Ataque

Uma nova técnica de phishing está utilizando serviços de encapsulamento de links, como os da Proofpoint e Intermedia, para criar ataques mais eficazes direcionados a usuários do Microsoft 365. Entre junho e julho de 2025, a equipe de segurança de e-mail da Cloudflare descobriu uma campanha criminosa que mascara URLs maliciosas, levando as vítimas a páginas falsas com o intuito de roubar credenciais de acesso. Os cibercriminosos exploram a confiança que os usuários depositam em domínios reconhecidos, aumentando a probabilidade de cliques em links fraudulentos. A técnica envolve o uso de serviços de encurtamento de links, que são posteriormente encapsulados por sistemas de proteção, criando uma cadeia de redirecionamentos que oculta a verdadeira natureza do link. Isso torna os ataques mais convincentes e perigosos, levando a um aumento significativo das fraudes. O impacto é vasto, com riscos financeiros diretos e comprometimento de contas pessoais, potencializando o roubo de identidade. Em 2024, o e-mail foi responsável por 25% dos relatos de fraudes, com perdas financeiras significativas. As organizações enfrentam riscos elevados de violação de dados e sanções regulatórias, uma vez que o roubo de credenciais se tornou uma preocupação crescente. Para se proteger, é necessário implementar detecções baseadas em aprendizado de máquina e educar os usuários sobre como reconhecer sinais de ataques, já que técnicas tradicionais de filtragem estão se tornando ineficazes.

Apesar do avanço nas práticas de segurança em nuvem, muitas empresas ainda lutam contra o problema das permissões excessivas e acessos permanentes. O Relatório de Riscos de Segurança na Nuvem 2025 revela que 83% das organizações que utilizam a Amazon Web Services (AWS) já implementaram serviços de Provedores de Identidade (IdPs), um passo importante para centralizar o controle de acesso. Entretanto, a presença dos IdPs não garante segurança, pois permissões mal configuradas e acessos sem limites temporais ainda criam vulnerabilidades que podem ser exploradas por atacantes. A autenticação multifator (MFA), embora recomendada, frequentemente é vista como complexa pelos usuários, o que dificulta sua adoção. Além disso, permissões temporárias, que deveriam ser revogadas após o uso, muitas vezes permanecem ativas, aumentando a superfície de ataque desnecessariamente. Embora os principais provedores de nuvem ofereçam soluções robustas para gerenciamento de identidade e acesso, o verdadeiro desafio reside na cultura organizacional. É essencial promover uma mudança de mentalidade que implemente o princípio do menor privilégio, adote acessos just-in-time e realize auditorias regulares nas permissões. A segurança de identidade deve ser encarada como um processo contínuo, especialmente em um cenário onde os ataques se tornam cada vez mais sofisticados. Portanto, a gestão adequada da identidade não deve ser opcional, mas sim uma prioridade fundamental para as empresas.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) divulgou, em 7 de agosto de 2025, dez novos avisos sobre Sistemas de Controle Industrial (ICS), abordando vulnerabilidades críticas em diversos setores, incluindo manufatura, automação predial e infraestrutura de telecomunicações. Esses avisos destacam lacunas significativas na segurança de sistemas de tecnologia operacional que podem permitir acesso não autorizado a componentes críticos da infraestrutura.

As vulnerabilidades abrangem uma variedade de sistemas de controle industrial, com foco em fabricantes de destaque, como o sistema DIAView da Delta Electronics e os controladores de automação predial FX80 e FX90 da Johnson Controls. Também foram identificadas falhas em telefones IP da Yealink que podem possibilitar ataques de execução remota de código. Além disso, o software de simulação Arena da Rockwell Automation e dispositivos de monitoramento de energia da Packet Power apresentam riscos significativos.

