Ataques

Pesquisadores de cibersegurança revelaram um ataque sofisticado chamado TARA (Targeted Promptware Attack) que compromete assistentes alimentados pelo Gemini do Google através de convites de e-mail e eventos de calendário aparentemente inocentes. Liderados pelo renomado especialista em segurança Ben Nassi, da Universidade de Tel-Aviv, o estudo demonstra como cibercriminosos podem manipular sistemas de IA para realizar ações maliciosas, desde roubo de dados até o controle de dispositivos domésticos inteligentes, representando uma ameaça crescente à segurança digital e física dos usuários.

Pesquisadores de segurança revelaram uma técnica de ataque sofisticada que utiliza plataformas de conferência web para estabelecer canais de comando e controle (C2) ocultos. Esta abordagem permite que cibercriminosos disfarcem tráfego malicioso como reuniões online legítimas, potencialmente burlando medidas tradicionais de segurança de rede. A técnica, apresentada na Black Hat USA 2025, destaca como protocolos de comunicação em tempo real podem ser explorados para criar sessões C2 interativas de alta largura de banda, que se misturam de forma indistinguível com o tráfego de colaboração empresarial normal.

Pesquisador de segurança Dirk-Jan Mollema, da Outsider Security, revelou técnicas avançadas de movimento lateral que permitem a atores de ameaça comprometer a infraestrutura de nuvem da Microsoft através de vulnerabilidades no Active Directory local. Durante sua apresentação na Black Hat USA 2025, Mollema destacou lacunas críticas de segurança em ambientes híbridos de AD que podem permitir que atacantes contornem a autenticação multifator e exfiltrem dados sensíveis sem detecção, explorando relações de confiança entre domínios locais e recursos na nuvem.

Pesquisadores de cibersegurança revelaram falhas significativas em produtos de vigilância da Axis Communications, que, se exploradas com sucesso, podem resultar em ataques de tomada de controle. As vulnerabilidades, identificadas nos sistemas Axis Device Manager e Axis Camera Station, permitem a execução remota de código antes da autenticação, colocando em risco milhares de servidores expostos na internet. A exploração dessas falhas pode conceder aos atacantes acesso ao nível do sistema na rede interna, permitindo o controle total das câmeras, incluindo a possibilidade de sequestrar, assistir ou desligar os feeds de vídeo.

Em 2025, os ataques na nuvem estão evoluindo em uma velocidade alarmante, com a inteligência artificial (IA) sendo utilizada tanto como arma quanto como escudo. A recente evolução dos ataques, como a campanha CRYSTALRAY, demonstra um nível de coordenação e rapidez que seria impossível sem a automação. Esses ataques, que incluem reconhecimento, movimento lateral e coleta de credenciais, representam uma ameaça crescente para as empresas que dependem de soluções em nuvem. As equipes de segurança estão sendo desafiadas a adotar defesas em tempo real e contextualmente conscientes para enfrentar essas ameaças que operam em velocidades de máquina.Por outro lado, a própria IA se tornou um alvo crítico, necessitando de proteção robusta. O aumento de 500% nas cargas de trabalho em nuvem contendo pacotes de IA/ML em 2024 destaca a adoção massiva dessas tecnologias, mas também expõe novas superfícies de ataque. Para mitigar esses riscos, é essencial implementar medidas de segurança como a autenticação de APIs, endurecimento de configurações e a aplicação do princípio de menor privilégio. A segurança na nuvem deve evoluir para ser tão ágil quanto as ameaças que enfrenta, garantindo que as joias digitais da era da IA sejam devidamente protegidas contra cibercriminosos cada vez mais sofisticados.

A SonicWall revelou que o recente aumento de atividades maliciosas direcionadas aos seus firewalls Gen 7 e mais recentes, com SSL VPN habilitado, está relacionado a uma vulnerabilidade antiga, agora corrigida, e ao uso repetido de senhas. A vulnerabilidade, identificada como CVE-2024-40766, foi divulgada pela primeira vez em agosto de 2024 e possui um escore CVSS de 9.3, indicando um risco elevado de acesso não autorizado aos dispositivos. A empresa está investigando menos de 40 incidentes relacionados a essa atividade, muitos dos quais estão associados a migrações de firewalls Gen 6 para Gen 7 sem redefinição das senhas dos usuários locais, uma ação recomendada crucial.Para mitigar os riscos, a SonicWall recomenda a atualização do firmware para a versão SonicOS 7.3.0, redefinição de todas as senhas de contas de usuários locais com acesso SSLVPN, habilitação de proteção contra botnets e filtragem Geo-IP, além da implementação de autenticação multifator e políticas de senhas fortes. Este desenvolvimento ocorre em meio a um aumento nos ataques que exploram dispositivos SonicWall SSL VPN para ataques de ransomware Akira, destacando a necessidade urgente de medidas preventivas robustas para proteger as infraestruturas de rede.

A NVIDIA emitiu uma declaração enfática rejeitando a inclusão de backdoors e kill switches em seus hardwares de GPU, destacando que tais características comprometeriam gravemente a infraestrutura de cibersegurança global. A empresa argumenta que a introdução de vulnerabilidades embutidas nos componentes críticos de computação representa uma ameaça perigosa, criando vetores de ataque permanentes que poderiam ser explorados por atores maliciosos. Essa posição surge em meio a discussões políticas crescentes sobre mecanismos de controle remoto em hardwares essenciais, com a NVIDIA defendendo que tais propostas são um desvio perigoso dos princípios de segurança estabelecidos.A empresa enfatiza a importância do princípio de ‘defesa em profundidade’, que busca eliminar vulnerabilidades de ponto único através de uma abordagem de segurança em camadas. A introdução de vulnerabilidades deliberadas em hardwares críticos, como GPUs, comprometeria não apenas sistemas individuais, mas também ecossistemas tecnológicos inteiros que dependem de computação acelerada por GPU. A NVIDIA defende soluções de software transparentes e ferramentas de monitoramento que aumentem a segurança do sistema sem comprometer a integridade do hardware, rejeitando comparações com funcionalidades de smartphones que operam com o consentimento do usuário.

