Cibersegurança

A Comissão Federal do Comércio dos Estados Unidos (FTC) decidiu proibir a General Motors (GM) e sua subsidiária OnStar de coletar e vender dados de localização e comportamento de motoristas por um período de cinco anos. A decisão foi motivada por acusações de que a GM coletou dados sem consentimento, utilizando a ferramenta Smart Driver, que foi descontinuada. Essa ferramenta, que prometia autodiagnóstico dos hábitos de direção, na verdade, coletava informações a cada três segundos, que eram vendidas a agências de reporte de consumidores e, posteriormente, a seguradoras, resultando em taxas elevadas ou até mesmo na negação de serviços. A GM agora terá que obter consentimento explícito dos consumidores para qualquer coleta ou compartilhamento de dados, exceto em situações de emergência. Além disso, os consumidores poderão solicitar cópias de seus dados e pedir a exclusão deles. A decisão da FTC se alinha a um movimento crescente para proteger a privacidade dos dados dos usuários, especialmente em um contexto onde a coleta de dados se tornou uma prática comum entre empresas de tecnologia e automotivas.

Pesquisadores da Varonis identificaram uma nova campanha de ciberataques chamada ‘Reprompt’, que utiliza o Microsoft Copilot para roubar dados de usuários. O ataque se aproveita de sessões legítimas da ferramenta de inteligência artificial, permitindo que informações sensíveis sejam extraídas através de comandos maliciosos. Os criminosos conseguem contornar as configurações de segurança do Copilot ao inserir um alerta corrompido em uma URL aparentemente verdadeira, evitando que a vítima precise clicar em links.

O Spindletop Center, uma clínica de saúde comportamental no Texas, notificou vítimas de uma violação de dados ocorrida em setembro de 2025, conforme informações enviadas ao procurador-geral do estado. A violação comprometeu dados pessoais sensíveis, incluindo números de Seguro Social, identificações emitidas pelo governo e números de casos. Um grupo de ransomware chamado Rhysida reivindicou a responsabilidade pelo ataque, exigindo um resgate de 15 bitcoins, equivalente a aproximadamente 1,65 milhão de dólares na época. A clínica relatou uma interrupção em seus sistemas em 29 de setembro de 2025, e uma investigação interna revelou que informações sensíveis podem ter sido acessadas em 23 de setembro. Até o momento, não há confirmação se o Spindletop pagou o resgate ou como os atacantes conseguiram invadir seus sistemas. A Rhysida, que opera um modelo de ransomware como serviço, já reivindicou mais de 100 ataques confirmados desde sua criação em 2023, afetando milhões de registros. Este incidente destaca a crescente ameaça de ataques cibernéticos no setor de saúde, que podem comprometer a privacidade e a segurança dos pacientes.

Pesquisadores de segurança descobriram uma vulnerabilidade crítica no protocolo Fast Pair do Google, que permite que atacantes sequestram acessórios de áudio Bluetooth, rastreiem usuários e escutem conversas. A falha, identificada como CVE-2025-36911 e chamada de WhisperPair, afeta centenas de milhões de fones de ouvido, earbuds e alto-falantes de diversos fabricantes que suportam o recurso Fast Pair. O problema reside na implementação inadequada do protocolo, permitindo que dispositivos não autorizados iniciem o emparelhamento sem o consentimento do usuário. Após o emparelhamento, os atacantes podem controlar completamente o dispositivo, podendo reproduzir áudio em volumes altos ou escutar conversas através do microfone do acessório. Além disso, a vulnerabilidade permite que os atacantes rastreiem a localização das vítimas usando a rede Find Hub do Google. O Google já recompensou os pesquisadores com US$ 15.000 e está trabalhando com os fabricantes para lançar patches de segurança, embora nem todos os dispositivos vulneráveis tenham atualizações disponíveis. A única defesa contra esses ataques é a instalação de atualizações de firmware dos fabricantes, uma vez que desativar o Fast Pair em smartphones Android não impede a exploração da falha nos acessórios.

A Verizon confirmou que a interrupção de serviço sem fio que afetou clientes em todo os Estados Unidos no dia 14 de janeiro foi causada por um problema de software. A falha começou por volta do meio-dia, levando muitos usuários a relatar que seus dispositivos estavam presos no modo SOS, o que impediu a realização de chamadas, incluindo para o 911. A empresa afirmou que não há indícios de que um incidente de cibersegurança tenha contribuído para a interrupção. A Verizon comunicou que seus engenheiros estavam trabalhando para resolver o problema e, por volta das 22h20, anunciou que a situação havia sido normalizada, recomendando que os clientes reiniciassem seus dispositivos. Em um gesto de compensação, a empresa ofereceu um crédito de US$ 20 para os clientes afetados, embora tenha destacado que isso não compensaria a inconveniência. A Verizon ainda não divulgou detalhes sobre quais sistemas foram impactados pelo problema de software.

Hackers estão explorando uma falha de gravidade máxima no plugin Modular DS do WordPress, que permite a eles contornar a autenticação remotamente e acessar sites vulneráveis com privilégios de administrador. A falha, identificada como CVE-2026-23550, afeta as versões 2.5.1 e anteriores do plugin, que é utilizado para gerenciar múltiplos sites WordPress a partir de uma única interface. Com mais de 40.000 instalações, o plugin permite que proprietários, desenvolvedores e provedores de hospedagem monitorem sites, realizem atualizações e gerenciem usuários. Pesquisadores da Patchstack confirmaram que a exploração da falha começou em 13 de janeiro, e a Modular DS lançou uma correção na versão 2.5.2 poucas horas depois. A vulnerabilidade é causada por falhas de design que aceitam requisições como confiáveis sem uma verificação criptográfica de sua origem, permitindo uma escalada de privilégios. Os usuários são aconselhados a atualizar para a versão mais recente e revisar logs de acesso ao servidor em busca de requisições suspeitas, além de regenerar todas as chaves do WordPress após a atualização.

