Ataques Cibernéticos

A Cloudflare, empresa de segurança e redes, conseguiu mitigar um ataque DDoS que atingiu o pico recorde de 22,2 terabits por segundo (Tbps) e 10,6 bilhões de pacotes por segundo (Bpps). O ataque, que durou apenas 40 segundos, é considerado o maior já registrado na história da internet. Este tipo de ataque visa sobrecarregar sistemas e recursos de rede, tornando serviços lentos ou indisponíveis. A Cloudflare já havia neutralizado um ataque anterior de 11,5 Tbps há três semanas, e um de 7,3 Tbps dois meses antes. O tráfego gerado pelo ataque recente foi comparado a transmitir um milhão de vídeos em 4K simultaneamente. A identidade da vítima não foi divulgada, mas a botnet AISURU, que infectou mais de 300.000 dispositivos, é apontada como responsável pelos ataques. Essa botnet tem como alvo dispositivos como câmeras IP e roteadores, aumentando sua atividade desde abril de 2025, após uma atualização comprometida de firmware de roteadores Totolink. O aumento de 358% nos ataques DDoS em 2025 destaca a crescente preocupação com a segurança cibernética.

Um novo relatório da Recorded Future revela que um grupo de ciberespionagem, anteriormente conhecido como TAG-100, foi reclassificado como RedNovember, supostamente patrocinado pelo Estado chinês. Entre junho de 2024 e julho de 2025, o grupo atacou organizações governamentais e do setor privado em várias regiões, incluindo América do Norte, América do Sul e Ásia. Utilizando ferramentas como o backdoor Pantegana e Cobalt Strike, RedNovember explorou vulnerabilidades em dispositivos de segurança de grandes empresas, como Check Point e Cisco. O foco do grupo inclui setores sensíveis, como defesa, aeroespacial e organizações de segurança. Recentemente, o grupo foi associado a ataques a contratantes de defesa dos EUA e a um ministério de relações exteriores na Ásia Central. A utilização de ferramentas de código aberto e serviços de VPN para ocultar suas atividades é uma estratégia comum entre grupos de espionagem, dificultando a atribuição de suas ações. O relatório destaca a necessidade de vigilância contínua e medidas de mitigação para proteger as organizações contra essas ameaças emergentes.

Pesquisadores demonstraram, durante os eventos Black Hat e DEF CON, como a técnica de domain fronting pode ser utilizada para ocultar tráfego malicioso por meio de plataformas populares como Google Meet, YouTube e servidores de atualização do Chrome. Essa técnica explora a discrepância entre os cabeçalhos Server Name Indication (SNI) e HTTP Host em requisições HTTPS, permitindo que atacantes disfarcem suas atividades como chamadas legítimas a domínios confiáveis. Em testes de prova de conceito, foi possível invocar funções maliciosas em infraestrutura controlada por atacantes dentro do Google Cloud Platform (GCP) ao manipular esses cabeçalhos. Essa abordagem representa uma nova forma de ataque, especialmente relevante para equipes de segurança, que agora precisam desenvolver capacidades de inspeção mais profundas para identificar padrões de roteamento incomuns, mesmo em tráfego que parece legítimo. A liberação de um redirecionador de código aberto para facilitar a adoção dessa técnica por equipes vermelhas destaca a necessidade urgente de vigilância e mitigação por parte das organizações, que devem equilibrar a utilização de serviços do Google com a detecção de anomalias para evitar que atacantes se escondam em tráfego aparentemente seguro.

Hackers estão utilizando uma nova técnica chamada LNK Stomping para contornar a funcionalidade de segurança Mark of the Web (MoTW) do Windows. Essa técnica explora arquivos de atalho (LNKs), que, embora tenham sido criados para facilitar a vida do usuário, agora são usados para implantar cargas maliciosas disfarçadas de processos legítimos. Apesar das melhorias na política de bloqueio de macros da Microsoft em 2022, os atacantes continuam a explorar LNKs, frequentemente enviados como anexos de e-mail ou dentro de arquivos compactados. A estrutura dos arquivos LNK contém metadados que, quando manipulados, podem remover a etiqueta MoTW, permitindo que o código malicioso seja executado sem alertar o usuário. A pesquisa da Elastic Security Labs revelou que a normalização de caminhos no Windows pode ser manipulada para eliminar esses metadados de segurança. As organizações devem atualizar suas regras de detecção de endpoint para monitorar eventos de canonização de arquivos LNK e educar os usuários sobre os riscos de executar atalhos não solicitados. A evolução dos ataques exige uma pesquisa contínua sobre as fraquezas dos formatos de arquivo e ajustes proativos nas regras de segurança.

