Ataques Cibernéticos

Investigadores de crimes financeiros na Holanda, conhecidos como FIOD, prenderam dois homens e apreenderam 800 servidores de uma empresa de hospedagem na web, a Stark Industries. A operação, que ocorreu em várias localidades, incluindo Dronten e Schiphol-Rijk, revelou que a empresa estava envolvida em ciberataques, operações de interferência e campanhas de desinformação, apoiando indiretamente entidades russas e bielorrussas sancionadas pela União Europeia. A Stark Industries, fundada em fevereiro de 2022, foi adicionada à lista de entidades sancionadas em maio do ano passado. Após a imposição das sanções, a infraestrutura de hospedagem foi transferida para uma nova empresa, a WorkTitans B.V., que, segundo investigações, atuava como uma fachada para as entidades sancionadas. A WorkTitans é acusada de estar ligada a ataques cibernéticos realizados pelo grupo hacktivista pro-russo NoName057(16), que já realizou ataques DDoS a organizações importantes. A operação destaca a crescente preocupação com o uso de serviços de hospedagem para atividades ilegais e a necessidade de vigilância contínua sobre a infraestrutura digital.

A Microsoft emitiu um alerta sobre uma campanha de phishing em larga escala que afetou mais de 35.000 usuários em 13.000 empresas, principalmente nos Estados Unidos. Entre 14 e 16 de abril de 2026, a campanha se espalhou por 26 países, com 92% dos e-mails direcionados a organizações americanas, especialmente nos setores de saúde (19%) e serviços financeiros (18%). Os e-mails, que utilizavam templates HTML refinados e mensagens de urgência, foram projetados para parecer comunicações internas legítimas, aumentando a probabilidade de que os destinatários caíssem na armadilha. Os atacantes usaram identidades falsas e alegações de conformidade para pressionar os usuários a agir rapidamente. Além disso, os e-mails continham links que redirecionavam os usuários para páginas maliciosas após a abertura de PDFs, passando por CAPTCHAs para criar uma falsa sensação de segurança. O objetivo final era coletar credenciais do Microsoft em tempo real, contornando a autenticação multifator (MFA). Essa campanha destaca a evolução das táticas de phishing, exigindo que as empresas adotem medidas de segurança mais robustas para proteger suas informações.

O Departamento de Justiça dos EUA anunciou a condenação de dois profissionais de cibersegurança, Ryan Goldberg e Kevin Martin, a quatro anos de prisão por sua participação em ataques de ransomware BlackCat em 2023. Ambos, junto com um terceiro cúmplice, Angelo Martino, foram acusados de extorquir vítimas em todo o país, utilizando suas habilidades em cibersegurança para facilitar os ataques. Os criminosos concordaram em pagar 20% dos resgates recebidos aos administradores do BlackCat em troca de acesso à plataforma de extorsão. Em um dos casos, conseguiram extorquir cerca de US$ 1,2 milhão em Bitcoin, que foi posteriormente lavado. O esquema de ransomware como serviço (RaaS) BlackCat já havia atacado mais de 1.000 vítimas globalmente. Martino, que também se declarou culpado, abusou de sua função como negociador para obter pagamentos maiores, revelando informações confidenciais sobre limites de apólices de seguro das vítimas. O caso destaca a grave ameaça que profissionais com conhecimento técnico podem representar quando desviam suas habilidades para atividades criminosas.

Ryan Clifford Goldberg e Kevin Tyler Martin, ex-funcionários de empresas de resposta a incidentes de cibersegurança, foram condenados a quatro anos de prisão por envolvimento em ataques de ransomware BlackCat (ALPHV) contra empresas nos EUA. Ambos, junto com um terceiro cúmplice, Angelo Martino, atuaram como afiliados do ransomware entre maio e novembro de 2023, comprometendo redes de diversas vítimas, incluindo uma empresa farmacêutica em Maryland e um fabricante de dispositivos médicos em Tampa. Os criminosos exploraram seu conhecimento especializado em cibersegurança para extorquir empresas, exigindo resgates que variavam de $300.000 a $10 milhões. O caso destaca a crescente ameaça de ransomware e a necessidade de vigilância constante nas redes corporativas. O FBI já havia vinculado o grupo BlackCat a mais de 60 violações de segurança, coletando pelo menos $300 milhões em pagamentos de resgate até setembro de 2023. Este incidente ressalta a importância de uma postura proativa em cibersegurança e a necessidade de medidas rigorosas para proteger dados sensíveis.

No primeiro trimestre de 2026, foram registrados 120 ataques de ransomware em hospitais e provedores de saúde, além de 81 ataques a empresas do setor, como fabricantes de dispositivos médicos e provedores de tecnologia. Embora os ataques a provedores de saúde tenham diminuído em 15% em relação ao trimestre anterior, os ataques a empresas de saúde aumentaram 35%, refletindo a lucratividade contínua para os hackers. Um ataque significativo ocorreu no University of Mississippi Medical Center, que resultou na paralisação de clínicas por um mês. Dados sensíveis de 131.700 pessoas foram comprometidos em um ataque ao Nippon Medical School Musashi Kosugi Hospital no Japão, e 92.000 pessoas foram notificadas sobre um ataque ao Hospital Caribbean Medical Center em Porto Rico. Os grupos de ransomware mais ativos foram Qilin e The Gentlemen, com Qilin liderando em ataques confirmados. O relatório destaca a necessidade urgente de medidas de segurança robustas no setor de saúde, que continua sendo um alvo atrativo para cibercriminosos.

Em 2025, o tempo médio entre a invasão de uma rede corporativa e a movimentação do invasor para outra máquina caiu para 29 minutos, uma redução significativa em relação aos 48 minutos de 2024. O relatório da CrowdStrike revela que o caso mais rápido de roubo de dados ocorreu em apenas 27 segundos. Esse intervalo, conhecido como ‘breakout time’, representa o tempo que as equipes de segurança têm para detectar e conter um ataque antes que ele se espalhe pela rede. Além disso, 82% dos ataques em 2025 não utilizaram malware, com os invasores utilizando credenciais legítimas para operar como usuários autorizados. Essa mudança na abordagem dos ataques, que agora se concentram em métodos mais sutis, como o uso de credenciais válidas, torna a detecção mais difícil. A adoção de inteligência artificial por grupos criminosos também aumentou, com um crescimento de 89% nos ataques que utilizam essa tecnologia. O grupo FAMOUS CHOLLIMA, vinculado à Coreia do Norte, destacou-se por sua infiltração em processos seletivos para inserir atacantes dentro das empresas. O relatório alerta para a crescente sofisticação e velocidade dos ataques cibernéticos, exigindo uma resposta mais ágil e eficaz das equipes de segurança.

