Ataque

Recentemente, um novo vetor de ataque tem sido explorado por cibercriminosos, que abusam do Oracle Database Scheduler, um serviço que executa tarefas programadas em servidores de banco de dados Oracle. Os atacantes conseguiram obter acesso remoto ao sistema ao tentar logins repetidamente até conseguir autenticar-se com privilégios SYSDBA, permitindo controle total sobre as operações do banco de dados. Após a infiltração, utilizaram a capacidade do scheduler para executar trabalhos externos, como o processo extjobo.exe, que permite a execução remota de comandos com privilégios elevados. Isso possibilitou a execução de scripts de reconhecimento e o download de cargas úteis de sua infraestrutura de comando e controle (C2). Além disso, os atacantes implementaram túneis criptografados usando Ngrok para manter o acesso sem serem detectados, criando arquivos de configuração que expunham portas de desktop remoto. Durante o movimento lateral, eles escalaram privilégios e implantaram ransomware, que criptografou dados da empresa e deixou notas de resgate. Este incidente destaca a vulnerabilidade crítica do Oracle DBS Job Scheduler, especialmente quando combinado com separação de privilégios fraca e monitoramento insuficiente das atividades agendadas. Para mitigar esses riscos, é essencial que as empresas priorizem a segmentação de rede e monitorem atividades suspeitas no scheduler.

Pesquisadores de segurança da Truesec descobriram uma campanha em larga escala que distribui um editor de PDF malicioso chamado AppSuite PDF Editor, que serve como mecanismo de entrega para o malware TamperedChef, que rouba informações. A operação utilizou táticas agressivas de publicidade, incluindo anúncios no Google, para atrair usuários desavisados a baixar o utilitário trojanizado. O instalador, disfarçado como PDF Editor.exe, possui assinaturas hash conhecidas e, ao ser executado, exibe um acordo de licença padrão antes de se conectar a um servidor remoto para buscar um executável secundário. Uma vez instalado, o malware coleta dados sensíveis, visando bancos de dados de credenciais de navegadores, e interrompe processos de navegadores como Chrome e Edge para acessar credenciais e cookies armazenados. A campanha destaca os riscos de baixar software aparentemente inofensivo de fornecedores desconhecidos, utilizando certificados digitais confiáveis para ocultar a intenção maliciosa. Especialistas em segurança recomendam vigilância na verificação de software e relatar campanhas suspeitas para mitigar futuros ataques.

Desde 20 de agosto de 2025, usuários do Arch Linux têm enfrentado degradação de serviços devido a um ataque de negação de serviço (DDoS) que afetou o site principal, o Arch User Repository (AUR) e os fóruns da comunidade. O ataque resultou em dificuldades de conectividade, com resets iniciais de TCP SYN, embora algumas conexões consigam ser estabelecidas. A equipe de DevOps, composta por voluntários, está trabalhando em conjunto com o provedor de hospedagem para mitigar os efeitos do ataque e está avaliando opções de proteção DDoS a longo prazo. Durante a interrupção, alternativas e espelhos estão disponíveis para que os usuários possam acessar os serviços. A equipe também está preservando logs e dados forenses para uma divulgação pública futura. Atualizações regulares sobre o status da recuperação serão publicadas no site oficial do Arch Linux.

Uma nova técnica de phishing está utilizando serviços de encapsulamento de links, como os da Proofpoint e Intermedia, para criar ataques mais eficazes direcionados a usuários do Microsoft 365. Entre junho e julho de 2025, a equipe de segurança de e-mail da Cloudflare descobriu uma campanha criminosa que mascara URLs maliciosas, levando as vítimas a páginas falsas com o intuito de roubar credenciais de acesso. Os cibercriminosos exploram a confiança que os usuários depositam em domínios reconhecidos, aumentando a probabilidade de cliques em links fraudulentos. A técnica envolve o uso de serviços de encurtamento de links, que são posteriormente encapsulados por sistemas de proteção, criando uma cadeia de redirecionamentos que oculta a verdadeira natureza do link. Isso torna os ataques mais convincentes e perigosos, levando a um aumento significativo das fraudes. O impacto é vasto, com riscos financeiros diretos e comprometimento de contas pessoais, potencializando o roubo de identidade. Em 2024, o e-mail foi responsável por 25% dos relatos de fraudes, com perdas financeiras significativas. As organizações enfrentam riscos elevados de violação de dados e sanções regulatórias, uma vez que o roubo de credenciais se tornou uma preocupação crescente. Para se proteger, é necessário implementar detecções baseadas em aprendizado de máquina e educar os usuários sobre como reconhecer sinais de ataques, já que técnicas tradicionais de filtragem estão se tornando ineficazes.