A plataforma de entrega de alimentos Grubhub confirmou uma recente violação de dados, onde hackers acessaram seus sistemas e estão exigindo pagamentos em Bitcoin para não divulgar informações sensíveis. A empresa declarou que indivíduos não autorizados baixaram dados de certos sistemas, mas garantiu que informações financeiras e histórico de pedidos não foram afetados. Grubhub está colaborando com uma empresa de cibersegurança e notificou as autoridades. O incidente ocorre em meio a um aumento de e-mails fraudulentos associados à empresa, que promoviam um golpe de criptomoeda. Fontes indicam que o grupo de cibercrime ShinyHunters está por trás da extorsão, exigindo pagamento para evitar a divulgação de dados antigos e novos, que foram obtidos em um ataque recente. A violação pode estar relacionada a credenciais roubadas durante ataques anteriores a outras plataformas, como Salesloft. Especialistas alertam que organizações afetadas devem rotacionar todas as credenciais comprometidas o mais rápido possível para mitigar riscos futuros.

Uma falha de configuração crítica no AWS CodeBuild, identificada como CodeBreach, poderia ter permitido a tomada total dos repositórios do GitHub da Amazon, incluindo o AWS JavaScript SDK. A vulnerabilidade foi corrigida em setembro de 2025, após uma divulgação responsável em agosto do mesmo ano. Pesquisadores da Wiz relataram que, ao explorar essa falha, atacantes poderiam injetar código malicioso, comprometendo não apenas aplicações que dependem do SDK, mas também a própria Console da AWS, colocando em risco todas as contas AWS.

A Microsoft anunciou, em 14 de janeiro de 2026, a ação judicial contra o RedVDS, um serviço de assinatura que facilitava cibercrimes. Este serviço permitia que hackers comprassem e vendessem recursos para realizar ataques digitais, cobrando US$ 24 por mês. Desde março de 2025, o RedVDS causou prejuízos de aproximadamente US$ 40 milhões apenas nos Estados Unidos, com um caso notável envolvendo a H2 Pharma, que perdeu mais de US$ 7,3 milhões. A operação conjunta da Microsoft, com apoio da Europol e autoridades policiais da Alemanha, resultou na apreensão de dois domínios que hospedavam o marketplace clandestino. O RedVDS era utilizado para fraudes, incluindo o desvio de pagamentos através do comprometimento de e-mails corporativos, onde hackers monitoravam contas para redirecionar fundos para contas fraudulentas. O impacto do RedVDS se estendeu a diversos setores, incluindo saúde, construção e serviços jurídicos.

O LinkedIn se tornou alvo de uma nova campanha de phishing que utiliza comentários na plataforma para espalhar malware. De acordo com uma reportagem do Bleeping Computer, usuários relataram comentários suspeitos que aparentam ser legítimos, vindo do próprio LinkedIn. Os hackers criam mensagens falsas que alertam sobre uma suposta violação das políticas da plataforma, levando ao bloqueio temporário da conta do usuário. Após essa notificação, um link é compartilhado para reativar a conta, direcionando a vítima a uma página semelhante à de login do LinkedIn. Nesse momento, os criminosos conseguem coletar informações sensíveis, pois os usuários, acreditando na legitimidade do aviso, inserem suas credenciais na página maliciosa.

O comércio varejista e o setor de serviços na Oceania, especialmente na Austrália e Nova Zelândia, enfrentaram um aumento significativo nas tentativas de ciberataques em 2025, superando até mesmo setores críticos como governo e saúde. O ‘Threat Landscape Report 2025’, da Cyble, destaca que hackers estão mudando seu foco para empresas de pequeno e médio porte, que frequentemente carecem de medidas de segurança robustas. Rex Booth, diretor de segurança da informação da Sailpoint, aponta que a eficiência é a chave para essa mudança, já que os atacantes buscam maximizar lucros com o mínimo de esforço. O aumento das transações no varejo e a dinâmica de integração rápida de trabalhadores temporários também contribuem para essa vulnerabilidade. O relatório revela que o mercado de cibercrime está fragmentado, dificultando a identificação de responsáveis pelos ataques, uma vez que as vendas de dados na dark web vêm de contas novas. Essa tendência de ataques a setores menos protegidos reflete um padrão global, onde hackers conseguem causar danos mesmo sem ferramentas avançadas para comprometer organizações críticas.

Pesquisadores de segurança da Varonis descobriram um novo método de ataque de injeção de prompt, chamado ‘Reprompt’, que compromete usuários do Microsoft Copilot com apenas um clique. Diferente de ataques anteriores que utilizavam e-mails maliciosos, essa nova técnica explora parâmetros de URL para injetar comandos prejudiciais. Quando um usuário clica em um link aparentemente legítimo que contém um parâmetro ‘q’, o Copilot interpreta esse conteúdo como um comando a ser executado, permitindo que dados sensíveis sejam vazados. A Microsoft já corrigiu essa vulnerabilidade, bloqueando a possibilidade de injeção de prompt via URLs. Essa descoberta destaca a necessidade de vigilância contínua em ferramentas de IA generativa, que ainda não conseguem distinguir adequadamente entre comandos e dados a serem lidos, tornando-as suscetíveis a ataques. A situação ressalta a importância de medidas de segurança robustas para proteger informações sensíveis em ambientes corporativos.