O grupo de ransomware Rhysida atacou a STELIA Aerospace North America Inc., exigindo um resgate de 27 bitcoins (aproximadamente R$ 2,07 milhões) em troca de 10 TB de dados. A empresa, subsidiária da Airbus Atlantic, confirmou a detecção do ataque e ativou seus protocolos de defesa cibernética, isolando os sistemas afetados. A STELIA assegurou que o incidente está restrito ao seu ambiente de TI e não afeta a rede mais ampla da Airbus Atlantic. Documentos, incluindo informações de identidade e planos de benefícios de funcionários, foram divulgados pelo grupo, que também listou clientes importantes como Lockheed Martin e Boeing, sugerindo que dados desses parceiros podem ter sido comprometidos. Desde sua origem em maio de 2023, Rhysida já registrou 266 ataques, com uma média de resgate de aproximadamente R$ 5,4 milhões. Este é o segundo ataque confirmado em 2026, após um incidente com a Elabs AG na Alemanha. O Canadá tem sido um alvo frequente para ataques de ransomware, com 133 alegações em 2026, sendo 26 delas direcionadas a fabricantes, como a STELIA.

O LAPSUS$ é um grupo de hackers que ganhou notoriedade internacional desde 2020, especialmente por seus ataques a grandes empresas de tecnologia, como Microsoft e Nvidia. Com uma abordagem agressiva, o grupo se destaca por roubar códigos-fonte e dados sensíveis, utilizando táticas de engenharia social para obter acesso legítimo aos sistemas das vítimas. Em 2022, o LAPSUS$ invadiu a Microsoft, acessando 37 GB de dados, e a Nvidia, de onde extraiu 1 TB de informações. O grupo também atacou o Ministério da Saúde do Brasil em 2021, comprometendo dados relacionados à vacinação contra a Covid-19. A maioria dos membros do LAPSUS$ é composta por adolescentes, o que surpreendeu as autoridades durante as investigações. Apesar de algumas prisões e esforços para desmantelar a organização, o LAPSUS$ continua ativo, como evidenciado pelo recente ataque à AstraZeneca, onde 3 GB de dados foram roubados. As empresas devem redobrar a atenção em suas práticas de segurança, especialmente em relação à proteção de credenciais e à mitigação de riscos associados à engenharia social.

Um novo malware de destruição de dados, chamado Lotus, foi utilizado em ataques direcionados a organizações de energia e serviços públicos na Venezuela no ano passado. O malware, que foi analisado pela Kaspersky, foi carregado em uma plataforma pública em dezembro e é projetado para eliminar completamente sistemas comprometidos, sobrescrevendo drives físicos e eliminando opções de recuperação. Os ataques começam com scripts em lote que desativam serviços do Windows e preparam o sistema para a fase final de destruição. O Lotus opera em um nível mais baixo, interagindo diretamente com os discos, apagando pontos de restauração e sobrescrevendo setores físicos. A atividade observada coincide com tensões geopolíticas na região, especialmente após a captura do ex-presidente Nicolás Maduro. Embora a empresa estatal Petróleos de Venezuela (PDVSA) tenha sofrido um ataque cibernético que desativou seus sistemas de entrega, não há evidências públicas de que seus sistemas tenham sido apagados. A Kaspersky recomenda que administradores de sistemas monitorem mudanças em compartilhamentos NETLOGON e o uso inesperado de comandos como ‘diskpart’ e ‘robocopy’. Manter backups offline regulares é uma medida preventiva contra esse tipo de malware.

O cenário de cibersegurança apresenta uma série de ameaças críticas, incluindo uma vulnerabilidade zero-day no Adobe Acrobat Reader, identificada como CVE-2026-34621, que permite a execução de código malicioso ao abrir PDFs manipulados. Essa falha, com um CVSS de 8.6, está sendo ativamente explorada desde dezembro de 2025, levando a Adobe a lançar atualizações de emergência. Além disso, um grupo de hackers ligado ao Irã tem atacado sistemas de controle industrial nos EUA, causando interrupções operacionais significativas. Outro ponto alarmante é o uso de modelos de IA, como o Mythos da Anthropic, que podem gerar exploits de forma autônoma, aumentando a capacidade de ataque de grupos maliciosos. A operação de desmantelamento do botnet APT28, que explorava vulnerabilidades em roteadores, também destaca a complexidade das ameaças atuais. Por fim, um ataque sofisticado de um grupo norte-coreano resultou no roubo de $285 milhões em ativos digitais, evidenciando a crescente habilidade de atores estatais em realizar operações de espionagem e roubo. Esses eventos ressaltam a necessidade urgente de vigilância e atualização das defesas cibernéticas.

Hackers vinculados ao Irã têm como alvo redes de infraestrutura crítica dos EUA, focando em controladores lógicos programáveis (PLCs) da Rockwell Automation. Um aviso conjunto de agências federais dos EUA revelou que esses ataques, que começaram em março de 2026, resultaram em interrupções operacionais e perdas financeiras significativas. A atividade maliciosa inclui a extração de arquivos de projeto e manipulação de dados em displays HMI e SCADA. A empresa de cibersegurança Censys identificou que 74,6% dos mais de 5.200 sistemas de controle industrial expostos online são de origem americana, com 3.891 dispositivos vulneráveis. Para mitigar esses riscos, recomenda-se que os defensores de rede utilizem firewalls, desconectem os PLCs da Internet e implementem autenticação multifatorial. Essa campanha de ataques segue um padrão de ações semelhantes de grupos de hackers iranianos, que anteriormente comprometeram sistemas de tecnologia operacional nos EUA. A crescente escalada das campanhas de ataque está ligada a tensões geopolíticas entre o Irã, os EUA e Israel.

Nos primeiros três meses de 2026, os ataques de ransomware se mantiveram elevados, com 2.200 incidentes registrados, um aumento de 1,66% em relação ao último trimestre de 2025. Os setores de educação e saúde apresentaram quedas significativas, com reduções de 23% e 14%, respectivamente. No entanto, empresas do setor de saúde que não prestam cuidados diretos, como fabricantes de dispositivos médicos, viram um aumento de 35% nos ataques. Os setores de transporte, finanças, varejo, tecnologia e construção também registraram aumentos nos ataques, com o setor de manufatura permanecendo como um dos mais visados, representando 22% de todos os ataques. O valor médio do resgate subiu para $480.000, com o maior resgate exigido sendo de $3,1 milhões. Os EUA foram o país mais afetado, com 1.041 ataques, seguidos por Canadá e Reino Unido. As gangues de ransomware mais ativas foram Qilin e The Gentlemen, com 353 e 202 ataques, respectivamente. O artigo destaca a necessidade de vigilância contínua e ações proativas para mitigar esses riscos.

