosa que se disfarça de centro de informações para ONGs e defensores dos direitos humanos. Os visitantes são induzidos a clicar em uma caixa de verificação falsa do Cloudflare, que copia um comando malicioso para a área de transferência. Ao executar o comando, o malware BAITSWITCH é carregado, permitindo que o invasor estabeleça uma conexão com o servidor de comando e controle (C2).

Um novo relatório apresentado na Virus Bulletin 2025 revela as operações complexas do grupo DeceptiveDevelopment, um ator de ameaças alinhado à Coreia do Norte que colabora com trabalhadores de TI fraudulentos para comprometer organizações globalmente. A campanha combina cibercrime com fraudes de emprego, visando desenvolvedores de software por meio de esquemas elaborados de engenharia social. Os operadores se passam por recrutadores em plataformas como LinkedIn e Upwork, oferecendo oportunidades de trabalho atraentes. As vítimas são solicitadas a realizar desafios de codificação que envolvem o download de projetos de repositórios privados, onde o código malicioso está oculto. O conjunto de ferramentas do grupo inclui várias famílias de malware sofisticadas, como BeaverTail, um infostealer em JavaScript e C++, e InvisibleFerret, um RAT modular em Python. Recentemente, o WeaselStore, um infostealer multiplataforma em Go, foi introduzido, permitindo a execução em sistemas Windows, Linux e macOS. As táticas de engenharia social evoluíram para incluir técnicas ClickFix, levando as vítimas a sites falsos de entrevistas de emprego que, em vez de resolver problemas técnicos, baixam e executam malware. A conexão do DeceptiveDevelopment com operações de fraude de trabalhadores de TI da Coreia do Norte aumenta os riscos para empregadores, que podem estar contratando indivíduos com identidades roubadas. As organizações devem implementar medidas de segurança abrangentes para combater essas campanhas sofisticadas.

O artigo destaca a importância da Simulação de Quebras e Ataques (Breach and Attack Simulation - BAS) como uma ferramenta essencial para validar a segurança cibernética das empresas. Assim como os testes de colisão na indústria automobilística, que revelam falhas de design, o BAS simula comportamentos adversários para identificar vulnerabilidades nas defesas de segurança antes que possam ser exploradas por atacantes. Dados do Blue Report 2025 mostram que a eficácia na prevenção de ataques caiu de 69% para 62% em um ano, e apenas 14% dos comportamentos de ataque geraram alertas, evidenciando a necessidade de uma abordagem mais prática e baseada em evidências. O BAS não apenas identifica falhas, mas também demonstra a eficácia das defesas em situações reais, transformando a ansiedade dos CISOs em confiança. Com a integração de inteligência artificial, o BAS promete antecipar como as defesas se comportarão diante de novas ameaças. O artigo conclui que, para os CISOs, a conversa deve mudar de monitoramento para prova de eficácia, enfatizando que as empresas precisam demonstrar resiliência e não apenas conformidade.

O grupo de ameaças persistentes avançadas (APT) russo conhecido como COLDRIVER, também chamado de Callisto, Star Blizzard e UNC4057, está por trás de uma nova onda de ataques do tipo ClickFix, que visa entregar duas novas famílias de malware, BAITSWITCH e SIMPLEFIX. Detectada pelo Zscaler ThreatLabz, a campanha multiestágio utiliza BAITSWITCH como um downloader que, por sua vez, instala o backdoor PowerShell SIMPLEFIX. Os ataques têm como alvo uma variedade de setores, especialmente organizações não governamentais e defensores dos direitos humanos, refletindo a estratégia do grupo de focar em membros da sociedade civil conectados à Rússia. A técnica ClickFix, que envolve enganar usuários para executar comandos maliciosos sob a aparência de completar verificações CAPTCHA, continua a ser uma via de infecção eficaz. Além disso, a Kaspersky relatou uma nova campanha de phishing focada em empresas russas, realizada pelo grupo BO Team, que utiliza arquivos RAR protegidos por senha para distribuir backdoors. Outro grupo, Bearlyfy, tem se destacado por ataques de ransomware, inicialmente visando pequenas empresas antes de escalar para alvos maiores. Esses desenvolvimentos ressaltam a crescente sofisticação e a diversidade das ameaças cibernéticas direcionadas à Rússia e seus aliados.