Apesar do avanço nas práticas de segurança em nuvem, muitas empresas ainda lutam contra o problema das permissões excessivas e acessos permanentes. O Relatório de Riscos de Segurança na Nuvem 2025 revela que 83% das organizações que utilizam a Amazon Web Services (AWS) já implementaram serviços de Provedores de Identidade (IdPs), um passo importante para centralizar o controle de acesso. Entretanto, a presença dos IdPs não garante segurança, pois permissões mal configuradas e acessos sem limites temporais ainda criam vulnerabilidades que podem ser exploradas por atacantes. A autenticação multifator (MFA), embora recomendada, frequentemente é vista como complexa pelos usuários, o que dificulta sua adoção. Além disso, permissões temporárias, que deveriam ser revogadas após o uso, muitas vezes permanecem ativas, aumentando a superfície de ataque desnecessariamente. Embora os principais provedores de nuvem ofereçam soluções robustas para gerenciamento de identidade e acesso, o verdadeiro desafio reside na cultura organizacional. É essencial promover uma mudança de mentalidade que implemente o princípio do menor privilégio, adote acessos just-in-time e realize auditorias regulares nas permissões. A segurança de identidade deve ser encarada como um processo contínuo, especialmente em um cenário onde os ataques se tornam cada vez mais sofisticados. Portanto, a gestão adequada da identidade não deve ser opcional, mas sim uma prioridade fundamental para as empresas.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) divulgou, em 7 de agosto de 2025, dez novos avisos sobre Sistemas de Controle Industrial (ICS), abordando vulnerabilidades críticas em diversos setores, incluindo manufatura, automação predial e infraestrutura de telecomunicações. Esses avisos destacam lacunas significativas na segurança de sistemas de tecnologia operacional que podem permitir acesso não autorizado a componentes críticos da infraestrutura.

As vulnerabilidades abrangem uma variedade de sistemas de controle industrial, com foco em fabricantes de destaque, como o sistema DIAView da Delta Electronics e os controladores de automação predial FX80 e FX90 da Johnson Controls. Também foram identificadas falhas em telefones IP da Yealink que podem possibilitar ataques de execução remota de código. Além disso, o software de simulação Arena da Rockwell Automation e dispositivos de monitoramento de energia da Packet Power apresentam riscos significativos.

Um pesquisador de cibersegurança revelou um novo método de bypass do Controle de Conta de Usuário (UAC) do Windows, explorando o Editor de Caracteres Privados do sistema. A técnica, publicada por Matan Bahar, da White-Hat, mostra como utilitários legítimos do Windows podem ser usados por invasores para obter privilégios elevados sem o consentimento do usuário. O exploit utiliza o eudcedit.exe, um programa localizado em C:\Windows\System32, que é destinado à criação e edição de caracteres definidos pelo usuário. O estudo revela que o eudcedit.exe pode ser manipulado para contornar mecanismos de segurança críticos. O ataque ocorre ao aproveitar a configuração do manifesto de aplicação do eudcedit.exe, que permite que o programa seja executado com direitos administrativos sem exibir a caixa de diálogo do UAC. Quando combinado com uma configuração permissiva do UAC, isso possibilita que atacantes que já tenham acesso inicial ao sistema escalem seus privilégios de forma discreta. Este método é particularmente preocupante porque explora uma ferramenta confiável do Windows, tornando-se um desafio para a segurança do sistema operacional. Profissionais de segurança devem estar cientes dessa técnica durante atividades de caça a ameaças e considerar a implementação de monitoramento adicional para padrões incomuns de execução do eudcedit.exe. As organizações também devem reavaliar suas políticas de configuração do UAC para reduzir a exposição a esses métodos de bypass.

