Ataque Cibernético

A Bitcoin Depot, que opera uma das maiores redes de caixas eletrônicos de Bitcoin, sofreu um ataque cibernético que resultou no roubo de aproximadamente 50,903 Bitcoins, avaliados em cerca de US$ 3,665 milhões. O incidente foi descoberto em 23 de março de 2026, quando a empresa detectou atividades suspeitas em seus sistemas de TI. Apesar de ter ativado rapidamente seus protocolos de resposta a incidentes e notificado as autoridades, os atacantes conseguiram roubar credenciais de contas de liquidação de ativos digitais antes que o acesso fosse bloqueado. A empresa afirmou que o incidente foi contido ao seu ambiente corporativo e não afetou as plataformas ou dados dos clientes. Embora a Bitcoin Depot tenha cobertura de seguro para ataques cibernéticos, a empresa alertou que isso pode não cobrir todas as perdas resultantes do ataque. Este não é o primeiro incidente de segurança da empresa; em 2024, quase 26,000 pessoas foram notificadas sobre um vazamento de dados que expôs informações pessoais. O ataque à Bitcoin Depot destaca a crescente vulnerabilidade das empresas no setor de criptomoedas e a necessidade de medidas de segurança robustas.

As Galerias Uffizi, um dos museus mais renomados da Itália, localizado em Florença, confirmou ter sido alvo de um ataque cibernético em fevereiro de 2026. Durante o incidente, hackers acessaram os servidores do museu e supostamente roubaram um arquivo fotográfico completo. No entanto, a instituição afirmou que possuía backups adequados, permitindo a restauração rápida dos dados perdidos. Relatos indicam que os atacantes também teriam acessado informações sensíveis, como códigos, senhas e mapas internos, mas o museu negou essas alegações, afirmando que não há evidências de que esses dados tenham sido comprometidos. A Uffizi está atualmente substituindo seu hardware, uma atualização que já estava planejada antes do ataque, e tomou medidas adicionais para proteger suas coleções, incluindo o armazenamento de itens valiosos em um cofre no Banco da Itália. Os hackers tentaram extorquir o museu, ameaçando divulgar os arquivos roubados na dark web, mas até o momento, nada foi vazado. Este incidente destaca a crescente vulnerabilidade de instituições culturais a ataques cibernéticos e a importância de manter sistemas de segurança atualizados.

O grupo de ransomware Qilin comprometeu a rede do partido político alemão Die Linke, que é uma organização socialista democrática, e está ameaçando vazar dados sensíveis. Em 27 de março, um dia após a invasão, o partido revelou um incidente cibernético, mas não confirmou um vazamento de dados. A organização, que possui 123 mil membros e 64 representantes no Bundestag, afirmou que os atacantes visam publicar informações internas e dados pessoais de funcionários, embora a base de dados de membros não tenha sido afetada. O Die Linke identificou os atacantes como criminosos cibernéticos de língua russa, motivados tanto financeiramente quanto politicamente, e destacou que o ataque não parece ser acidental. Em 1º de abril, o Qilin reivindicou publicamente a responsabilidade pelo ataque, adicionando o partido à sua lista de vítimas sem divulgar amostras de dados. O partido notificou as autoridades alemãs e está colaborando com especialistas em TI para restaurar seus sistemas. O uso de ransomware é frequentemente associado a guerras híbridas e ataques a infraestruturas críticas, o que levanta preocupações sobre a segurança cibernética em contextos políticos.

O Drift Protocol, uma plataforma de negociação DeFi baseada na blockchain Solana, sofreu um ataque cibernético que resultou na perda de pelo menos $280 milhões. O invasor conseguiu assumir o controle das funções administrativas do Conselho de Segurança da plataforma por meio de uma operação planejada e sofisticada, utilizando contas de nonce duráveis e transações pré-assinadas. O ataque foi preparado entre 23 e 30 de março, quando o hacker configurou as contas e obteve aprovações de 2/5 dos membros do Conselho de Segurança, permitindo a assinatura de transações maliciosas que não foram executadas imediatamente. No dia 1º de abril, o invasor realizou uma transação legítima e, em seguida, executou as transações maliciosas pré-assinadas, transferindo o controle administrativo para si em questão de minutos. Após o ataque, a Drift emitiu um alerta público, suspendendo depósitos e congelando funções da plataforma. A empresa está colaborando com firmas de segurança e autoridades para rastrear os fundos roubados e promete divulgar um relatório detalhado sobre o incidente em breve.

A Stryker Corporation, uma das principais empresas de tecnologia médica do mundo, anunciou que está totalmente operacional três semanas após um ciberataque que comprometeu muitos de seus sistemas. O ataque, reivindicado pelo grupo hacktivista Handala, vinculado ao Irã, ocorreu em 11 de março, quando os invasores alegaram ter roubado 50 terabytes de dados e apagado quase 80 mil dispositivos. A empresa, que possui mais de 53 mil funcionários e reportou vendas globais de 22,6 bilhões de dólares em 2024, conseguiu restaurar seus sistemas e retomar a produção em níveis pré-ataque. A Stryker destacou que a disponibilidade de produtos permanece saudável e que está trabalhando em parceria com especialistas em cibersegurança e agências governamentais para garantir a proteção do ecossistema de saúde. Embora inicialmente se acreditasse que os atacantes não usaram ferramentas maliciosas, a investigação revelou a presença de um arquivo malicioso que ajudou a ocultar as atividades dos invasores na rede da empresa. O grupo Handala, que surgiu em dezembro de 2023, é conhecido por atacar organizações israelenses e está vinculado ao Ministério da Inteligência e Segurança do Irã.

O grupo de ransomware Payouts King reivindicou a responsabilidade por um ataque cibernético à UFP Technologies, ocorrido em fevereiro de 2026. A UFP, uma fabricante americana de dispositivos médicos, revelou o incidente em um comunicado à Comissão de Valores Mobiliários dos EUA, informando que um terceiro não autorizado acessou seus sistemas, resultando no roubo de arquivos e na interrupção de processos de faturamento e rotulagem. O grupo afirma ter roubado 620 GB de dados da empresa e listou a UFP em seu site de vazamento de dados. Até o momento, a UFP não confirmou a alegação do grupo, e detalhes sobre a natureza dos dados comprometidos, a forma como o ataque foi realizado, se um resgate foi pago ou o valor exigido permanecem desconhecidos. O Payouts King, que atua de forma independente e não como um serviço de ransomware, já reivindicou 56 ataques, com 12 confirmados por organizações-alvo. O grupo tem como foco fabricantes e empresas do setor de saúde, que lidam com grandes volumes de dados pessoais, tornando-se alvos atraentes para hackers. O impacto de tais ataques pode ser devastador, comprometendo a segurança e a privacidade de pacientes e clientes.

