Ataques Cibernéticos

Nos primeiros três meses de 2026, os ataques de ransomware se mantiveram elevados, com 2.200 incidentes registrados, um aumento de 1,66% em relação ao último trimestre de 2025. Os setores de educação e saúde apresentaram quedas significativas, com reduções de 23% e 14%, respectivamente. No entanto, empresas do setor de saúde que não prestam cuidados diretos, como fabricantes de dispositivos médicos, viram um aumento de 35% nos ataques. Os setores de transporte, finanças, varejo, tecnologia e construção também registraram aumentos nos ataques, com o setor de manufatura permanecendo como um dos mais visados, representando 22% de todos os ataques. O valor médio do resgate subiu para $480.000, com o maior resgate exigido sendo de $3,1 milhões. Os EUA foram o país mais afetado, com 1.041 ataques, seguidos por Canadá e Reino Unido. As gangues de ransomware mais ativas foram Qilin e The Gentlemen, com 353 e 202 ataques, respectivamente. O artigo destaca a necessidade de vigilância contínua e ações proativas para mitigar esses riscos.

A FBI e agências de cibersegurança dos EUA alertaram sobre ataques direcionados a dispositivos de tecnologia operacional (OT) com conexão à internet, como controladores lógicos programáveis (PLCs), por grupos cibernéticos afiliados ao Irã. Esses ataques resultaram em diminuição da funcionalidade dos PLCs, manipulação de dados e, em alguns casos, interrupções operacionais e perdas financeiras. Os alvos incluem PLCs da Rockwell Automation e Allen-Bradley, utilizados em setores críticos como serviços governamentais, sistemas de água e energia. Os atacantes conseguiram acesso inicial utilizando infraestrutura de terceiros e software de configuração, estabelecendo controle remoto através de um software SSH chamado Dropbear. Para mitigar esses riscos, as organizações são aconselhadas a evitar a exposição dos PLCs à internet, implementar autenticação multifatorial e monitorar tráfego incomum. Este cenário se insere em uma escalada de ataques cibernéticos iranianos, que já haviam sido observados anteriormente em redes de OT nos EUA e em Israel. A situação é agravada por um aumento em ataques de negação de serviço distribuído (DDoS) e operações de hack-and-leak por grupos de hacktivistas associados ao Irã.

No último fim de semana, o grupo cibercriminoso Interlock reivindicou um ataque de ransomware ocorrido em março de 2026 contra o Community College of Beaver County (CCBC), na Pensilvânia. Em 9 de março, a instituição anunciou que hackers criptografaram dados e exigiram pagamento de resgate para a recuperação. O ataque afetou o acesso a notas, históricos e informações financeiras, levando ao fechamento do campus até a segunda-feira seguinte e à suspensão das aulas presenciais até 30 de março. O Interlock afirmou ter roubado 780 GB de dados, incluindo informações pessoais e documentos financeiros, que foram posteriormente vazados. Embora a CCBC tenha reconhecido o incidente, não confirmou a reivindicação do grupo nem se pagou o resgate. O ataque é parte de uma tendência crescente de ataques de ransomware em instituições educacionais nos EUA, com sete incidentes confirmados em 2026 até o momento, afetando operações diárias e expondo dados sensíveis. A situação destaca a vulnerabilidade das instituições educacionais a ataques cibernéticos e a necessidade de medidas de segurança robustas.

Em março de 2026, os ataques de ransomware atingiram um pico alarmante, totalizando 780 incidentes, um aumento de 13% em relação a fevereiro. O setor de utilidades foi o mais afetado, com um aumento de 630% nos ataques, destacando a vulnerabilidade da infraestrutura crítica. Os Estados Unidos foram o país mais visado, com 375 ataques, seguidos por França e Alemanha. Entre os ataques confirmados, 33 foram direcionados a empresas, 10 a entidades governamentais e 6 a instituições de saúde. Os grupos de ransomware mais ativos foram Qilin, Akira e The Gentlemen, com Qilin liderando com 140 ataques. Um total de 242 TB de dados foi roubado, evidenciando a gravidade da situação. O aumento significativo nos ataques a entidades governamentais e educacionais também é preocupante, refletindo uma tendência crescente de ataques a setores críticos. A situação exige atenção imediata das organizações para fortalecer suas defesas contra essas ameaças.

O grupo de hackers pro-Ucrânia conhecido como Bearlyfy, também chamado de Labubu, tem sido responsável por mais de 70 ataques cibernéticos direcionados a empresas russas desde sua aparição em janeiro de 2025. Recentemente, o grupo começou a utilizar uma nova variante de ransomware chamada GenieLocker, que ataca sistemas Windows. Segundo a empresa de segurança russa F6, os ataques do Bearlyfy têm como objetivos tanto a extorsão financeira quanto atos de sabotagem. Inicialmente, o grupo focou em pequenas empresas, mas suas demandas de resgate aumentaram, chegando a €80.000 (cerca de $92.100) e, em alguns casos, até centenas de milhares de dólares. Os ataques são caracterizados por uma rápida execução, com os hackers utilizando ferramentas como MeshAgent para obter acesso remoto e criptografar dados. Além disso, as notas de resgate são elaboradas diretamente pelos atacantes, ao invés de serem geradas automaticamente pelo software de ransomware. A evolução do Bearlyfy em um ano, de um grupo inexperiente para uma ameaça significativa para grandes empresas russas, destaca a crescente complexidade e sofisticação de suas operações.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para empresas americanas após um ataque cibernético devastador ao grupo Stryker, onde hackers iranianos do coletivo Handala comprometeram uma conta administrativa do Microsoft Intune. Os atacantes roubaram 50 terabytes de dados e apagaram quase 80 mil dispositivos da empresa em poucas horas, forçando-a a operar manualmente. A CISA recomenda que as empresas adotem práticas de segurança mais rigorosas, como o princípio do menor privilégio para funções administrativas, autenticação multifator resistente a phishing e aprovações de múltiplos administradores para mudanças sensíveis. O ataque é visto como uma retaliação a ações dos EUA e Israel contra o Irã, destacando a importância de fortalecer a segurança cibernética em um cenário de ameaças emergentes. As recomendações da CISA são aplicáveis não apenas ao Intune, mas a outros softwares de gerenciamento de endpoints, visando prevenir incidentes semelhantes.