Em 2026, muitos Centros de Operações de Segurança (SOCs) ainda utilizam práticas e ferramentas desatualizadas, inadequadas para o cenário atual de ameaças cibernéticas. O artigo destaca quatro hábitos que limitam a evolução dos SOCs: a revisão manual de amostras suspeitas, a dependência exclusiva de varreduras estáticas, a desconexão entre ferramentas e a escalada excessiva de alertas suspeitos. Para superar esses desafios, recomenda-se a adoção de fluxos de trabalho otimizados por automação, como o uso de serviços de análise de malware em nuvem e análise comportamental em tempo real. Essas abordagens não apenas aceleram a detecção e resposta a incidentes, mas também melhoram a eficiência operacional dos analistas. Por exemplo, o uso do ANY.RUN, uma sandbox interativa, demonstrou reduzir o tempo médio de resposta a incidentes (MTTR) em 21 minutos e o tempo médio de detecção (MTTD) para 15 segundos. A integração de ferramentas e a redução de escalonamentos desnecessários também são cruciais para aumentar a produtividade e a eficácia dos SOCs. O artigo conclui que a modernização das práticas de segurança é essencial para enfrentar a crescente complexidade das ameaças cibernéticas.

Com a crescente integração de assistentes de IA nas atividades diárias, a segurança cibernética deve ir além da proteção dos modelos de IA. Recentes incidentes revelaram que o maior risco reside nos fluxos de trabalho que cercam esses modelos. Dois complementos do Chrome, disfarçados de assistentes de IA, foram identificados como responsáveis por roubar dados de chat de mais de 900 mil usuários do ChatGPT e DeepSeek. Além disso, pesquisadores demonstraram como injeções de comandos ocultas em repositórios de código podem enganar assistentes de codificação da IBM, fazendo com que executem malware. Esses ataques não comprometeram os algoritmos de IA, mas exploraram o contexto em que operam. À medida que as empresas utilizam IA para automatizar tarefas, a segurança deve se concentrar na proteção dos fluxos de trabalho, e não apenas nos modelos. Isso implica em entender onde a IA é utilizada, restringir acessos desnecessários e monitorar comportamentos anômalos. Ferramentas como a Reco estão surgindo para ajudar a proteger esses fluxos de trabalho em tempo real, oferecendo visibilidade e controle sobre o uso de IA nas organizações.

O cenário de cibersegurança continua a evoluir rapidamente, com novas vulnerabilidades e ataques emergindo semanalmente. Um dos destaques é uma falha crítica no Redis (CVE-2025-62507), que permite execução remota de código devido a um estouro de buffer. Essa vulnerabilidade, que afeta 2.924 servidores, foi corrigida na versão 8.3.2, mas a falta de autenticação no Redis torna a exploração ainda mais preocupante.

Além disso, o malware BaoLoader, que utiliza certificados de assinatura válidos para se disfarçar, tem se tornado uma ameaça significativa, permitindo que os atacantes operem sem serem detectados. Campanhas de phishing também estão em alta, com e-mails disfarçados de convites e alertas que instalam ferramentas de gerenciamento remoto (RMM).

Pesquisadores de cibersegurança revelaram um novo método de ataque chamado Reprompt, que pode permitir que criminosos exfiltratem dados sensíveis de chatbots de inteligência artificial, como o Microsoft Copilot, com apenas um clique. Segundo Dolev Taler, pesquisador da Varonis, o ataque não requer interação adicional do usuário após o primeiro clique em um link legítimo. O Reprompt utiliza três técnicas principais: a injeção de instruções via parâmetro de URL, a manipulação das salvaguardas de proteção de dados e a criação de uma cadeia contínua de solicitações que permite a exfiltração dinâmica de dados. Isso significa que, após um único clique, o atacante pode controlar a sessão do Copilot e solicitar informações sensíveis, como detalhes sobre arquivos acessados ou dados pessoais do usuário. Embora a Microsoft tenha corrigido a vulnerabilidade, o ataque destaca a fragilidade das defesas atuais contra injeções de prompt, que continuam a ser uma preocupação crescente na segurança de sistemas de IA. O Reprompt exemplifica como a falta de distinção entre instruções de usuários e solicitações externas pode ser explorada, tornando-se um ponto cego na segurança das empresas.

A Microsoft anunciou uma ação legal coordenada nos Estados Unidos e no Reino Unido para desmantelar o serviço de cibercrime RedVDS, que supostamente causou perdas de fraudes na casa dos milhões. O RedVDS oferecia acesso a computadores virtuais descartáveis por apenas US$ 24 por mês, facilitando atividades criminosas como phishing e fraudes financeiras. Desde março de 2025, as atividades relacionadas ao RedVDS resultaram em cerca de US$ 40 milhões em perdas de fraudes nos EUA. O serviço, que operava com software não licenciado, permitia que criminosos operassem de forma anônima e escalável, utilizando ferramentas de inteligência artificial para aprimorar suas fraudes. A Microsoft identificou uma rede global de criminosos utilizando a infraestrutura do RedVDS, que comprometeu mais de 191 mil organizações em diversos setores. A ação da Microsoft é parte de um esforço mais amplo de combate ao cibercrime, visando proteger empresas e indivíduos de fraudes sofisticadas.

No dia 13 de janeiro de 2026, a Microsoft lançou uma atualização de segurança que corrigiu mais de 100 vulnerabilidades no Windows, incluindo três falhas zero-day. A CVE-2026-20805, uma das falhas zero-day, permite que hackers acessem informações sensíveis através de vazamentos de memória, facilitando ataques subsequentes. Outra vulnerabilidade, CVE-2026-21265, está relacionada à expiração de certificados do secure boot, afetando computadores adquiridos entre 2012 e 2025. Para mitigar essa falha, é necessário auditar o hardware e atualizar o firmware. A terceira falha, CVE-2023-31096, está ligada à elevação de privilégios em drivers de modem que têm sido parte do Windows por décadas. Das 114 vulnerabilidades corrigidas, 57 são de elevação de privilégios, 22 de execução remota de código e 22 de vazamento de informações. Embora apenas 8 sejam categorizadas como críticas, é essencial que usuários e empresas avaliem o impacto dessas falhas em seus sistemas.

