Ataque Cibernético

O grupo cibercriminoso SafePay reivindicou um ataque cibernético ocorrido em 23 de abril de 2026, que afetou os sistemas da Comissão do Condado de Harrison, na Virgínia Ocidental. O ataque resultou na interrupção do atendimento ao público no dia seguinte, quando cidadãos tentaram pagar seus impostos sobre propriedade. Embora a maioria dos sistemas tenha sido restaurada mais de uma semana depois, alguns ainda estavam fora do ar em 6 de maio. SafePay, que utiliza um esquema de extorsão dupla, exigiu um pagamento em resgate em troca da recuperação dos dados e da exclusão das informações roubadas. A Comissão do Condado não confirmou a reivindicação do grupo, e detalhes sobre a quantidade de dados comprometidos ou o valor do resgate permanecem desconhecidos. SafePay é um grupo de ransomware que começou a operar em 2024 e já reivindicou 479 ataques, com 68 confirmados. Em 2026, o grupo já reivindicou 56 ataques, sendo seis confirmados. Este incidente destaca a crescente ameaça de ataques de ransomware a entidades governamentais nos EUA, que podem comprometer dados sensíveis e interromper serviços essenciais.

A West Pharmaceutical Services, uma empresa americana de fabricação farmacêutica, revelou que foi alvo de um ataque cibernético que resultou em exfiltração de dados e criptografia de sistemas. O incidente foi detectado em 4 de maio de 2026, e a empresa ativou rapidamente seus protocolos de resposta a incidentes, incluindo a desativação global de sistemas para contenção e notificação às autoridades. A investigação em andamento busca determinar a natureza e a extensão do ataque, bem como os dados que foram roubados. Embora a empresa tenha restaurado parcialmente seus sistemas principais, a recuperação total ainda não foi alcançada, e não há previsão para a conclusão desse processo. A West Pharmaceutical Services, que possui receitas anuais superiores a US$ 3 bilhões e mais de 10.800 funcionários, não divulgou estimativas sobre o impacto financeiro do ataque. A empresa também não especificou as medidas tomadas para mitigar a disseminação dos dados exfiltrados, mas confirmou que está trabalhando com especialistas externos para lidar com a situação. Até o momento, nenhum grupo de ransomware reivindicou a responsabilidade pelo ataque.

A Foxconn, maior fabricante de eletrônicos do mundo, anunciou que algumas de suas fábricas na América do Norte estão retomando as operações normais após um ataque cibernético. O incidente foi confirmado por um porta-voz da empresa, que relatou que a equipe de cibersegurança ativou imediatamente um mecanismo de resposta e implementou medidas operacionais para garantir a continuidade da produção. O grupo de ransomware Nitrogen reivindicou a responsabilidade pelo ataque, alegando ter roubado 8 TB de dados, incluindo documentos confidenciais de grandes clientes como Apple, Intel e Google. Este não é o primeiro ataque do tipo que a Foxconn enfrenta; a empresa já foi alvo de outras gangues de ransomware, como LockBit e DoppelPaymer, nos últimos anos. A situação destaca a crescente ameaça de ataques cibernéticos a grandes corporações e a importância de medidas robustas de segurança cibernética para proteger informações sensíveis e garantir a continuidade dos negócios.

No final de semana, o grupo de ransomware Lynx reivindicou um ataque ocorrido em março de 2026 na St Anne’s Catholic School, em Southampton, Reino Unido. O grupo afirma ter roubado informações confidenciais, dados financeiros e contratos da instituição. Em um comunicado enviado aos pais no dia 22 de março, a escola confirmou o ataque e permaneceu fechada por quatro dias, reabrindo em 27 de março. O diretor, Julian Waterfield, afirmou que não há evidências de que dados tenham sido comprometidos, ressaltando que o impacto foi a perda temporária de controle sobre a rede da escola. O Lynx, que opera sob um modelo de Ransomware-as-a-Service (RaaS), realiza ataques em duas etapas: primeiro, criptografa os sistemas e exige um resgate, e segundo, mantém os dados roubados como moeda de troca. Até o momento, a St Anne’s não confirmou as alegações do Lynx sobre o roubo de dados ou se um resgate foi pago. Este é o primeiro ataque confirmado a uma instituição educacional pelo grupo, que tem como alvo principal organizações governamentais e empresas. Até agora, em 2026, foram registrados 120 ataques de ransomware no Reino Unido, com seis confirmados pelas vítimas.

Um homem de 34 anos da Virgínia foi condenado por conspirar para destruir dezenas de bancos de dados do governo após ser demitido de seu trabalho como contratado federal. Sohaib Akhter e seu irmão gêmeo, Muneeb Akhter, já haviam sido condenados em 2016 por acessar sistemas do Departamento de Estado dos EUA sem autorização e roubar informações pessoais de colegas e de um agente da lei. Após cumprirem suas penas, os irmãos foram recontratados, mas foram demitidos em fevereiro de 2025 ao serem descobertos. Após a demissão, eles tentaram prejudicar a empresa acessando computadores sem autorização, escrevendo proteção em bancos de dados e deletando informações. Em um ataque coordenado, eles apagaram cerca de 96 bancos de dados do governo, incluindo documentos sensíveis de várias agências federais. Além disso, tentaram ocultar suas atividades criminosas, limpando seus laptops e discutindo como evitar a detecção. Sohaib Akhter enfrenta uma pena máxima de 21 anos, enquanto Muneeb pode ser condenado a até 45 anos por múltiplas acusações, incluindo roubo de informações do governo e fraude computacional.

O grupo cibercriminoso Interlock assumiu a responsabilidade por um ataque de ransomware que ocorreu em abril de 2026, afetando o governo local do Condado de Winona, em Minnesota. Em 9 de abril, o condado anunciou que havia retirado seus sistemas do ar após detectar a invasão, alertando os residentes sobre possíveis atrasos nos serviços. Interlock afirmou ter roubado mais de 2 milhões de arquivos e publicou amostras de documentos supostamente extraídos. Até o momento, o condado não confirmou a alegação e não se sabe se um resgate foi pago ou como a rede foi comprometida. Este foi o segundo ataque de ransomware ao Condado de Winona em 2026, sendo que em janeiro o condado já havia declarado estado de emergência devido a um ataque anterior. O grupo Interlock, que começou a reivindicar ataques em 2024, já foi responsável por 16 incidentes em 2026, incluindo ataques a instituições educacionais e organizações sem fins lucrativos. Os ataques de ransomware a entidades governamentais nos EUA têm se tornado cada vez mais frequentes, resultando em sérios riscos de perda de dados e interrupção de serviços essenciais.