Duas prisões foram realizadas no Reino Unido em conexão com um ataque cibernético ao Transport for London (TfL) em agosto de 2024. Thalha Jubair, de 19 anos, e Owen Flowers, de 18, foram detidos pela National Crime Agency (NCA). Flowers já havia sido preso anteriormente, mas liberado sob fiança, e agora enfrenta novas acusações por ataques a empresas de saúde nos EUA. O ataque ao TfL causou grandes prejuízos financeiros e interrupções significativas, afetando a infraestrutura crítica do Reino Unido. Jubair, por sua vez, foi acusado de conspiração para fraudes cibernéticas e lavagem de dinheiro, com envolvimento em mais de 120 intrusões em redes e extorsão de 47 entidades nos EUA, resultando em pagamentos de resgate que totalizam mais de 115 milhões de dólares. As investigações revelaram que os hackers usaram técnicas de engenharia social para obter acesso não autorizado às redes, roubando e criptografando informações. O Departamento de Justiça dos EUA também apresentou queixas contra Jubair, que pode enfrentar até 95 anos de prisão se condenado. Este caso destaca o aumento das ameaças cibernéticas e a necessidade de vigilância constante por parte das autoridades e empresas.

Pesquisadores de cibersegurança da ReliaQuest identificaram uma nova onda de ataques cibernéticos direcionados ao setor financeiro, atribuídos ao grupo de cibercrime conhecido como Scattered Spider. Este grupo, que havia anunciado uma suposta interrupção de suas atividades, agora demonstra um foco renovado em instituições financeiras, conforme evidenciado por um aumento no registro de domínios semelhantes e uma recente invasão direcionada a um banco nos EUA. Os atacantes conseguiram acesso inicial por meio de engenharia social, comprometendo a conta de um executivo e utilizando o Azure Active Directory para redefinir senhas. A partir daí, acessaram documentos sensíveis e comprometeram a infraestrutura de VMware ESXi, permitindo a extração de credenciais e a infiltração na rede. Além disso, tentaram exfiltrar dados de plataformas como Snowflake e AWS. A ReliaQuest alerta que a alegação de aposentadoria do grupo deve ser vista com ceticismo, já que a história mostra que grupos cibercriminosos frequentemente se reagrupam ou rebatizam para evitar a pressão da lei. A situação destaca a necessidade de vigilância contínua por parte das organizações, especialmente em um cenário onde a segurança cibernética é cada vez mais crítica.

Em 1º de setembro de 2025, a Qrator.AntiDDoS conseguiu neutralizar um dos maiores ataques de negação de serviço distribuído (DDoS) da camada 7 já registrados, que envolveu 5,76 milhões de endereços IP únicos. O alvo foi uma organização do setor público, e o ataque ocorreu em duas ondas distintas. A primeira onda, com 2,8 milhões de dispositivos comprometidos, lançou um ataque de inundação HTTP, enquanto uma segunda onda, com cerca de 3 milhões de dispositivos, se juntou uma hora depois para intensificar o ataque. A Qrator bloqueou todos os IPs maliciosos, garantindo a continuidade dos serviços. Desde sua primeira aparição em março de 2025, a botnet cresceu rapidamente, com um aumento de 25% em três meses, sendo o Brasil o maior contribuinte, seguido por países como Vietnã e Estados Unidos. A botnet utiliza técnicas avançadas para contornar medidas de mitigação, ajustando dinamicamente os cabeçalhos das requisições e alternando entre ataques de alta intensidade e tráfego sustentado para esgotar os recursos dos servidores. Especialistas alertam que a rápida evolução dessa botnet exige que as organizações adotem estratégias de defesa em múltiplas camadas para se proteger contra esses ataques.