A ServiceNow, uma das principais empresas de TI do mundo, enfrentou uma grave vulnerabilidade de segurança relacionada à autenticação, que a deixou exposta a ataques cibernéticos. A falha, identificada pela AppOmni, permitia que hackers acessassem a infraestrutura da empresa utilizando apenas o e-mail de um usuário, sem a necessidade de senha ou autenticação adicional. Isso se deu em parte pela implementação de um chatbot, o Virtual Agent, que foi distribuído com credenciais comuns para todos os serviços de terceiros. A situação se agravou com a atualização do agente virtual para a tecnologia Now Assist, que ampliou o potencial de exploração para outras plataformas internas, como Salesforce e Microsoft. Embora a ServiceNow tenha corrigido a vulnerabilidade em outubro de 2025, a falha representa um risco crítico para a cadeia de suprimentos, uma vez que a empresa atende 85% das companhias da Fortune 500. Especialistas recomendam que as empresas não apenas apliquem patches, mas também evitem conceder a agentes de IA a capacidade de realizar ações críticas sem supervisão adequada.

Pesquisadores da Check Point Research (CPR) descobriram o VoidLink, um novo framework de malware projetado especificamente para ambientes de nuvem que operam com Linux. Este malware, que se infiltra silenciosamente nas infraestruturas digitais, representa uma evolução nos ataques cibernéticos, focando em compromissos de longo prazo e ocultos. O VoidLink é escrito na linguagem Zig e é capaz de identificar plataformas como Kubernetes e Docker, ajustando seu comportamento conforme o ambiente. Além disso, ele coleta credenciais de sistemas de controle de versão, como o Git, o que sugere que desenvolvedores de software podem ser alvos de espionagem ou ataques futuros. O malware possui características semelhantes a rootkits, permitindo a expansão de suas funções através de um sistema de plugins em memória. Embora ainda não haja evidências de infecções ativas, o framework pode ser oferecido como um serviço no futuro. Para mitigar essas ameaças, é essencial que as organizações adotem uma abordagem de segurança que inclua visibilidade contínua e inteligência de ameaças em tempo real, especialmente em ambientes de nuvem e Linux.

Os agentes de inteligência artificial (IA) estão se tornando componentes essenciais nas operações diárias de segurança, engenharia e TI, atuando como intermediários de acesso em diversos sistemas. Esses agentes, que podem automatizar tarefas como provisionamento de contas e gerenciamento de mudanças, são projetados para operar com permissões amplas, o que pode obscurecer a visibilidade sobre quem está acessando o quê. Essa configuração, embora aumente a produtividade, introduz riscos significativos de escalonamento de privilégios, onde usuários com acesso limitado podem, indiretamente, acessar dados ou realizar ações que normalmente não teriam permissão. A falta de controle sobre as permissões dos agentes e a atribuição de atividades a eles, em vez de aos usuários, dificulta a detecção de abusos e a aplicação de políticas de segurança. Para mitigar esses riscos, é crucial que as equipes de segurança monitorem continuamente as permissões dos agentes e a relação entre as identidades dos usuários e os ativos críticos. A adoção segura de agentes de IA requer visibilidade e monitoramento contínuo para evitar que se tornem pontos cegos de segurança.

A equipe Black Lotus Labs da Lumen Technologies revelou que desde outubro de 2025, mais de 550 nós de comando e controle (C2) associados à botnet AISURU/Kimwolf foram neutralizados. Essas botnets, que afetam principalmente dispositivos Android, têm a capacidade de realizar ataques de negação de serviço distribuído (DDoS) e redirecionar tráfego malicioso para serviços de proxy residencial. A análise do malware Kimwolf, que transforma dispositivos Android TV comprometidos em proxies residenciais, foi detalhada em um relatório da QiAnXin XLab. A botnet já infectou mais de 2 milhões de dispositivos, explorando vulnerabilidades em serviços de proxy. Além disso, houve um aumento significativo no número de bots, com 800 mil novos dispositivos adicionados em um curto período. A infraestrutura C2 da Kimwolf foi observada escaneando serviços em busca de dispositivos vulneráveis, utilizando falhas de segurança para propagar o malware. A situação é preocupante, pois esses dispositivos comprometidos operam sob a aparência de tráfego legítimo, dificultando a detecção por soluções de segurança. A relevância deste incidente é alta, especialmente para empresas que utilizam dispositivos Android em suas operações.

Pesquisadores da Kaspersky identificaram uma nova campanha de fraude cibernética que visa beneficiários do Fundo Garantidor de Créditos (FGC) no Brasil. Os criminosos estão utilizando um aplicativo falso para Android, que promete facilitar o acompanhamento do ressarcimento de valores após a liquidação de bancos. Ao invés disso, o app instala um trojan bancário chamado BeatBanker, que não apenas rouba dados sensíveis, como também controla o dispositivo remotamente e realiza mineração de criptomoedas sem o consentimento do usuário. O BeatBanker é uma ameaça sofisticada, capaz de interceptar informações de login e senhas de aplicativos bancários, além de monitorar a temperatura e a bateria do dispositivo para otimizar suas operações maliciosas. A Kaspersky recomenda que os usuários desconfiem de ofertas que prometem facilidades excessivas e que sempre verifiquem os canais oficiais antes de baixar qualquer aplicativo. A empresa também sugere desativar a instalação de aplicativos de fontes desconhecidas nas configurações do Android para aumentar a segurança.