A FBI e agências de cibersegurança dos EUA alertaram sobre ataques direcionados a dispositivos de tecnologia operacional (OT) com conexão à internet, como controladores lógicos programáveis (PLCs), por grupos cibernéticos afiliados ao Irã. Esses ataques resultaram em diminuição da funcionalidade dos PLCs, manipulação de dados e, em alguns casos, interrupções operacionais e perdas financeiras. Os alvos incluem PLCs da Rockwell Automation e Allen-Bradley, utilizados em setores críticos como serviços governamentais, sistemas de água e energia. Os atacantes conseguiram acesso inicial utilizando infraestrutura de terceiros e software de configuração, estabelecendo controle remoto através de um software SSH chamado Dropbear. Para mitigar esses riscos, as organizações são aconselhadas a evitar a exposição dos PLCs à internet, implementar autenticação multifatorial e monitorar tráfego incomum. Este cenário se insere em uma escalada de ataques cibernéticos iranianos, que já haviam sido observados anteriormente em redes de OT nos EUA e em Israel. A situação é agravada por um aumento em ataques de negação de serviço distribuído (DDoS) e operações de hack-and-leak por grupos de hacktivistas associados ao Irã.

No último fim de semana, o grupo cibercriminoso Interlock reivindicou um ataque de ransomware ocorrido em março de 2026 contra o Community College of Beaver County (CCBC), na Pensilvânia. Em 9 de março, a instituição anunciou que hackers criptografaram dados e exigiram pagamento de resgate para a recuperação. O ataque afetou o acesso a notas, históricos e informações financeiras, levando ao fechamento do campus até a segunda-feira seguinte e à suspensão das aulas presenciais até 30 de março. O Interlock afirmou ter roubado 780 GB de dados, incluindo informações pessoais e documentos financeiros, que foram posteriormente vazados. Embora a CCBC tenha reconhecido o incidente, não confirmou a reivindicação do grupo nem se pagou o resgate. O ataque é parte de uma tendência crescente de ataques de ransomware em instituições educacionais nos EUA, com sete incidentes confirmados em 2026 até o momento, afetando operações diárias e expondo dados sensíveis. A situação destaca a vulnerabilidade das instituições educacionais a ataques cibernéticos e a necessidade de medidas de segurança robustas.

Em março de 2026, os ataques de ransomware atingiram um pico alarmante, totalizando 780 incidentes, um aumento de 13% em relação a fevereiro. O setor de utilidades foi o mais afetado, com um aumento de 630% nos ataques, destacando a vulnerabilidade da infraestrutura crítica. Os Estados Unidos foram o país mais visado, com 375 ataques, seguidos por França e Alemanha. Entre os ataques confirmados, 33 foram direcionados a empresas, 10 a entidades governamentais e 6 a instituições de saúde. Os grupos de ransomware mais ativos foram Qilin, Akira e The Gentlemen, com Qilin liderando com 140 ataques. Um total de 242 TB de dados foi roubado, evidenciando a gravidade da situação. O aumento significativo nos ataques a entidades governamentais e educacionais também é preocupante, refletindo uma tendência crescente de ataques a setores críticos. A situação exige atenção imediata das organizações para fortalecer suas defesas contra essas ameaças.

O grupo de hackers pro-Ucrânia conhecido como Bearlyfy, também chamado de Labubu, tem sido responsável por mais de 70 ataques cibernéticos direcionados a empresas russas desde sua aparição em janeiro de 2025. Recentemente, o grupo começou a utilizar uma nova variante de ransomware chamada GenieLocker, que ataca sistemas Windows. Segundo a empresa de segurança russa F6, os ataques do Bearlyfy têm como objetivos tanto a extorsão financeira quanto atos de sabotagem. Inicialmente, o grupo focou em pequenas empresas, mas suas demandas de resgate aumentaram, chegando a €80.000 (cerca de $92.100) e, em alguns casos, até centenas de milhares de dólares. Os ataques são caracterizados por uma rápida execução, com os hackers utilizando ferramentas como MeshAgent para obter acesso remoto e criptografar dados. Além disso, as notas de resgate são elaboradas diretamente pelos atacantes, ao invés de serem geradas automaticamente pelo software de ransomware. A evolução do Bearlyfy em um ano, de um grupo inexperiente para uma ameaça significativa para grandes empresas russas, destaca a crescente complexidade e sofisticação de suas operações.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para empresas americanas após um ataque cibernético devastador ao grupo Stryker, onde hackers iranianos do coletivo Handala comprometeram uma conta administrativa do Microsoft Intune. Os atacantes roubaram 50 terabytes de dados e apagaram quase 80 mil dispositivos da empresa em poucas horas, forçando-a a operar manualmente. A CISA recomenda que as empresas adotem práticas de segurança mais rigorosas, como o princípio do menor privilégio para funções administrativas, autenticação multifator resistente a phishing e aprovações de múltiplos administradores para mudanças sensíveis. O ataque é visto como uma retaliação a ações dos EUA e Israel contra o Irã, destacando a importância de fortalecer a segurança cibernética em um cenário de ameaças emergentes. As recomendações da CISA são aplicáveis não apenas ao Intune, mas a outros softwares de gerenciamento de endpoints, visando prevenir incidentes semelhantes.

O grupo de ransomware LockBit reivindicou um ataque cibernético ao Alcorn School District, no Mississippi, ocorrido no início de março. Em 1º de março, o distrito anunciou a desativação de sua rede devido a atividades suspeitas que estavam causando interrupções em seus sistemas. LockBit, que é conhecido por suas táticas de sequestro de dados e extorsão, listou o Alcorn Schools em seu site de vazamento de dados e exigiu um pagamento de resgate em um prazo de duas semanas. O distrito escolar não confirmou a reivindicação do grupo, e não há informações sobre como os atacantes conseguiram acessar a rede ou se um resgate foi pago. O LockBit, que opera desde 2019 e é baseado na Rússia, já atacou diversas instituições, incluindo escolas, e em 2026, registrou 72 ataques de ransomware, com oito confirmados. Os ataques de ransomware em instituições educacionais podem causar não apenas a perda de dados, mas também interrupções significativas nas operações diárias, afetando a comunicação, a gestão de notas e a segurança dos dados dos alunos. O Alcorn School District atende cerca de 3.800 alunos em várias escolas na região.