A Cisco foi alvo de um ataque cibernético que resultou no roubo de código-fonte de seus produtos e de clientes, após a exploração de credenciais roubadas em um ataque à cadeia de suprimentos do Trivy. Os atacantes utilizaram um plugin malicioso do GitHub Action, comprometendo o ambiente de desenvolvimento interno da empresa. A violação afetou diversas estações de trabalho e sistemas de desenvolvimento, levando à clonagem de mais de 300 repositórios do GitHub, incluindo códigos de produtos de inteligência artificial. Embora a Cisco tenha contido a violação e isolado os sistemas afetados, a empresa está se preparando para as consequências de ataques subsequentes relacionados ao LiteLLM e Checkmarx. Além disso, chaves da AWS foram roubadas e utilizadas para atividades não autorizadas em algumas contas da Cisco. O ataque está vinculado ao grupo de ameaças TeamPCP, que já havia realizado ataques semelhantes em plataformas de desenvolvimento de código. A Cisco ainda não respondeu a solicitações de comentários sobre o incidente.

O Ministério das Finanças da Holanda desativou alguns de seus sistemas, incluindo o portal digital de tesouraria, após detectar um ataque cibernético em 19 de março. Embora a violação de segurança tenha afetado alguns funcionários, não foram divulgados detalhes sobre o número de pessoas impactadas ou se dados sensíveis foram roubados. O ministro Eelco Heinen informou que a interrupção afetou cerca de 1.600 instituições públicas, impossibilitando-as de acessar seus saldos de contas online e realizar operações financeiras através do portal. No entanto, os participantes ainda têm acesso total aos seus fundos e os pagamentos continuam normalmente por canais bancários regulares. A investigação está sendo conduzida com o apoio do Centro Nacional de Segurança Cibernética da Holanda e especialistas forenses externos. O ministério também notificou a Autoridade de Proteção de Dados da Holanda e registrou um boletim de ocorrência com a polícia nacional. O impacto do incidente é significativo, pois envolve instituições governamentais e pode afetar a confiança pública na segurança dos sistemas digitais do governo.

O grupo cibercriminoso conhecido como Inc reivindicou a responsabilidade por um ataque cibernético à cidade de Meriden, em Connecticut, que resultou em várias interrupções nos sistemas da cidade, incluindo atrasos na emissão de contas de água. O ataque, que começou a ser relatado em 17 de fevereiro, afetou serviços essenciais, como os escritórios do cartório e da arrecadação de impostos, que ainda estavam sendo restaurados mais de um mês após o incidente. Inc, um grupo de ransomware que surgiu em julho de 2023, utiliza métodos como phishing direcionado e exploração de vulnerabilidades conhecidas para invadir redes. O grupo já reivindicou 704 ataques, com 175 confirmados, sendo 25 direcionados a entidades governamentais. Embora os oficiais de Meriden não tenham confirmado a reivindicação do grupo, a situação destaca a crescente ameaça de ataques de ransomware a entidades governamentais nos EUA, que podem resultar em roubo de dados e paralisação de serviços. O impacto potencial desses ataques é significativo, pois pode levar a perdas financeiras e riscos de conformidade, especialmente em relação à proteção de dados pessoais.

O grupo de ransomware Interlock adicionou a Goodwill Industries da Pensilvânia Central ao seu site de vazamento de dados após alegadamente roubar 80 GB de informações. O ataque, que ocorreu em março de 2026, gerou problemas técnicos em várias lojas, incluindo a interrupção de sistemas que forçaram clientes a pagar apenas em dinheiro. Funcionários relataram que o sistema foi hackeado, corroborando a situação com postagens nas redes sociais. A Goodwill Industries International afirmou não ter conhecimento de um ataque cibernético em seus sites, sugerindo que as informações sobre a Goodwill de Greater Grand Rapids deveriam ser verificadas diretamente com eles. O Interlock, que começou a registrar vítimas em outubro de 2024, já realizou 96 ataques, utilizando uma técnica de dupla extorsão, onde exige um resgate para descriptografar sistemas e também ameaça vender dados na dark web. Este incidente destaca a vulnerabilidade de organizações sem fins lucrativos e a crescente ameaça de ataques de ransomware nos Estados Unidos, que já contabilizam 41 ataques confirmados em 2026, afetando diversas instituições, incluindo escolas e organizações de saúde.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para organizações americanas sobre a necessidade de fortalecer as configurações do Microsoft Intune, após um ataque cibernético que comprometeu os sistemas da Stryker Corporation, uma gigante da tecnologia médica. O ataque, reivindicado pelo grupo hacktivista Handala, resultou no roubo de 50 terabytes de dados e na utilização do comando de limpeza do Intune para apagar quase 80 mil dispositivos. Os hackers conseguiram criar uma nova conta de Administrador Global após comprometer uma conta de administrador existente. A CISA recomenda que as organizações adotem uma abordagem de menor privilégio para funções administrativas, implementem autenticação multifator (MFA) e exijam aprovação de múltiplos administradores para ações sensíveis, como a limpeza de dispositivos. Essas práticas visam aumentar a resiliência das organizações contra ataques semelhantes. O grupo Handala, vinculado ao Irã, é conhecido por suas operações de hacktivismo e por vazar dados sensíveis de sistemas comprometidos. O alerta da CISA destaca a importância de medidas proativas para proteger ambientes de gerenciamento de endpoints.

O grupo cibercriminoso Medusa reivindicou um ataque de malware ao Condado de Passaic, em Nova Jersey, ocorrido em março de 2026. Em um comunicado, as autoridades do condado informaram que o ataque afetou seus sistemas de TI e linhas telefônicas. Medusa exigiu um resgate de $800.000, com prazo até o final do mês, e publicou imagens de documentos que alegam ter sido roubados dos servidores do governo local. Embora o Condado de Passaic tenha reconhecido a ocorrência de um incidente de segurança, não confirmou a responsabilidade do grupo. A investigação está em andamento para determinar a natureza e a extensão do acesso não autorizado aos dados. Medusa, que opera um esquema de ransomware como serviço, já reivindicou outros ataques em 2026, incluindo instituições educacionais e governamentais. Os ataques de ransomware a entidades governamentais nos EUA têm se tornado mais frequentes, resultando em riscos significativos, como perda de dados e interrupção de serviços essenciais. O Condado de Passaic abriga cerca de 524.000 pessoas e está localizado na área metropolitana de Nova York.

O grupo de ransomware Medusa reivindicou a responsabilidade pelo ataque cibernético ao Centro Médico da Universidade do Mississippi (UMMC), ocorrido entre 19 de fevereiro e 2 de março de 2026. O ataque resultou no fechamento das clínicas e no cancelamento de consultas, afetando gravemente o atendimento ao paciente, que teve que ser realizado com registros manuais e em centros de comando improvisados. A UMMC perdeu acesso a linhas telefônicas, e-mails e registros de pacientes, levando à transferência de alguns pacientes para outras instituições. Medusa exigiu um resgate de $800.000 em troca da restauração dos sistemas e da não divulgação de dados supostamente roubados, que foram demonstrados em seu site de vazamento de dados. Embora a UMMC tenha retomado suas operações normais após nove dias, a extensão dos dados comprometidos e se o resgate foi pago permanecem desconhecidos. O grupo Medusa, ativo desde 2019, já realizou 154 ataques confirmados, sendo 33 direcionados a prestadores de serviços de saúde, comprometendo cerca de 3,7 milhões de registros pessoais. Os ataques de ransomware a instituições de saúde nos EUA têm se tornado cada vez mais frequentes e disruptivos, colocando em risco a segurança e a privacidade dos pacientes.