Uma nova campanha de ciberataque, chamada SHADOW#REACTOR, está afetando usuários do Windows ao disseminar um malware de acesso remoto. Detectado por pesquisadores da Securonix, o ataque utiliza a ferramenta Remcos RAT para obter acesso remoto aos sistemas, estabelecendo uma persistência silenciosa. O processo inicia-se com um VBS Launcher, que se disfarça no Windows e executa um script para recuperar payloads fragmentados de um servidor remoto. Esses fragmentos são então reconstruídos em loaders, que são decodificados na memória do dispositivo. A execução final do malware é realizada através do MSBuild.exe, um processo legítimo do Windows, que permite ao Remcos RAT comprometer o sistema operacional. Os principais alvos são pequenas e médias empresas, com os hackers buscando vender o acesso a esses sistemas a outros agentes maliciosos. A disseminação do malware ocorre principalmente por meio de links maliciosos, que atraem as vítimas sem que elas percebam. A utilização de processos legítimos para a infecção torna o Remcos RAT resiliente e difícil de ser detectado por soluções de segurança.

Em 2025, a China intensificou seus ataques cibernéticos contra Taiwan, com um aumento de 6% em relação ao ano anterior, totalizando uma média de 2,63 milhões de ataques diários, conforme relatório do National Security Bureau (NSB). Os setores mais afetados incluem a infraestrutura de energia, que sofreu um aumento de 10 vezes nos ciberataques, e os sistemas de resgate de emergência hospitalar, com um crescimento de 54%. O NSB aponta que esses ataques visam comprometer a infraestrutura crítica de Taiwan e interromper funções governamentais e sociais. Além disso, os ataques são direcionados, sugerindo uma tática de “neutralização na primeira hora do conflito”. Embora a maioria dos ataques tenha sido bloqueada, alguns conseguiram comprometer entidades de inteligência. O relatório também destaca que 57% dos ataques focaram em falhas de hardware e software, enquanto 21% foram ataques de negação de serviço. A escalada dos ciberataques reflete uma disputa histórica entre China e Taiwan, com implicações políticas e sociais significativas.

Uma pesquisa recente analisou 4.700 sites líderes e revelou que 64% das aplicações de terceiros acessam dados sensíveis sem justificativa comercial, um aumento significativo em relação aos 51% registrados em 2024. O estudo destaca um aumento alarmante de atividades maliciosas no setor governamental, que saltou de 2% para 12,9%, e revela que 1 em cada 7 sites educacionais apresenta sinais de comprometimento. Ferramentas como Google Tag Manager, Shopify e Facebook Pixel são responsáveis por 8%, 5% e 4% das violações, respectivamente. Apesar de 81% dos líderes de segurança considerarem os ataques na web uma prioridade, apenas 39% implementaram soluções eficazes para mitigar esses riscos. A pesquisa também aponta uma lacuna de governança, onde equipes de marketing e digitais implantam aplicativos sem supervisão de TI, resultando em configurações inadequadas e acesso excessivo a dados sensíveis. O estudo sugere que a falta de ação, impulsionada por restrições orçamentárias e falta de pessoal, está tornando as organizações vulneráveis a ataques, especialmente em setores públicos que enfrentam desafios financeiros. A análise conclui que a gestão de exposição na web é crucial para proteger dados sensíveis e evitar brechas de segurança.

A Fortinet anunciou atualizações para corrigir uma vulnerabilidade crítica no FortiSIEM, identificada como CVE-2025-64155, que pode permitir a execução de código por atacantes não autenticados. Avaliada em 9.4 na escala CVSS, a falha se relaciona a uma injeção de comandos do sistema operacional, possibilitando que um invasor execute comandos não autorizados através de requisições TCP manipuladas. A vulnerabilidade afeta apenas os nós Super e Worker do FortiSIEM e foi descoberta pelo pesquisador de segurança Zach Hanley. O problema reside no serviço phMonitor, que gerencia a comunicação entre nós e a monitoração de saúde, permitindo a injeção de argumentos via curl. Isso pode ser explorado para escrever um shell reverso em um arquivo executável com permissões de root, comprometendo completamente o dispositivo. A Fortinet recomenda que os usuários atualizem para versões corrigidas e limitem o acesso à porta 7900 como uma medida de mitigação. Além disso, outra vulnerabilidade crítica foi identificada no FortiFone, com uma pontuação CVSS de 9.3, que também requer atenção imediata.

O Computer Emergency Response Team da Ucrânia (CERT-UA) revelou detalhes sobre uma série de ciberataques direcionados às suas forças de defesa, utilizando um malware chamado PLUGGYAPE entre outubro e dezembro de 2025. A atividade foi atribuída com média confiança a um grupo de hackers russo conhecido como Void Blizzard. Os ataques empregaram aplicativos de mensagens como Signal e WhatsApp, onde os invasores se disfarçaram de organizações de caridade para induzir as vítimas a clicarem em links maliciosos que levavam ao download de arquivos comprimidos protegidos por senha. Esses arquivos continham um executável criado com PyInstaller que, ao ser executado, implantava o PLUGGYAPE. Este malware, escrito em Python, estabelece comunicação com servidores remotos via WebSocket ou MQTT, permitindo que os operadores executem códigos arbitrários nas máquinas comprometidas. Além disso, os endereços de comando e controle (C2) são obtidos de serviços externos, o que aumenta a segurança operacional dos atacantes. O CERT-UA também destacou que a interação inicial com as vítimas está sendo realizada com contas legítimas e na língua ucraniana, demonstrando um conhecimento detalhado sobre os alvos. Essa situação evidencia a crescente utilização de mensageiros como vetores de entrega de ferramentas de ciberameaças, representando um risco significativo para a segurança cibernética na região.