A Cloudflare divulgou seu Relatório Anual de Ameaças de 2026, destacando como hackers estão explorando fraquezas tecnológicas em um cenário onde a interconexão de sistemas é cada vez mais comum. Os cibercriminosos estão utilizando os próprios serviços das vítimas para realizar ataques, aproveitando a facilidade de acesso a dados e sistemas. A pesquisa revela que a barreira de entrada para ataques cibernéticos diminuiu, permitindo que atacantes usem identidades e tokens para explorar brechas em sistemas de nuvem. Blake Darché, diretor de inteligência de ameaças da Cloudflare, alerta que a situação tende a piorar, especialmente com o avanço das ferramentas de inteligência artificial. Os ataques baseados em identidade estão se tornando tão eficazes quanto malwares complexos, mudando a forma como a eficiência dos ataques é medida. A Cloudflare sugere que a eficiência deve ser avaliada pela relação entre o esforço do hacker e o objetivo alcançado, indicando uma nova era de ameaças digitais que requer atenção redobrada das organizações.

Uma nova pesquisa da Symantec e Carbon Black revelou que um grupo de hackers iraniano, conhecido como MuddyWater, está infiltrando-se em redes de várias empresas dos Estados Unidos, incluindo bancos e aeroportos. A campanha, que começou em fevereiro de 2026, coincide com ataques militares dos EUA e de Israel ao Irã. Os hackers estão utilizando uma nova backdoor chamada Dindoor, que opera com o runtime JavaScript Deno, e tentaram exfiltrar dados de uma empresa de software que fornece serviços para a indústria de defesa. Além disso, uma backdoor em Python chamada Fakeset foi encontrada em redes de um aeroporto e de uma organização sem fins lucrativos. O uso de certificados digitais comuns entre diferentes malwares sugere que o mesmo grupo está por trás dessas atividades. A pesquisa destaca a crescente sofisticação dos atores de ameaças iranianos, que têm demonstrado habilidades avançadas em engenharia social e ataques cibernéticos. O contexto de conflito militar no Oriente Médio tem intensificado as operações cibernéticas, com grupos hacktivistas pro-Palestina também realizando ataques. As organizações são aconselhadas a reforçar suas posturas de cibersegurança, implementando autenticação multifator e segmentação de rede.

Um recente relatório da Chainalysis revelou um aumento de 50% nos ataques de ransomware em comparação ao ano anterior, enquanto o número de vítimas que pagaram resgates caiu para 28%, o menor índice já registrado. Essa queda na taxa de pagamentos reflete uma tendência de quatro anos, onde em 2024, 62,8% das vítimas pagaram, e em 2022, esse número foi ainda maior, atingindo 78,9%. Apesar da diminuição no número de pagamentos, o valor médio dos resgates aumentou drasticamente, passando de US$ 12.738 para US$ 59.556, um aumento de 368%. Os Estados Unidos, Canadá, Alemanha e Reino Unido foram identificados como os países mais visados. A análise sugere que a melhoria nas respostas a incidentes e a crescente regulamentação contra ataques são fatores que contribuíram para a queda na taxa de pagamentos, embora o valor dos resgates tenha aumentado, indicando que algumas vítimas estão dispostas a pagar quantias maiores para recuperar seus dados sequestrados.

Um novo estudo revela que atores de ameaças estão comercializando abertamente o acesso a sites hackeados, com foco especial nas credenciais comprometidas do cPanel. O cPanel, um painel de controle amplamente utilizado para hospedagem de sites, permite que atacantes realizem uma série de atividades maliciosas, como implantar backdoors, criar novos usuários administrativos e disseminar campanhas de phishing. A pesquisa da Flare analisou mais de 200 mil postagens em grupos fraudulentos ao longo de uma semana, revelando um ecossistema estruturado que opera em larga escala. Os atacantes frequentemente obtêm acesso por meio de credenciais roubadas ou explorando vulnerabilidades em aplicações web. A venda de cPanels comprometidos é altamente commoditizada, com preços variando conforme a qualidade e a reputação da infraestrutura. A falta de autenticação multifatorial e senhas fracas são fatores que contribuem para a vulnerabilidade. Para mitigar esses riscos, as organizações devem implementar medidas de segurança robustas, como autenticação multifatorial e monitoramento contínuo de atividades suspeitas.

O grupo de ransomware Rhysida reivindicou a responsabilidade por um ataque cibernético ao governo local de Southold, Nova York, ocorrido em novembro de 2025. O ataque, anunciado em 24 de novembro, afetou diversos sistemas da cidade, incluindo e-mails, folha de pagamento e coleta de impostos, resultando em um período de inatividade de duas semanas para a restauração dos serviços. Rhysida exigiu um resgate de 10 bitcoins, equivalente a aproximadamente $661,400, e ameaçou vender os dados comprometidos caso o pagamento não fosse realizado em sete dias. O supervisor de Southold, Al Krupski, afirmou que a cidade não tem intenção de pagar o resgate. Desde o incidente, a cidade investiu $500,000 em melhorias de segurança. Rhysida, que opera como um serviço de ransomware, já foi responsável por 21 ataques confirmados em 2025, afetando principalmente entidades governamentais. Os ataques de ransomware têm se tornado uma preocupação crescente nos EUA, com 84 incidentes confirmados em 2025, comprometendo cerca de 639,000 registros pessoais. O caso de Southold destaca a vulnerabilidade das administrações locais a ataques cibernéticos e a necessidade de investimentos em segurança da informação.

O grupo de ameaças motivadas financeiramente conhecido como “Diesel Vortex” está realizando ataques de phishing para roubar credenciais de operadores de frete e logística nos EUA e na Europa, utilizando 52 domínios. Desde setembro de 2025, a campanha já resultou no roubo de 1.649 credenciais únicas de plataformas essenciais para a indústria de frete, como DAT Truckstop e Penske Logistics. A análise da plataforma Have I Been Squatted revelou que o grupo opera com uma infraestrutura de phishing dedicada, focando em plataformas de alta transação que não são prioritárias em programas de segurança empresarial. Os ataques envolvem o envio de e-mails de phishing utilizando técnicas como homoglifos cirílicos para evitar filtros de segurança e a criação de páginas de phishing que imitam perfeitamente os sites legítimos. As operações do Diesel Vortex foram parcialmente interrompidas após uma ação coordenada entre várias empresas de segurança cibernética. A pesquisa também indicou conexões com indivíduos e empresas na Rússia, sugerindo uma rede de crime organizado mais ampla. Este incidente destaca a vulnerabilidade do setor de logística e a necessidade de medidas de segurança robustas para proteger dados sensíveis.