Na semana passada, a Stryker, gigante da tecnologia médica, sofreu um ciberataque que afetou seu ambiente interno da Microsoft, resultando na remoção remota de dados de cerca de 80 mil dispositivos de funcionários. A empresa afirmou que todos os seus dispositivos médicos permanecem seguros, mas os sistemas de pedidos eletrônicos estão fora do ar, obrigando os clientes a realizarem pedidos manualmente. O ataque, reivindicado pelo grupo hacktivista Handala, supostamente ligado ao Irã, não envolveu ransomware nem a instalação de malware, embora os atacantes tenham alegado ter apagado mais de 200 mil sistemas e roubado 50 terabytes de dados. A investigação está sendo conduzida pela equipe DART da Microsoft, em colaboração com especialistas em cibersegurança da Palo Alto Unit 42. A Stryker está focada na recuperação de seus sistemas e na normalização do fluxo de pedidos e entregas. A empresa assegura que todos os produtos em seu portfólio global, incluindo tecnologias conectadas e de salvamento, estão seguros para uso.

O Centro Médico da Universidade de Mississippi (UMMC) anunciou que retomou suas operações normais após um ataque de ransomware que durou nove dias, bloqueando o acesso a registros médicos eletrônicos e desativando muitos de seus sistemas de TI. O ataque forçou a instituição a cancelar procedimentos ambulatoriais e consultas de imagem, embora os serviços hospitalares continuassem a ser prestados. A UMMC confirmou que conseguiu restaurar o acesso aos registros dos pacientes e reabriu suas clínicas, que agora funcionam em horários estendidos para acomodar os pacientes. Embora nenhum grupo de ransomware tenha reivindicado a responsabilidade pelo ataque, a UMMC está em contato com os atacantes e trabalhando com o FBI e a CISA para investigar o incidente. A UMMC é um dos maiores empregadores do Mississippi, com mais de 10.000 funcionários e uma infraestrutura crítica que inclui o único programa de transplante de órgãos e medula óssea do estado. O ataque destaca a crescente ameaça de ransomware a instituições de saúde, que são alvos atraentes devido à sensibilidade dos dados que gerenciam.

O clube de futebol francês Olympique de Marseille confirmou ter sido alvo de um ataque cibernético, após um grupo de hackers afirmar que invadiu seus sistemas no início deste mês. O ataque resultou na suposta extração de uma base de dados que contém informações de cerca de 400 mil indivíduos, incluindo dados de funcionários e torcedores, como nomes, endereços, e-mails e números de telefone. Em resposta, o clube informou que, com a ajuda de suas equipes técnicas, conseguiu controlar a situação rapidamente, garantindo que suas operações continuassem normalmente e sem comprometimento de dados bancários ou senhas. Apesar de não ter confirmado oficialmente a violação de dados, o Olympique de Marseille notificou a autoridade de proteção de dados da França (CNIL) e alertou seus torcedores sobre possíveis tentativas de phishing. Este incidente ocorre em um contexto de aumento de ataques cibernéticos a grandes organizações, refletindo uma tendência preocupante no cenário de segurança digital.

A Wikipedia decidiu colocar o site Archive.today na lista negra, afetando mais de 695.000 links em cerca de 400.000 páginas em inglês. A decisão foi tomada após alegações de que Archive.today facilitou um ataque DDoS contra o blog de Jani Patokallio, utilizando um código JavaScript malicioso inserido em sua página CAPTCHA. Esse código fazia com que os navegadores dos usuários enviassem requisições repetidas ao blog, consumindo recursos e tornando-o inacessível. O ataque começou após o mantenedor do Archive.today exigir a remoção de um post que investigava a propriedade do site. A Wikipedia argumentou que a segurança dos usuários é mais importante do que a conveniência, considerando que um site que utiliza os navegadores dos visitantes para ataques é ’não confiável’. Além disso, a Wikipedia já havia banido Archive.today em 2013, antes de reverter a decisão em 2016. Agora, os editores da Wikipedia precisarão substituir os links do Archive.today por alternativas como Internet Archive ou Wayback Machine, ou utilizar fontes não arquivadas sempre que possível.

A Advantest Corporation, uma líder global em equipamentos de teste para semicondutores, revelou que sua rede corporativa foi alvo de um ataque de ransomware, que pode ter comprometido dados de clientes e funcionários. A empresa, com sede em Tóquio e que emprega cerca de 7.600 pessoas, detectou atividades incomuns em seu ambiente de TI no dia 15 de fevereiro, levando à ativação de protocolos de resposta a incidentes, incluindo a contenção de sistemas afetados. Especialistas em cibersegurança foram contratados para ajudar na investigação e contenção da ameaça. Embora a empresa não tenha confirmado o roubo de dados até o momento, a situação pode evoluir à medida que a investigação avança. A Advantest se comprometeu a notificar diretamente qualquer pessoa impactada e fornecer orientações sobre medidas de proteção. O ataque ocorre em um contexto de aumento de ciberataques a empresas japonesas, incluindo casos notáveis como os de Nissan e Muji. A empresa continuará a atualizar o público sobre novos desenvolvimentos relacionados ao incidente.

O Centro Médico da Universidade de Mississippi (UMMC) fechou todas as suas clínicas em decorrência de um ataque de ransomware que comprometeu seus sistemas de TI, incluindo o acesso aos registros médicos eletrônicos da Epic. Com mais de 10.000 funcionários e sendo um dos maiores empregadores do estado, o UMMC opera sete hospitais e 35 clínicas, além de ser o único centro de trauma de nível I e o único hospital infantil do Mississippi. O ataque levou ao cancelamento de cirurgias ambulatoriais e consultas, mas os serviços hospitalares continuaram através de procedimentos de contingência. A UMMC está investigando o incidente com a ajuda da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e do FBI. Embora os atacantes tenham se comunicado com a UMMC, não há confirmação sobre a responsabilidade pelo ataque. A situação permanece em avaliação, e a UMMC desativou todos os sistemas de rede como precaução. O impacto potencial inclui não apenas a interrupção dos serviços, mas também a possibilidade de roubo de dados, que pode ser usado como pressão para pagamento de resgate. A UMMC assegura que os cuidados aos pacientes estão sendo mantidos e que as aulas presenciais continuam normalmente.