Um pesquisador de cibersegurança revelou um novo método de bypass do Controle de Conta de Usuário (UAC) do Windows, explorando o Editor de Caracteres Privados do sistema. A técnica, publicada por Matan Bahar, da White-Hat, mostra como utilitários legítimos do Windows podem ser usados por invasores para obter privilégios elevados sem o consentimento do usuário. O exploit utiliza o eudcedit.exe, um programa localizado em C:\Windows\System32, que é destinado à criação e edição de caracteres definidos pelo usuário. O estudo revela que o eudcedit.exe pode ser manipulado para contornar mecanismos de segurança críticos. O ataque ocorre ao aproveitar a configuração do manifesto de aplicação do eudcedit.exe, que permite que o programa seja executado com direitos administrativos sem exibir a caixa de diálogo do UAC. Quando combinado com uma configuração permissiva do UAC, isso possibilita que atacantes que já tenham acesso inicial ao sistema escalem seus privilégios de forma discreta. Este método é particularmente preocupante porque explora uma ferramenta confiável do Windows, tornando-se um desafio para a segurança do sistema operacional. Profissionais de segurança devem estar cientes dessa técnica durante atividades de caça a ameaças e considerar a implementação de monitoramento adicional para padrões incomuns de execução do eudcedit.exe. As organizações também devem reavaliar suas políticas de configuração do UAC para reduzir a exposição a esses métodos de bypass.

A Universidade Columbia divulgou um incidente significativo de cibersegurança que comprometeu informações pessoais de 868.969 indivíduos em todo o país, incluindo 2.026 residentes do estado do Maine. Essa violação de dados é considerada uma das maiores em instituições de ensino superior nos últimos anos. Segundo a notificação enviada através do escritório de advocacia Debevoise & Plimpton LLP, hackers obtiveram acesso não autorizado aos sistemas externos da universidade entre 16 de maio e 6 de junho de 2025, sendo que a instituição descobriu o incidente apenas em 8 de julho de 2025, quase dois meses após o término do período da violação. A universidade classificou o ocorrido como uma “violação de sistema externo (hacking)”, indicando que os cibercriminosos penetraram a infraestrutura de rede da Columbia. Os dados comprometidos incluíram nomes e outros identificadores pessoais, mas detalhes adicionais sobre informações sensíveis não foram totalmente divulgados. Para responder à violação, a equipe de cibersegurança da universidade tomou medidas imediatas, realizando uma investigação forense para determinar a extensão do comprometimento. Em parceria com a empresa Kroll, a universidade está oferecendo 24 meses de monitoramento de crédito e serviços de proteção contra roubo de identidade aos indivíduos afetados, superando os padrões típicos da indústria. Este incidente é o primeiro relatado pela universidade nos últimos 12 meses, sugerindo que se trata de um evento isolado em vez de um padrão de falhas de cibersegurança.

O grupo de ransomware SafePay anunciou ter realizado um ataque ao distrito escolar Ridgefield Public Schools, em Connecticut, estabelecendo um prazo de pouco mais de dois dias para o pagamento do resgate, ameaçando divulgar 90 GB de dados caso suas exigências não fossem atendidas. A escola confirmou que sofreu o ataque em 24 de julho de 2025, informando que suas ferramentas de cibersegurança detectaram tentativas de execução de um vírus de criptografia na rede de computadores. Após identificar essa atividade, a rede foi desconectada para investigar o incidente. Neste momento, a restauração dos sistemas está em andamento, e a escola espera que os professores possam acessar seus e-mails novamente esta semana. Embora RPS tenha confirmado a exigência de um resgate, não divulgou o valor pedido nem se o pagamento foi efetuado. O fato de SafePay ter listado o distrito escolar em seu site sugere que as negociações falharam. O SafePay, que começou a adicionar vítimas ao seu site de vazamento de dados em novembro de 2024, já registrou 278 ataques, sendo 35 confirmados. O ataque a Ridgefield é o sexto a uma instituição educacional realizada pelo grupo. Em 2025, foram registrados 26 ataques confirmados ao setor educacional dos EUA, refletindo um aumento nas ameaças às escolas, faculdades e universidades. O ataque à Ridgefield exemplifica como esses incidentes visam causar desordem, forçando as instituições a pagarem resgates para recuperar o acesso aos seus sistemas.