Um estudo abrangente realizado ao longo de três anos em Austrália, Canadá, Nova Zelândia e Reino Unido revelou tendências alarmantes nas operações de ransomware, com organizações australianas registrando 135 ataques documentados entre 2020 e 2022. A pesquisa analisou 865 incidentes de ransomware e destacou a evolução sofisticada das empresas cibernéticas, que agora adotam modelos de ransomware-as-a-service (RaaS). Nesse modelo, grupos principais desenvolvem o malware e gerenciam os pagamentos, enquanto afiliados realizam as invasões e negociações de resgate. O grupo Conti foi o mais ativo, com 141 ataques, seguido pelas variantes do LockBit, que contabilizaram 129 incidentes. O setor industrial foi o mais afetado, com o estudo utilizando inteligência artificial para classificar as organizações atacadas em 13 setores, alcançando 89% de precisão. Os resultados ressaltam a necessidade urgente de medidas de cibersegurança aprimoradas nas infraestruturas críticas australianas, à medida que os grupos de ransomware continuam a evoluir suas táticas e expandir suas capacidades operacionais.

A Microsoft enfrenta crescente escrutínio após a revelação de que a empresa utilizou engenheiros baseados na China para corrigir falhas no SharePoint, um produto que foi alvo de hackers apoiados pelo Estado. O ataque cibernético afetou centenas de empresas e agências governamentais dos EUA, incluindo o Departamento de Segurança Interna (DHS) e a Administração Nacional de Segurança Nuclear (NNSA). As vulnerabilidades permitiram que os invasores acessassem completamente o conteúdo do SharePoint, executando código remotamente e implantando ransomware. Embora a Microsoft tenha emitido um patch rapidamente, ele foi insuficiente para conter os ataques. A empresa confirmou a participação de uma equipe de engenharia da China, mas afirmou que o trabalho era supervisionado por engenheiros dos EUA. Especialistas em cibersegurança expressaram preocupações sobre as leis chinesas que permitem que agências estatais exijam cooperação de empresas privadas, levantando temores sobre a coleta de inteligência. Em resposta à pressão, a Microsoft anunciou que encerrará o uso de engenheiros da China em projetos do Pentágono e está avaliando sua presença em outros projetos governamentais. A empresa também planeja descontinuar o suporte para o SharePoint On-Premises em julho de 2026, incentivando a migração para seu serviço em nuvem, Azure.

O cenário global de ransomware em 2025 está em constante evolução, com o grupo SafePay se destacando como uma das ameaças mais ativas e disruptivas. Em junho, o grupo assumiu a responsabilidade por ataques a 73 organizações, um recorde mensal que o posicionou no topo do ranking de ameaças da Bitdefender. Em julho, mais 42 vítimas foram divulgadas, totalizando mais de 270 organizações atacadas até agora neste ano. O SafePay, que surgiu em setembro de 2024 após a desarticulação de grandes grupos de ransomware, adota uma abordagem diferente ao rejeitar o modelo de ransomware como serviço (RaaS) e realizar seus próprios ataques, visando empresas de médio e grande porte, especialmente em setores como manufatura, saúde e construção. O grupo utiliza táticas como credenciais comprometidas e ataques de força bruta para obter acesso inicial, seguido por movimentos laterais na rede e exfiltração de dados. A criptografia dos arquivos é realizada com o algoritmo ChaCha20, e os resgates variam amplamente, podendo ultrapassar US$ 100 milhões. A eficiência e a rapidez das divulgações do SafePay destacam a necessidade urgente de medidas de segurança em múltiplas camadas e monitoramento proativo.