A Universidade Columbia divulgou um incidente significativo de cibersegurança que comprometeu informações pessoais de 868.969 indivíduos em todo o país, incluindo 2.026 residentes do estado do Maine. Essa violação de dados é considerada uma das maiores em instituições de ensino superior nos últimos anos. Segundo a notificação enviada através do escritório de advocacia Debevoise & Plimpton LLP, hackers obtiveram acesso não autorizado aos sistemas externos da universidade entre 16 de maio e 6 de junho de 2025, sendo que a instituição descobriu o incidente apenas em 8 de julho de 2025, quase dois meses após o término do período da violação. A universidade classificou o ocorrido como uma “violação de sistema externo (hacking)”, indicando que os cibercriminosos penetraram a infraestrutura de rede da Columbia. Os dados comprometidos incluíram nomes e outros identificadores pessoais, mas detalhes adicionais sobre informações sensíveis não foram totalmente divulgados. Para responder à violação, a equipe de cibersegurança da universidade tomou medidas imediatas, realizando uma investigação forense para determinar a extensão do comprometimento. Em parceria com a empresa Kroll, a universidade está oferecendo 24 meses de monitoramento de crédito e serviços de proteção contra roubo de identidade aos indivíduos afetados, superando os padrões típicos da indústria. Este incidente é o primeiro relatado pela universidade nos últimos 12 meses, sugerindo que se trata de um evento isolado em vez de um padrão de falhas de cibersegurança.

O grupo de ransomware SafePay anunciou ter realizado um ataque ao distrito escolar Ridgefield Public Schools, em Connecticut, estabelecendo um prazo de pouco mais de dois dias para o pagamento do resgate, ameaçando divulgar 90 GB de dados caso suas exigências não fossem atendidas. A escola confirmou que sofreu o ataque em 24 de julho de 2025, informando que suas ferramentas de cibersegurança detectaram tentativas de execução de um vírus de criptografia na rede de computadores. Após identificar essa atividade, a rede foi desconectada para investigar o incidente. Neste momento, a restauração dos sistemas está em andamento, e a escola espera que os professores possam acessar seus e-mails novamente esta semana. Embora RPS tenha confirmado a exigência de um resgate, não divulgou o valor pedido nem se o pagamento foi efetuado. O fato de SafePay ter listado o distrito escolar em seu site sugere que as negociações falharam. O SafePay, que começou a adicionar vítimas ao seu site de vazamento de dados em novembro de 2024, já registrou 278 ataques, sendo 35 confirmados. O ataque a Ridgefield é o sexto a uma instituição educacional realizada pelo grupo. Em 2025, foram registrados 26 ataques confirmados ao setor educacional dos EUA, refletindo um aumento nas ameaças às escolas, faculdades e universidades. O ataque à Ridgefield exemplifica como esses incidentes visam causar desordem, forçando as instituições a pagarem resgates para recuperar o acesso aos seus sistemas.

O grupo de ransomware PEAR reivindicou a responsabilidade por uma violação de dados ocorrida em junho de 2025 na Think Big Health Care Solutions, uma empresa de gestão de saúde da Flórida. A violação comprometeu uma vasta gama de informações pessoais, incluindo nomes, números de Seguro Social, números de identificação fiscal, endereços, dados bancários e informações médicas. A PEAR afirma ter roubado 60 GB de dados e publicou imagens que supostamente contêm documentos da Think Big para corroborar sua alegação. Em seu site de vazamento de dados, a gangue afirmou que a administração da Think Big se recusou a negociar, deixando os dados disponíveis publicamente. A Think Big ainda não confirmou a alegação da PEAR e não divulgou quantas pessoas foram notificadas sobre a violação nem o valor exigido como resgate. A empresa emitiu um aviso aos afetados, informando que uma investigação forense está em andamento após a descoberta de atividades suspeitas em uma conta de e-mail de funcionário. Para os afetados, a Think Big está oferecendo monitoramento de crédito e proteção contra roubo de identidade por meio da Haystack ID. A PEAR, que se apresenta como um novo grupo de ransomware, já fez outras 17 reivindicações de ataques em 2025, focando em extorquir dados sem criptografá-los, o que difere da maioria dos grupos de ransomware. Ataques desse tipo em empresas de saúde nos EUA podem causar interrupções significativas e riscos à saúde e segurança dos pacientes.

KLM e Air France confirmaram uma violação de dados que envolveu acesso não autorizado a informações de clientes em uma plataforma externa de atendimento. Importante ressaltar que o incidente não afetou os sistemas internos das companhias aéreas, e não houve comprometimento de informações sensíveis, como senhas, detalhes de viagem, números de passaporte, milhas do programa Flying Blue ou dados de cartões de crédito. A violação está relacionada a uma onda mais ampla de ataques similares que têm afetado diversas empresas. Medidas de segurança imediatas foram implementadas para interromper o acesso não autorizado e prevenir futuros incidentes. As companhias notificaram as autoridades nacionais de proteção de dados de seus respectivos países: a Autoridade de Proteção de Dados da Holanda (AP) e a Comissão Nacional de Informática e Liberdades da França (CNIL). Este ataque faz parte de uma série de incidentes relacionados ao Salesforce, perpetrados pelo grupo ShinyHunters. Em um contexto mais amplo, outras empresas também foram alvo de ataques recentes, incluindo uma violação de dados que expôs informações de 6,4 milhões de clientes da Bouygues Telecom e uma série de outros incidentes cibernéticos que estão gerando preocupações sobre a segurança de dados em várias indústrias.