Com a crescente popularidade das ferramentas de inteligência artificial (IA), cibercriminosos estão direcionando suas atenções para a exploração de vulnerabilidades em modelos de linguagem de grande escala (LLMs). Pesquisadores da GreyNoise identificaram duas campanhas de ataque que, juntas, contabilizam quase 100 mil tentativas de exploração. Os ataques, que ocorreram entre outubro de 2025 e janeiro de 2026, visaram principalmente empresas que utilizam esses modelos em suas operações diárias. A primeira campanha consistiu na injeção de domínios maliciosos, enquanto a segunda, considerada mais perigosa, focou em testar APIs de serviços de IA de grandes empresas como OpenAI e Google, buscando identificar quais modelos poderiam ser manipulados sem acionar alertas de segurança. Os especialistas alertam que esses ataques representam riscos significativos para a segurança corporativa, especialmente com a adoção crescente de IAs. Recomenda-se que as empresas implementem medidas de segurança mais robustas, como o bloqueio de endereços suspeitos e a configuração de alertas para respostas rápidas a possíveis ameaças.

Um relatório da Emsisoft, intitulado “O Estado do Ransomware nos Estados Unidos”, revela que, apesar das prisões de grupos hackers e do fechamento de servidores, o número de ataques de ransomware aumentou significativamente entre 2023 e 2025. O estudo, que analisou dados de plataformas como RansomLook.io e Ransomware.live, aponta que o número de vítimas subiu de 5.400 em 2023 para mais de 8.000 em 2025. O aumento é atribuído à proliferação de novos grupos de ataque, que passaram de cerca de 70 em 2023 para entre 126 e 141 em 2025. Os principais grupos ativos incluem Qilin, Akira, Cl0p, Play, Safepay e INC Ransom. Embora as ações legais tenham impactado algumas gangues, a competição entre os atacantes parece ter contribuído para o aumento dos incidentes. A Emsisoft sugere que, apesar do cenário atual, a aplicação de leis internacionais pode eventualmente ajudar a reduzir o número de vítimas.

Um relatório da ESET revela que o ecossistema Android na América Latina, especialmente no Brasil e México, continua sendo um alvo preferencial para cibercriminosos. Em 2025, três famílias de malware se destacaram entre as mais detectadas: Trojan.Android/Exploit.CVE-2012-6636, Trojan.Android/Exploit.Lotoor e Trojan.Android/Pandora. A primeira, com mais de uma década, explora vulnerabilidades em aplicativos desatualizados, enquanto a segunda se aproveita de falhas em dispositivos com acesso root. A terceira, uma variante do malware Mirai, transforma dispositivos em botnets para ataques DDoS. A ESET alerta que a fragmentação do sistema Android e o uso prolongado de aparelhos sem atualização contribuem para a persistência dessas ameaças. Recomendações incluem manter o sistema e aplicativos atualizados e evitar downloads de fontes não confiáveis.

O artigo destaca que, apesar da segurança cibernética frequentemente discutir novas ameaças, os ataques mais eficazes em 2025 são semelhantes aos de 2015. Os invasores continuam a explorar pontos de entrada conhecidos, mas com maior eficiência. A cadeia de suprimentos é um foco crítico, como demonstrado pela campanha Shai Hulud NPM, onde um único pacote comprometido pode afetar milhares de projetos. A inteligência artificial facilitou a execução de ataques, permitindo que até indivíduos realizem operações complexas que antes exigiam grandes equipes. O phishing permanece uma ameaça significativa, pois os humanos continuam sendo o elo mais fraco, exemplificado por um ataque recente que comprometeu pacotes com milhões de downloads. Além disso, extensões de navegador maliciosas continuam a contornar os mecanismos de segurança das lojas oficiais. O artigo conclui que, em vez de buscar novas estratégias de defesa, é essencial corrigir os modelos de permissão e fortalecer a verificação da cadeia de suprimentos, priorizando a segurança básica.

Pesquisadores de cibersegurança revelaram uma extensão maliciosa do Google Chrome, chamada MEXC API Automator, que tem a capacidade de roubar chaves API associadas à MEXC, uma exchange de criptomoedas centralizada disponível em mais de 170 países. Publicada em setembro de 2025, a extensão, que já conta com 29 downloads, se apresenta como uma ferramenta para automatizar operações de trading na plataforma. Ao ser instalada, ela cria programaticamente novas chaves API, habilita permissões de retirada e oculta essas permissões na interface do usuário. As chaves geradas são então enviadas para um bot do Telegram controlado pelo atacante.

Pesquisadores em cibersegurança identificaram uma campanha significativa de skimming na web, ativa desde janeiro de 2022, que visa grandes redes de pagamento como American Express, Mastercard e UnionPay. Esses ataques, classificados como Magecart, envolvem a injeção de código JavaScript malicioso em sites de e-commerce e portais de pagamento, permitindo que criminosos capturem informações de cartões de crédito e dados pessoais dos usuários durante o processo de checkout.

O relatório da Silent Push revela que a campanha foi descoberta após a análise de um domínio suspeito associado a um provedor de hospedagem sancionado. O domínio, cdn-cookie[.]com, hospeda códigos JavaScript ofuscados que facilitam o skimming. O ataque é projetado para evitar a detecção, verificando a presença de elementos específicos na estrutura do site e manipulando a interface do usuário para apresentar formulários de pagamento falsos.