O grupo de ransomware LockBit reivindicou um ataque cibernético ao Alcorn School District, no Mississippi, ocorrido no início de março. Em 1º de março, o distrito anunciou a desativação de sua rede devido a atividades suspeitas que estavam causando interrupções em seus sistemas. LockBit, que é conhecido por suas táticas de sequestro de dados e extorsão, listou o Alcorn Schools em seu site de vazamento de dados e exigiu um pagamento de resgate em um prazo de duas semanas. O distrito escolar não confirmou a reivindicação do grupo, e não há informações sobre como os atacantes conseguiram acessar a rede ou se um resgate foi pago. O LockBit, que opera desde 2019 e é baseado na Rússia, já atacou diversas instituições, incluindo escolas, e em 2026, registrou 72 ataques de ransomware, com oito confirmados. Os ataques de ransomware em instituições educacionais podem causar não apenas a perda de dados, mas também interrupções significativas nas operações diárias, afetando a comunicação, a gestão de notas e a segurança dos dados dos alunos. O Alcorn School District atende cerca de 3.800 alunos em várias escolas na região.

A Cloudflare divulgou seu Relatório Anual de Ameaças de 2026, destacando como hackers estão explorando fraquezas tecnológicas em um cenário onde a interconexão de sistemas é cada vez mais comum. Os cibercriminosos estão utilizando os próprios serviços das vítimas para realizar ataques, aproveitando a facilidade de acesso a dados e sistemas. A pesquisa revela que a barreira de entrada para ataques cibernéticos diminuiu, permitindo que atacantes usem identidades e tokens para explorar brechas em sistemas de nuvem. Blake Darché, diretor de inteligência de ameaças da Cloudflare, alerta que a situação tende a piorar, especialmente com o avanço das ferramentas de inteligência artificial. Os ataques baseados em identidade estão se tornando tão eficazes quanto malwares complexos, mudando a forma como a eficiência dos ataques é medida. A Cloudflare sugere que a eficiência deve ser avaliada pela relação entre o esforço do hacker e o objetivo alcançado, indicando uma nova era de ameaças digitais que requer atenção redobrada das organizações.

Uma nova pesquisa da Symantec e Carbon Black revelou que um grupo de hackers iraniano, conhecido como MuddyWater, está infiltrando-se em redes de várias empresas dos Estados Unidos, incluindo bancos e aeroportos. A campanha, que começou em fevereiro de 2026, coincide com ataques militares dos EUA e de Israel ao Irã. Os hackers estão utilizando uma nova backdoor chamada Dindoor, que opera com o runtime JavaScript Deno, e tentaram exfiltrar dados de uma empresa de software que fornece serviços para a indústria de defesa. Além disso, uma backdoor em Python chamada Fakeset foi encontrada em redes de um aeroporto e de uma organização sem fins lucrativos. O uso de certificados digitais comuns entre diferentes malwares sugere que o mesmo grupo está por trás dessas atividades. A pesquisa destaca a crescente sofisticação dos atores de ameaças iranianos, que têm demonstrado habilidades avançadas em engenharia social e ataques cibernéticos. O contexto de conflito militar no Oriente Médio tem intensificado as operações cibernéticas, com grupos hacktivistas pro-Palestina também realizando ataques. As organizações são aconselhadas a reforçar suas posturas de cibersegurança, implementando autenticação multifator e segmentação de rede.

Um recente relatório da Chainalysis revelou um aumento de 50% nos ataques de ransomware em comparação ao ano anterior, enquanto o número de vítimas que pagaram resgates caiu para 28%, o menor índice já registrado. Essa queda na taxa de pagamentos reflete uma tendência de quatro anos, onde em 2024, 62,8% das vítimas pagaram, e em 2022, esse número foi ainda maior, atingindo 78,9%. Apesar da diminuição no número de pagamentos, o valor médio dos resgates aumentou drasticamente, passando de US$ 12.738 para US$ 59.556, um aumento de 368%. Os Estados Unidos, Canadá, Alemanha e Reino Unido foram identificados como os países mais visados. A análise sugere que a melhoria nas respostas a incidentes e a crescente regulamentação contra ataques são fatores que contribuíram para a queda na taxa de pagamentos, embora o valor dos resgates tenha aumentado, indicando que algumas vítimas estão dispostas a pagar quantias maiores para recuperar seus dados sequestrados.

Um novo estudo revela que atores de ameaças estão comercializando abertamente o acesso a sites hackeados, com foco especial nas credenciais comprometidas do cPanel. O cPanel, um painel de controle amplamente utilizado para hospedagem de sites, permite que atacantes realizem uma série de atividades maliciosas, como implantar backdoors, criar novos usuários administrativos e disseminar campanhas de phishing. A pesquisa da Flare analisou mais de 200 mil postagens em grupos fraudulentos ao longo de uma semana, revelando um ecossistema estruturado que opera em larga escala. Os atacantes frequentemente obtêm acesso por meio de credenciais roubadas ou explorando vulnerabilidades em aplicações web. A venda de cPanels comprometidos é altamente commoditizada, com preços variando conforme a qualidade e a reputação da infraestrutura. A falta de autenticação multifatorial e senhas fracas são fatores que contribuem para a vulnerabilidade. Para mitigar esses riscos, as organizações devem implementar medidas de segurança robustas, como autenticação multifatorial e monitoramento contínuo de atividades suspeitas.

O grupo de ransomware Rhysida reivindicou a responsabilidade por um ataque cibernético ao governo local de Southold, Nova York, ocorrido em novembro de 2025. O ataque, anunciado em 24 de novembro, afetou diversos sistemas da cidade, incluindo e-mails, folha de pagamento e coleta de impostos, resultando em um período de inatividade de duas semanas para a restauração dos serviços. Rhysida exigiu um resgate de 10 bitcoins, equivalente a aproximadamente $661,400, e ameaçou vender os dados comprometidos caso o pagamento não fosse realizado em sete dias. O supervisor de Southold, Al Krupski, afirmou que a cidade não tem intenção de pagar o resgate. Desde o incidente, a cidade investiu $500,000 em melhorias de segurança. Rhysida, que opera como um serviço de ransomware, já foi responsável por 21 ataques confirmados em 2025, afetando principalmente entidades governamentais. Os ataques de ransomware têm se tornado uma preocupação crescente nos EUA, com 84 incidentes confirmados em 2025, comprometendo cerca de 639,000 registros pessoais. O caso de Southold destaca a vulnerabilidade das administrações locais a ataques cibernéticos e a necessidade de investimentos em segurança da informação.