Na manhã de ontem, o grupo cibercriminoso ShinyHunters enviou uma mensagem provocativa no Telegram, afirmando que nem mesmo a NSA consegue detê-los ou identificá-los. O membro do grupo, conhecido como ‘Shiny1’, revelou que a NSA está analisando gravações de chamadas de voz de empresas afetadas, mas acredita que a análise será infrutífera devido ao uso de vozes geradas por inteligência artificial. ShinyHunters, que recentemente atacou marcas de luxo como Dior e Tiffany, expressou ira não apenas contra a aplicação da lei, mas também contra a LVMH, afirmando que a pressão dessa empresa influenciou ações de força-tarefa na França. Shiny declarou que a estratégia do grupo é focar em países como EUA, Reino Unido, Austrália, Canadá e França, enquanto evita atacar nações como Rússia e China. Durante a conversa, ele também mencionou que metade dos membros do grupo está localizada em países como EUA, Reino Unido e Austrália, o que justifica os ataques a grandes empresas australianas, como a Qantas. ShinyHunters enviou um e-mail à Qantas desafiando a empresa a não cumprir ordens judiciais, afirmando que não têm obrigação de obedecer a regulamentações fora de sua jurisdição. Além disso, o grupo também enviou um aviso à Polícia Federal Australiana sobre futuros ataques, destacando a ‘ignorância e arrogância’ no cenário de segurança cibernética do país. O grupo demonstrou confiança na continuidade de seus ataques, afirmando que as empresas afetadas não têm ideia do que está por vir.

A Pakistan Petroleum Limited (PPL), empresa de exploração de petróleo e gás, confirmou ter enfrentado um ataque de ransomware que afetou partes de sua infraestrutura de TI. O incidente foi detectado em 6 de agosto de 2025, mas, segundo a empresa, foi rapidamente contido, sem comprometimento de sistemas críticos ou dados sensíveis. Em um comunicado enviado à Bolsa de Valores do Paquistão (PSX), a PPL informou que ativou imediatamente seus protocolos internos de cibersegurança após identificar a intrusão. Até o momento, nenhum grupo de ransomware assumiu a responsabilidade pelo ataque. Este incidente ocorre em um contexto mais amplo de ataques cibernéticos, com outras empresas e setores também lidando com violações de dados. Por exemplo, recentemente, a Air France e a KLM alertaram seus clientes sobre uma violação de dados em uma plataforma externa, enquanto a Bouygues Telecom enfrentou uma exposição significativa de dados, marcando o segundo grande incidente envolvendo operadoras de telecomunicações francesas em um mês. Além disso, o estado de Ohio implementou uma lei exigindo que governos locais aprovem formalmente pagamentos de resgates relacionados a ataques cibernéticos. Esses eventos ressaltam a crescente preocupação com a segurança cibernética em todo o mundo e a necessidade de medidas preventivas mais robustas para proteger informações críticas.

Na última sexta-feira, autoridades do Condado de Spartanburg relataram que o local enfrentou um incidente de cibersegurança no início da semana. Scottie Kay Blackwell, gerente de comunicações do condado, confirmou que um ataque cibernético acionou imediatamente uma resposta das plataformas de software de rede, do fornecedor de cibersegurança e das autoridades policiais. Segundo Blackwell, o ataque foi contido pelas plataformas de software e pela equipe do condado. Como medida de precaução, algumas conexões e serviços eletrônicos foram desativados, enquanto funcionários e profissionais de segurança continuam a trabalhar na restauração dos sistemas e no restabelecimento do acesso público. Este não é o primeiro ataque cibernético enfrentado pelo condado; anteriormente, o local já havia sofrido ataques de ransomware em 2018 e 2023. A situação destaca a crescente preocupação com a segurança cibernética em órgãos públicos e a necessidade de investimentos em tecnologia e formação para prevenir futuros incidentes. A população deve estar atenta e informada sobre as medidas adotadas para garantir a proteção de dados e serviços essenciais.