A empresa de tecnologia para utilidades Itron, Inc. confirmou que um terceiro não autorizado acessou alguns de seus sistemas internos durante um ciberataque. A detecção da atividade ocorreu em abril de 2026, levando a empresa a ativar seu plano de resposta a incidentes de cibersegurança, notificar as autoridades policiais e envolver consultores externos para investigar e conter a situação. A Itron, que fornece produtos e serviços para gestão de recursos de energia e água, afirmou que a atividade não causou interrupções significativas em suas operações e que não espera impactos futuros. A empresa também indicou que a maioria dos custos relacionados ao incidente deverá ser coberta por seguros. Embora a investigação ainda esteja em andamento, a Itron assegurou que a atividade não afetou seus clientes. Até o momento, nenhum grupo de ransomware reivindicou a responsabilidade pelo ataque. A empresa, com sede em Washington, é listada na NASDAQ e atende a 7.700 clientes em 100 países, gerenciando 112 milhões de pontos finais.

O grupo de ransomware Qilin reivindicou a responsabilidade por um ataque cibernético ocorrido em março de 2026 contra o governo local de Rusk County, Wisconsin. Os oficiais do condado relataram um ‘incidente de cibersegurança’ no início de março, que ainda está sob investigação. A confirmação do ataque foi feita pelo Qilin em seu site de vazamento de dados em 21 de abril de 2026, embora o condado não tenha reconhecido oficialmente a reivindicação. O grupo Qilin, baseado na Rússia, é conhecido por suas táticas de phishing e opera um modelo de ransomware como serviço, permitindo que afiliados utilizem seu malware para realizar ataques. Até agora, em 2026, o Qilin já reivindicou 411 ataques, sendo que 27 organizações confirmaram as invasões. O ataque a Rusk County é o quarto contra entidades governamentais neste ano, destacando uma tendência preocupante de ataques a governos nos EUA. Esses incidentes podem resultar em roubo de dados e paralisação de sistemas, obrigando as autoridades a pagar resgates para restaurar o funcionamento normal. O caso de Rusk County se junta a outros ataques recentes, como os ocorridos em Tulsa, Oklahoma, e Seal Beach, Califórnia.

A exchange de criptomoedas Grinex, incorporada no Quirguistão e sancionada pelo Reino Unido e pelos EUA, anunciou a suspensão de suas operações após um ataque cibernético que resultou no roubo de 13,74 milhões de dólares. A empresa afirmou que o ataque, ocorrido em 15 de abril de 2026, possui características que sugerem a participação de agências de inteligência estrangeiras, visando desestabilizar a soberania financeira da Rússia. O ataque resultou na perda de mais de 1 bilhão de rublos em fundos de usuários. Grinex é considerada uma rebranding da Garantex, que já havia sido sancionada por lavagem de dinheiro. O roubo foi realizado através de uma série de transações que evitaram a detecção e o congelamento dos ativos. A análise de blockchain revelou que os fundos roubados foram rapidamente convertidos em tokens não congeláveis, uma tática comum entre criminosos para lavar dinheiro. A situação levanta questões sobre a segurança das exchanges de criptomoedas e a possibilidade de operações de bandeira falsa, dada a natureza do ataque e o histórico da Grinex.

A Bitcoin Depot, que opera uma das maiores redes de caixas eletrônicos de Bitcoin, sofreu um ataque cibernético que resultou no roubo de aproximadamente 50,903 Bitcoins, avaliados em cerca de US$ 3,665 milhões. O incidente foi descoberto em 23 de março de 2026, quando a empresa detectou atividades suspeitas em seus sistemas de TI. Apesar de ter ativado rapidamente seus protocolos de resposta a incidentes e notificado as autoridades, os atacantes conseguiram roubar credenciais de contas de liquidação de ativos digitais antes que o acesso fosse bloqueado. A empresa afirmou que o incidente foi contido ao seu ambiente corporativo e não afetou as plataformas ou dados dos clientes. Embora a Bitcoin Depot tenha cobertura de seguro para ataques cibernéticos, a empresa alertou que isso pode não cobrir todas as perdas resultantes do ataque. Este não é o primeiro incidente de segurança da empresa; em 2024, quase 26,000 pessoas foram notificadas sobre um vazamento de dados que expôs informações pessoais. O ataque à Bitcoin Depot destaca a crescente vulnerabilidade das empresas no setor de criptomoedas e a necessidade de medidas de segurança robustas.

As Galerias Uffizi, um dos museus mais renomados da Itália, localizado em Florença, confirmou ter sido alvo de um ataque cibernético em fevereiro de 2026. Durante o incidente, hackers acessaram os servidores do museu e supostamente roubaram um arquivo fotográfico completo. No entanto, a instituição afirmou que possuía backups adequados, permitindo a restauração rápida dos dados perdidos. Relatos indicam que os atacantes também teriam acessado informações sensíveis, como códigos, senhas e mapas internos, mas o museu negou essas alegações, afirmando que não há evidências de que esses dados tenham sido comprometidos. A Uffizi está atualmente substituindo seu hardware, uma atualização que já estava planejada antes do ataque, e tomou medidas adicionais para proteger suas coleções, incluindo o armazenamento de itens valiosos em um cofre no Banco da Itália. Os hackers tentaram extorquir o museu, ameaçando divulgar os arquivos roubados na dark web, mas até o momento, nada foi vazado. Este incidente destaca a crescente vulnerabilidade de instituições culturais a ataques cibernéticos e a importância de manter sistemas de segurança atualizados.

O grupo de ransomware Qilin comprometeu a rede do partido político alemão Die Linke, que é uma organização socialista democrática, e está ameaçando vazar dados sensíveis. Em 27 de março, um dia após a invasão, o partido revelou um incidente cibernético, mas não confirmou um vazamento de dados. A organização, que possui 123 mil membros e 64 representantes no Bundestag, afirmou que os atacantes visam publicar informações internas e dados pessoais de funcionários, embora a base de dados de membros não tenha sido afetada. O Die Linke identificou os atacantes como criminosos cibernéticos de língua russa, motivados tanto financeiramente quanto politicamente, e destacou que o ataque não parece ser acidental. Em 1º de abril, o Qilin reivindicou publicamente a responsabilidade pelo ataque, adicionando o partido à sua lista de vítimas sem divulgar amostras de dados. O partido notificou as autoridades alemãs e está colaborando com especialistas em TI para restaurar seus sistemas. O uso de ransomware é frequentemente associado a guerras híbridas e ataques a infraestruturas críticas, o que levanta preocupações sobre a segurança cibernética em contextos políticos.

O Drift Protocol, uma plataforma de negociação DeFi baseada na blockchain Solana, sofreu um ataque cibernético que resultou na perda de pelo menos $280 milhões. O invasor conseguiu assumir o controle das funções administrativas do Conselho de Segurança da plataforma por meio de uma operação planejada e sofisticada, utilizando contas de nonce duráveis e transações pré-assinadas. O ataque foi preparado entre 23 e 30 de março, quando o hacker configurou as contas e obteve aprovações de 2/5 dos membros do Conselho de Segurança, permitindo a assinatura de transações maliciosas que não foram executadas imediatamente. No dia 1º de abril, o invasor realizou uma transação legítima e, em seguida, executou as transações maliciosas pré-assinadas, transferindo o controle administrativo para si em questão de minutos. Após o ataque, a Drift emitiu um alerta público, suspendendo depósitos e congelando funções da plataforma. A empresa está colaborando com firmas de segurança e autoridades para rastrear os fundos roubados e promete divulgar um relatório detalhado sobre o incidente em breve.