A Cloudflare, empresa especializada em infraestrutura digital, anunciou a neutralização do maior ataque DDoS da história, que atingiu um pico de 11,5 terabits por segundo (Tbps). O ataque, que durou aproximadamente 35 segundos, foi realizado a partir de uma combinação de fontes, incluindo Google Cloud e dispositivos da Internet das Coisas (IoT), como câmeras de segurança e computadores comprometidos. Este incidente é parte de um aumento alarmante nos ataques DDoS, que cresceram 358% em 2025 em comparação ao ano anterior. A Cloudflare também relatou que mitigou 21,3 milhões de ataques DDoS em 2024, com um aumento significativo de 509% nas tentativas de ataque a nível de rede. O aumento na frequência e na intensidade desses ataques levanta preocupações sobre a segurança digital, especialmente para empresas que dependem de serviços online. O Brasil, em particular, se tornou um dos principais alvos de ataques DDoS na América Latina, o que destaca a necessidade de medidas de segurança robustas para proteger a infraestrutura digital do país.

O recente lançamento do framework Hexstrike-AI representa uma mudança significativa na ofensiva cibernética, permitindo que hackers explorem vulnerabilidades zero-day em questão de minutos. O Hexstrike-AI, que combina mais de 150 agentes de IA especializados, foi rapidamente utilizado para explorar falhas críticas no Citrix NetScaler ADC e Gateway, resultando em execução remota de código não autenticado. Essa ferramenta, inicialmente projetada para testes de segurança, agora serve como um motor escalável para ataques reais, reduzindo o tempo de exploração de dias para menos de dez minutos. As vulnerabilidades identificadas incluem CVE-2025-7775, que já está sendo explorada ativamente, e outras duas, CVE-2025-7776 e CVE-2025-8424, que ainda não foram confirmadas, mas apresentam riscos significativos. A rápida adoção do Hexstrike-AI por atores maliciosos destaca a necessidade urgente de as organizações implementarem defesas mais robustas, como sistemas de detecção baseados em IA e ciclos de patching mais curtos, para se protegerem contra essa nova realidade de ataques cibernéticos.

Pesquisadores de cibersegurança identificaram uma rede de IPs ucranianos envolvida em campanhas massivas de força bruta e ‘password spraying’ direcionadas a dispositivos SSL VPN e RDP entre junho e julho de 2025. A atividade se originou de um sistema autônomo baseado na Ucrânia, o FDN3 (AS211736), que faz parte de uma infraestrutura abusiva mais ampla, incluindo outras redes ucranianas e um sistema baseado nas Seychelles. Essas redes, alocadas em agosto de 2021, frequentemente trocam prefixos IPv4 para evitar bloqueios e continuar suas atividades maliciosas. Os ataques, que atingiram um pico recorde entre 6 e 8 de julho de 2025, são utilizados por grupos de ransomware como vetor inicial para invadir redes corporativas. A análise também revelou conexões com provedores de hospedagem ‘bulletproof’, que oferecem anonimato e facilitam a continuidade das atividades maliciosas. A situação é preocupante, pois destaca a vulnerabilidade de tecnologias amplamente utilizadas, como VPNs e RDPs, que são alvos frequentes de ataques cibernéticos.

Entre junho e julho de 2025, uma campanha coordenada de ataques de força bruta e password-spraying visou dispositivos SSL VPN e RDP em todo o mundo, com foco em sistemas interconectados registrados na Ucrânia e nas Seychelles. Analistas de segurança identificaram a atividade como sendo atribuída ao FDN3 (AS211736), controlado por Dmytro Nedilskyi, que realizou centenas de milhares de tentativas de login em um curto período. Os ataques utilizaram listas de credenciais conhecidas e visaram portas RDP e SSL VPN, com uma taxa de tentativas de 5.000 a 10.000 por hora. A infraestrutura dos atacantes é altamente evasiva, utilizando trocas de prefixos para evitar bloqueios e manter a pressão sobre os alvos. As organizações são aconselhadas a adotar estratégias proativas de detecção e resposta, utilizando serviços de inteligência de ameaças para mitigar esses ataques antes que ocorram. A situação representa um risco significativo para empresas que utilizam essas tecnologias, especialmente em um cenário onde a proteção de dados é crucial.