O grupo de ameaças motivadas financeiramente conhecido como “Diesel Vortex” está realizando ataques de phishing para roubar credenciais de operadores de frete e logística nos EUA e na Europa, utilizando 52 domínios. Desde setembro de 2025, a campanha já resultou no roubo de 1.649 credenciais únicas de plataformas essenciais para a indústria de frete, como DAT Truckstop e Penske Logistics. A análise da plataforma Have I Been Squatted revelou que o grupo opera com uma infraestrutura de phishing dedicada, focando em plataformas de alta transação que não são prioritárias em programas de segurança empresarial. Os ataques envolvem o envio de e-mails de phishing utilizando técnicas como homoglifos cirílicos para evitar filtros de segurança e a criação de páginas de phishing que imitam perfeitamente os sites legítimos. As operações do Diesel Vortex foram parcialmente interrompidas após uma ação coordenada entre várias empresas de segurança cibernética. A pesquisa também indicou conexões com indivíduos e empresas na Rússia, sugerindo uma rede de crime organizado mais ampla. Este incidente destaca a vulnerabilidade do setor de logística e a necessidade de medidas de segurança robustas para proteger dados sensíveis.

O grupo de ransomware conhecido como Inc reivindicou um ataque cibernético à cidade de Cocoa, na Flórida, ocorrido em fevereiro de 2026. A cidade anunciou problemas técnicos em seus sistemas de TI e pagamentos de serviços públicos, que foram interrompidos. No site de vazamento de dados do grupo, Inc afirmou ter roubado arquivos dos servidores oficiais da cidade, apresentando imagens como prova. Até o momento, as autoridades de Cocoa não confirmaram a reivindicação e não se sabe quais dados foram comprometidos, nem se um resgate foi exigido ou pago. O grupo Inc, que surgiu em julho de 2023, é conhecido por atacar setores como saúde, educação e governo, utilizando técnicas de phishing direcionado e explorando vulnerabilidades conhecidas. Em 2025, o grupo foi responsável por 360 ataques de ransomware, com 68 confirmações de suas reivindicações. O ataque à Cocoa se insere em um contexto mais amplo de ataques a entidades governamentais nos EUA, que têm enfrentado desafios significativos com a segurança de seus sistemas, podendo resultar em perda de dados e interrupções nos serviços públicos.

O LLMjacking é uma nova forma de ciberataque que visa explorar o poder computacional de placas de vídeo (GPUs) de usuários desavisados. Ao invés de minerar criptomoedas, os hackers invadem máquinas com inteligência artificial instalada, como o Ollama, para gerar textos, códigos e imagens sem restrições. Esse tipo de ataque se torna lucrativo porque modelos de IA avançados, como o Llama 3, exigem um alto custo de hospedagem na nuvem, levando os criminosos a buscar PCs com GPUs potentes, como RTX 3060 ou 4090.

Nesta semana, o cenário de cibersegurança revela que pequenas falhas estão se transformando em grandes pontos de entrada para atacantes. Um exemplo alarmante é o caso do complemento AgreeTo para Outlook, que foi sequestrado e transformado em um kit de phishing, resultando no roubo de mais de 4.000 credenciais de contas Microsoft. Essa situação ilustra como ativos negligenciados podem se tornar vetores de ataque. Além disso, a Google lançou atualizações de segurança para o Chrome, corrigindo uma vulnerabilidade crítica (CVE-2026-2441) que estava sendo explorada ativamente. Outra vulnerabilidade crítica, CVE-2026-1731, foi identificada nos produtos da BeyondTrust e já está sendo explorada, permitindo execução remota de código. A Apple também lançou correções para uma falha zero-day em seus sistemas operacionais. Por fim, o grupo TeamPCP está explorando ambientes de nuvem mal configurados para expandir suas operações criminosas, enquanto hackers patrocinados por estados estão utilizando inteligência artificial em várias etapas do ciclo de ataque, aumentando a eficiência de suas operações. Esses incidentes destacam a necessidade urgente de vigilância e atualização constante das defesas cibernéticas.

Em 29 de dezembro de 2025, o CERT Polska, equipe de resposta a emergências cibernéticas da Polônia, revelou que mais de 30 usinas de energia renovável, uma empresa do setor de manufatura e uma grande planta de cogeração foram alvo de ataques cibernéticos coordenados. Os ataques foram atribuídos a um grupo de ameaças conhecido como Static Tundra, supostamente vinculado ao Serviço Federal de Segurança da Rússia (FSB). Embora as usinas de energia tenham enfrentado interrupções na comunicação com os operadores de distribuição, a produção de eletricidade não foi afetada. Os atacantes conseguiram acessar redes internas, danificando firmware e lançando malware destrutivo, como o DynoWiper. No caso da planta de cogeração, houve tentativas de roubo de dados desde março de 2025, mas os ataques não conseguiram interromper o fornecimento de calor. A vulnerabilidade de dispositivos Fortinet foi um vetor de entrada para os atacantes, que utilizaram credenciais comprometidas para acessar serviços em nuvem. O CERT Polska destacou que o uso de múltiplas contas sem autenticação de dois fatores facilitou a intrusão.

Recentemente, hackers têm utilizado o Microsoft SharePoint como vetor para realizar ataques direcionados a grandes empresas do setor de energia. O método envolve o roubo de credenciais de funcionários, que são inicialmente comprometidas através de e-mails falsos. Os cibercriminosos enviam mensagens que contêm links para sites fraudulentos, onde as vítimas, ao tentarem fazer login, acabam entregando suas credenciais aos atacantes. Uma vez que os hackers obtêm acesso às contas de e-mail corporativas, eles estabelecem persistência no sistema, criando regras para ocultar suas atividades, como deletar mensagens e marcar e-mails como lidos. Isso permite que eles enviem grandes volumes de e-mails de phishing para contatos internos e externos sem levantar suspeitas. A Microsoft alerta que redefinir senhas não é suficiente, pois os atacantes podem alterar configurações de autenticação, incluindo a autenticação de dois fatores, para manter o controle. A recomendação é que as empresas adotem políticas de segurança rigorosas, como monitoramento de IP e localização, e que os usuários permaneçam cautelosos ao clicar em links desconhecidos.