Uma nova onda de ataques cibernéticos, conhecida como GoBruteforcer, está focando em bases de dados de criptomoedas e projetos de blockchain. Esses ataques utilizam botnets para realizar preenchimento de credenciais em massa, invadindo contas por meio de força bruta. Os serviços mais afetados incluem FTP, MySQL, PostgreSQL e phpMyAdmin em servidores Linux. Pesquisadores da Check Point Research identificaram que a campanha é impulsionada pelo uso de servidores gerados por inteligência artificial (IA) que propagam nomes de usuário e senhas padrão, além da presença de stacks web legados, como o XAMPP, que expõem interfaces com segurança mínima. A GoBruteforcer foi inicialmente descoberta pela Palo Alto Networks em março de 2023 e, em 2025, a equipe Black Lotus da Lumen Technologies confirmou a integração de bots da família SystemBC na botnet. Os hackers exploram servidores vulneráveis para subir web shells em PHP, permitindo o download de bots que executam scripts maliciosos. Isso possibilita ataques de força bruta, hospedagem de payloads maliciosos e controle remoto dos servidores. É crucial que as organizações verifiquem se suas implementações não utilizam credenciais padrão ou são baseadas em IA generativa para evitar invasões e a integração em botnets como a GoBruteforcer.

A Microsoft divulgou um estudo que alerta os usuários do Office 365 sobre ataques de phishing que podem ser realizados através de e-mails com configurações vulneráveis. A pesquisa, realizada pelo Microsoft Threat Intelligence, revela como cibercriminosos conseguem falsificar domínios legítimos, enganando as vítimas que confiam na empresa. O ataque é facilitado por um ‘roteamento complexo’ e pela falta de proteções adequadas contra falsificação de domínios nas contas de e-mail, o que aumenta o risco de violações de segurança.

Uma pesquisa do Fórum Econômico Mundial (WEF) revelou que, apesar da evolução das ferramentas de deepfake, a maioria delas ainda é fraca em comparação com as contramedidas de segurança adotadas por instituições financeiras e empresas. O estudo analisou 17 programas de deepfake, tanto de código aberto quanto comerciais, entre julho de 2024 e abril de 2025, focando na capacidade desses softwares de contornar algoritmos de reconhecimento facial, especialmente em verificações de identidade ‘know your customer’ (KYC). Os resultados mostraram que a maioria das ferramentas é superficial e voltada para entretenimento, com apenas uma pequena fração capaz de realizar fraudes de identidade de forma eficaz. Apenas cinco dos programas estudados afetam webcams em tempo real, e somente três conseguem injetar imagens falsas diretamente em feeds de vídeo de reconhecimento facial. Embora os deepfakes possam enganar os olhos humanos, eles ainda enfrentam dificuldades em passar por sistemas de reconhecimento facial, que utilizam metadados e outros dados para validação. A pesquisa sugere que os defensores da segurança estão à frente, já que têm tempo para estudar e melhorar suas defesas, enquanto os criminosos não têm feedback sobre o que precisam aprimorar.

Os ataques de negação de serviço distribuído (DDoS) evoluíram drasticamente em 2025, tornando-se uma ocorrência diária para provedores de telecomunicações. O artigo destaca que, enquanto em 2024 cerca de 44% das campanhas DDoS terminavam em cinco minutos, esse número saltou para 78% em 2025, com mais de um terço dos ataques concluídos em menos de dois minutos. Essa aceleração se deve à automação dos ataques, que agora são orquestrados por algoritmos que adaptam suas estratégias em tempo real, dificultando a resposta das defesas tradicionais. Além disso, a origem do tráfego de ataque mudou, com redes de proxies residenciais, que podem incluir de 100 a 200 milhões de dispositivos, agora sendo utilizadas para retransmitir tráfego malicioso. Essa nova infraestrutura de ataque é invisível e muito mais difícil de ser detectada, representando uma ameaça significativa. Para se defender, as organizações precisam adotar sistemas automatizados e escaláveis que integrem inteligência para identificar tráfego malicioso entre usuários legítimos. O artigo conclui que as defesas DDoS tradicionais não são mais suficientes e que é crucial uma evolução para arquiteturas de defesa proativas.

Um novo relatório do Fórum Econômico Mundial (WEF) revela que as empresas estão começando a levar a sério os riscos de segurança associados à inteligência artificial (IA). Quase dois terços (64%) das empresas agora avaliam os riscos antes de implementar ferramentas de IA, um aumento significativo em relação a 37% no ano anterior. A pesquisa, realizada em colaboração com a Accenture, indica que 94% dos executivos acreditam que as ferramentas de IA serão o principal motor de mudança em suas estratégias de cibersegurança até 2026. Apesar do aumento na conscientização sobre as vulnerabilidades relacionadas à IA, como vazamentos de dados e fraudes, as empresas também estão adotando IA para combater essas ameaças, com 77% utilizando a tecnologia para melhorar a segurança cibernética. As aplicações mais comuns incluem a detecção de phishing (52%) e a automação de operações de segurança (43%). No entanto, desafios como a falta de habilidades e a necessidade de validação humana ainda impedem a adoção mais ampla da IA na segurança. O WEF prevê que ameaças como phishing convincente e fraudes automatizadas se tornarão mais prevalentes, destacando a necessidade urgente de as empresas se adaptarem a esse novo cenário de ameaças.

Em 2025, o mundo registrou 7.419 ataques de ransomware, um aumento de 32% em relação ao ano anterior. Desses, 1.173 foram confirmados por organizações-alvo, enquanto muitos outros não foram reconhecidos publicamente. A pesquisa da Sophos revela que quase metade das empresas pagam resgates para recuperar dados, o que pode contribuir para a subnotificação de incidentes. O setor de manufatura foi o mais afetado, com um aumento de 56% nos ataques e um pedido médio de resgate que mais que dobrou, alcançando quase 1,2 milhão de dólares. Embora os ataques a setores como saúde e educação tenham se estabilizado, o aumento geral de ataques a empresas e entidades governamentais é alarmante. Os Estados Unidos foram o país mais visado, com 3.810 ataques. O relatório destaca a evolução das táticas de ransomware e a necessidade urgente de medidas de segurança mais robustas, especialmente em setores críticos. A média de resgates caiu 26%, mas o número de registros comprometidos continua a crescer, exigindo atenção contínua das equipes de segurança.