O grupo de ransomware PEAR reivindicou a responsabilidade por uma violação de dados ocorrida em junho de 2025 na Think Big Health Care Solutions, uma empresa de gestão de saúde da Flórida. A violação comprometeu uma vasta gama de informações pessoais, incluindo nomes, números de Seguro Social, números de identificação fiscal, endereços, dados bancários e informações médicas. A PEAR afirma ter roubado 60 GB de dados e publicou imagens que supostamente contêm documentos da Think Big para corroborar sua alegação. Em seu site de vazamento de dados, a gangue afirmou que a administração da Think Big se recusou a negociar, deixando os dados disponíveis publicamente. A Think Big ainda não confirmou a alegação da PEAR e não divulgou quantas pessoas foram notificadas sobre a violação nem o valor exigido como resgate. A empresa emitiu um aviso aos afetados, informando que uma investigação forense está em andamento após a descoberta de atividades suspeitas em uma conta de e-mail de funcionário. Para os afetados, a Think Big está oferecendo monitoramento de crédito e proteção contra roubo de identidade por meio da Haystack ID. A PEAR, que se apresenta como um novo grupo de ransomware, já fez outras 17 reivindicações de ataques em 2025, focando em extorquir dados sem criptografá-los, o que difere da maioria dos grupos de ransomware. Ataques desse tipo em empresas de saúde nos EUA podem causar interrupções significativas e riscos à saúde e segurança dos pacientes.

KLM e Air France confirmaram uma violação de dados que envolveu acesso não autorizado a informações de clientes em uma plataforma externa de atendimento. Importante ressaltar que o incidente não afetou os sistemas internos das companhias aéreas, e não houve comprometimento de informações sensíveis, como senhas, detalhes de viagem, números de passaporte, milhas do programa Flying Blue ou dados de cartões de crédito. A violação está relacionada a uma onda mais ampla de ataques similares que têm afetado diversas empresas. Medidas de segurança imediatas foram implementadas para interromper o acesso não autorizado e prevenir futuros incidentes. As companhias notificaram as autoridades nacionais de proteção de dados de seus respectivos países: a Autoridade de Proteção de Dados da Holanda (AP) e a Comissão Nacional de Informática e Liberdades da França (CNIL). Este ataque faz parte de uma série de incidentes relacionados ao Salesforce, perpetrados pelo grupo ShinyHunters. Em um contexto mais amplo, outras empresas também foram alvo de ataques recentes, incluindo uma violação de dados que expôs informações de 6,4 milhões de clientes da Bouygues Telecom e uma série de outros incidentes cibernéticos que estão gerando preocupações sobre a segurança de dados em várias indústrias.

Na manhã de ontem, o grupo cibercriminoso ShinyHunters enviou uma mensagem provocativa no Telegram, afirmando que nem mesmo a NSA consegue detê-los ou identificá-los. O membro do grupo, conhecido como ‘Shiny1’, revelou que a NSA está analisando gravações de chamadas de voz de empresas afetadas, mas acredita que a análise será infrutífera devido ao uso de vozes geradas por inteligência artificial. ShinyHunters, que recentemente atacou marcas de luxo como Dior e Tiffany, expressou ira não apenas contra a aplicação da lei, mas também contra a LVMH, afirmando que a pressão dessa empresa influenciou ações de força-tarefa na França. Shiny declarou que a estratégia do grupo é focar em países como EUA, Reino Unido, Austrália, Canadá e França, enquanto evita atacar nações como Rússia e China. Durante a conversa, ele também mencionou que metade dos membros do grupo está localizada em países como EUA, Reino Unido e Austrália, o que justifica os ataques a grandes empresas australianas, como a Qantas. ShinyHunters enviou um e-mail à Qantas desafiando a empresa a não cumprir ordens judiciais, afirmando que não têm obrigação de obedecer a regulamentações fora de sua jurisdição. Além disso, o grupo também enviou um aviso à Polícia Federal Australiana sobre futuros ataques, destacando a ‘ignorância e arrogância’ no cenário de segurança cibernética do país. O grupo demonstrou confiança na continuidade de seus ataques, afirmando que as empresas afetadas não têm ideia do que está por vir.