A Stryker Corporation, uma das principais empresas de tecnologia médica do mundo, anunciou que está totalmente operacional três semanas após um ciberataque que comprometeu muitos de seus sistemas. O ataque, reivindicado pelo grupo hacktivista Handala, vinculado ao Irã, ocorreu em 11 de março, quando os invasores alegaram ter roubado 50 terabytes de dados e apagado quase 80 mil dispositivos. A empresa, que possui mais de 53 mil funcionários e reportou vendas globais de 22,6 bilhões de dólares em 2024, conseguiu restaurar seus sistemas e retomar a produção em níveis pré-ataque. A Stryker destacou que a disponibilidade de produtos permanece saudável e que está trabalhando em parceria com especialistas em cibersegurança e agências governamentais para garantir a proteção do ecossistema de saúde. Embora inicialmente se acreditasse que os atacantes não usaram ferramentas maliciosas, a investigação revelou a presença de um arquivo malicioso que ajudou a ocultar as atividades dos invasores na rede da empresa. O grupo Handala, que surgiu em dezembro de 2023, é conhecido por atacar organizações israelenses e está vinculado ao Ministério da Inteligência e Segurança do Irã.

O grupo de ransomware Payouts King reivindicou a responsabilidade por um ataque cibernético à UFP Technologies, ocorrido em fevereiro de 2026. A UFP, uma fabricante americana de dispositivos médicos, revelou o incidente em um comunicado à Comissão de Valores Mobiliários dos EUA, informando que um terceiro não autorizado acessou seus sistemas, resultando no roubo de arquivos e na interrupção de processos de faturamento e rotulagem. O grupo afirma ter roubado 620 GB de dados da empresa e listou a UFP em seu site de vazamento de dados. Até o momento, a UFP não confirmou a alegação do grupo, e detalhes sobre a natureza dos dados comprometidos, a forma como o ataque foi realizado, se um resgate foi pago ou o valor exigido permanecem desconhecidos. O Payouts King, que atua de forma independente e não como um serviço de ransomware, já reivindicou 56 ataques, com 12 confirmados por organizações-alvo. O grupo tem como foco fabricantes e empresas do setor de saúde, que lidam com grandes volumes de dados pessoais, tornando-se alvos atraentes para hackers. O impacto de tais ataques pode ser devastador, comprometendo a segurança e a privacidade de pacientes e clientes.

A Cisco foi alvo de um ataque cibernético que resultou no roubo de código-fonte de seus produtos e de clientes, após a exploração de credenciais roubadas em um ataque à cadeia de suprimentos do Trivy. Os atacantes utilizaram um plugin malicioso do GitHub Action, comprometendo o ambiente de desenvolvimento interno da empresa. A violação afetou diversas estações de trabalho e sistemas de desenvolvimento, levando à clonagem de mais de 300 repositórios do GitHub, incluindo códigos de produtos de inteligência artificial. Embora a Cisco tenha contido a violação e isolado os sistemas afetados, a empresa está se preparando para as consequências de ataques subsequentes relacionados ao LiteLLM e Checkmarx. Além disso, chaves da AWS foram roubadas e utilizadas para atividades não autorizadas em algumas contas da Cisco. O ataque está vinculado ao grupo de ameaças TeamPCP, que já havia realizado ataques semelhantes em plataformas de desenvolvimento de código. A Cisco ainda não respondeu a solicitações de comentários sobre o incidente.

O Ministério das Finanças da Holanda desativou alguns de seus sistemas, incluindo o portal digital de tesouraria, após detectar um ataque cibernético em 19 de março. Embora a violação de segurança tenha afetado alguns funcionários, não foram divulgados detalhes sobre o número de pessoas impactadas ou se dados sensíveis foram roubados. O ministro Eelco Heinen informou que a interrupção afetou cerca de 1.600 instituições públicas, impossibilitando-as de acessar seus saldos de contas online e realizar operações financeiras através do portal. No entanto, os participantes ainda têm acesso total aos seus fundos e os pagamentos continuam normalmente por canais bancários regulares. A investigação está sendo conduzida com o apoio do Centro Nacional de Segurança Cibernética da Holanda e especialistas forenses externos. O ministério também notificou a Autoridade de Proteção de Dados da Holanda e registrou um boletim de ocorrência com a polícia nacional. O impacto do incidente é significativo, pois envolve instituições governamentais e pode afetar a confiança pública na segurança dos sistemas digitais do governo.

O grupo cibercriminoso conhecido como Inc reivindicou a responsabilidade por um ataque cibernético à cidade de Meriden, em Connecticut, que resultou em várias interrupções nos sistemas da cidade, incluindo atrasos na emissão de contas de água. O ataque, que começou a ser relatado em 17 de fevereiro, afetou serviços essenciais, como os escritórios do cartório e da arrecadação de impostos, que ainda estavam sendo restaurados mais de um mês após o incidente. Inc, um grupo de ransomware que surgiu em julho de 2023, utiliza métodos como phishing direcionado e exploração de vulnerabilidades conhecidas para invadir redes. O grupo já reivindicou 704 ataques, com 175 confirmados, sendo 25 direcionados a entidades governamentais. Embora os oficiais de Meriden não tenham confirmado a reivindicação do grupo, a situação destaca a crescente ameaça de ataques de ransomware a entidades governamentais nos EUA, que podem resultar em roubo de dados e paralisação de serviços. O impacto potencial desses ataques é significativo, pois pode levar a perdas financeiras e riscos de conformidade, especialmente em relação à proteção de dados pessoais.

O grupo de ransomware Interlock adicionou a Goodwill Industries da Pensilvânia Central ao seu site de vazamento de dados após alegadamente roubar 80 GB de informações. O ataque, que ocorreu em março de 2026, gerou problemas técnicos em várias lojas, incluindo a interrupção de sistemas que forçaram clientes a pagar apenas em dinheiro. Funcionários relataram que o sistema foi hackeado, corroborando a situação com postagens nas redes sociais. A Goodwill Industries International afirmou não ter conhecimento de um ataque cibernético em seus sites, sugerindo que as informações sobre a Goodwill de Greater Grand Rapids deveriam ser verificadas diretamente com eles. O Interlock, que começou a registrar vítimas em outubro de 2024, já realizou 96 ataques, utilizando uma técnica de dupla extorsão, onde exige um resgate para descriptografar sistemas e também ameaça vender dados na dark web. Este incidente destaca a vulnerabilidade de organizações sem fins lucrativos e a crescente ameaça de ataques de ransomware nos Estados Unidos, que já contabilizam 41 ataques confirmados em 2026, afetando diversas instituições, incluindo escolas e organizações de saúde.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para organizações americanas sobre a necessidade de fortalecer as configurações do Microsoft Intune, após um ataque cibernético que comprometeu os sistemas da Stryker Corporation, uma gigante da tecnologia médica. O ataque, reivindicado pelo grupo hacktivista Handala, resultou no roubo de 50 terabytes de dados e na utilização do comando de limpeza do Intune para apagar quase 80 mil dispositivos. Os hackers conseguiram criar uma nova conta de Administrador Global após comprometer uma conta de administrador existente. A CISA recomenda que as organizações adotem uma abordagem de menor privilégio para funções administrativas, implementem autenticação multifator (MFA) e exijam aprovação de múltiplos administradores para ações sensíveis, como a limpeza de dispositivos. Essas práticas visam aumentar a resiliência das organizações contra ataques semelhantes. O grupo Handala, vinculado ao Irã, é conhecido por suas operações de hacktivismo e por vazar dados sensíveis de sistemas comprometidos. O alerta da CISA destaca a importância de medidas proativas para proteger ambientes de gerenciamento de endpoints.