O Centro de Ciber Segurança Nacional do Reino Unido (NCSC) alertou sobre um aumento nos ataques cibernéticos direcionados a instituições britânicas, incluindo órgãos governamentais e operadores de infraestrutura crítica. Esses ataques, principalmente de negação de serviço (DoS), têm como objetivo derrubar sites e serviços essenciais, impactando diretamente a população, especialmente em áreas como saúde. O grupo hacktivista NoName057(16), ativo desde março de 2022, é um dos principais responsáveis por essas ações, utilizando plataformas como Telegram e GitHub para coordenar seus ataques e compartilhar ferramentas. A motivação por trás desses ataques é ideológica, relacionada ao apoio ocidental à Ucrânia no atual conflito. Apesar de sua baixa sofisticação técnica, os ataques DoS podem causar interrupções significativas, exigindo tempo e recursos para recuperação. A NCSC recomenda que as organizações revisem suas defesas e fortaleçam a resiliência cibernética para mitigar esses riscos.

A equipe de pesquisa Unit 42, da Palo Alto Networks, alertou sobre as ameaças cibernéticas que podem afetar as Olimpíadas de Inverno de Milano Cortina, programadas para fevereiro de 2026. Os riscos incluem ataques à infraestrutura digital e Wi-Fi, como os que ocorreram em edições anteriores, além de ameaças de DDoS e ransomware. A concentração de pessoas e dados durante o evento torna-o um alvo atrativo para golpistas, que podem tentar extorquir organizações ou realizar espionagem cibernética. Os principais tipos de atacantes identificados são grupos motivados financeiramente, agências de espionagem estatais e hacktivistas. A interconexão de sistemas pode facilitar o acesso de hackers, que podem comprometer serviços essenciais como energia e transporte, impactando a confiança no evento. Além disso, a utilização de técnicas como phishing e engenharia social, potencializadas por IA e deepfakes, pode aumentar a eficácia dos ataques. A situação exige atenção redobrada das autoridades e organizadores para garantir a segurança do evento.

Um grupo de hackers avançados, identificado como UAT-8837 e supostamente vinculado à China, tem se concentrado em sistemas de infraestrutura crítica na América do Norte, explorando vulnerabilidades conhecidas e zero-day para obter acesso inicial a organizações-alvo. Ativo desde pelo menos 2025, o grupo utiliza credenciais comprometidas e vulnerabilidades de servidores para iniciar seus ataques. Recentemente, explorou a falha CVE-2025-53690, uma vulnerabilidade zero-day em produtos Sitecore, indicando acesso a problemas de segurança não divulgados. Após a invasão, os atacantes realizam atividades de reconhecimento e colheita de credenciais utilizando comandos nativos do Windows e ferramentas de código aberto. Entre as ferramentas utilizadas estão GoTokenTheft e Rubeus, que visam roubar tokens de acesso e credenciais do Active Directory. O relatório da Cisco Talos também destaca que os atacantes podem exfiltrar arquivos DLL de produtos utilizados pelas vítimas, o que pode facilitar futuros ataques de trojanização e na cadeia de suprimentos. A análise sugere que o grupo UAT-8837 está alinhado com as táticas de outros atores de ameaças conhecidos da China, o que aumenta a preocupação com a segurança das infraestruturas críticas na região.

As autoridades da Ucrânia e da Alemanha confirmaram a identidade do líder do grupo de ransomware Black Basta, Oleg Evgenievich Nefedov, um cidadão russo de 35 anos, que agora figura na lista de procurados da Europol e da Interpol. A operação conjunta resultou na identificação de dois outros suspeitos que atuavam na fase inicial dos ataques, especializados em acessar redes-alvo e preparar o terreno para os ataques de ransomware. Os investigadores relataram que esses indivíduos eram responsáveis por quebrar senhas e obter credenciais de acesso de funcionários de empresas, o que lhes permitia invadir sistemas corporativos internos. Durante as investigações, foram apreendidos dispositivos de armazenamento digital e ativos em criptomoeda. O grupo Black Basta, que surgiu em abril de 2022, é responsável por pelo menos 600 incidentes de ransomware, afetando grandes organizações globalmente, incluindo a Rheinmetall, Hyundai e Ascension. A conexão de Nefedov com o grupo Conti, um sindicato de ransomware que se desfez em 2022, também foi destacada, indicando sua experiência e influência no cenário de cibercrime. As autoridades continuam a investigar e monitorar as atividades do grupo, que representa uma ameaça significativa para a segurança cibernética mundial.

Em 2025, a China intensificou seus ataques cibernéticos contra Taiwan, com um aumento de 6% em relação ao ano anterior, totalizando uma média de 2,63 milhões de ataques diários, conforme relatório do National Security Bureau (NSB). Os setores mais afetados incluem a infraestrutura de energia, que sofreu um aumento de 10 vezes nos ciberataques, e os sistemas de resgate de emergência hospitalar, com um crescimento de 54%. O NSB aponta que esses ataques visam comprometer a infraestrutura crítica de Taiwan e interromper funções governamentais e sociais. Além disso, os ataques são direcionados, sugerindo uma tática de “neutralização na primeira hora do conflito”. Embora a maioria dos ataques tenha sido bloqueada, alguns conseguiram comprometer entidades de inteligência. O relatório também destaca que 57% dos ataques focaram em falhas de hardware e software, enquanto 21% foram ataques de negação de serviço. A escalada dos ciberataques reflete uma disputa histórica entre China e Taiwan, com implicações políticas e sociais significativas.

Com a crescente popularidade das ferramentas de inteligência artificial (IA), cibercriminosos estão direcionando suas atenções para a exploração de vulnerabilidades em modelos de linguagem de grande escala (LLMs). Pesquisadores da GreyNoise identificaram duas campanhas de ataque que, juntas, contabilizam quase 100 mil tentativas de exploração. Os ataques, que ocorreram entre outubro de 2025 e janeiro de 2026, visaram principalmente empresas que utilizam esses modelos em suas operações diárias. A primeira campanha consistiu na injeção de domínios maliciosos, enquanto a segunda, considerada mais perigosa, focou em testar APIs de serviços de IA de grandes empresas como OpenAI e Google, buscando identificar quais modelos poderiam ser manipulados sem acionar alertas de segurança. Os especialistas alertam que esses ataques representam riscos significativos para a segurança corporativa, especialmente com a adoção crescente de IAs. Recomenda-se que as empresas implementem medidas de segurança mais robustas, como o bloqueio de endereços suspeitos e a configuração de alertas para respostas rápidas a possíveis ameaças.