Um novo conjunto de 60 pacotes maliciosos foi descoberto atacando o ecossistema RubyGems, disfarçando-se como ferramentas de automação para redes sociais e serviços de mensagens, com o objetivo de roubar credenciais de usuários desavisados e possivelmente revendê-las em fóruns da dark web. A atividade está ativa desde pelo menos março de 2023, com mais de 275.000 downloads registrados. Os pacotes foram publicados por um ator de ameaças que usa os pseudônimos zon, nowon, kwonsoonje e soonje, e visam plataformas como Instagram, Twitter/X, TikTok e WordPress. Embora os pacotes ofereçam funcionalidades legítimas, como postagem em massa, também possuem um recurso oculto que exfiltra nomes de usuário e senhas para servidores controlados pelos atacantes. Entre os alvos estão profissionais de marketing que utilizam esses pacotes para campanhas de spam e otimização de mecanismos de busca (SEO). Além disso, a GitLab detectou pacotes de typosquatting no Python Package Index (PyPI), que visam roubar criptomoedas de carteiras Bittensor, ocultando código malicioso em funções de estaca aparentemente legítimas. O PyPI anunciou novas restrições para proteger instaladores de pacotes Python contra ataques de confusão, prometendo rejeitar pacotes que não coincidam com os metadados incluídos após um período de advertências. Essas descobertas ressaltam a necessidade de vigilância contínua na segurança da cadeia de suprimentos de software.

Pesquisadores de cibersegurança estão alertando sobre uma nova campanha que utiliza ferramentas legítimas de construção de sites com inteligência artificial generativa, como DeepSite AI e BlackBox AI, para criar páginas de phishing que imitam agências governamentais brasileiras. Essas páginas falsas visam enganar usuários desavisados a realizarem pagamentos indevidos através do sistema de pagamento PIX, conforme reportado pela Zscaler ThreatLabz. Os sites fraudulentos imitam o Departamento de Trânsito e o Ministério da Educação, coletando informações pessoais sensíveis, como CPF e endereços residenciais, sob o pretexto de realizar exames psicométricos ou garantir uma oferta de emprego. Para aumentar a legitimidade, as páginas de phishing coletam dados de forma progressiva, imitando o comportamento de sites autênticos. Análises do código fonte revelaram características de ferramentas de IA, como comentários excessivamente explicativos e elementos não funcionais. Além disso, a campanha de phishing valida os CPFs por meio de uma API controlada pelos atacantes. Em outra frente, o Brasil enfrenta uma campanha de malspam que distribui o trojan Efimer, disfarçado como comunicações de advogados, para roubar criptomoedas. O malware propaga-se por sites WordPress comprometidos e e-mails falsos, utilizando técnicas variadas para coletar informações e infectar dispositivos. Com cerca de 5.015 usuários afetados, a maioria das infecções está concentrada no Brasil e em outros países. Os pesquisadores alertam que, embora os ataques atuais estejam gerando quantias relativamente pequenas, eles podem resultar em danos mais significativos no futuro.

Pesquisadores de cibersegurança identificaram mais de uma dúzia de vulnerabilidades em cofres de segurança empresarial da CyberArk e HashiCorp, que, se exploradas, podem permitir que atacantes remotos acessem sistemas de identidade corporativa e extraiam segredos e tokens. As 14 falhas, nomeadas coletivamente de Vault Fault, afetam o CyberArk Secrets Manager, Self-Hosted e Conjur Open Source, bem como o HashiCorp Vault. As falhas foram corrigidas em versões recentes, incluindo CyberArk Secrets Manager 13.5.1 e 13.6.1 e HashiCorp Vault Community Edition 1.20.2. As vulnerabilidades incluem bypass de autenticação, escalonamento de privilégios, execução remota de código e roubo de tokens de root. A mais crítica permite a execução remota de código, onde atacantes podem assumir o controle do cofre sem credenciais válidas. Além disso, falhas na lógica de proteção contra bloqueio do HashiCorp Vault podem permitir que atacantes determinem quais nomes de usuário são válidos e até redefinam contadores de bloqueio. As vulnerabilidades também expõem a possibilidade de contornar a autenticação multifator (MFA). O ataque pode ser realizado através de uma cadeia de exploração que combina várias falhas, permitindo acesso não autenticado e execução de comandos arbitrários. Em um cenário relacionado, a Cisco Talos destacou falhas no firmware ControlVault3 da Dell, que poderiam ser exploradas para contornar login do Windows e extrair chaves criptográficas. As vulnerabilidades encontradas criam um método de persistência remoto para acesso encoberto em ambientes de alto valor. Para mitigar esses riscos, os usuários devem aplicar as correções fornecidas e desabilitar serviços ControlVault quando não estiverem em uso.