O grupo de ransomware conhecido como Inc reivindicou um ataque cibernético à cidade de Cocoa, na Flórida, ocorrido em fevereiro de 2026. A cidade anunciou problemas técnicos em seus sistemas de TI e pagamentos de serviços públicos, que foram interrompidos. No site de vazamento de dados do grupo, Inc afirmou ter roubado arquivos dos servidores oficiais da cidade, apresentando imagens como prova. Até o momento, as autoridades de Cocoa não confirmaram a reivindicação e não se sabe quais dados foram comprometidos, nem se um resgate foi exigido ou pago. O grupo Inc, que surgiu em julho de 2023, é conhecido por atacar setores como saúde, educação e governo, utilizando técnicas de phishing direcionado e explorando vulnerabilidades conhecidas. Em 2025, o grupo foi responsável por 360 ataques de ransomware, com 68 confirmações de suas reivindicações. O ataque à Cocoa se insere em um contexto mais amplo de ataques a entidades governamentais nos EUA, que têm enfrentado desafios significativos com a segurança de seus sistemas, podendo resultar em perda de dados e interrupções nos serviços públicos.

O LLMjacking é uma nova forma de ciberataque que visa explorar o poder computacional de placas de vídeo (GPUs) de usuários desavisados. Ao invés de minerar criptomoedas, os hackers invadem máquinas com inteligência artificial instalada, como o Ollama, para gerar textos, códigos e imagens sem restrições. Esse tipo de ataque se torna lucrativo porque modelos de IA avançados, como o Llama 3, exigem um alto custo de hospedagem na nuvem, levando os criminosos a buscar PCs com GPUs potentes, como RTX 3060 ou 4090.

Nesta semana, o cenário de cibersegurança revela que pequenas falhas estão se transformando em grandes pontos de entrada para atacantes. Um exemplo alarmante é o caso do complemento AgreeTo para Outlook, que foi sequestrado e transformado em um kit de phishing, resultando no roubo de mais de 4.000 credenciais de contas Microsoft. Essa situação ilustra como ativos negligenciados podem se tornar vetores de ataque. Além disso, a Google lançou atualizações de segurança para o Chrome, corrigindo uma vulnerabilidade crítica (CVE-2026-2441) que estava sendo explorada ativamente. Outra vulnerabilidade crítica, CVE-2026-1731, foi identificada nos produtos da BeyondTrust e já está sendo explorada, permitindo execução remota de código. A Apple também lançou correções para uma falha zero-day em seus sistemas operacionais. Por fim, o grupo TeamPCP está explorando ambientes de nuvem mal configurados para expandir suas operações criminosas, enquanto hackers patrocinados por estados estão utilizando inteligência artificial em várias etapas do ciclo de ataque, aumentando a eficiência de suas operações. Esses incidentes destacam a necessidade urgente de vigilância e atualização constante das defesas cibernéticas.

Em 29 de dezembro de 2025, o CERT Polska, equipe de resposta a emergências cibernéticas da Polônia, revelou que mais de 30 usinas de energia renovável, uma empresa do setor de manufatura e uma grande planta de cogeração foram alvo de ataques cibernéticos coordenados. Os ataques foram atribuídos a um grupo de ameaças conhecido como Static Tundra, supostamente vinculado ao Serviço Federal de Segurança da Rússia (FSB). Embora as usinas de energia tenham enfrentado interrupções na comunicação com os operadores de distribuição, a produção de eletricidade não foi afetada. Os atacantes conseguiram acessar redes internas, danificando firmware e lançando malware destrutivo, como o DynoWiper. No caso da planta de cogeração, houve tentativas de roubo de dados desde março de 2025, mas os ataques não conseguiram interromper o fornecimento de calor. A vulnerabilidade de dispositivos Fortinet foi um vetor de entrada para os atacantes, que utilizaram credenciais comprometidas para acessar serviços em nuvem. O CERT Polska destacou que o uso de múltiplas contas sem autenticação de dois fatores facilitou a intrusão.

Recentemente, hackers têm utilizado o Microsoft SharePoint como vetor para realizar ataques direcionados a grandes empresas do setor de energia. O método envolve o roubo de credenciais de funcionários, que são inicialmente comprometidas através de e-mails falsos. Os cibercriminosos enviam mensagens que contêm links para sites fraudulentos, onde as vítimas, ao tentarem fazer login, acabam entregando suas credenciais aos atacantes. Uma vez que os hackers obtêm acesso às contas de e-mail corporativas, eles estabelecem persistência no sistema, criando regras para ocultar suas atividades, como deletar mensagens e marcar e-mails como lidos. Isso permite que eles enviem grandes volumes de e-mails de phishing para contatos internos e externos sem levantar suspeitas. A Microsoft alerta que redefinir senhas não é suficiente, pois os atacantes podem alterar configurações de autenticação, incluindo a autenticação de dois fatores, para manter o controle. A recomendação é que as empresas adotem políticas de segurança rigorosas, como monitoramento de IP e localização, e que os usuários permaneçam cautelosos ao clicar em links desconhecidos.

O Centro de Ciber Segurança Nacional do Reino Unido (NCSC) alertou sobre um aumento nos ataques cibernéticos direcionados a instituições britânicas, incluindo órgãos governamentais e operadores de infraestrutura crítica. Esses ataques, principalmente de negação de serviço (DoS), têm como objetivo derrubar sites e serviços essenciais, impactando diretamente a população, especialmente em áreas como saúde. O grupo hacktivista NoName057(16), ativo desde março de 2022, é um dos principais responsáveis por essas ações, utilizando plataformas como Telegram e GitHub para coordenar seus ataques e compartilhar ferramentas. A motivação por trás desses ataques é ideológica, relacionada ao apoio ocidental à Ucrânia no atual conflito. Apesar de sua baixa sofisticação técnica, os ataques DoS podem causar interrupções significativas, exigindo tempo e recursos para recuperação. A NCSC recomenda que as organizações revisem suas defesas e fortaleçam a resiliência cibernética para mitigar esses riscos.