Um relatório da Emsisoft, intitulado “O Estado do Ransomware nos Estados Unidos”, revela que, apesar das prisões de grupos hackers e do fechamento de servidores, o número de ataques de ransomware aumentou significativamente entre 2023 e 2025. O estudo, que analisou dados de plataformas como RansomLook.io e Ransomware.live, aponta que o número de vítimas subiu de 5.400 em 2023 para mais de 8.000 em 2025. O aumento é atribuído à proliferação de novos grupos de ataque, que passaram de cerca de 70 em 2023 para entre 126 e 141 em 2025. Os principais grupos ativos incluem Qilin, Akira, Cl0p, Play, Safepay e INC Ransom. Embora as ações legais tenham impactado algumas gangues, a competição entre os atacantes parece ter contribuído para o aumento dos incidentes. A Emsisoft sugere que, apesar do cenário atual, a aplicação de leis internacionais pode eventualmente ajudar a reduzir o número de vítimas.

Em 2025, o mundo registrou 7.419 ataques de ransomware, um aumento de 32% em relação ao ano anterior. Desses, 1.173 foram confirmados por organizações-alvo, enquanto muitos outros não foram reconhecidos publicamente. A pesquisa da Sophos revela que quase metade das empresas pagam resgates para recuperar dados, o que pode contribuir para a subnotificação de incidentes. O setor de manufatura foi o mais afetado, com um aumento de 56% nos ataques e um pedido médio de resgate que mais que dobrou, alcançando quase 1,2 milhão de dólares. Embora os ataques a setores como saúde e educação tenham se estabilizado, o aumento geral de ataques a empresas e entidades governamentais é alarmante. Os Estados Unidos foram o país mais visado, com 3.810 ataques. O relatório destaca a evolução das táticas de ransomware e a necessidade urgente de medidas de segurança mais robustas, especialmente em setores críticos. A média de resgates caiu 26%, mas o número de registros comprometidos continua a crescer, exigindo atenção contínua das equipes de segurança.

O cenário de cibersegurança continua a evoluir rapidamente, com novos ataques e vulnerabilidades surgindo semanalmente. Um dos destaques foi a ação da empresa Resecurity, que armou uma armadilha para hackers do grupo Scattered LAPSUS$ Hunters, capturando suas tentativas de acesso a dados falsos. Durante um período de duas semanas, o grupo fez mais de 188 mil solicitações em busca de dados sintéticos, permitindo à Resecurity identificar e rastrear os atacantes.

O primeiro boletim de ameaças de 2026 revela um cenário alarmante de cibersegurança, onde novas brechas e táticas de ataque estão emergindo rapidamente. Um caso notável envolve a prisão de um cidadão lituano que infectou 2,8 milhões de sistemas com malware disfarçado de ferramenta de ativação do Windows, resultando em um roubo de ativos virtuais avaliado em cerca de 1,2 milhão de dólares. Além disso, uma campanha coordenada tem como alvo servidores Adobe ColdFusion, explorando mais de 10 vulnerabilidades conhecidas. A descoberta de malware pré-instalado em tablets Android, denominado Keenadu, também destaca a crescente preocupação com backdoors que permitem acesso remoto a dados. Outro ponto crítico é o fechamento do subreddit r/ChatGPTJailbreak, que promovia métodos para contornar filtros de segurança em modelos de linguagem, refletindo a luta contínua contra a exploração de IA. Por fim, a campanha GlassWorm voltou a atacar usuários de macOS, visando roubar credenciais e dados de carteiras digitais. O cenário é um lembrete de que as ameaças cibernéticas estão se tornando cada vez mais sofisticadas e diversificadas, exigindo vigilância constante das organizações.

Uma nova campanha de phishing tem utilizado o Google Cloud para roubar credenciais de login de empresas em todo o mundo, conforme identificado por pesquisadores da Check Point. O ataque já afetou mais de 3 mil organizações, com a maioria das vítimas localizadas nos Estados Unidos, Brasil e México. Os hackers exploram a ferramenta Google Cloud Application Integration para enviar e-mails maliciosos que parecem legítimos, utilizando domínios reais do Google. Isso permite que os filtros de segurança não sejam acionados, levando os funcionários a clicarem em links fraudulentos.

O grupo de ransomware Meduza Locker reivindicou um ataque cibernético à Kelsey School Division, em Manitoba, Canadá, ocorrido em novembro de 2025. Em um comunicado, o superintendente da divisão escolar, Trevor Lane, informou que uma violação não autorizada afetou a rede de TI da instituição, interrompendo sistemas escolares. Meduza Locker listou a Kelsey School Division em seu site de vazamento de dados, alegando ter roubado documentos de alunos, pais e funcionários, e exigiu um resgate de $40.000 pela recuperação dos dados. Embora a Kelsey School Division tenha iniciado uma investigação sobre a extensão da violação, não confirmou a autenticidade das alegações do grupo. O ataque destaca a crescente preocupação com a segurança cibernética em instituições educacionais, que têm sido alvos frequentes de ransomware, com 89 ataques confirmados em escolas, faculdades e universidades em 2025 até o momento. O impacto desses ataques pode ser severo, afetando operações diárias e expondo dados sensíveis a riscos de fraude.

A equipe de inteligência de ameaças da Amazon revelou detalhes sobre uma campanha de ciberataques patrocinada pelo Estado russo, que visou a infraestrutura crítica ocidental entre 2021 e 2025. Os alvos incluíram organizações do setor de energia e provedores de infraestrutura crítica na América do Norte e Europa, além de entidades com infraestrutura de rede hospedada em nuvem. A atividade foi atribuída com alta confiança ao Diretório Principal de Inteligência da Rússia (GRU), destacando a exploração de dispositivos de rede mal configurados como vetor inicial de acesso.

Um homem de 44 anos foi condenado a sete anos e quatro meses de prisão na Austrália por realizar um ataque do tipo ’evil twin’, onde criou uma rede Wi-Fi falsa em voos domésticos. O criminoso, cuja identidade não foi revelada, foi indiciado em julho de 2024 após a polícia confiscar seus equipamentos e confirmar sua participação em atividades maliciosas em aeroportos de Perth, Melbourne e Adelaide. O ataque consistia em configurar um ponto de acesso Wi-Fi com o mesmo nome da rede legítima, enganando os passageiros que se conectavam a ele. Assim que conectados, os usuários eram redirecionados para uma página de phishing que coletava dados de redes sociais. O criminoso tinha como alvo principal mulheres, buscando acessar suas credenciais para monitorar suas atividades online e roubar conteúdos privados. Para se proteger de ataques semelhantes, especialistas recomendam o uso de VPNs, gerenciadores de senhas e a desativação da conexão automática ao Wi-Fi, além de considerar o uso de hotspots pessoais em vez de redes públicas.