O grupo cibercriminoso Medusa reivindicou um ataque de malware ao Condado de Passaic, em Nova Jersey, ocorrido em março de 2026. Em um comunicado, as autoridades do condado informaram que o ataque afetou seus sistemas de TI e linhas telefônicas. Medusa exigiu um resgate de $800.000, com prazo até o final do mês, e publicou imagens de documentos que alegam ter sido roubados dos servidores do governo local. Embora o Condado de Passaic tenha reconhecido a ocorrência de um incidente de segurança, não confirmou a responsabilidade do grupo. A investigação está em andamento para determinar a natureza e a extensão do acesso não autorizado aos dados. Medusa, que opera um esquema de ransomware como serviço, já reivindicou outros ataques em 2026, incluindo instituições educacionais e governamentais. Os ataques de ransomware a entidades governamentais nos EUA têm se tornado mais frequentes, resultando em riscos significativos, como perda de dados e interrupção de serviços essenciais. O Condado de Passaic abriga cerca de 524.000 pessoas e está localizado na área metropolitana de Nova York.

O grupo de ransomware Medusa reivindicou a responsabilidade pelo ataque cibernético ao Centro Médico da Universidade do Mississippi (UMMC), ocorrido entre 19 de fevereiro e 2 de março de 2026. O ataque resultou no fechamento das clínicas e no cancelamento de consultas, afetando gravemente o atendimento ao paciente, que teve que ser realizado com registros manuais e em centros de comando improvisados. A UMMC perdeu acesso a linhas telefônicas, e-mails e registros de pacientes, levando à transferência de alguns pacientes para outras instituições. Medusa exigiu um resgate de $800.000 em troca da restauração dos sistemas e da não divulgação de dados supostamente roubados, que foram demonstrados em seu site de vazamento de dados. Embora a UMMC tenha retomado suas operações normais após nove dias, a extensão dos dados comprometidos e se o resgate foi pago permanecem desconhecidos. O grupo Medusa, ativo desde 2019, já realizou 154 ataques confirmados, sendo 33 direcionados a prestadores de serviços de saúde, comprometendo cerca de 3,7 milhões de registros pessoais. Os ataques de ransomware a instituições de saúde nos EUA têm se tornado cada vez mais frequentes e disruptivos, colocando em risco a segurança e a privacidade dos pacientes.

Na semana passada, a Stryker, gigante da tecnologia médica, sofreu um ciberataque que afetou seu ambiente interno da Microsoft, resultando na remoção remota de dados de cerca de 80 mil dispositivos de funcionários. A empresa afirmou que todos os seus dispositivos médicos permanecem seguros, mas os sistemas de pedidos eletrônicos estão fora do ar, obrigando os clientes a realizarem pedidos manualmente. O ataque, reivindicado pelo grupo hacktivista Handala, supostamente ligado ao Irã, não envolveu ransomware nem a instalação de malware, embora os atacantes tenham alegado ter apagado mais de 200 mil sistemas e roubado 50 terabytes de dados. A investigação está sendo conduzida pela equipe DART da Microsoft, em colaboração com especialistas em cibersegurança da Palo Alto Unit 42. A Stryker está focada na recuperação de seus sistemas e na normalização do fluxo de pedidos e entregas. A empresa assegura que todos os produtos em seu portfólio global, incluindo tecnologias conectadas e de salvamento, estão seguros para uso.

O Centro Médico da Universidade de Mississippi (UMMC) anunciou que retomou suas operações normais após um ataque de ransomware que durou nove dias, bloqueando o acesso a registros médicos eletrônicos e desativando muitos de seus sistemas de TI. O ataque forçou a instituição a cancelar procedimentos ambulatoriais e consultas de imagem, embora os serviços hospitalares continuassem a ser prestados. A UMMC confirmou que conseguiu restaurar o acesso aos registros dos pacientes e reabriu suas clínicas, que agora funcionam em horários estendidos para acomodar os pacientes. Embora nenhum grupo de ransomware tenha reivindicado a responsabilidade pelo ataque, a UMMC está em contato com os atacantes e trabalhando com o FBI e a CISA para investigar o incidente. A UMMC é um dos maiores empregadores do Mississippi, com mais de 10.000 funcionários e uma infraestrutura crítica que inclui o único programa de transplante de órgãos e medula óssea do estado. O ataque destaca a crescente ameaça de ransomware a instituições de saúde, que são alvos atraentes devido à sensibilidade dos dados que gerenciam.

O clube de futebol francês Olympique de Marseille confirmou ter sido alvo de um ataque cibernético, após um grupo de hackers afirmar que invadiu seus sistemas no início deste mês. O ataque resultou na suposta extração de uma base de dados que contém informações de cerca de 400 mil indivíduos, incluindo dados de funcionários e torcedores, como nomes, endereços, e-mails e números de telefone. Em resposta, o clube informou que, com a ajuda de suas equipes técnicas, conseguiu controlar a situação rapidamente, garantindo que suas operações continuassem normalmente e sem comprometimento de dados bancários ou senhas. Apesar de não ter confirmado oficialmente a violação de dados, o Olympique de Marseille notificou a autoridade de proteção de dados da França (CNIL) e alertou seus torcedores sobre possíveis tentativas de phishing. Este incidente ocorre em um contexto de aumento de ataques cibernéticos a grandes organizações, refletindo uma tendência preocupante no cenário de segurança digital.