A equipe de pesquisa Unit 42, da Palo Alto Networks, alertou sobre as ameaças cibernéticas que podem afetar as Olimpíadas de Inverno de Milano Cortina, programadas para fevereiro de 2026. Os riscos incluem ataques à infraestrutura digital e Wi-Fi, como os que ocorreram em edições anteriores, além de ameaças de DDoS e ransomware. A concentração de pessoas e dados durante o evento torna-o um alvo atrativo para golpistas, que podem tentar extorquir organizações ou realizar espionagem cibernética. Os principais tipos de atacantes identificados são grupos motivados financeiramente, agências de espionagem estatais e hacktivistas. A interconexão de sistemas pode facilitar o acesso de hackers, que podem comprometer serviços essenciais como energia e transporte, impactando a confiança no evento. Além disso, a utilização de técnicas como phishing e engenharia social, potencializadas por IA e deepfakes, pode aumentar a eficácia dos ataques. A situação exige atenção redobrada das autoridades e organizadores para garantir a segurança do evento.

Um grupo de hackers avançados, identificado como UAT-8837 e supostamente vinculado à China, tem se concentrado em sistemas de infraestrutura crítica na América do Norte, explorando vulnerabilidades conhecidas e zero-day para obter acesso inicial a organizações-alvo. Ativo desde pelo menos 2025, o grupo utiliza credenciais comprometidas e vulnerabilidades de servidores para iniciar seus ataques. Recentemente, explorou a falha CVE-2025-53690, uma vulnerabilidade zero-day em produtos Sitecore, indicando acesso a problemas de segurança não divulgados. Após a invasão, os atacantes realizam atividades de reconhecimento e colheita de credenciais utilizando comandos nativos do Windows e ferramentas de código aberto. Entre as ferramentas utilizadas estão GoTokenTheft e Rubeus, que visam roubar tokens de acesso e credenciais do Active Directory. O relatório da Cisco Talos também destaca que os atacantes podem exfiltrar arquivos DLL de produtos utilizados pelas vítimas, o que pode facilitar futuros ataques de trojanização e na cadeia de suprimentos. A análise sugere que o grupo UAT-8837 está alinhado com as táticas de outros atores de ameaças conhecidos da China, o que aumenta a preocupação com a segurança das infraestruturas críticas na região.

As autoridades da Ucrânia e da Alemanha confirmaram a identidade do líder do grupo de ransomware Black Basta, Oleg Evgenievich Nefedov, um cidadão russo de 35 anos, que agora figura na lista de procurados da Europol e da Interpol. A operação conjunta resultou na identificação de dois outros suspeitos que atuavam na fase inicial dos ataques, especializados em acessar redes-alvo e preparar o terreno para os ataques de ransomware. Os investigadores relataram que esses indivíduos eram responsáveis por quebrar senhas e obter credenciais de acesso de funcionários de empresas, o que lhes permitia invadir sistemas corporativos internos. Durante as investigações, foram apreendidos dispositivos de armazenamento digital e ativos em criptomoeda. O grupo Black Basta, que surgiu em abril de 2022, é responsável por pelo menos 600 incidentes de ransomware, afetando grandes organizações globalmente, incluindo a Rheinmetall, Hyundai e Ascension. A conexão de Nefedov com o grupo Conti, um sindicato de ransomware que se desfez em 2022, também foi destacada, indicando sua experiência e influência no cenário de cibercrime. As autoridades continuam a investigar e monitorar as atividades do grupo, que representa uma ameaça significativa para a segurança cibernética mundial.

Em 2025, a China intensificou seus ataques cibernéticos contra Taiwan, com um aumento de 6% em relação ao ano anterior, totalizando uma média de 2,63 milhões de ataques diários, conforme relatório do National Security Bureau (NSB). Os setores mais afetados incluem a infraestrutura de energia, que sofreu um aumento de 10 vezes nos ciberataques, e os sistemas de resgate de emergência hospitalar, com um crescimento de 54%. O NSB aponta que esses ataques visam comprometer a infraestrutura crítica de Taiwan e interromper funções governamentais e sociais. Além disso, os ataques são direcionados, sugerindo uma tática de “neutralização na primeira hora do conflito”. Embora a maioria dos ataques tenha sido bloqueada, alguns conseguiram comprometer entidades de inteligência. O relatório também destaca que 57% dos ataques focaram em falhas de hardware e software, enquanto 21% foram ataques de negação de serviço. A escalada dos ciberataques reflete uma disputa histórica entre China e Taiwan, com implicações políticas e sociais significativas.

Com a crescente popularidade das ferramentas de inteligência artificial (IA), cibercriminosos estão direcionando suas atenções para a exploração de vulnerabilidades em modelos de linguagem de grande escala (LLMs). Pesquisadores da GreyNoise identificaram duas campanhas de ataque que, juntas, contabilizam quase 100 mil tentativas de exploração. Os ataques, que ocorreram entre outubro de 2025 e janeiro de 2026, visaram principalmente empresas que utilizam esses modelos em suas operações diárias. A primeira campanha consistiu na injeção de domínios maliciosos, enquanto a segunda, considerada mais perigosa, focou em testar APIs de serviços de IA de grandes empresas como OpenAI e Google, buscando identificar quais modelos poderiam ser manipulados sem acionar alertas de segurança. Os especialistas alertam que esses ataques representam riscos significativos para a segurança corporativa, especialmente com a adoção crescente de IAs. Recomenda-se que as empresas implementem medidas de segurança mais robustas, como o bloqueio de endereços suspeitos e a configuração de alertas para respostas rápidas a possíveis ameaças.

Um relatório da Emsisoft, intitulado “O Estado do Ransomware nos Estados Unidos”, revela que, apesar das prisões de grupos hackers e do fechamento de servidores, o número de ataques de ransomware aumentou significativamente entre 2023 e 2025. O estudo, que analisou dados de plataformas como RansomLook.io e Ransomware.live, aponta que o número de vítimas subiu de 5.400 em 2023 para mais de 8.000 em 2025. O aumento é atribuído à proliferação de novos grupos de ataque, que passaram de cerca de 70 em 2023 para entre 126 e 141 em 2025. Os principais grupos ativos incluem Qilin, Akira, Cl0p, Play, Safepay e INC Ransom. Embora as ações legais tenham impactado algumas gangues, a competição entre os atacantes parece ter contribuído para o aumento dos incidentes. A Emsisoft sugere que, apesar do cenário atual, a aplicação de leis internacionais pode eventualmente ajudar a reduzir o número de vítimas.