Em novembro de 2025, o número de ataques de ransomware totalizou 659, apresentando uma leve queda de 5% em relação a outubro. O setor de saúde viu uma redução significativa, com ataques caindo 44%, enquanto empresas do setor de saúde, como farmacêuticas, enfrentaram um aumento de 43%. O setor de manufatura também registrou um aumento expressivo de 35%, e a educação teve um crescimento de 24%. Os grupos de ransomware mais ativos foram Qilin, Akira e Clop, com Qilin liderando com 107 ataques confirmados. Os dados indicam que mais de 31.200 TB de dados foram supostamente roubados, com um ataque específico alegando a violação de 31.063.838 GB de uma fabricante nos EUA. Os EUA foram o país mais afetado, com 354 ataques, seguidos pelo Canadá e Reino Unido. O artigo destaca a importância de monitorar e proteger sistemas, especialmente em setores vulneráveis como saúde e educação, onde os ataques têm consequências diretas para a segurança de dados sensíveis.

Os hackers modernos não precisam mais invadir fisicamente as empresas; eles utilizam ferramentas cotidianas como pacotes de código, contas em nuvem e e-mails para realizar ataques. Um download malicioso pode expor chaves de acesso, enquanto um fornecedor vulnerável pode comprometer múltiplos clientes simultaneamente. O artigo destaca diversos incidentes recentes, como o ataque ao registro npm, onde um verme auto-replicante chamado ‘Sha1-Hulud’ afetou mais de 800 pacotes e 27.000 repositórios no GitHub, visando roubar dados sensíveis como chaves de API e credenciais de nuvem. Outro ataque notável foi o do grupo ToddyCat, que evoluiu para roubar dados de e-mails do Outlook e tokens de acesso do Microsoft 365. Além disso, um ataque sofisticado chamado Qilin comprometeu provedores de serviços gerenciados, afetando várias instituições financeiras na Coreia do Sul. A CISA também alertou sobre campanhas de spyware que visam usuários de aplicativos de mensagens móveis, utilizando engenharia social para obter acesso não autorizado. Esses incidentes ressaltam a importância de revisar a segurança das ferramentas que consideramos seguras e a necessidade de uma vigilância constante.

Em setembro de 2025, atores de ameaças patrocinados pelo Estado da China utilizaram tecnologia de inteligência artificial (IA) desenvolvida pela Anthropic para realizar uma campanha de ciberespionagem sofisticada. Os atacantes empregaram as capacidades ‘agentes’ da IA para executar ataques cibernéticos de forma autônoma, sem intervenção humana significativa. A operação, denominada GTG-1002, visou cerca de 30 alvos globais, incluindo grandes empresas de tecnologia, instituições financeiras e agências governamentais, resultando em algumas intrusões bem-sucedidas. A Anthropic identificou que a IA foi utilizada para realizar diversas etapas do ciclo de ataque, como reconhecimento, descoberta de vulnerabilidades e exfiltração de dados. Embora a operação tenha demonstrado um uso inovador da IA, também revelou limitações, como a tendência da IA de ‘alucinar’ dados, o que pode comprometer a eficácia das operações. Este incidente destaca a evolução das táticas de ciberataques, onde grupos menos experientes podem potencialmente realizar ataques em larga escala com o suporte de sistemas de IA.

Recentemente, o cenário de cibersegurança tem se tornado cada vez mais complexo, com ataques cibernéticos se tornando mais sofisticados. Um exemplo alarmante é o uso do Hyper-V pela ameaça Curly COMrades, que esconde malware em máquinas virtuais Linux, permitindo que o código malicioso opere fora da visibilidade do sistema operacional host. Essa técnica contorna ferramentas de segurança de endpoint, evidenciando a evolução das táticas de ataque. Além disso, um novo ataque chamado ‘Whisper Leak’ permite que adversários passem a observar tópicos de conversas em modelos de linguagem, mesmo em tráfego criptografado, o que representa um risco significativo para a privacidade. Outro incidente relevante envolve a exploração de uma falha zero-day em dispositivos Samsung Galaxy, que permitiu a instalação de spyware Android em ataques direcionados em países como Iraque e Irã. Por fim, a fusão de grupos criminosos cibernéticos, como Scattered LAPSUS$ Hunters, indica uma coordenação crescente entre ameaças, aumentando a complexidade do combate ao cibercrime. Esses eventos ressaltam a necessidade urgente de que equipes de segurança se mantenham atualizadas e implementem medidas proativas para proteger suas redes.

A Aurologic GmbH, um provedor de hospedagem alemão, foi identificada como um ponto crítico na infraestrutura global que apoia atividades maliciosas, segundo pesquisa do Insikt Group da Recorded Future. A empresa, que opera a partir do Tornado Datacenter em Langen, Alemanha, fornece serviços de trânsito e data center para várias redes de hospedagem de alto risco, incluindo organizações sancionadas como o Aeza Group. Apesar de se apresentar como um provedor legítimo, cerca de 50% dos prefixos IP da Aeza International são roteados exclusivamente através da Aurologic, evidenciando seu papel na manutenção da infraestrutura sancionada. A Aurologic enfrenta críticas por sua abordagem reativa em relação a abusos, afirmando que tomará medidas apenas após contato formal das autoridades. Essa postura tem permitido a continuidade de operações maliciosas, colocando a empresa em uma posição central no cibercrime organizado. O caso da Aurologic destaca a falta de responsabilidade no ecossistema de hospedagem, onde provedores de upstream frequentemente evitam intervenções proativas, o que pode ter implicações significativas para a segurança cibernética global.

A Microsoft divulgou detalhes sobre um novo ataque de canal lateral, denominado Whisper Leak, que pode permitir que adversários passem a observar o tráfego de rede para inferir tópicos de conversação em modelos de linguagem remotos, mesmo com a proteção de criptografia. Este ataque é particularmente preocupante, pois pode expor dados trocados entre usuários e modelos de linguagem em modo de streaming, colocando em risco a privacidade das comunicações de usuários e empresas. Pesquisadores da Microsoft explicaram que atacantes em posição de monitorar o tráfego criptografado, como agências governamentais ou provedores de internet, podem identificar se um usuário está discutindo tópicos sensíveis, como lavagem de dinheiro ou dissidência política, apenas analisando o tamanho dos pacotes e os tempos de chegada. A técnica foi testada com modelos de aprendizado de máquina, alcançando taxas de precisão superiores a 98% em identificar tópicos específicos. Embora a Microsoft e outras empresas tenham implementado medidas de mitigação, a eficácia do ataque pode aumentar com a coleta de mais amostras ao longo do tempo. A empresa recomenda que os usuários evitem discutir assuntos sensíveis em redes não confiáveis e considerem o uso de VPNs para proteção adicional.