No ambiente digital atual, a gestão segura e eficiente de dispositivos distribuídos é um dos principais desafios enfrentados pelas equipes de TI. O artigo destaca a crescente adoção de softwares de Gerenciamento Autônomo de Endpoints (AEM) como uma solução para automatizar tarefas manuais, simplificar a conformidade e proteger os endpoints contra ameaças cibernéticas. Os melhores softwares de AEM não apenas monitoram, mas também preveem, automatizam e previnem problemas antes que eles afetem o fluxo de trabalho.

A nova versão 5.0 do ransomware LockBit representa um avanço significativo em suas operações de ransomware como serviço (RaaS). Pela primeira vez, o LockBit oferece binários totalmente suportados para Windows, diversas distribuições Linux e hipervisores VMware ESXi, permitindo que atacantes comprometam simultaneamente endpoints, servidores e hosts de virtualização. Essa capacidade de ataque multiplataforma reduz drasticamente o tempo de impacto, afetando tanto as camadas de produção quanto de virtualização. Após a desarticulação da infraestrutura do LockBit em fevereiro de 2024, seus afiliados rapidamente migraram para novos canais de comando e controle, demonstrando resiliência e inovação. A versão 5.0 introduz técnicas avançadas de evasão e criptografia, como execução em memória e rotinas de criptografia paralela, dificultando a resposta a incidentes e a recuperação baseada em backups. Para se proteger contra essa ameaça, as organizações devem adotar uma estratégia de defesa em profundidade, que inclua segmentação de rede, controles de acesso, proteção de endpoints e servidores, segurança de hipervisores e rigor na recuperação de dados.

Uma vulnerabilidade crítica, classificada com CVSS 9.4, foi descoberta na plataforma Agentforce AI da Salesforce, permitindo que atacantes realizem injeções de comandos maliciosos através de formulários Web-to-Lead. Essa falha, chamada ‘ForcedLeak’, pode resultar na exfiltração de dados sensíveis de clientes. O problema foi identificado por pesquisadores da Noma Labs, que alertaram os usuários da Salesforce sobre a necessidade urgente de aplicar patches. A vulnerabilidade afeta a funcionalidade Web-to-Lead, que captura automaticamente informações de leads durante campanhas de marketing. Os atacantes exploram a falha inserindo instruções maliciosas em campos aparentemente inofensivos, que são posteriormente executadas pelo agente AI da Salesforce. A falha se deve a falhas de validação de contexto, comportamento permissivo do modelo e uma política de segurança de conteúdo que permitiu o uso de um domínio expirado para a transmissão de dados. A Salesforce já lançou correções e recomenda medidas de mitigação, como a validação rigorosa de entradas e a auditoria de dados existentes. Este incidente destaca os desafios de segurança únicos apresentados por agentes de IA em ambientes empresariais, exigindo que as organizações adotem estruturas de segurança centradas em IA para proteger contra novos vetores de ataque.

A Cisco divulgou um aviso de segurança crítico (ID cisco-sa-http-code-exec-WmfP3h3O) sobre uma vulnerabilidade de execução remota de código que afeta várias plataformas da empresa. Revelada em 25 de setembro de 2025, a falha (CVE-2025-20363) impacta o Cisco Secure Firewall Adaptive Security Appliance (ASA), o Cisco Secure Firewall Threat Defense (FTD) e diversos sistemas operacionais baseados em IOS. Com uma pontuação CVSS 3.1 de 9.0, a vulnerabilidade permite que atacantes não autenticados ou com privilégios baixos obtenham privilégios de root, o que pode levar à completa compromissão do dispositivo.