Os ataques de ransomware aumentaram em agosto de 2025, subindo de 473 em julho para 506, representando um crescimento de 7%. Este é o segundo mês consecutivo de alta após uma queda de março a junho. Um ataque inédito atingiu o Estado de Nevada, afetando serviços essenciais e deixando cidadãos sem acesso a informações críticas. Embora os ataques a governos continuem a ser uma preocupação, o setor de manufatura registrou um aumento significativo de 57% nos ataques, totalizando 113 incidentes. Em contraste, os setores de saúde e educação tiveram apenas um ataque confirmado cada, mas um número maior de ataques não confirmados. O grupo de ransomware mais ativo foi o Qilin, responsável por 86 ataques, seguido por Akira e Sinobi. No total, 30 ataques foram confirmados, com 17 direcionados a empresas e 11 a entidades governamentais. O impacto financeiro e operacional desses ataques é significativo, exigindo atenção especial dos CISOs, especialmente em setores críticos como saúde e manufatura.

A Salesforce lançou um guia de investigação forense em resposta a uma série de ataques cibernéticos, enfatizando a importância de as organizações que utilizam sua plataforma estarem preparadas para investigar e remediar incidentes de segurança rapidamente. O guia sugere a combinação de logs de atividade, análise de permissões e dados de backup para reconstruir eventos, avaliar impactos e fortalecer a resiliência contra ameaças futuras. Para uma análise forense mais profunda, recomenda-se habilitar o Shield Event Monitoring, que oferece três fontes de log distintas: Real Time Event Monitoring (RTEM), Event Log Objects (ELO) e Event Log Files (ELF). A análise inicial do impacto deve considerar o acesso e as permissões dos usuários comprometidos, utilizando ferramentas como o Who Sees What (WsW) Explorer. Além disso, a automação de respostas em tempo real através de Transaction Security Policies (TSP) é sugerida para bloquear ameaças imediatamente. O guia destaca a importância de monitorar continuamente as permissões e os logs para reduzir o tempo de permanência de incidentes e minimizar a perda de dados, garantindo a recuperação rápida de ambientes críticos da Salesforce.

À medida que as empresas transferem suas operações para navegadores, os desafios de segurança cibernética aumentam. Um estudo recente revela que mais de 80% dos incidentes de segurança têm origem em aplicações web acessadas por navegadores como Chrome, Edge e Firefox. O grupo de hackers conhecido como Scattered Spider, também chamado de UNC3944, tem se destacado por sua abordagem focada em roubar dados sensíveis diretamente dos navegadores. Suas táticas incluem a exploração de credenciais salvas, manipulação do ambiente do navegador e uso de técnicas avançadas como injeção de JavaScript e extensões maliciosas. Para combater essas ameaças, os CISOs devem adotar uma estratégia de segurança em múltiplas camadas, que inclui proteção contra roubo de credenciais, governança de extensões e monitoramento de atividades no navegador. O artigo serve como um alerta para que os líderes de segurança elevem a segurança do navegador a um pilar central de defesa, considerando a crescente sofisticação dos ataques cibernéticos.

O ataque de engano de cache é uma técnica sofisticada que permite que atacantes manipulem regras de cache para expor conteúdos sensíveis. Ao explorar inconsistências entre uma rede de entrega de conteúdo (CDN) e o servidor web de origem, os invasores conseguem enganar o cache, armazenando endpoints privados sob regras de ativos estáticos e, posteriormente, recuperando essas informações.

As CDNs geralmente diferenciam entre ativos estáticos (como imagens e arquivos CSS) e páginas dinâmicas, aplicando cabeçalhos permissivos a arquivos estáticos e restrições a páginas dinâmicas. No entanto, quando um caminho de URL imita um recurso estático, a CDN pode armazená-lo, enquanto o servidor de origem o trata como uma página dinâmica. Técnicas de exploração incluem confusão de extensão, discrepâncias de delimitadores e confusão de travessia de caminho, permitindo que os atacantes acessem conteúdos que deveriam ser privados.