A Wikipedia decidiu colocar o site Archive.today na lista negra, afetando mais de 695.000 links em cerca de 400.000 páginas em inglês. A decisão foi tomada após alegações de que Archive.today facilitou um ataque DDoS contra o blog de Jani Patokallio, utilizando um código JavaScript malicioso inserido em sua página CAPTCHA. Esse código fazia com que os navegadores dos usuários enviassem requisições repetidas ao blog, consumindo recursos e tornando-o inacessível. O ataque começou após o mantenedor do Archive.today exigir a remoção de um post que investigava a propriedade do site. A Wikipedia argumentou que a segurança dos usuários é mais importante do que a conveniência, considerando que um site que utiliza os navegadores dos visitantes para ataques é ’não confiável’. Além disso, a Wikipedia já havia banido Archive.today em 2013, antes de reverter a decisão em 2016. Agora, os editores da Wikipedia precisarão substituir os links do Archive.today por alternativas como Internet Archive ou Wayback Machine, ou utilizar fontes não arquivadas sempre que possível.

A Advantest Corporation, uma líder global em equipamentos de teste para semicondutores, revelou que sua rede corporativa foi alvo de um ataque de ransomware, que pode ter comprometido dados de clientes e funcionários. A empresa, com sede em Tóquio e que emprega cerca de 7.600 pessoas, detectou atividades incomuns em seu ambiente de TI no dia 15 de fevereiro, levando à ativação de protocolos de resposta a incidentes, incluindo a contenção de sistemas afetados. Especialistas em cibersegurança foram contratados para ajudar na investigação e contenção da ameaça. Embora a empresa não tenha confirmado o roubo de dados até o momento, a situação pode evoluir à medida que a investigação avança. A Advantest se comprometeu a notificar diretamente qualquer pessoa impactada e fornecer orientações sobre medidas de proteção. O ataque ocorre em um contexto de aumento de ciberataques a empresas japonesas, incluindo casos notáveis como os de Nissan e Muji. A empresa continuará a atualizar o público sobre novos desenvolvimentos relacionados ao incidente.

O Centro Médico da Universidade de Mississippi (UMMC) fechou todas as suas clínicas em decorrência de um ataque de ransomware que comprometeu seus sistemas de TI, incluindo o acesso aos registros médicos eletrônicos da Epic. Com mais de 10.000 funcionários e sendo um dos maiores empregadores do estado, o UMMC opera sete hospitais e 35 clínicas, além de ser o único centro de trauma de nível I e o único hospital infantil do Mississippi. O ataque levou ao cancelamento de cirurgias ambulatoriais e consultas, mas os serviços hospitalares continuaram através de procedimentos de contingência. A UMMC está investigando o incidente com a ajuda da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e do FBI. Embora os atacantes tenham se comunicado com a UMMC, não há confirmação sobre a responsabilidade pelo ataque. A situação permanece em avaliação, e a UMMC desativou todos os sistemas de rede como precaução. O impacto potencial inclui não apenas a interrupção dos serviços, mas também a possibilidade de roubo de dados, que pode ser usado como pressão para pagamento de resgate. A UMMC assegura que os cuidados aos pacientes estão sendo mantidos e que as aulas presenciais continuam normalmente.

O grupo de ransomware Rhysida reivindicou a responsabilidade por um ataque cibernético ocorrido em 8 de dezembro de 2025, que afetou os sistemas de TI das Tribos Cheyenne e Arapaho. A liderança tribal anunciou publicamente o incidente em 7 de janeiro de 2026, informando que 80% de seus sistemas estavam operacionais um mês após o ataque. Rhysida exigiu um resgate de 10 bitcoins, equivalente a cerca de R$ 700 mil, em troca da recuperação dos dados. Embora a tribo tenha tomado medidas imediatas para proteger as informações dos membros e a infraestrutura crítica, não está claro se houve perda de dados ou se o resgate foi pago. Este não é o primeiro incidente de ransomware enfrentado pelas Tribos Cheyenne e Arapaho, que já haviam sido atacadas em 2021. Rhysida, que opera um modelo de ransomware como serviço, já reivindicou 104 ataques confirmados, sendo 21 contra entidades governamentais. Em 2025, foram registrados 83 ataques de ransomware a entidades governamentais nos EUA, com um impacto significativo na segurança de dados e operações governamentais.

O governo italiano anunciou a prevenção de uma série de ciberataques, supostamente de origem russa, que visavam as Olimpíadas de Inverno de 2026, em Milano Cortina. O Ministro das Relações Exteriores, Antonio Tajani, informou que os ataques afetaram cerca de 120 alvos, incluindo escritórios do ministério das Relações Exteriores dos EUA e consulados em várias cidades, além da Universidade La Sapienza, em Roma. A universidade, uma das maiores da Europa, foi alvo de um ataque que parece ter sido um ransomware, levando à suspensão de seus sistemas para garantir a segurança dos dados. O grupo hacker pro-russo NoName057(16) reivindicou a responsabilidade pelos ataques, alegando que eram uma retaliação à política pró-Ucrânia da Itália. Apesar da gravidade da situação, o governo italiano afirmou que não houve interrupções significativas nos serviços. A situação destaca a crescente preocupação com a segurança cibernética em eventos internacionais e a necessidade de vigilância constante contra ameaças cibernéticas, especialmente em contextos de tensões geopolíticas.

A Universidade La Sapienza, em Roma, foi alvo de um ciberataque que afetou seus sistemas de TI, resultando em interrupções operacionais significativas. A instituição, que é a maior da Europa em número de alunos, com mais de 112.500 matriculados, anunciou o incidente em uma postagem nas redes sociais, informando que sua infraestrutura de TI foi comprometida. Como medida de precaução, a universidade decidiu desligar imediatamente seus sistemas de rede para garantir a integridade dos dados. Embora detalhes sobre o tipo de ataque e os responsáveis não tenham sido amplamente divulgados, informações da imprensa italiana sugerem que se trata de um ataque de ransomware, possivelmente realizado por um grupo pro-Rússia chamado Femwar02, que resultou na criptografia de dados. A universidade está colaborando com o CSIRT italiano e especialistas da Agenzia per la Cybersicurezza Nazionale para restaurar os sistemas a partir de backups que, segundo relatos, não foram afetados. Enquanto isso, pontos de informação temporários foram estabelecidos para ajudar alunos e funcionários durante a recuperação. A situação alerta para a necessidade de vigilância contra ataques de phishing, uma vez que dados roubados podem ser vendidos ou divulgados na internet.

O Ministério da Ciência, Inovação e Universidades da Espanha anunciou o fechamento parcial de seus sistemas de TI devido a um ‘incidente técnico’, que, segundo fontes da mídia, está relacionado a um ataque cibernético. O ataque foi reivindicado por um ator de ameaças que se identifica como ‘GordonFreeman’, que alegou ter explorado uma vulnerabilidade crítica chamada Insecure Direct Object Reference (IDOR) para obter acesso administrativo completo aos sistemas do ministério. Dados supostamente roubados, incluindo registros pessoais, endereços de e-mail e documentos oficiais, foram divulgados em fóruns clandestinos. O ministério suspendeu todos os procedimentos administrativos e estendeu os prazos para minimizar o impacto sobre os cidadãos e empresas afetadas. Embora o fórum onde os dados foram publicados esteja offline, a autenticidade das informações ainda não foi confirmada. O incidente destaca a vulnerabilidade de instituições governamentais a ataques cibernéticos e a necessidade de medidas de segurança robustas para proteger informações sensíveis.