O grupo de ransomware Rhysida reivindicou a responsabilidade por um ataque cibernético ocorrido em 8 de dezembro de 2025, que afetou os sistemas de TI das Tribos Cheyenne e Arapaho. A liderança tribal anunciou publicamente o incidente em 7 de janeiro de 2026, informando que 80% de seus sistemas estavam operacionais um mês após o ataque. Rhysida exigiu um resgate de 10 bitcoins, equivalente a cerca de R$ 700 mil, em troca da recuperação dos dados. Embora a tribo tenha tomado medidas imediatas para proteger as informações dos membros e a infraestrutura crítica, não está claro se houve perda de dados ou se o resgate foi pago. Este não é o primeiro incidente de ransomware enfrentado pelas Tribos Cheyenne e Arapaho, que já haviam sido atacadas em 2021. Rhysida, que opera um modelo de ransomware como serviço, já reivindicou 104 ataques confirmados, sendo 21 contra entidades governamentais. Em 2025, foram registrados 83 ataques de ransomware a entidades governamentais nos EUA, com um impacto significativo na segurança de dados e operações governamentais.

O governo italiano anunciou a prevenção de uma série de ciberataques, supostamente de origem russa, que visavam as Olimpíadas de Inverno de 2026, em Milano Cortina. O Ministro das Relações Exteriores, Antonio Tajani, informou que os ataques afetaram cerca de 120 alvos, incluindo escritórios do ministério das Relações Exteriores dos EUA e consulados em várias cidades, além da Universidade La Sapienza, em Roma. A universidade, uma das maiores da Europa, foi alvo de um ataque que parece ter sido um ransomware, levando à suspensão de seus sistemas para garantir a segurança dos dados. O grupo hacker pro-russo NoName057(16) reivindicou a responsabilidade pelos ataques, alegando que eram uma retaliação à política pró-Ucrânia da Itália. Apesar da gravidade da situação, o governo italiano afirmou que não houve interrupções significativas nos serviços. A situação destaca a crescente preocupação com a segurança cibernética em eventos internacionais e a necessidade de vigilância constante contra ameaças cibernéticas, especialmente em contextos de tensões geopolíticas.

A Universidade La Sapienza, em Roma, foi alvo de um ciberataque que afetou seus sistemas de TI, resultando em interrupções operacionais significativas. A instituição, que é a maior da Europa em número de alunos, com mais de 112.500 matriculados, anunciou o incidente em uma postagem nas redes sociais, informando que sua infraestrutura de TI foi comprometida. Como medida de precaução, a universidade decidiu desligar imediatamente seus sistemas de rede para garantir a integridade dos dados. Embora detalhes sobre o tipo de ataque e os responsáveis não tenham sido amplamente divulgados, informações da imprensa italiana sugerem que se trata de um ataque de ransomware, possivelmente realizado por um grupo pro-Rússia chamado Femwar02, que resultou na criptografia de dados. A universidade está colaborando com o CSIRT italiano e especialistas da Agenzia per la Cybersicurezza Nazionale para restaurar os sistemas a partir de backups que, segundo relatos, não foram afetados. Enquanto isso, pontos de informação temporários foram estabelecidos para ajudar alunos e funcionários durante a recuperação. A situação alerta para a necessidade de vigilância contra ataques de phishing, uma vez que dados roubados podem ser vendidos ou divulgados na internet.

O Ministério da Ciência, Inovação e Universidades da Espanha anunciou o fechamento parcial de seus sistemas de TI devido a um ‘incidente técnico’, que, segundo fontes da mídia, está relacionado a um ataque cibernético. O ataque foi reivindicado por um ator de ameaças que se identifica como ‘GordonFreeman’, que alegou ter explorado uma vulnerabilidade crítica chamada Insecure Direct Object Reference (IDOR) para obter acesso administrativo completo aos sistemas do ministério. Dados supostamente roubados, incluindo registros pessoais, endereços de e-mail e documentos oficiais, foram divulgados em fóruns clandestinos. O ministério suspendeu todos os procedimentos administrativos e estendeu os prazos para minimizar o impacto sobre os cidadãos e empresas afetadas. Embora o fórum onde os dados foram publicados esteja offline, a autenticidade das informações ainda não foi confirmada. O incidente destaca a vulnerabilidade de instituições governamentais a ataques cibernéticos e a necessidade de medidas de segurança robustas para proteger informações sensíveis.

O grupo de ransomware Lynx reivindicou um ataque cibernético à Lakelands Public Health, em Ontário, Canadá, que ocorreu em 29 de janeiro de 2026. O incidente afetou sistemas internos, incluindo linhas telefônicas, e a organização confirmou a descoberta de um problema de cibersegurança em 3 de fevereiro. Lynx alegou ter acessado e roubado dados confidenciais da instituição, publicando amostras de documentos em seu site de vazamento de dados. No entanto, a Lakelands Public Health não confirmou a autenticidade das alegações e não forneceu detalhes sobre a natureza dos dados comprometidos, se um resgate foi pago ou como a rede foi invadida. A organização está colaborando com autoridades e especialistas em cibersegurança para mitigar o impacto do ataque. Este incidente é parte de um aumento de 31% nos ataques de ransomware em organizações canadenses em 2025, com Lynx sendo responsável por 49 ataques confirmados desde sua formação em julho de 2024. O ataque à Lakelands Public Health é o primeiro incidente confirmado em 2026, destacando a crescente ameaça de ransomware, especialmente em setores críticos como a saúde pública.

A Step Finance, plataforma de finanças descentralizadas (DeFi) baseada na blockchain Solana, anunciou a perda de aproximadamente US$ 40 milhões em ativos digitais após um ataque cibernético que comprometeu dispositivos de sua equipe executiva. O incidente foi detectado em 31 de janeiro, quando a empresa revelou que várias de suas carteiras de tesouraria foram invadidas por um ator sofisticado utilizando um ‘vetor de ataque bem conhecido’. Embora a empresa tenha conseguido recuperar cerca de US$ 4,7 milhões em ativos, a magnitude da perda é alarmante, especialmente considerando que representa apenas uma fração dos US$ 398 milhões perdidos em ataques de roubo de criptomoedas no mesmo mês. A Step Finance tomou medidas imediatas, notificando as autoridades e suspendendo algumas operações para reforçar a segurança. A empresa também aconselhou os usuários a não interagir com seu token nativo, $STEP, até que a investigação seja concluída. O ataque gerou especulações sobre a possibilidade de um ‘rug pull’ ou um ’trabalho interno’, mas a Step Finance não forneceu detalhes sobre os perpetradores. Este incidente destaca a crescente vulnerabilidade das plataformas DeFi e a necessidade de medidas de segurança robustas no setor.

O Notepad++, um editor de texto amplamente utilizado, sofreu um ataque cibernético que comprometeu seu tráfego de atualizações por quase seis meses. De acordo com o desenvolvedor, o ataque, que começou em junho de 2025, foi realizado por atores de ameaças patrocinados pelo Estado Chinês, que interceptaram e redirecionaram seletivamente solicitações de atualização para servidores maliciosos. Os atacantes exploraram uma vulnerabilidade nas verificações de atualização do Notepad++, permitindo que manifestos de atualização adulterados fossem servidos a usuários específicos. Após a detecção da violação em dezembro de 2025, o Notepad++ migrou para um novo provedor de hospedagem com segurança reforçada e implementou melhorias significativas, incluindo a verificação de certificados e assinaturas de instaladores. Os usuários são aconselhados a alterar credenciais e atualizar suas instalações para proteger seus sistemas. A situação destaca a importância de manter práticas de segurança robustas, especialmente em softwares amplamente utilizados como o Notepad++.