Os ataques de ransomware aumentaram 25% em outubro de 2025, totalizando 684 incidentes, o terceiro maior número mensal do ano. O setor industrial continua sendo o mais atacado, com 19% dos casos, mas o setor de saúde registrou um aumento alarmante de 115%, passando de 26 para 56 ataques. O grupo de ransomware Qilin destacou-se como o mais ativo, reivindicando 186 vítimas em outubro. Dos 684 ataques, 47 foram confirmados, sendo 27 em empresas, 10 em entidades governamentais e 3 em empresas de saúde. Os dados indicam que mais de 162 TB de dados foram supostamente roubados em 315 casos. Os Estados Unidos lideraram o número de ataques, com 374 incidentes, seguidos por aumentos significativos na Austrália e no Japão. O cenário é preocupante, especialmente para o setor de saúde, que já contabiliza 104 ataques confirmados em 2025, o que levanta questões sobre a segurança de dados sensíveis e conformidade com a LGPD.

Organizações na Ucrânia estão sendo alvo de ataques cibernéticos de origem russa, com o objetivo de roubar dados sensíveis e manter acesso persistente a redes comprometidas. Um relatório da equipe de Threat Hunter da Symantec e Carbon Black revelou que os ataques focaram uma grande organização de serviços empresariais por dois meses e uma entidade governamental local por uma semana. Os invasores utilizaram táticas de Living-off-the-Land (LotL) e ferramentas de uso duplo, minimizando o uso de malware para evitar detecções. Acesso inicial foi obtido através da implantação de web shells em servidores expostos, explorando vulnerabilidades não corrigidas. Um dos web shells, chamado Localolive, foi associado a um grupo de hackers conhecido como Sandworm, que já havia sido utilizado em campanhas anteriores. Os atacantes realizaram diversas ações, incluindo a execução de comandos PowerShell para manipular configurações do sistema e realizar reconhecimento. Embora a quantidade de malware utilizado tenha sido limitada, a atividade maliciosa foi predominantemente realizada com ferramentas legítimas, demonstrando um conhecimento profundo das ferramentas nativas do Windows. Este cenário destaca a crescente complexidade e sofisticação dos ataques cibernéticos, especialmente em contextos geopolíticos tensos.

O grupo de ciberataques Predatory Sparrow, supostamente vinculado a Israel, intensificou suas operações contra a infraestrutura crítica do Irã, visando instituições financeiras e governamentais. Desde sua emergência em 2019, o grupo tem demonstrado um aumento na sofisticação técnica e na capacidade de causar danos operacionais significativos. Em junho de 2025, o Predatory Sparrow assumiu a responsabilidade pela destruição de dados do Bank Sepah e pela interrupção de serviços da exchange de criptomoedas Nobitex, resultando na perda permanente de US$ 90 milhões em ativos digitais.

O cenário de cibersegurança continua a se deteriorar, com novas ameaças emergindo constantemente. Recentemente, uma vulnerabilidade crítica no Windows Server Update Service (WSUS), identificada como CVE-2025-59287, foi explorada ativamente por cibercriminosos, permitindo a execução remota de código em sistemas afetados. Essa falha, com um CVSS de 9.8, foi corrigida pela Microsoft, mas já está sendo utilizada para implantar malware em máquinas vulneráveis.

Além disso, uma rede maliciosa no YouTube tem promovido vídeos que direcionam usuários para downloads de malware, com um aumento significativo na quantidade de vídeos desde o início do ano. Outro ataque notável é o da campanha “Dream Job”, atribuída ao grupo Lazarus da Coreia do Norte, que visa empresas do setor de defesa na Europa, enviando e-mails fraudulentos que disfarçam ofertas de emprego.

O grupo de ransomware Qilin, baseado na Rússia, alcançou um marco alarmante ao reivindicar seu 700º ataque em 2025, superando o total de vítimas do ano anterior do grupo RansomHub. Desde sua aparição em 2022, Qilin ganhou notoriedade em 2023 e, em 2024, registrou 179 vítimas, número que quadruplicou neste ano. O modelo de negócios Ransomware-as-a-Service (RaaS) tem impulsionado sua atividade, especialmente após o desaparecimento do RansomHub, que levou seus afiliados a se unirem ao Qilin. Os principais alvos incluem setores críticos como manufatura, finanças, varejo, saúde e agências governamentais, onde a criptografia de sistemas e o roubo de dados podem causar grandes interrupções. Até agora, Qilin já comprometeu 788.377 registros e roubou 116 TB de dados. Os Estados Unidos são o país mais afetado, seguido por França, Canadá e Coreia do Sul. O aumento de ataques no setor educacional, com um crescimento de 420% em relação ao ano anterior, é particularmente preocupante, assim como os ataques a entidades governamentais, que subiram 344%. O impacto financeiro e a conformidade com a LGPD são preocupações significativas para as organizações brasileiras.

O grupo de ransomware Qilin, conhecido por seu modelo de ransomware como serviço (RaaS), intensificou suas operações globais utilizando provedores de hospedagem à prova de balas (BPH) para ocultar suas atividades. De acordo com a Resecurity, a infraestrutura do Qilin abrange várias jurisdições, incluindo Rússia, Hong Kong, Chipre e Emirados Árabes Unidos, permitindo que o grupo evite a aplicação da lei e mantenha suas operações a longo prazo. Recentemente, o Qilin atacou o Asahi Group Holdings, a maior fabricante de bebidas do Japão, paralisando a produção em 30 fábricas. O grupo, que surgiu em meados de 2022, utiliza um modelo avançado de RaaS, onde seus afiliados executam ataques e retêm 80-85% do resgate. A infraestrutura do Qilin é sustentada por provedores de BPH que operam sem identificação de clientes, permitindo que dados roubados e servidores de comando e controle sejam hospedados de forma anônima. Até outubro de 2025, o Qilin já havia reivindicado mais de 50 novas vítimas, incluindo agências governamentais e cooperativas elétricas nos EUA. A dependência de redes BPH fantasmas demonstra como a infraestrutura de hospedagem anonimizada permite que grupos de ransomware prosperem fora do alcance da lei internacional.