O grupo de ransomware Lynx reivindicou um ataque cibernético à Lakelands Public Health, em Ontário, Canadá, que ocorreu em 29 de janeiro de 2026. O incidente afetou sistemas internos, incluindo linhas telefônicas, e a organização confirmou a descoberta de um problema de cibersegurança em 3 de fevereiro. Lynx alegou ter acessado e roubado dados confidenciais da instituição, publicando amostras de documentos em seu site de vazamento de dados. No entanto, a Lakelands Public Health não confirmou a autenticidade das alegações e não forneceu detalhes sobre a natureza dos dados comprometidos, se um resgate foi pago ou como a rede foi invadida. A organização está colaborando com autoridades e especialistas em cibersegurança para mitigar o impacto do ataque. Este incidente é parte de um aumento de 31% nos ataques de ransomware em organizações canadenses em 2025, com Lynx sendo responsável por 49 ataques confirmados desde sua formação em julho de 2024. O ataque à Lakelands Public Health é o primeiro incidente confirmado em 2026, destacando a crescente ameaça de ransomware, especialmente em setores críticos como a saúde pública.

A Step Finance, plataforma de finanças descentralizadas (DeFi) baseada na blockchain Solana, anunciou a perda de aproximadamente US$ 40 milhões em ativos digitais após um ataque cibernético que comprometeu dispositivos de sua equipe executiva. O incidente foi detectado em 31 de janeiro, quando a empresa revelou que várias de suas carteiras de tesouraria foram invadidas por um ator sofisticado utilizando um ‘vetor de ataque bem conhecido’. Embora a empresa tenha conseguido recuperar cerca de US$ 4,7 milhões em ativos, a magnitude da perda é alarmante, especialmente considerando que representa apenas uma fração dos US$ 398 milhões perdidos em ataques de roubo de criptomoedas no mesmo mês. A Step Finance tomou medidas imediatas, notificando as autoridades e suspendendo algumas operações para reforçar a segurança. A empresa também aconselhou os usuários a não interagir com seu token nativo, $STEP, até que a investigação seja concluída. O ataque gerou especulações sobre a possibilidade de um ‘rug pull’ ou um ’trabalho interno’, mas a Step Finance não forneceu detalhes sobre os perpetradores. Este incidente destaca a crescente vulnerabilidade das plataformas DeFi e a necessidade de medidas de segurança robustas no setor.

O Notepad++, um editor de texto amplamente utilizado, sofreu um ataque cibernético que comprometeu seu tráfego de atualizações por quase seis meses. De acordo com o desenvolvedor, o ataque, que começou em junho de 2025, foi realizado por atores de ameaças patrocinados pelo Estado Chinês, que interceptaram e redirecionaram seletivamente solicitações de atualização para servidores maliciosos. Os atacantes exploraram uma vulnerabilidade nas verificações de atualização do Notepad++, permitindo que manifestos de atualização adulterados fossem servidos a usuários específicos. Após a detecção da violação em dezembro de 2025, o Notepad++ migrou para um novo provedor de hospedagem com segurança reforçada e implementou melhorias significativas, incluindo a verificação de certificados e assinaturas de instaladores. Os usuários são aconselhados a alterar credenciais e atualizar suas instalações para proteger seus sistemas. A situação destaca a importância de manter práticas de segurança robustas, especialmente em softwares amplamente utilizados como o Notepad++.

No final de dezembro, um ataque coordenado à rede elétrica da Polônia comprometeu múltiplos locais de recursos energéticos distribuídos (DER), incluindo instalações de cogeração e sistemas de energia solar e eólica. Apesar de danificar equipamentos operacionais de forma irreparável, o ataque não resultou em interrupções no fornecimento de energia, afetando apenas 5% da capacidade total do país. Pesquisadores da Dragos, empresa especializada em segurança de infraestrutura industrial, identificaram pelo menos 12 locais afetados, embora estimem que o número real seja próximo de 30. O ataque, atribuído com confiança moderada a um ator de ameaça russo conhecido como Electrum, destacou a vulnerabilidade dos sistemas de energia descentralizados, especialmente em períodos críticos como o inverno. Os atacantes demonstraram profundo conhecimento técnico, comprometendo equipamentos de comunicação e sistemas de controle, mas não conseguiram causar um apagão nacional. No entanto, a possibilidade de desestabilização da frequência do sistema permanece, o que poderia levar a falhas em cascata, como já ocorreu em outros incidentes. Este evento serve como um alerta sobre a segurança das infraestruturas críticas em um contexto global cada vez mais ameaçado.

Um ataque cibernético coordenado atingiu múltiplos locais da rede elétrica da Polônia, sendo atribuído com média confiança ao grupo de hackers patrocinado pelo Estado russo, conhecido como ELECTRUM. Segundo a empresa de cibersegurança Dragos, o ataque, ocorrido em dezembro de 2025, é considerado o primeiro grande ataque direcionado a recursos energéticos distribuídos (DERs). Embora não tenha causado apagões, os invasores conseguiram acessar sistemas críticos de tecnologia operacional (OT) e desativar equipamentos essenciais de forma irreparável. O ataque visou as instalações de cogeração de calor e energia (CHP) e sistemas que gerenciam a distribuição de energia renovável, como eólica e solar. Os hackers utilizaram dispositivos de rede expostos e exploraram vulnerabilidades para obter acesso inicial, demonstrando um profundo entendimento da infraestrutura da rede elétrica. O ataque foi descrito como oportunista e apressado, permitindo que os invasores causassem danos significativos, como a formatação de dispositivos Windows e a redefinição de configurações. Este incidente destaca a crescente ameaça de adversários com capacidades específicas em OT, que estão ativamente mirando sistemas que monitoram e controlam a geração distribuída de energia.

Um ciberataque direcionado à rede elétrica da Polônia, ocorrido entre 29 e 30 de dezembro de 2025, foi atribuído ao grupo de hackers Sandworm, supostamente patrocinado pelo Estado russo. Durante o ataque, o grupo tentou implantar um novo malware destrutivo chamado DynoWiper, que tem a capacidade de apagar dados de forma irreversível. O ataque visou duas usinas de cogeração e um sistema de gerenciamento de energia renovável, resultando em um impacto significativo na infraestrutura elétrica do país. O malware DynoWiper, identificado como Win32/KillFiles.NMO, apaga arquivos do sistema, tornando-o inutilizável. O primeiro-ministro polonês, Donald Tusk, afirmou que as evidências indicam que o ataque foi preparado por grupos ligados aos serviços russos. Embora detalhes técnicos sobre o DynoWiper sejam escassos, a ESET, empresa de segurança cibernética, está monitorando a situação. Este ataque é parte de uma série de ações do Sandworm, que anteriormente já havia realizado ataques semelhantes na Ucrânia, afetando setores críticos como energia e educação. A situação destaca a crescente ameaça de ciberataques a infraestruturas críticas na Europa, especialmente em um contexto geopolítico tenso.