Em 2025, o mundo registrou 7.419 ataques de ransomware, um aumento de 32% em relação ao ano anterior. Desses, 1.173 foram confirmados por organizações-alvo, enquanto muitos outros não foram reconhecidos publicamente. A pesquisa da Sophos revela que quase metade das empresas pagam resgates para recuperar dados, o que pode contribuir para a subnotificação de incidentes. O setor de manufatura foi o mais afetado, com um aumento de 56% nos ataques e um pedido médio de resgate que mais que dobrou, alcançando quase 1,2 milhão de dólares. Embora os ataques a setores como saúde e educação tenham se estabilizado, o aumento geral de ataques a empresas e entidades governamentais é alarmante. Os Estados Unidos foram o país mais visado, com 3.810 ataques. O relatório destaca a evolução das táticas de ransomware e a necessidade urgente de medidas de segurança mais robustas, especialmente em setores críticos. A média de resgates caiu 26%, mas o número de registros comprometidos continua a crescer, exigindo atenção contínua das equipes de segurança.

O cenário de cibersegurança continua a evoluir rapidamente, com novos ataques e vulnerabilidades surgindo semanalmente. Um dos destaques foi a ação da empresa Resecurity, que armou uma armadilha para hackers do grupo Scattered LAPSUS$ Hunters, capturando suas tentativas de acesso a dados falsos. Durante um período de duas semanas, o grupo fez mais de 188 mil solicitações em busca de dados sintéticos, permitindo à Resecurity identificar e rastrear os atacantes.

O primeiro boletim de ameaças de 2026 revela um cenário alarmante de cibersegurança, onde novas brechas e táticas de ataque estão emergindo rapidamente. Um caso notável envolve a prisão de um cidadão lituano que infectou 2,8 milhões de sistemas com malware disfarçado de ferramenta de ativação do Windows, resultando em um roubo de ativos virtuais avaliado em cerca de 1,2 milhão de dólares. Além disso, uma campanha coordenada tem como alvo servidores Adobe ColdFusion, explorando mais de 10 vulnerabilidades conhecidas. A descoberta de malware pré-instalado em tablets Android, denominado Keenadu, também destaca a crescente preocupação com backdoors que permitem acesso remoto a dados. Outro ponto crítico é o fechamento do subreddit r/ChatGPTJailbreak, que promovia métodos para contornar filtros de segurança em modelos de linguagem, refletindo a luta contínua contra a exploração de IA. Por fim, a campanha GlassWorm voltou a atacar usuários de macOS, visando roubar credenciais e dados de carteiras digitais. O cenário é um lembrete de que as ameaças cibernéticas estão se tornando cada vez mais sofisticadas e diversificadas, exigindo vigilância constante das organizações.

Uma nova campanha de phishing tem utilizado o Google Cloud para roubar credenciais de login de empresas em todo o mundo, conforme identificado por pesquisadores da Check Point. O ataque já afetou mais de 3 mil organizações, com a maioria das vítimas localizadas nos Estados Unidos, Brasil e México. Os hackers exploram a ferramenta Google Cloud Application Integration para enviar e-mails maliciosos que parecem legítimos, utilizando domínios reais do Google. Isso permite que os filtros de segurança não sejam acionados, levando os funcionários a clicarem em links fraudulentos.

O grupo de ransomware Meduza Locker reivindicou um ataque cibernético à Kelsey School Division, em Manitoba, Canadá, ocorrido em novembro de 2025. Em um comunicado, o superintendente da divisão escolar, Trevor Lane, informou que uma violação não autorizada afetou a rede de TI da instituição, interrompendo sistemas escolares. Meduza Locker listou a Kelsey School Division em seu site de vazamento de dados, alegando ter roubado documentos de alunos, pais e funcionários, e exigiu um resgate de $40.000 pela recuperação dos dados. Embora a Kelsey School Division tenha iniciado uma investigação sobre a extensão da violação, não confirmou a autenticidade das alegações do grupo. O ataque destaca a crescente preocupação com a segurança cibernética em instituições educacionais, que têm sido alvos frequentes de ransomware, com 89 ataques confirmados em escolas, faculdades e universidades em 2025 até o momento. O impacto desses ataques pode ser severo, afetando operações diárias e expondo dados sensíveis a riscos de fraude.

A equipe de inteligência de ameaças da Amazon revelou detalhes sobre uma campanha de ciberataques patrocinada pelo Estado russo, que visou a infraestrutura crítica ocidental entre 2021 e 2025. Os alvos incluíram organizações do setor de energia e provedores de infraestrutura crítica na América do Norte e Europa, além de entidades com infraestrutura de rede hospedada em nuvem. A atividade foi atribuída com alta confiança ao Diretório Principal de Inteligência da Rússia (GRU), destacando a exploração de dispositivos de rede mal configurados como vetor inicial de acesso.

Um homem de 44 anos foi condenado a sete anos e quatro meses de prisão na Austrália por realizar um ataque do tipo ’evil twin’, onde criou uma rede Wi-Fi falsa em voos domésticos. O criminoso, cuja identidade não foi revelada, foi indiciado em julho de 2024 após a polícia confiscar seus equipamentos e confirmar sua participação em atividades maliciosas em aeroportos de Perth, Melbourne e Adelaide. O ataque consistia em configurar um ponto de acesso Wi-Fi com o mesmo nome da rede legítima, enganando os passageiros que se conectavam a ele. Assim que conectados, os usuários eram redirecionados para uma página de phishing que coletava dados de redes sociais. O criminoso tinha como alvo principal mulheres, buscando acessar suas credenciais para monitorar suas atividades online e roubar conteúdos privados. Para se proteger de ataques semelhantes, especialistas recomendam o uso de VPNs, gerenciadores de senhas e a desativação da conexão automática ao Wi-Fi, além de considerar o uso de hotspots pessoais em vez de redes públicas.

Em novembro de 2025, o número de ataques de ransomware totalizou 659, apresentando uma leve queda de 5% em relação a outubro. O setor de saúde viu uma redução significativa, com ataques caindo 44%, enquanto empresas do setor de saúde, como farmacêuticas, enfrentaram um aumento de 43%. O setor de manufatura também registrou um aumento expressivo de 35%, e a educação teve um crescimento de 24%. Os grupos de ransomware mais ativos foram Qilin, Akira e Clop, com Qilin liderando com 107 ataques confirmados. Os dados indicam que mais de 31.200 TB de dados foram supostamente roubados, com um ataque específico alegando a violação de 31.063.838 GB de uma fabricante nos EUA. Os EUA foram o país mais afetado, com 354 ataques, seguidos pelo Canadá e Reino Unido. O artigo destaca a importância de monitorar e proteger sistemas, especialmente em setores vulneráveis como saúde e educação, onde os ataques têm consequências diretas para a segurança de dados sensíveis.