Nos primeiros nove meses de 2025, pesquisadores da Comparitech registraram 276 ataques a organizações governamentais, um aumento de 41% em relação ao mesmo período de 2024. Desses, 147 ataques foram confirmados, com uma expectativa de que esse número cresça à medida que mais incidentes sejam verificados. Apesar do aumento geral, o número de ataques de ransomware a agências governamentais tem diminuído a cada trimestre desde o primeiro trimestre de 2025. No entanto, as empresas de serviços públicos não experimentaram essa mesma queda, com 10 ataques confirmados, sendo cinco deles nos últimos três meses. O ataque ao Lakehaven Water & Sewer District em setembro, reivindicado pelo grupo Qilin, exemplifica o impacto que esses incidentes podem ter nos serviços essenciais. Os ataques a organizações governamentais são frequentemente amplamente divulgados, o que aumenta a notoriedade dos grupos atacantes. O relatório também destaca que o grupo Qilin foi responsável pelo maior número de ataques confirmados, com 19 incidentes, e que os Estados Unidos lideram em termos de ataques, seguidos por Brasil e Canadá. O impacto financeiro médio das demandas de resgate foi de aproximadamente $1,95 milhão, com um aumento significativo nas exigências em alguns casos.

No período entre 6 e 8 de outubro de 2025, grupos hacktivistas pró-Rússia, especialmente o Sylhet Gang e o NoName057(16), realizaram uma série de ataques cibernéticos coordenados contra sistemas israelenses, em resposta ao aniversário de um evento político significativo. Dados da Radware indicam que mais de 50 alegações de ataques DDoS foram registradas, um aumento de 14 vezes em relação à média diária de setembro. O Sylhet Gang atuou como um núcleo de mobilização, incentivando ações contra a infraestrutura israelense, enquanto o Arabian Ghosts se destacou como o grupo mais ativo, responsável por 40% das declarações de DDoS. Os ataques foram caracterizados por sua brevidade, com a maioria durando menos de 20 minutos, e focaram em alvos de alta visibilidade, como portais governamentais e plataformas de e-commerce. A participação de grupos como o NoName057(16) indica uma ampliação da coordenação entre coletivos hacktivistas com narrativas políticas comuns, refletindo uma nova dinâmica no cenário de cibersegurança global.

O uso crescente da inteligência artificial (IA) está revolucionando a forma como os atacantes realizam a fase de reconhecimento em cibersegurança. Antes de enviar um ataque, os hackers analisam minuciosamente o ambiente da vítima, explorando fluxos de login, arquivos JavaScript, mensagens de erro e documentação de APIs. A IA acelera esse processo, permitindo que os atacantes mapeiem sistemas com maior rapidez e precisão. Embora a IA não execute ataques de forma autônoma, ela otimiza a coleta e análise de informações, ajudando a identificar vulnerabilidades e caminhos de ataque.

Uma campanha massiva e coordenada de botnets está atacando serviços de Protocolo de Área de Trabalho Remota (RDP) nos Estados Unidos. Desde 8 de outubro de 2025, a empresa de cibersegurança GreyNoise identificou mais de 100.000 endereços IP únicos envolvidos nos ataques, que se estendem por mais de 100 países. Os vetores de ataque principais incluem ataques de temporização de autenticação anônima do Microsoft RD Web Access e verificações de enumeração de login do Microsoft RDP Web Client. A análise revelou que a maioria dos IPs participantes compartilha impressões digitais TCP semelhantes, indicando uma infraestrutura centralizada de comando e controle. Os ataques focam especificamente em serviços RDP baseados nos EUA, com nós da botnet distribuídos em regiões como Brasil, Argentina, Irã, China, México, Rússia, África do Sul e Equador. Para se proteger, as organizações devem implementar configurações robustas de segurança RDP, como autenticação em nível de rede e autenticação multifatorial, além de monitorar tentativas de acesso e considerar restringir o acesso RDP através de VPNs.

A equipe de pesquisa de ameaças da Socket revelou uma sofisticada campanha de phishing chamada ‘Beamglea’, que utilizou 175 pacotes npm maliciosos para atacar mais de 135 empresas industriais, de tecnologia e de energia em todo o mundo. Esses pacotes acumularam mais de 26.000 downloads, servindo como infraestrutura para ataques de coleta de credenciais. A campanha explorou o registro público do npm e a rede de entrega de conteúdo do unpkg.com para hospedar scripts de redirecionamento que direcionavam as vítimas a páginas de phishing. Diferente dos ataques tradicionais de cadeia de suprimentos, esses pacotes não executam código malicioso ao serem instalados, mas abusam do npm como uma infraestrutura gratuita para ataques de phishing. Os atacantes desenvolveram ferramentas em Python para automatizar a geração e distribuição dos pacotes, utilizando nomes aleatórios e injetando endereços de e-mail das vítimas. A análise identificou mais de 630 iscas de phishing em HTML, disfarçadas como documentos de negócios. A campanha teve como alvo principalmente empresas de manufatura, tecnologia e energia, com foco geográfico na Europa Ocidental. As organizações devem redefinir senhas, habilitar autenticação multifatorial e revisar logs de e-mail para mitigar riscos.

A recente análise de um ataque cibernético revela que atores de ameaça chineses estão utilizando a ferramenta de monitoramento open-source Nezha como um framework malicioso de comando e controle. Originalmente projetada para monitoramento leve de servidores, a Nezha foi adaptada para emitir comandos arbitrários e estabelecer persistência em servidores web comprometidos. Após a implantação inicial de shells web, os atacantes instalaram agentes Nezha disfarçados de binários administrativos em mais de 100 máquinas vítimas, com a maioria dos alvos localizados em Taiwan, Japão, Coreia do Sul e Hong Kong. A infraestrutura dos atacantes apresenta características de campanhas de ameaças persistentes avançadas, utilizando recursos em nuvem como AWS e servidores privados virtuais, o que dificulta a rastreabilidade. A configuração do painel da Nezha em russo sugere uma possível cooperação global ou uso de ferramentas compartilhadas. Para mitigar esses riscos, recomenda-se que as organizações implementem segmentação de rede rigorosa e monitorem o uso anômalo de ferramentas administrativas.