O grupo de hackers de nação estatal russo, conhecido como Sandworm, foi responsabilizado por um dos maiores ataques cibernéticos direcionados ao sistema de energia da Polônia na última semana de dezembro de 2025. Embora o ataque tenha sido classificado como o mais forte em anos, o ministro da energia polonês, Milosz Motyka, afirmou que não houve sucesso na tentativa de desestabilização. O ataque, que ocorreu em 29 e 30 de dezembro, visou duas usinas de cogeração e um sistema de gerenciamento de energia renovável. A ESET, empresa de cibersegurança, identificou o uso de um malware destrutivo inédito, denominado DynoWiper, vinculado a atividades anteriores do Sandworm, especialmente após a invasão da Ucrânia pela Rússia em 2022. O primeiro-ministro polonês, Donald Tusk, indicou que as investigações apontam para a responsabilidade de grupos associados aos serviços russos, e o governo está implementando medidas de segurança adicionais, incluindo uma nova legislação de cibersegurança. Este ataque coincide com o décimo aniversário do ataque de Sandworm à rede elétrica da Ucrânia em 2015, que resultou em apagões significativos. O Sandworm tem um histórico de ataques cibernéticos disruptivos, especialmente contra a infraestrutura crítica da Ucrânia.

A recente operação militar dos Estados Unidos que resultou na captura do presidente venezuelano Nicolás Maduro pode ter envolvido recursos cibernéticos, conforme sugerido por declarações do ex-presidente Donald Trump. Durante uma coletiva, Trump mencionou que ‘uma certa expertise’ foi utilizada, o que levantou especulações sobre a atuação do Comando Cibernético dos EUA. Especialistas, no entanto, alertam que a conexão entre a operação e um ciberataque ainda é incerta. A NetBlocks, uma rede de monitoramento, registrou perda de conexão de internet em Caracas durante a ação, mas seu diretor, Alp Toker, afirmou que isso não necessariamente indica um ataque cibernético, podendo ser resultado de explosões. O histórico dos EUA em operações cibernéticas, como o ataque ao programa nuclear do Irã em 2010, alimenta desconfianças sobre a possibilidade de um ciberataque. O general Dan Caine, chefe do Estado-Maior Conjunto dos EUA, confirmou que houve uma ‘sobreposição’ de medidas para facilitar a operação, mas não forneceu detalhes sobre a atuação das agências envolvidas.

O grupo de ransomware Inc reivindicou a responsabilidade por um ataque cibernético ocorrido em novembro de 2025 contra a Rainbow Communications, uma provedora de telefonia e internet rural no nordeste do Kansas. No dia 16 de novembro, a Rainbow anunciou problemas de serviço devido a um evento de cibersegurança que afetou a telefonia e a internet de seus clientes, com a normalização dos serviços ocorrendo em 19 de novembro. O grupo alegou ter roubado 200 GB de dados, incluindo informações contábeis, de recursos humanos e dados de clientes, e publicou amostras desses documentos em seu site de vazamento de dados. Até o momento, a Rainbow não confirmou as alegações do grupo, e detalhes sobre a extensão da violação, o número de pessoas afetadas, se um resgate foi pago ou como a rede foi comprometida permanecem desconhecidos. O grupo Inc, que surgiu em julho de 2023, já foi responsável por 54 ataques confirmados em 2025, afetando setores como saúde, educação e governo. Os ataques de ransomware em empresas de utilidade nos EUA têm se tornado cada vez mais comuns, resultando em interrupções significativas nos serviços e riscos de fraude para os clientes.

A gangue de ransomware DragonForce reivindicou um ataque cibernético à cidade de La Vergne, no Tennessee, que resultou na interrupção dos sistemas de computador da administração local. Em um comunicado emitido em 17 de outubro de 2025, os oficiais da cidade informaram que estavam investigando um incidente de rede que comprometeu os servidores do governo, com a gangue afirmando ter roubado 382 GB de dados. DragonForce deu um prazo de uma semana para que a cidade pagasse um valor não revelado em resgate, ameaçando divulgar os dados roubados caso a exigência não fosse atendida. Embora a cidade tenha tomado medidas imediatas para isolar os sistemas afetados e envolvido profissionais de cibersegurança e autoridades policiais, ainda não há confirmação sobre a veracidade das alegações da gangue. Este ataque é parte de uma tendência crescente de ataques de ransomware a entidades governamentais nos Estados Unidos, com mais de 70 incidentes confirmados em 2025, comprometendo cerca de 450 mil registros. A situação destaca a vulnerabilidade das infraestruturas governamentais e a necessidade urgente de medidas de proteção e resposta a incidentes.

O grupo de ransomware Rhysida reivindicou um ataque cibernético ao Escritório do Xerife do Condado de Cleveland, em Oklahoma, ocorrido em 20 de novembro de 2025. O ataque comprometeu partes do sistema interno do escritório, resultando na exigência de um resgate de 9 bitcoins, equivalente a aproximadamente $787.000. Para corroborar suas alegações, Rhysida divulgou imagens de documentos que supostamente foram roubados, incluindo cartões de Seguro Social, checagens de antecedentes criminais e registros médicos. Embora o escritório do xerife tenha confirmado a ocorrência do ataque, não houve verificação da autenticidade das informações divulgadas pelo grupo. Até o momento, não se sabe como os atacantes conseguiram acessar a rede do escritório ou se o resgate será pago. O grupo Rhysida, que surgiu em maio de 2023, já reivindicou 246 ataques de ransomware, afetando diversas agências governamentais nos EUA. Em 2025, foram registrados 72 ataques confirmados a entidades governamentais nos EUA, comprometendo cerca de 450.000 registros, com um resgate médio de $1,18 milhão. O ataque ao escritório do xerife destaca a crescente ameaça de ransomware a instituições governamentais e a necessidade de medidas de segurança robustas.

O grupo de ransomware conhecido como Devman reivindicou um ataque cibernético contra a Georgia Superior Court Clerks’ Cooperative Authority (GSCCCA), que resultou na interrupção do acesso ao seu site. O ataque ocorreu no final de semana, e o grupo afirmou ter roubado 500 GB de dados, exigindo um pagamento de resgate em um prazo de três dias, que já expirou. A GSCCCA, em sua página no Facebook, confirmou a ameaça cibernética e ativou protocolos de segurança defensiva, restringindo temporariamente o acesso aos seus serviços. Embora a GSCCCA não tenha confirmado a reivindicação de Devman, o grupo é conhecido por operar um modelo de ransomware como serviço, permitindo que afiliados lancem ataques utilizando sua infraestrutura. Desde abril de 2025, Devman já atacou mais de 50 organizações, incluindo agências governamentais. Em 2025, foram registrados 71 ataques de ransomware em entidades governamentais dos EUA, com um resgate médio de 1,2 milhão de dólares. O impacto desses ataques pode ser severo, resultando em perda de dados e interrupção de serviços essenciais, o que levanta preocupações sobre a segurança cibernética em instituições públicas.