No final de dezembro, um ataque coordenado à rede elétrica da Polônia comprometeu múltiplos locais de recursos energéticos distribuídos (DER), incluindo instalações de cogeração e sistemas de energia solar e eólica. Apesar de danificar equipamentos operacionais de forma irreparável, o ataque não resultou em interrupções no fornecimento de energia, afetando apenas 5% da capacidade total do país. Pesquisadores da Dragos, empresa especializada em segurança de infraestrutura industrial, identificaram pelo menos 12 locais afetados, embora estimem que o número real seja próximo de 30. O ataque, atribuído com confiança moderada a um ator de ameaça russo conhecido como Electrum, destacou a vulnerabilidade dos sistemas de energia descentralizados, especialmente em períodos críticos como o inverno. Os atacantes demonstraram profundo conhecimento técnico, comprometendo equipamentos de comunicação e sistemas de controle, mas não conseguiram causar um apagão nacional. No entanto, a possibilidade de desestabilização da frequência do sistema permanece, o que poderia levar a falhas em cascata, como já ocorreu em outros incidentes. Este evento serve como um alerta sobre a segurança das infraestruturas críticas em um contexto global cada vez mais ameaçado.

Um ataque cibernético coordenado atingiu múltiplos locais da rede elétrica da Polônia, sendo atribuído com média confiança ao grupo de hackers patrocinado pelo Estado russo, conhecido como ELECTRUM. Segundo a empresa de cibersegurança Dragos, o ataque, ocorrido em dezembro de 2025, é considerado o primeiro grande ataque direcionado a recursos energéticos distribuídos (DERs). Embora não tenha causado apagões, os invasores conseguiram acessar sistemas críticos de tecnologia operacional (OT) e desativar equipamentos essenciais de forma irreparável. O ataque visou as instalações de cogeração de calor e energia (CHP) e sistemas que gerenciam a distribuição de energia renovável, como eólica e solar. Os hackers utilizaram dispositivos de rede expostos e exploraram vulnerabilidades para obter acesso inicial, demonstrando um profundo entendimento da infraestrutura da rede elétrica. O ataque foi descrito como oportunista e apressado, permitindo que os invasores causassem danos significativos, como a formatação de dispositivos Windows e a redefinição de configurações. Este incidente destaca a crescente ameaça de adversários com capacidades específicas em OT, que estão ativamente mirando sistemas que monitoram e controlam a geração distribuída de energia.

Um ciberataque direcionado à rede elétrica da Polônia, ocorrido entre 29 e 30 de dezembro de 2025, foi atribuído ao grupo de hackers Sandworm, supostamente patrocinado pelo Estado russo. Durante o ataque, o grupo tentou implantar um novo malware destrutivo chamado DynoWiper, que tem a capacidade de apagar dados de forma irreversível. O ataque visou duas usinas de cogeração e um sistema de gerenciamento de energia renovável, resultando em um impacto significativo na infraestrutura elétrica do país. O malware DynoWiper, identificado como Win32/KillFiles.NMO, apaga arquivos do sistema, tornando-o inutilizável. O primeiro-ministro polonês, Donald Tusk, afirmou que as evidências indicam que o ataque foi preparado por grupos ligados aos serviços russos. Embora detalhes técnicos sobre o DynoWiper sejam escassos, a ESET, empresa de segurança cibernética, está monitorando a situação. Este ataque é parte de uma série de ações do Sandworm, que anteriormente já havia realizado ataques semelhantes na Ucrânia, afetando setores críticos como energia e educação. A situação destaca a crescente ameaça de ciberataques a infraestruturas críticas na Europa, especialmente em um contexto geopolítico tenso.

O grupo de hackers de nação estatal russo, conhecido como Sandworm, foi responsabilizado por um dos maiores ataques cibernéticos direcionados ao sistema de energia da Polônia na última semana de dezembro de 2025. Embora o ataque tenha sido classificado como o mais forte em anos, o ministro da energia polonês, Milosz Motyka, afirmou que não houve sucesso na tentativa de desestabilização. O ataque, que ocorreu em 29 e 30 de dezembro, visou duas usinas de cogeração e um sistema de gerenciamento de energia renovável. A ESET, empresa de cibersegurança, identificou o uso de um malware destrutivo inédito, denominado DynoWiper, vinculado a atividades anteriores do Sandworm, especialmente após a invasão da Ucrânia pela Rússia em 2022. O primeiro-ministro polonês, Donald Tusk, indicou que as investigações apontam para a responsabilidade de grupos associados aos serviços russos, e o governo está implementando medidas de segurança adicionais, incluindo uma nova legislação de cibersegurança. Este ataque coincide com o décimo aniversário do ataque de Sandworm à rede elétrica da Ucrânia em 2015, que resultou em apagões significativos. O Sandworm tem um histórico de ataques cibernéticos disruptivos, especialmente contra a infraestrutura crítica da Ucrânia.

A recente operação militar dos Estados Unidos que resultou na captura do presidente venezuelano Nicolás Maduro pode ter envolvido recursos cibernéticos, conforme sugerido por declarações do ex-presidente Donald Trump. Durante uma coletiva, Trump mencionou que ‘uma certa expertise’ foi utilizada, o que levantou especulações sobre a atuação do Comando Cibernético dos EUA. Especialistas, no entanto, alertam que a conexão entre a operação e um ciberataque ainda é incerta. A NetBlocks, uma rede de monitoramento, registrou perda de conexão de internet em Caracas durante a ação, mas seu diretor, Alp Toker, afirmou que isso não necessariamente indica um ataque cibernético, podendo ser resultado de explosões. O histórico dos EUA em operações cibernéticas, como o ataque ao programa nuclear do Irã em 2010, alimenta desconfianças sobre a possibilidade de um ciberataque. O general Dan Caine, chefe do Estado-Maior Conjunto dos EUA, confirmou que houve uma ‘sobreposição’ de medidas para facilitar a operação, mas não forneceu detalhes sobre a atuação das agências envolvidas.

O grupo de ransomware Inc reivindicou a responsabilidade por um ataque cibernético ocorrido em novembro de 2025 contra a Rainbow Communications, uma provedora de telefonia e internet rural no nordeste do Kansas. No dia 16 de novembro, a Rainbow anunciou problemas de serviço devido a um evento de cibersegurança que afetou a telefonia e a internet de seus clientes, com a normalização dos serviços ocorrendo em 19 de novembro. O grupo alegou ter roubado 200 GB de dados, incluindo informações contábeis, de recursos humanos e dados de clientes, e publicou amostras desses documentos em seu site de vazamento de dados. Até o momento, a Rainbow não confirmou as alegações do grupo, e detalhes sobre a extensão da violação, o número de pessoas afetadas, se um resgate foi pago ou como a rede foi comprometida permanecem desconhecidos. O grupo Inc, que surgiu em julho de 2023, já foi responsável por 54 ataques confirmados em 2025, afetando setores como saúde, educação e governo. Os ataques de ransomware em empresas de utilidade nos EUA têm se tornado cada vez mais comuns, resultando em interrupções significativas nos serviços e riscos de fraude para os clientes.