Os ataques à cadeia de suprimentos envolvendo pacotes Python estão se tornando uma ameaça alarmante e crescente em 2025. Criminosos cibernéticos estão explorando vulnerabilidades em repositórios de código aberto, como o Python Package Index (PyPI), para introduzir pacotes maliciosos que passam despercebidos até causarem danos significativos. Um exemplo grave ocorreu em dezembro de 2024, quando o pacote Ultralytics YOLO, amplamente utilizado em aplicações de visão computacional, foi comprometido e baixado milhares de vezes antes de ser detectado. Este cenário destaca a urgência de tratar a segurança da cadeia de suprimentos Python como uma prioridade crítica.Os métodos utilizados pelos atacantes incluem técnicas como typo-squatting, repo-jacking e slop-squatting, que exploram falhas na gestão de pacotes e repositórios. Além disso, até mesmo imagens oficiais do contêiner Python contêm vulnerabilidades críticas, com mais de 100 CVEs de alta gravidade identificados. Para mitigar esses riscos, é essencial que desenvolvedores e engenheiros de segurança adotem ferramentas e práticas robustas, como pip-audit, Sigstore e SBOMs, para garantir a integridade do código e proteger suas aplicações contra essas ameaças sofisticadas e em rápida evolução.

Pesquisadores de cibersegurança identificaram uma vulnerabilidade alarmante no Amazon Elastic Container Service (ECS), que pode ser explorada por atacantes para realizar movimentações laterais, acessar dados sensíveis e assumir o controle do ambiente em nuvem. A técnica de ataque, denominada ECScape, foi apresentada na conferência de segurança Black Hat USA, destacando como um contêiner malicioso com permissões limitadas pode obter credenciais de IAM de contêineres mais privilegiados na mesma instância EC2, comprometendo seriamente a segurança do ambiente AWS.

O Relatório de Riscos de Segurança na Nuvem 2025 revela uma preocupação alarmante: 83% das empresas que utilizam a Amazon Web Services (AWS) enfrentam problemas com permissões excessivas e acessos permanentes. Apesar dos avanços na centralização do controle de acesso por meio de Provedores de Identidade (IdPs), a segurança total ainda está longe de ser alcançada. Permissões mal configuradas e acessos sem limite de tempo criam brechas exploráveis por agentes maliciosos, ampliando a superfície de ataque de forma desnecessária. A resistência à autenticação multifator (MFA) e a permanência de permissões temporárias são desafios que exigem atenção imediata.Para mitigar esses riscos, é crucial adotar o princípio do menor privilégio, implementar acesso just-in-time e realizar auditorias frequentes e automáticas nas permissões concedidas. A segurança de identidade deve ser uma prioridade contínua, especialmente em um cenário onde os ataques se tornam cada vez mais sofisticados. A mudança de mentalidade é essencial para garantir que a configuração correta não seja uma tarefa pontual, mas sim um processo contínuo de monitoramento, visibilidade e automação. A gestão eficaz de identidades não pode ser opcional, mas sim uma prioridade estratégica para proteger o perímetro digital das organizações.

O grupo de ransomware PEAR assumiu a responsabilidade por um grave vazamento de dados ocorrido em junho de 2025 na Think Big Health Care Solutions, uma empresa de gestão de saúde na Flórida. Durante o ataque, foram comprometidos 60 GB de informações pessoais sensíveis, incluindo números de segurança social, dados financeiros, informações médicas e muito mais. O grupo criminoso publicou imagens dos documentos roubados para comprovar a violação, embora a autenticidade das imagens ainda não tenha sido verificada de forma independente. A Think Big ainda não confirmou a reivindicação do PEAR, mas está oferecendo monitoramento de crédito gratuito e proteção contra roubo de identidade para as vítimas elegíveis.Este incidente destaca o impacto devastador que ataques de ransomware podem ter em empresas de saúde, expondo dados críticos e colocando em risco a privacidade de milhares de indivíduos. A PEAR, que se concentra em roubar dados e extorquir organizações sem criptografar arquivos, já reivindicou outros 17 ataques não confirmados em 2025. Este caso ressalta a necessidade urgente de medidas preventivas robustas e de uma resposta rápida a atividades suspeitas para mitigar os riscos associados a tais violações de segurança cibernética.

Em junho, o Google foi vítima de um ataque sofisticado de engenharia social, conhecido como vishing, conduzido pelo grupo de ameaças UNC6040. Os criminosos conseguiram acessar uma instância do Salesforce da empresa, roubando dados de clientes de pequenas e médias empresas. Este vazamento de dados representa uma violação grave, com o potencial de expor informações sensíveis e impactar a confiança dos clientes. O Google respondeu rapidamente ao incidente, realizando uma análise de impacto e implementando medidas de mitigação para conter a ameaça. No entanto, a situação destaca a necessidade urgente de reforçar as defesas contra ataques de engenharia social, que continuam a evoluir em complexidade e sofisticação. Organizações devem estar em alerta máximo e adotar práticas de segurança robustas para proteger seus dados contra tais violações.