O National Cyber Security Centre (NCSC) alertou sobre uma campanha de malware persistente que ataca dispositivos da série Cisco ASA 5500-X, utilizando uma vulnerabilidade 0-day para implantar os malwares RayInitiator e LINE VIPER. Esses malwares permitem execução remota de comandos, acesso persistente e possível exfiltração de dados. A Cisco confirmou que o mesmo ator de ameaça, identificado anteriormente, está explorando novas falhas nos dispositivos ASA para obter acesso root e implantar cargas úteis personalizadas. O NCSC recomenda que as organizações afetadas apliquem atualizações de segurança, auditem logs de dispositivos e isolem sistemas com comportamentos anômalos. A falha afeta versões específicas do firmware e é explorada através de pacotes de rede especialmente elaborados que contornam controles de autenticação. O NCSC também enfatiza a importância de substituir ou atualizar unidades obsoletas, pois dispositivos sem suporte representam riscos significativos de segurança. A análise detalhada do malware, incluindo assinaturas e padrões de rede, está disponível no relatório do NCSC, que também sugere práticas recomendadas para gerenciar hardware obsoleto.

O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) alertou sobre a exploração de falhas de segurança em firewalls da Cisco, resultando em ataques de dia zero que implantaram malwares como RayInitiator e LINE VIPER. Esses malwares são considerados mais sofisticados do que os utilizados em campanhas anteriores, apresentando técnicas avançadas de evasão. A Cisco iniciou investigações em maio de 2025, após ataques a agências governamentais, que visavam dispositivos da série Adaptive Security Appliance (ASA) 5500-X. Os atacantes exploraram vulnerabilidades críticas, como CVE-2025-20333, com um CVSS de 9.9, para contornar autenticações e executar códigos maliciosos. Além disso, modificações no ROMMON foram detectadas, permitindo persistência após reinicializações. A campanha está ligada ao grupo de hackers UAT4356, supostamente vinculado ao governo chinês. A Cisco também corrigiu uma falha crítica (CVE-2025-20363) que poderia permitir a execução de código arbitrário. O Centro Canadense de Cibersegurança recomendou que organizações atualizassem seus sistemas imediatamente para mitigar os riscos.

Pesquisadores em cibersegurança identificaram uma versão atualizada do malware XCSSET, que tem sido observado em ataques limitados. De acordo com um relatório da equipe de Inteligência de Ameaças da Microsoft, essa nova variante apresenta mudanças significativas no direcionamento a navegadores, sequestro de clipboard e mecanismos de persistência. O malware utiliza técnicas sofisticadas de criptografia e ofuscação, além de scripts AppleScript compilados para execução discreta. A exfiltração de dados foi ampliada para incluir informações do navegador Firefox. O XCSSET é um malware modular projetado para infectar projetos do Xcode, utilizados por desenvolvedores de software, e sua distribuição ainda não está clara, mas suspeita-se que ocorra através de arquivos de projeto compartilhados. A nova versão inclui um submódulo que monitora o conteúdo da área de transferência em busca de padrões de endereços de carteiras de criptomoedas, substituindo-os por endereços controlados por atacantes. Para mitigar essa ameaça, recomenda-se que os usuários mantenham seus sistemas atualizados e tenham cautela ao copiar dados sensíveis.

A empresa de cibersegurança watchTowr Labs revelou que uma vulnerabilidade crítica no software Fortra GoAnywhere Managed File Transfer (MFT), identificada como CVE-2025-10035, está sendo explorada ativamente desde 10 de setembro de 2025, uma semana antes de sua divulgação pública. Essa falha, classificada com CVSS 10.0, permite a injeção de comandos sem autenticação devido a uma vulnerabilidade de desserialização no License Servlet. A exploração envolve o envio de requisições HTTP manipuladas para interagir com o servlet exposto, possibilitando a execução remota de código (RCE). A empresa também identificou uma cadeia de três problemas, incluindo uma falha de controle de acesso conhecida desde 2023. Os atacantes têm utilizado essa vulnerabilidade para criar contas de administrador e carregar cargas adicionais maliciosas. A atividade dos atacantes foi rastreada até um IP associado a ataques de força bruta. Dada a gravidade da situação, é crucial que os usuários do Fortra GoAnywhere apliquem as correções disponíveis imediatamente.