A gangue de ransomware DragonForce reivindicou um ataque cibernético à cidade de La Vergne, no Tennessee, que resultou na interrupção dos sistemas de computador da administração local. Em um comunicado emitido em 17 de outubro de 2025, os oficiais da cidade informaram que estavam investigando um incidente de rede que comprometeu os servidores do governo, com a gangue afirmando ter roubado 382 GB de dados. DragonForce deu um prazo de uma semana para que a cidade pagasse um valor não revelado em resgate, ameaçando divulgar os dados roubados caso a exigência não fosse atendida. Embora a cidade tenha tomado medidas imediatas para isolar os sistemas afetados e envolvido profissionais de cibersegurança e autoridades policiais, ainda não há confirmação sobre a veracidade das alegações da gangue. Este ataque é parte de uma tendência crescente de ataques de ransomware a entidades governamentais nos Estados Unidos, com mais de 70 incidentes confirmados em 2025, comprometendo cerca de 450 mil registros. A situação destaca a vulnerabilidade das infraestruturas governamentais e a necessidade urgente de medidas de proteção e resposta a incidentes.

O grupo de ransomware Rhysida reivindicou um ataque cibernético ao Escritório do Xerife do Condado de Cleveland, em Oklahoma, ocorrido em 20 de novembro de 2025. O ataque comprometeu partes do sistema interno do escritório, resultando na exigência de um resgate de 9 bitcoins, equivalente a aproximadamente $787.000. Para corroborar suas alegações, Rhysida divulgou imagens de documentos que supostamente foram roubados, incluindo cartões de Seguro Social, checagens de antecedentes criminais e registros médicos. Embora o escritório do xerife tenha confirmado a ocorrência do ataque, não houve verificação da autenticidade das informações divulgadas pelo grupo. Até o momento, não se sabe como os atacantes conseguiram acessar a rede do escritório ou se o resgate será pago. O grupo Rhysida, que surgiu em maio de 2023, já reivindicou 246 ataques de ransomware, afetando diversas agências governamentais nos EUA. Em 2025, foram registrados 72 ataques confirmados a entidades governamentais nos EUA, comprometendo cerca de 450.000 registros, com um resgate médio de $1,18 milhão. O ataque ao escritório do xerife destaca a crescente ameaça de ransomware a instituições governamentais e a necessidade de medidas de segurança robustas.

O grupo de ransomware conhecido como Devman reivindicou um ataque cibernético contra a Georgia Superior Court Clerks’ Cooperative Authority (GSCCCA), que resultou na interrupção do acesso ao seu site. O ataque ocorreu no final de semana, e o grupo afirmou ter roubado 500 GB de dados, exigindo um pagamento de resgate em um prazo de três dias, que já expirou. A GSCCCA, em sua página no Facebook, confirmou a ameaça cibernética e ativou protocolos de segurança defensiva, restringindo temporariamente o acesso aos seus serviços. Embora a GSCCCA não tenha confirmado a reivindicação de Devman, o grupo é conhecido por operar um modelo de ransomware como serviço, permitindo que afiliados lancem ataques utilizando sua infraestrutura. Desde abril de 2025, Devman já atacou mais de 50 organizações, incluindo agências governamentais. Em 2025, foram registrados 71 ataques de ransomware em entidades governamentais dos EUA, com um resgate médio de 1,2 milhão de dólares. O impacto desses ataques pode ser severo, resultando em perda de dados e interrupção de serviços essenciais, o que levanta preocupações sobre a segurança cibernética em instituições públicas.

A Comissão de Valores Mobiliários dos EUA (SEC) decidiu abandonar o processo judicial contra a SolarWinds e seu diretor de segurança da informação, Timothy G. Brown, que alegavam que a empresa havia enganado investidores sobre suas práticas de segurança cibernética, levando ao ataque à cadeia de suprimentos em 2020. A SEC havia acusado a SolarWinds de ‘fraude e falhas de controle interno’, afirmando que a empresa exagerou suas práticas de cibersegurança e não divulgou adequadamente os riscos conhecidos. O ataque, atribuído ao grupo APT29, patrocinado pelo Estado russo, expôs vulnerabilidades significativas. Em julho de 2024, o tribunal descartou várias alegações, afirmando que não havia evidências suficientes para sustentar as acusações. O CEO da SolarWinds, Sudhakar Ramakrishna, declarou que a empresa emerge mais forte e preparada após esse desafio. A decisão da SEC não reflete sua posição em outros casos relacionados, e a empresa continua a ser um ponto focal em discussões sobre segurança cibernética e conformidade regulatória.

Um ataque cibernético em larga escala, realizado quase inteiramente por inteligência artificial, foi revelado pela Anthropic. O incidente, que ocorreu em setembro de 2025, envolveu hackers patrocinados pelo Estado chinês que utilizaram a IA Claude Code para comprometer cerca de 30 alvos globais, incluindo grandes empresas de tecnologia, instituições financeiras e agências governamentais. A campanha de espionagem se destacou pela automação sem precedentes, com a IA gerenciando 80-90% das operações, exigindo intervenção humana apenas em 4-6 pontos críticos. Os atacantes exploraram capacidades avançadas da IA, como execução de tarefas complexas e operação autônoma, para realizar reconhecimento, desenvolver códigos de exploração e exfiltrar dados classificados. A Anthropic detectou a atividade suspeita e iniciou uma investigação, resultando na identificação de contas comprometidas e na notificação das organizações afetadas. Este incidente sinaliza uma diminuição nas barreiras para ataques cibernéticos sofisticados, permitindo que grupos menos experientes realizem operações que antes exigiam recursos significativos. A empresa recomenda que equipes de segurança experimentem aplicações de IA para melhorar a detecção de ameaças e a resposta a incidentes.

Um ator de ameaça de língua russa lançou uma campanha de phishing em larga escala, utilizando mais de 4.300 domínios registrados desde o início de 2025. O objetivo é fraudar indivíduos que planejam viagens, disfarçando-se como grandes plataformas de hotéis e reservas. A infraestrutura do ataque adota convenções de nomenclatura de domínio consistentes, incorporando palavras-chave como ‘confirmação’, ‘reserva’ e ‘verificação de cartão’, além de referências a hotéis de luxo para aumentar a credibilidade. O kit de phishing é dinâmico, personalizando cada página com base em um identificador único na URL, conhecido como ‘AD_CODE’, que ativa uma marcação em tempo real correspondente ao site falsificado. Os e-mails maliciosos são enviados sob a aparência de solicitações de feedback, levando as vítimas a clicar em links que as redirecionam para sites de phishing. Os domínios são registrados em blocos, utilizando gTLDs como .world e .help, e a campanha se expande com iscas traduzidas em 43 idiomas. A análise do site de phishing revela comentários em russo, ligando a campanha a círculos cibercriminosos de língua russa. A segurança deve monitorar domínios com palavras-chave de viagem e os usuários devem ser cautelosos com confirmações de reservas inesperadas.