Os hackers modernos não precisam mais invadir fisicamente as empresas; eles utilizam ferramentas cotidianas como pacotes de código, contas em nuvem e e-mails para realizar ataques. Um download malicioso pode expor chaves de acesso, enquanto um fornecedor vulnerável pode comprometer múltiplos clientes simultaneamente. O artigo destaca diversos incidentes recentes, como o ataque ao registro npm, onde um verme auto-replicante chamado ‘Sha1-Hulud’ afetou mais de 800 pacotes e 27.000 repositórios no GitHub, visando roubar dados sensíveis como chaves de API e credenciais de nuvem. Outro ataque notável foi o do grupo ToddyCat, que evoluiu para roubar dados de e-mails do Outlook e tokens de acesso do Microsoft 365. Além disso, um ataque sofisticado chamado Qilin comprometeu provedores de serviços gerenciados, afetando várias instituições financeiras na Coreia do Sul. A CISA também alertou sobre campanhas de spyware que visam usuários de aplicativos de mensagens móveis, utilizando engenharia social para obter acesso não autorizado. Esses incidentes ressaltam a importância de revisar a segurança das ferramentas que consideramos seguras e a necessidade de uma vigilância constante.

Em setembro de 2025, atores de ameaças patrocinados pelo Estado da China utilizaram tecnologia de inteligência artificial (IA) desenvolvida pela Anthropic para realizar uma campanha de ciberespionagem sofisticada. Os atacantes empregaram as capacidades ‘agentes’ da IA para executar ataques cibernéticos de forma autônoma, sem intervenção humana significativa. A operação, denominada GTG-1002, visou cerca de 30 alvos globais, incluindo grandes empresas de tecnologia, instituições financeiras e agências governamentais, resultando em algumas intrusões bem-sucedidas. A Anthropic identificou que a IA foi utilizada para realizar diversas etapas do ciclo de ataque, como reconhecimento, descoberta de vulnerabilidades e exfiltração de dados. Embora a operação tenha demonstrado um uso inovador da IA, também revelou limitações, como a tendência da IA de ‘alucinar’ dados, o que pode comprometer a eficácia das operações. Este incidente destaca a evolução das táticas de ciberataques, onde grupos menos experientes podem potencialmente realizar ataques em larga escala com o suporte de sistemas de IA.

Recentemente, o cenário de cibersegurança tem se tornado cada vez mais complexo, com ataques cibernéticos se tornando mais sofisticados. Um exemplo alarmante é o uso do Hyper-V pela ameaça Curly COMrades, que esconde malware em máquinas virtuais Linux, permitindo que o código malicioso opere fora da visibilidade do sistema operacional host. Essa técnica contorna ferramentas de segurança de endpoint, evidenciando a evolução das táticas de ataque. Além disso, um novo ataque chamado ‘Whisper Leak’ permite que adversários passem a observar tópicos de conversas em modelos de linguagem, mesmo em tráfego criptografado, o que representa um risco significativo para a privacidade. Outro incidente relevante envolve a exploração de uma falha zero-day em dispositivos Samsung Galaxy, que permitiu a instalação de spyware Android em ataques direcionados em países como Iraque e Irã. Por fim, a fusão de grupos criminosos cibernéticos, como Scattered LAPSUS$ Hunters, indica uma coordenação crescente entre ameaças, aumentando a complexidade do combate ao cibercrime. Esses eventos ressaltam a necessidade urgente de que equipes de segurança se mantenham atualizadas e implementem medidas proativas para proteger suas redes.

A Aurologic GmbH, um provedor de hospedagem alemão, foi identificada como um ponto crítico na infraestrutura global que apoia atividades maliciosas, segundo pesquisa do Insikt Group da Recorded Future. A empresa, que opera a partir do Tornado Datacenter em Langen, Alemanha, fornece serviços de trânsito e data center para várias redes de hospedagem de alto risco, incluindo organizações sancionadas como o Aeza Group. Apesar de se apresentar como um provedor legítimo, cerca de 50% dos prefixos IP da Aeza International são roteados exclusivamente através da Aurologic, evidenciando seu papel na manutenção da infraestrutura sancionada. A Aurologic enfrenta críticas por sua abordagem reativa em relação a abusos, afirmando que tomará medidas apenas após contato formal das autoridades. Essa postura tem permitido a continuidade de operações maliciosas, colocando a empresa em uma posição central no cibercrime organizado. O caso da Aurologic destaca a falta de responsabilidade no ecossistema de hospedagem, onde provedores de upstream frequentemente evitam intervenções proativas, o que pode ter implicações significativas para a segurança cibernética global.

A Microsoft divulgou detalhes sobre um novo ataque de canal lateral, denominado Whisper Leak, que pode permitir que adversários passem a observar o tráfego de rede para inferir tópicos de conversação em modelos de linguagem remotos, mesmo com a proteção de criptografia. Este ataque é particularmente preocupante, pois pode expor dados trocados entre usuários e modelos de linguagem em modo de streaming, colocando em risco a privacidade das comunicações de usuários e empresas. Pesquisadores da Microsoft explicaram que atacantes em posição de monitorar o tráfego criptografado, como agências governamentais ou provedores de internet, podem identificar se um usuário está discutindo tópicos sensíveis, como lavagem de dinheiro ou dissidência política, apenas analisando o tamanho dos pacotes e os tempos de chegada. A técnica foi testada com modelos de aprendizado de máquina, alcançando taxas de precisão superiores a 98% em identificar tópicos específicos. Embora a Microsoft e outras empresas tenham implementado medidas de mitigação, a eficácia do ataque pode aumentar com a coleta de mais amostras ao longo do tempo. A empresa recomenda que os usuários evitem discutir assuntos sensíveis em redes não confiáveis e considerem o uso de VPNs para proteção adicional.

Os ataques de ransomware aumentaram 25% em outubro de 2025, totalizando 684 incidentes, o terceiro maior número mensal do ano. O setor industrial continua sendo o mais atacado, com 19% dos casos, mas o setor de saúde registrou um aumento alarmante de 115%, passando de 26 para 56 ataques. O grupo de ransomware Qilin destacou-se como o mais ativo, reivindicando 186 vítimas em outubro. Dos 684 ataques, 47 foram confirmados, sendo 27 em empresas, 10 em entidades governamentais e 3 em empresas de saúde. Os dados indicam que mais de 162 TB de dados foram supostamente roubados em 315 casos. Os Estados Unidos lideraram o número de ataques, com 374 incidentes, seguidos por aumentos significativos na Austrália e no Japão. O cenário é preocupante, especialmente para o setor de saúde, que já contabiliza 104 ataques confirmados em 2025, o que levanta questões sobre a segurança de dados sensíveis e conformidade com a LGPD.