Pesquisadores de cibersegurança identificaram uma nova campanha de phishing que utiliza mensagens de voz e ordens de compra falsas para disseminar um carregador de malware chamado UpCrypter. Os ataques têm como alvo setores como manufatura, tecnologia, saúde, construção e varejo, com maior incidência em países como Áustria, Canadá e Índia. A campanha se inicia com e-mails de phishing que induzem os destinatários a clicar em links que levam a páginas de phishing convincentes, onde são solicitados a baixar arquivos JavaScript maliciosos. O UpCrypter atua como um canal para ferramentas de acesso remoto, permitindo que atacantes assumam o controle total de sistemas comprometidos. O malware é distribuído em arquivos ZIP que contêm scripts ofuscados, que realizam verificações para evitar a detecção por ferramentas de análise forense. Além disso, a campanha se insere em um contexto mais amplo de ataques que exploram serviços legítimos, como o Google Classroom, para contornar protocolos de autenticação de e-mail. A situação destaca a necessidade de vigilância contínua e medidas de mitigação eficazes para proteger as organizações contra essas ameaças emergentes.

O cenário atual de cibersegurança é profundamente influenciado pela dinâmica política global, onde uma única violação pode impactar cadeias de suprimento e alterar o equilíbrio de poder. Recentemente, vulnerabilidades em gerenciadores de senhas foram descobertas, permitindo ataques de clickjacking que podem comprometer credenciais e dados financeiros. Além disso, hackers russos estão explorando uma falha antiga em dispositivos Cisco, coletando arquivos de configuração e alterando configurações para obter acesso não autorizado a redes críticas. A Apple também lançou correções para uma vulnerabilidade zero-day em seus sistemas operacionais, que estava sendo ativamente explorada. Outro ator, conhecido como Murky Panda, tem abusado de relações de confiança na nuvem para invadir redes empresariais. A INTERPOL anunciou a prisão de mais de 1.200 cibercriminosos na África, destacando a necessidade de cooperação internacional no combate ao cibercrime. Esses incidentes ressaltam a importância de uma abordagem estratégica em cibersegurança, onde as decisões de segurança transcendem a TI e se conectam a questões de negócios e confiança.

Pesquisadores de cibersegurança alertam sobre atividades maliciosas do grupo de espionagem cibernética Murky Panda, vinculado à China, que utiliza relacionamentos de confiança na nuvem para invadir redes empresariais. O grupo é conhecido por explorar vulnerabilidades de dia zero e dia N, frequentemente obtendo acesso inicial por meio de dispositivos expostos à internet. Murky Panda, que já atacou servidores Microsoft Exchange em 2021, agora foca na cadeia de suprimentos de TI para acessar redes corporativas. Recentemente, o grupo comprometeu um fornecedor de uma entidade norte-americana, utilizando o acesso administrativo para criar uma conta de backdoor no Entra ID da vítima, visando principalmente o acesso a e-mails. Outro ator relacionado, Genesis Panda, tem explorado sistemas de nuvem para exfiltração de dados, enquanto Glacial Panda ataca o setor de telecomunicações, visando registros de chamadas e dados de comunicação. A crescente sofisticação desses grupos destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger ambientes de nuvem.

A gangue de ransomware Interlock reivindicou a responsabilidade por um ataque cibernético ao governo local de Box Elder County, em Utah, ocorrido em 6 de agosto de 2025. O ataque resultou em interrupções em alguns serviços do condado, embora os processos eleitorais não tenham sido afetados. A Interlock afirma ter roubado 4,5 TB de dados, totalizando cerca de 2,1 milhões de arquivos, e publicou amostras desses documentos em seu site de vazamento. Até o momento, Box Elder County não confirmou a veracidade das alegações da gangue, e não se sabe se um resgate foi pago ou como os atacantes conseguiram invadir a rede do condado. A investigação sobre o incidente ainda está em andamento. A Interlock, que começou a operar em outubro de 2024, já reivindicou 25 ataques confirmados, afetando quase 2,6 milhões de registros. Os ataques de ransomware a entidades governamentais nos EUA têm aumentado, com 47 incidentes confirmados apenas neste ano. Esses ataques não apenas sequestram dados, mas também podem causar paralisações prolongadas e riscos de fraude para os cidadãos.