O Escritório de Orçamento do Congresso (CBO) dos Estados Unidos foi alvo de um ataque cibernético realizado por um suposto ator de ameaça estrangeiro, resultando na exposição de dados confidenciais. O CBO, que atua como analista financeiro independente do Congresso, teve suas comunicações sensíveis entre os escritórios dos legisladores e a organização de pesquisa não partidária comprometidas. Essa violação levanta preocupações sobre a integridade das análises orçamentárias que influenciam a legislação federal americana. Embora a detecção do ataque tenha sido precoce, há receios de que e-mails internos e registros de chat tenham sido acessados antes da contenção. O incidente já causou interrupções operacionais, levando a vários escritórios do Congresso a suspender a correspondência por e-mail com o CBO, dificultando a análise orçamentária e a pontuação legislativa. O ataque ocorre em um momento de tensões partidárias elevadas, especialmente em relação às projeções de custo do CBO, que foram criticadas por republicanos. A natureza sofisticada do ataque sugere um interesse potencial de atores estatais nas operações do Congresso dos EUA e nas deliberações sobre políticas financeiras.

O grupo de ransomware Interlock reivindicou um ataque cibernético ao Departamento de Polícia de Shelbyville, no Kentucky, ocorrido em outubro de 2025. O chefe da polícia, Bruce Gentry, confirmou que a rede de computadores da instituição foi comprometida, resultando na interrupção de suas operações. Interlock alegou ter roubado 208 GB de dados, incluindo gravações de câmeras de segurança, e publicou amostras para corroborar sua afirmação. Até o momento, o departamento não confirmou a veracidade das alegações nem se pagará o resgate exigido. Interlock, que começou a operar em outubro de 2024, já reivindicou 72 ataques, sendo 35 confirmados por organizações-alvo. O grupo também é responsável por outras violações de dados em entidades governamentais. Os ataques de ransomware a entidades governamentais nos EUA têm se tornado cada vez mais frequentes, com 68 incidentes confirmados em 2025, causando interrupções significativas em serviços essenciais. O caso do Departamento de Polícia de Shelbyville destaca a vulnerabilidade das instituições públicas e a necessidade urgente de medidas de segurança cibernética eficazes.

O ecossistema de finanças descentralizadas (DeFi) enfrentou uma grave violação de segurança, com hackers explorando vulnerabilidades no protocolo Balancer, resultando em perdas superiores a US$ 100 milhões. O ataque focou nas V2 Composable Stable Pools, que operam em várias blockchains e possuem um recurso de segurança chamado ‘janela de pausa’, destinado a interromper transações em situações de emergência. No entanto, muitas dessas pools estavam ativas além do período em que essa proteção poderia ser acionada, deixando-as vulneráveis ao ataque. Após a descoberta da violação, a equipe de segurança do Balancer trabalhou rapidamente com especialistas em cibersegurança para conter os danos, interrompendo todas as pools elegíveis para pausa de emergência. Apesar das rigorosas práticas de segurança do Balancer, incluindo auditorias e programas de recompensas por bugs, o ataque demonstrou a sofisticação crescente das ameaças no setor DeFi. O Balancer alertou os usuários sobre tentativas de phishing que se aproveitaram da situação, enfatizando a importância de confiar apenas em fontes oficiais para informações. A equipe continua a colaborar com autoridades e especialistas para investigar o ataque e buscar a recuperação dos fundos.

Recentemente, sensores de segurança na internet detectaram um aumento significativo em varreduras de rede direcionadas às portas TCP 8530 e 8531, indicando esforços de reconhecimento ativo por parte de hackers que buscam explorar a vulnerabilidade CVE-2025-59287, que afeta os Serviços de Atualização do Servidor Windows (WSUS). Essa vulnerabilidade permite que atacantes se conectem a servidores WSUS vulneráveis e executem scripts arbitrários, obtendo controle sobre o sistema comprometido. A atividade de escaneamento é proveniente de diversas fontes globais, incluindo IPs que não estão associados a iniciativas de pesquisa legítimas, sugerindo que os atacantes estão ativamente caçando servidores WSUS expostos na internet. A combinação de detalhes de exploração amplamente disponíveis e a exposição direta à internet torna as organizações que utilizam WSUS um alvo fácil. Especialistas recomendam que as empresas apliquem patches de segurança imediatamente e implementem restrições de rede para proteger sua infraestrutura de atualização. Além disso, é crucial que as organizações investiguem sinais de comprometimento em seus sistemas, considerando-os potencialmente violados até que se prove o contrário.

O grupo de ransomware Devman reivindicou um ataque cibernético ao Family Health West, um hospital e rede de clínicas médicas no Colorado, que resultou na paralisação de todos os sistemas eletrônicos da instituição. Embora a Family Health West tenha afirmado que não há evidências de perda ou criptografia de dados, o Devman alegou ter roubado 120 GB de informações e exigiu um resgate de $700.000, ameaçando divulgar os dados se a quantia não for paga em quatro dias. Este ataque marca a primeira vez que o Devman ataca uma empresa de saúde e também é seu primeiro alvo nos Estados Unidos. O grupo, que opera um modelo de ransomware como serviço, já atacou 41 organizações, com um resgate médio de $4,4 milhões. Em 2025, foram registrados 71 ataques de ransomware em instituições de saúde dos EUA, comprometendo mais de 7,5 milhões de registros. Os ataques a hospitais podem colocar em risco a saúde e a segurança dos pacientes, levando a interrupções nos serviços e à necessidade de recorrer a métodos manuais de atendimento.

Um pesquisador de cibersegurança apresentou a ferramenta EDR-Redir, que explora drivers de filtro de vinculação e de nuvem do Windows para comprometer sistemas de Detecção e Resposta de Endpoint (EDR). A técnica redireciona pastas executáveis do EDR para locais controlados por atacantes, permitindo injeção de código ou interrupção total do serviço sem a necessidade de privilégios de nível de kernel. O ataque utiliza o recurso de vinculação do Windows, introduzido no Windows 11 versão 24H2, que permite redirecionamento de namespace de sistema de arquivos através de caminhos virtuais. Diferente dos links simbólicos tradicionais, que os EDRs monitoram ativamente, os links de vinculação operam em nível de driver de minifiltro, permitindo redirecionamento transparente que parece legítimo para softwares de segurança. A ferramenta foi testada com sucesso contra Elastic Defend e Sophos Intercept X, redirecionando suas pastas executáveis. Quando a redireção falhou contra o Windows Defender, o pesquisador utilizou a API de Filtro de Nuvem do Windows para corromper a pasta alvo, bloqueando o acesso do Defender. A EDR-Redir está disponível no GitHub, levantando preocupações sobre sua exploração generalizada. A detecção desse tipo de ataque é extremamente desafiadora, pois opera em nível de driver, gerando poucos eventos de segurança. Para mitigar essa ameaça, os EDRs precisam aprimorar os mecanismos de proteção de pastas e implementar monitoramento para atividades de drivers de filtro.