A Pakistan Petroleum Limited (PPL), empresa de exploração de petróleo e gás, confirmou ter enfrentado um ataque de ransomware que afetou partes de sua infraestrutura de TI. O incidente foi detectado em 6 de agosto de 2025, mas, segundo a empresa, foi rapidamente contido, sem comprometimento de sistemas críticos ou dados sensíveis. Em um comunicado enviado à Bolsa de Valores do Paquistão (PSX), a PPL informou que ativou imediatamente seus protocolos internos de cibersegurança após identificar a intrusão. Até o momento, nenhum grupo de ransomware assumiu a responsabilidade pelo ataque. Este incidente ocorre em um contexto mais amplo de ataques cibernéticos, com outras empresas e setores também lidando com violações de dados. Por exemplo, recentemente, a Air France e a KLM alertaram seus clientes sobre uma violação de dados em uma plataforma externa, enquanto a Bouygues Telecom enfrentou uma exposição significativa de dados, marcando o segundo grande incidente envolvendo operadoras de telecomunicações francesas em um mês. Além disso, o estado de Ohio implementou uma lei exigindo que governos locais aprovem formalmente pagamentos de resgates relacionados a ataques cibernéticos. Esses eventos ressaltam a crescente preocupação com a segurança cibernética em todo o mundo e a necessidade de medidas preventivas mais robustas para proteger informações críticas.

Na última sexta-feira, autoridades do Condado de Spartanburg relataram que o local enfrentou um incidente de cibersegurança no início da semana. Scottie Kay Blackwell, gerente de comunicações do condado, confirmou que um ataque cibernético acionou imediatamente uma resposta das plataformas de software de rede, do fornecedor de cibersegurança e das autoridades policiais. Segundo Blackwell, o ataque foi contido pelas plataformas de software e pela equipe do condado. Como medida de precaução, algumas conexões e serviços eletrônicos foram desativados, enquanto funcionários e profissionais de segurança continuam a trabalhar na restauração dos sistemas e no restabelecimento do acesso público. Este não é o primeiro ataque cibernético enfrentado pelo condado; anteriormente, o local já havia sofrido ataques de ransomware em 2018 e 2023. A situação destaca a crescente preocupação com a segurança cibernética em órgãos públicos e a necessidade de investimentos em tecnologia e formação para prevenir futuros incidentes. A população deve estar atenta e informada sobre as medidas adotadas para garantir a proteção de dados e serviços essenciais.

Um novo conjunto de 60 pacotes maliciosos foi descoberto atacando o ecossistema RubyGems, disfarçando-se como ferramentas de automação para redes sociais e serviços de mensagens, com o objetivo de roubar credenciais de usuários desavisados e possivelmente revendê-las em fóruns da dark web. A atividade está ativa desde pelo menos março de 2023, com mais de 275.000 downloads registrados. Os pacotes foram publicados por um ator de ameaças que usa os pseudônimos zon, nowon, kwonsoonje e soonje, e visam plataformas como Instagram, Twitter/X, TikTok e WordPress. Embora os pacotes ofereçam funcionalidades legítimas, como postagem em massa, também possuem um recurso oculto que exfiltra nomes de usuário e senhas para servidores controlados pelos atacantes. Entre os alvos estão profissionais de marketing que utilizam esses pacotes para campanhas de spam e otimização de mecanismos de busca (SEO). Além disso, a GitLab detectou pacotes de typosquatting no Python Package Index (PyPI), que visam roubar criptomoedas de carteiras Bittensor, ocultando código malicioso em funções de estaca aparentemente legítimas. O PyPI anunciou novas restrições para proteger instaladores de pacotes Python contra ataques de confusão, prometendo rejeitar pacotes que não coincidam com os metadados incluídos após um período de advertências. Essas descobertas ressaltam a necessidade de vigilância contínua na segurança da cadeia de suprimentos de software.