Um novo sistema de detecção de fraudes baseado em inteligência artificial (IA) ajudou o governo do Reino Unido a recuperar um recorde de £480 milhões em fraudes no último ano, o maior valor já recuperado em um período de 12 meses. O sistema, denominado Fraud Risk Assessment Accelerator, foi crucial na identificação de fraudes relacionadas ao programa de empréstimos Bounce Back, que visava apoiar empresas durante a pandemia de Covid-19. Esses empréstimos, que podiam chegar a £50.000, foram criticados por serem concedidos sem verificações adequadas, resultando em um aumento significativo de fraudes. O governo planeja reinvestir os valores recuperados em serviços essenciais como saúde, educação e policiamento. Apesar do sucesso, grupos de defesa das liberdades civis expressaram preocupações sobre o uso crescente de ferramentas de IA no governo, levantando questões sobre viés e resultados injustos. O ministro do Gabinete, Josh Simons, anunciou que o sistema será licenciado internacionalmente, com países como EUA, Canadá e Austrália demonstrando interesse em sua implementação.

A Microsoft Threat Intelligence identificou uma nova variante do malware XCSSET, que representa riscos significativos para desenvolvedores de aplicativos macOS que utilizam o Xcode. Esta versão aprimorada introduz técnicas de ofuscação avançadas, capacidades expandidas de exfiltração de dados e mecanismos de persistência que evoluíram desde sua documentação inicial em março de 2025. O malware opera por meio de uma cadeia de infecção em quatro etapas, inserindo código malicioso em arquivos de projeto. Quando os desenvolvedores constroem projetos infectados, o XCSSET é executado silenciosamente em segundo plano, explorando a confiança que os desenvolvedores depositam em repositórios de código compartilhados. Uma característica preocupante é o módulo de monitoramento da área de transferência, que pode substituir endereços de carteiras de criptomoedas, redirecionando transações. Além disso, o malware agora também coleta dados do navegador Firefox, aumentando seu potencial de coleta de informações. O XCSSET desativa recursos críticos de segurança do macOS, deixando sistemas infectados vulneráveis a outras ameaças. Para mitigar esses riscos, recomenda-se que as organizações implementem procedimentos rigorosos de verificação de projetos no Xcode e utilizem o Microsoft Defender para Endpoint.

A Cloudflare, empresa de segurança e redes, conseguiu mitigar um ataque DDoS que atingiu o pico recorde de 22,2 terabits por segundo (Tbps) e 10,6 bilhões de pacotes por segundo (Bpps). O ataque, que durou apenas 40 segundos, é considerado o maior já registrado na história da internet. Este tipo de ataque visa sobrecarregar sistemas e recursos de rede, tornando serviços lentos ou indisponíveis. A Cloudflare já havia neutralizado um ataque anterior de 11,5 Tbps há três semanas, e um de 7,3 Tbps dois meses antes. O tráfego gerado pelo ataque recente foi comparado a transmitir um milhão de vídeos em 4K simultaneamente. A identidade da vítima não foi divulgada, mas a botnet AISURU, que infectou mais de 300.000 dispositivos, é apontada como responsável pelos ataques. Essa botnet tem como alvo dispositivos como câmeras IP e roteadores, aumentando sua atividade desde abril de 2025, após uma atualização comprometida de firmware de roteadores Totolink. O aumento de 358% nos ataques DDoS em 2025 destaca a crescente preocupação com a segurança cibernética.