No último domingo, a China acusou a Agência de Segurança Nacional dos EUA (NSA) de realizar um ataque cibernético premeditado contra o Centro Nacional de Serviço de Tempo (NTSC), descrevendo os EUA como um “império hacker”. O Ministério da Segurança do Estado (MSS) afirmou ter encontrado “provas irrefutáveis” da participação da NSA em uma intrusão que teria ocorrido em 25 de março de 2022, embora o ataque tenha sido frustrado. O NTSC, responsável pela manutenção do horário padrão nacional, poderia ter sofrido consequências severas, como falhas em comunicações e interrupções em sistemas financeiros, caso o ataque tivesse sucesso. Segundo o MSS, a NSA teria explorado falhas de segurança em um serviço de SMS de uma marca estrangeira para comprometer dispositivos móveis de funcionários do NTSC, resultando no roubo de dados sensíveis. Além disso, a agência americana teria utilizado credenciais de login roubadas para acessar os computadores do NTSC e implementar uma nova plataforma de “guerra cibernética” entre agosto de 2023 e junho de 2024, ativando 42 ferramentas especializadas para ataques intensos. O MSS também acusou os EUA de realizar ataques cibernéticos persistentes contra diversos países, incluindo a China, e de distorcer a narrativa sobre a “ameaça cibernética chinesa”.

A F5 Networks revelou um incidente de segurança que afetou seus ambientes internos, onde um ator de ameaça sofisticado, possivelmente um agente estatal, obteve acesso persistente e exfiltrou arquivos de sistemas críticos, incluindo o ambiente de desenvolvimento do produto BIG-IP. A empresa confirmou que ações de contenção foram bem-sucedidas e que não houve atividade não autorizada desde o início da resposta em agosto de 2025. Entre os arquivos acessados estão partes do código-fonte do BIG-IP e informações sobre vulnerabilidades não divulgadas em desenvolvimento. No entanto, a F5 assegurou que não há evidências de exploração ativa de falhas críticas ou de manipulação da cadeia de suprimentos. A empresa recomenda que seus clientes apliquem imediatamente atualizações de segurança e implementem práticas de endurecimento para mitigar riscos. A F5 também está colaborando com especialistas em segurança e autoridades para investigar o incidente e melhorar suas defesas. A situação destaca a importância de monitoramento contínuo e resposta rápida a incidentes de segurança.

Um novo ataque cibernético atribuído a um grupo de hackers patrocinado pelo Estado chinês, conhecido como Flax Typhoon, comprometeu um sistema ArcGIS, transformando-o em uma porta dos fundos por mais de um ano. De acordo com a ReliaQuest, os atacantes modificaram uma extensão de objeto de servidor Java (SOE) de um aplicativo de geo-mapeamento para criar um shell web, permitindo acesso não autorizado. Essa técnica de ataque, que utiliza métodos de ’living-off-the-land’, permite que os hackers evitem a detecção ao se misturarem ao tráfego normal do servidor. O grupo conseguiu acessar uma conta de administrador de portal público para implantar a SOE maliciosa, que foi ativada através de uma operação REST padrão. Uma vez dentro, os atacantes estabeleceram uma conexão VPN oculta, permitindo que eles se comportassem como parte da rede interna da vítima. O ataque destaca a criatividade dos hackers em usar ferramentas legítimas para contornar medidas de segurança, evidenciando a necessidade de vigilância constante e atualização das práticas de segurança cibernética.

No final de semana, o grupo de ransomware Obscura reivindicou um ataque cibernético ocorrido em setembro de 2025 contra Michigan City, Indiana. Em 9 de outubro de 2025, autoridades da cidade confirmaram que um ataque comprometeu dados municipais e interrompeu o acesso online e telefônico dos funcionários. Obscura afirmou ter roubado 450 GB de dados e que o prazo para pagamento do resgate já havia expirado. Embora a cidade não tenha confirmado a reivindicação do grupo, a situação está sob investigação policial, limitando as informações disponíveis ao público. O ataque é o primeiro reconhecido por Obscura, que também alegou ter atacado uma entidade governamental na Alemanha e uma loja de suprimentos na Irlanda. Os ataques de ransomware em entidades governamentais dos EUA têm aumentado, com 64 incidentes confirmados em 2025 até agora. Esses ataques podem resultar em perda de dados, interrupções em serviços essenciais e riscos de fraude para os cidadãos. A cidade de Michigan City, que abriga mais de 32.000 pessoas, está focada em restaurar seus sistemas de forma segura.

Em julho de 2025, Coös County Family Health Services confirmou que 40.185 pessoas tiveram seus dados comprometidos em um ataque cibernético. O grupo de ransomware Run Some Wares reivindicou a responsabilidade pelo ataque em agosto. A investigação revelou que, em 9 de julho, houve acesso não autorizado aos servidores, onde dados sensíveis, como datas de nascimento, informações de contato, números de Seguro Social e dados médicos, podem ter sido visualizados ou copiados. Embora Coös County não tenha confirmado a natureza do ataque, a organização está oferecendo monitoramento de crédito gratuito por 12 meses aos afetados. Este incidente se insere em um contexto mais amplo, onde o setor de saúde dos EUA já registrou 63 ataques confirmados em 2025, resultando em mais de 6,2 milhões de registros expostos. O ataque em Coös County é um exemplo claro do impacto devastador que os ataques de ransomware podem ter sobre instituições de saúde, tanto em termos de tempo de inatividade quanto na violação de dados. A situação é alarmante, especialmente considerando que o setor de saúde é um alvo frequente para esses tipos de ataques.

Pesquisadores da Infoblox revelaram uma campanha de malware chamada DetourDog, que comprometeu mais de 30.000 sites sem que os usuários percebessem. O ataque se aproveitou de servidores desprotegidos, utilizando um malware que redireciona visitantes para sites maliciosos. As requisições de DNS são feitas pelo próprio site comprometido, tornando o ataque invisível para as vítimas. Os usuários são redirecionados para sites que hospedam um infostealer conhecido como Strela Stealer, que rouba credenciais de diversas fontes, incluindo e-mails. O Strela Stealer, que evoluiu desde sua primeira identificação em 2022, se comunica com servidores de comando e controle para coletar dados e receber atualizações. Embora a Infoblox não tenha atribuído o ataque a um grupo específico, a origem pode estar relacionada a países do leste europeu, dado o significado da palavra ‘Strela’. As organizações são aconselhadas a auditar suas configurações de DNS e monitorar tráfego incomum para se protegerem contra esse tipo de ameaça.