A Comissão de Valores Mobiliários dos EUA (SEC) decidiu abandonar o processo judicial contra a SolarWinds e seu diretor de segurança da informação, Timothy G. Brown, que alegavam que a empresa havia enganado investidores sobre suas práticas de segurança cibernética, levando ao ataque à cadeia de suprimentos em 2020. A SEC havia acusado a SolarWinds de ‘fraude e falhas de controle interno’, afirmando que a empresa exagerou suas práticas de cibersegurança e não divulgou adequadamente os riscos conhecidos. O ataque, atribuído ao grupo APT29, patrocinado pelo Estado russo, expôs vulnerabilidades significativas. Em julho de 2024, o tribunal descartou várias alegações, afirmando que não havia evidências suficientes para sustentar as acusações. O CEO da SolarWinds, Sudhakar Ramakrishna, declarou que a empresa emerge mais forte e preparada após esse desafio. A decisão da SEC não reflete sua posição em outros casos relacionados, e a empresa continua a ser um ponto focal em discussões sobre segurança cibernética e conformidade regulatória.

Um ataque cibernético em larga escala, realizado quase inteiramente por inteligência artificial, foi revelado pela Anthropic. O incidente, que ocorreu em setembro de 2025, envolveu hackers patrocinados pelo Estado chinês que utilizaram a IA Claude Code para comprometer cerca de 30 alvos globais, incluindo grandes empresas de tecnologia, instituições financeiras e agências governamentais. A campanha de espionagem se destacou pela automação sem precedentes, com a IA gerenciando 80-90% das operações, exigindo intervenção humana apenas em 4-6 pontos críticos. Os atacantes exploraram capacidades avançadas da IA, como execução de tarefas complexas e operação autônoma, para realizar reconhecimento, desenvolver códigos de exploração e exfiltrar dados classificados. A Anthropic detectou a atividade suspeita e iniciou uma investigação, resultando na identificação de contas comprometidas e na notificação das organizações afetadas. Este incidente sinaliza uma diminuição nas barreiras para ataques cibernéticos sofisticados, permitindo que grupos menos experientes realizem operações que antes exigiam recursos significativos. A empresa recomenda que equipes de segurança experimentem aplicações de IA para melhorar a detecção de ameaças e a resposta a incidentes.

Um ator de ameaça de língua russa lançou uma campanha de phishing em larga escala, utilizando mais de 4.300 domínios registrados desde o início de 2025. O objetivo é fraudar indivíduos que planejam viagens, disfarçando-se como grandes plataformas de hotéis e reservas. A infraestrutura do ataque adota convenções de nomenclatura de domínio consistentes, incorporando palavras-chave como ‘confirmação’, ‘reserva’ e ‘verificação de cartão’, além de referências a hotéis de luxo para aumentar a credibilidade. O kit de phishing é dinâmico, personalizando cada página com base em um identificador único na URL, conhecido como ‘AD_CODE’, que ativa uma marcação em tempo real correspondente ao site falsificado. Os e-mails maliciosos são enviados sob a aparência de solicitações de feedback, levando as vítimas a clicar em links que as redirecionam para sites de phishing. Os domínios são registrados em blocos, utilizando gTLDs como .world e .help, e a campanha se expande com iscas traduzidas em 43 idiomas. A análise do site de phishing revela comentários em russo, ligando a campanha a círculos cibercriminosos de língua russa. A segurança deve monitorar domínios com palavras-chave de viagem e os usuários devem ser cautelosos com confirmações de reservas inesperadas.

O Escritório de Orçamento do Congresso (CBO) dos Estados Unidos foi alvo de um ataque cibernético realizado por um suposto ator de ameaça estrangeiro, resultando na exposição de dados confidenciais. O CBO, que atua como analista financeiro independente do Congresso, teve suas comunicações sensíveis entre os escritórios dos legisladores e a organização de pesquisa não partidária comprometidas. Essa violação levanta preocupações sobre a integridade das análises orçamentárias que influenciam a legislação federal americana. Embora a detecção do ataque tenha sido precoce, há receios de que e-mails internos e registros de chat tenham sido acessados antes da contenção. O incidente já causou interrupções operacionais, levando a vários escritórios do Congresso a suspender a correspondência por e-mail com o CBO, dificultando a análise orçamentária e a pontuação legislativa. O ataque ocorre em um momento de tensões partidárias elevadas, especialmente em relação às projeções de custo do CBO, que foram criticadas por republicanos. A natureza sofisticada do ataque sugere um interesse potencial de atores estatais nas operações do Congresso dos EUA e nas deliberações sobre políticas financeiras.

O grupo de ransomware Interlock reivindicou um ataque cibernético ao Departamento de Polícia de Shelbyville, no Kentucky, ocorrido em outubro de 2025. O chefe da polícia, Bruce Gentry, confirmou que a rede de computadores da instituição foi comprometida, resultando na interrupção de suas operações. Interlock alegou ter roubado 208 GB de dados, incluindo gravações de câmeras de segurança, e publicou amostras para corroborar sua afirmação. Até o momento, o departamento não confirmou a veracidade das alegações nem se pagará o resgate exigido. Interlock, que começou a operar em outubro de 2024, já reivindicou 72 ataques, sendo 35 confirmados por organizações-alvo. O grupo também é responsável por outras violações de dados em entidades governamentais. Os ataques de ransomware a entidades governamentais nos EUA têm se tornado cada vez mais frequentes, com 68 incidentes confirmados em 2025, causando interrupções significativas em serviços essenciais. O caso do Departamento de Polícia de Shelbyville destaca a vulnerabilidade das instituições públicas e a necessidade urgente de medidas de segurança cibernética eficazes.

O ecossistema de finanças descentralizadas (DeFi) enfrentou uma grave violação de segurança, com hackers explorando vulnerabilidades no protocolo Balancer, resultando em perdas superiores a US$ 100 milhões. O ataque focou nas V2 Composable Stable Pools, que operam em várias blockchains e possuem um recurso de segurança chamado ‘janela de pausa’, destinado a interromper transações em situações de emergência. No entanto, muitas dessas pools estavam ativas além do período em que essa proteção poderia ser acionada, deixando-as vulneráveis ao ataque. Após a descoberta da violação, a equipe de segurança do Balancer trabalhou rapidamente com especialistas em cibersegurança para conter os danos, interrompendo todas as pools elegíveis para pausa de emergência. Apesar das rigorosas práticas de segurança do Balancer, incluindo auditorias e programas de recompensas por bugs, o ataque demonstrou a sofisticação crescente das ameaças no setor DeFi. O Balancer alertou os usuários sobre tentativas de phishing que se aproveitaram da situação, enfatizando a importância de confiar apenas em fontes oficiais para informações. A equipe continua a colaborar com autoridades e especialistas para investigar o ataque e buscar a recuperação dos fundos.