Na última quarta-feira (25), a Agência Nacional de Crimes do Reino Unido (NCA) prendeu um homem de aproximadamente 40 anos, suspeito de estar envolvido na invasão aos sistemas da Collins Aerospace, que ocorreu na semana anterior. O ataque, identificado como ransomware, causou o cancelamento e atraso de voos em diversos aeroportos europeus, incluindo os de Bruxelas, Berlim, Cork, Dublin e Heathrow. O software MUSE, utilizado para unificar check-in e marcação de bagagens, foi diretamente afetado, resultando em perturbações significativas nas operações aéreas. O delegado-chefe Paul Foster destacou que, embora a prisão seja um passo positivo, a investigação ainda está em estágios iniciais e o cibercrime continua a ser uma ameaça global. Até o momento, não foram encontradas ligações com grupos hackers conhecidos. O homem foi liberado sob fiança condicional enquanto as investigações prosseguem.

As autoridades de Union County, Ohio, confirmaram um incidente de cibersegurança que afetou 45.487 pessoas devido a uma violação de dados ocorrida entre 6 e 18 de maio de 2025. O ataque, classificado como um sequestro de dados (ransomware), resultou no comprometimento de informações sensíveis, incluindo números de Seguro Social, dados de cartões de pagamento, informações financeiras, impressões digitais, dados médicos e números de identificação emitidos pelo estado, como carteiras de motorista e passaportes. Embora o grupo responsável pelo ataque ainda não tenha se manifestado publicamente, a investigação revelou que os criminosos acessaram a rede do condado durante um período de 12 dias. Union County está oferecendo monitoramento de identidade gratuito e um seguro contra roubo de identidade de até US$ 1 milhão para as vítimas afetadas, com prazo para inscrição até 31 de dezembro de 2025. Este incidente é um dos maiores vazamentos de dados de 2025, destacando a crescente ameaça de ataques de ransomware a entidades governamentais nos Estados Unidos, que já registraram 61 ataques confirmados até o momento, comprometendo mais de 431.000 registros.

O ator de ameaças conhecido como Vane Viper foi identificado como um fornecedor de tecnologia publicitária maliciosa, utilizando uma rede complexa de empresas de fachada para evitar responsabilidades. De acordo com um relatório técnico da Infoblox, em colaboração com Guardio e Confiant, Vane Viper tem fornecido infraestrutura para malvertising, fraudes publicitárias e proliferação de ciberameaças por pelo menos uma década. O grupo não apenas intermedia tráfego para distribuidores de malware e phishers, mas também realiza suas próprias campanhas. Uma técnica notável utilizada por Vane Viper é o abuso de permissões de notificações push, permitindo que anúncios sejam exibidos mesmo após o usuário sair da página inicial. A análise revelou que Vane Viper é responsável por cerca de 1 trilhão de consultas DNS em redes de clientes, explorando centenas de milhares de sites comprometidos. Além disso, a operação registra um grande número de novos domínios mensalmente, com picos de até 3.500 domínios em um único mês. A empresa PropellerAds, que nega qualquer envolvimento em atividades maliciosas, está ligada a Vane Viper, levantando preocupações sobre a segurança das plataformas de publicidade digital. Este cenário representa um risco significativo para a segurança cibernética, especialmente em um contexto onde a conformidade com a LGPD é crucial.

A Cisco emitiu um alerta sobre duas vulnerabilidades críticas em seu software de firewall, afetando o Cisco Secure Firewall Adaptive Security Appliance (ASA) e o Cisco Secure Firewall Threat Defense (FTD). As falhas, identificadas como CVE-2025-20333 e CVE-2025-20362, têm pontuações CVSS de 9.9 e 6.5, respectivamente. A primeira permite que um atacante remoto autenticado execute código arbitrário como root, enquanto a segunda possibilita que um atacante não autenticado acesse endpoints restritos. Ambas as vulnerabilidades estão sendo ativamente exploradas, com a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitindo uma diretiva de emergência para que agências federais identifiquem e mitiguem possíveis compromissos. A CISA também associou a exploração a um ator de ameaças conhecido como ArcaneDoor, que já demonstrou capacidade de manipular a memória ROM dos dispositivos. A Cisco recomenda que os usuários apliquem patches imediatamente para evitar compromissos em suas redes.