A Avosina Healthcare Solutions, empresa de faturamento médico, notificou 42.261 pessoas sobre uma violação de dados ocorrida em julho de 2025, que comprometeu informações pessoais, médicas e de seguros de saúde. O ataque foi reivindicado pelo grupo de ransomware Qilin, que postou amostras de documentos supostamente roubados, incluindo formulários médicos e contratações. A Avosina não confirmou a reivindicação do grupo, e detalhes sobre o pagamento de resgate ou a forma como a violação ocorreu ainda não foram divulgados. A empresa informou que os dados comprometidos estavam em um sistema arquivado e não ativo. Para mitigar os danos, a Avosina está oferecendo monitoramento de crédito gratuito e seguro contra roubo de identidade para as vítimas. O grupo Qilin, baseado na Rússia, é conhecido por ataques a empresas de saúde e já comprometeu milhões de registros em 2025. Este incidente destaca a vulnerabilidade do setor de saúde a ataques cibernéticos, que podem comprometer não apenas dados, mas também a segurança e a privacidade dos pacientes.

Pesquisadores de cibersegurança revelaram detalhes sobre a campanha SHADOW#REACTOR, que utiliza uma cadeia de ataque em múltiplas etapas para implantar uma ferramenta de administração remota chamada Remcos RAT. O processo de infecção começa com um script em Visual Basic ofuscado, que é executado via wscript.exe e invoca um downloader em PowerShell. Este downloader busca fragmentos de carga útil em um servidor remoto e os reconstrói em carregadores codificados. A execução final é realizada através do MSBuild.exe, um binário legítimo do Windows, que permite a instalação do backdoor Remcos RAT no sistema comprometido.

A ServiceNow divulgou uma falha de segurança crítica em sua plataforma AI, identificada como CVE-2025-12420, que permite a um usuário não autenticado se passar por outro usuário e realizar ações arbitrárias em seu nome. Com uma pontuação CVSS de 9.3, a vulnerabilidade foi corrigida em 30 de outubro de 2025, através de uma atualização de segurança aplicada à maioria das instâncias hospedadas. A empresa também compartilhou os patches com parceiros e clientes que utilizam a plataforma de forma autônoma. A falha foi descoberta por Aaron Costello, da AppOmni, e, embora não haja evidências de exploração ativa, a ServiceNow recomenda que os usuários apliquem as atualizações de segurança imediatamente para evitar possíveis ameaças. Essa divulgação ocorre após a AppOmni ter alertado sobre a possibilidade de ataques que exploram configurações padrão na plataforma Now Assist, permitindo que agentes maliciosos realizem injeções de comandos e acessem dados corporativos sensíveis. A situação destaca a importância de manter as plataformas atualizadas e seguras, especialmente em ambientes de SaaS.

Pesquisadores de cibersegurança revelaram detalhes sobre o VoidLink, um novo e sofisticado framework de malware projetado para acesso prolongado e furtivo a ambientes de nuvem baseados em Linux. Descoberto em dezembro de 2025, o VoidLink é uma ferramenta modular que inclui carregadores personalizados, implantes, rootkits e plugins, permitindo que seus operadores adaptem suas capacidades ao longo do tempo. O framework é escrito na linguagem Zig e é capaz de detectar e se adaptar a ambientes de nuvem como AWS, Google Cloud e Microsoft Azure, além de coletar credenciais de sistemas de controle de versão como Git.

Os agentes de inteligência artificial (IA) estão evoluindo rapidamente, não apenas escrevendo código, mas também executando-o. Ferramentas como Copilot, Claude Code e Codex agora conseguem construir, testar e implantar software em questão de minutos, o que, embora acelere o desenvolvimento, também cria lacunas de segurança que muitas equipes não percebem até que ocorra um problema. Um aspecto crítico que muitas organizações não estão protegendo adequadamente são os Protocolos de Controle de Máquinas (MCPs), que determinam quais comandos um agente de IA pode executar e quais ferramentas e APIs pode acessar. A falha CVE-2025-6514 exemplifica esse risco, onde um proxy OAuth confiável foi transformado em um vetor de execução remota de código, permitindo que a automação realizasse ações não intencionais em larga escala. Este cenário destaca a necessidade urgente de as equipes de segurança entenderem e protegerem esses sistemas de controle, pois, se um agente de IA pode executar comandos, também pode ser usado para realizar ataques. Um webinar está sendo oferecido para discutir esses riscos e como as organizações podem implementar controles práticos para garantir a segurança sem comprometer a velocidade de desenvolvimento.

Na última sexta-feira, a Europol anunciou a prisão de 34 indivíduos na Espanha, supostamente ligados à organização criminosa internacional Black Axe. Esta operação foi coordenada pela Polícia Nacional da Espanha, em colaboração com o Escritório de Polícia Criminal da Bavária e a Europol, resultando em 28 prisões em Sevilha, três em Madrid, duas em Málaga e uma em Barcelona. A Black Axe é conhecida por uma variedade de crimes, incluindo fraudes cibernéticas, tráfico de drogas, tráfico humano e sequestros, com prejuízos estimados em €5,93 milhões (mais de R$ 37 milhões). Além das prisões, as autoridades congelaram €119.352 (R$ 748 mil) em contas bancárias e apreenderam €66.403 (R$ 416 mil) em dinheiro. O grupo, que teve origem na Nigéria em 1977, possui cerca de 30.000 membros registrados e é envolvido em atividades como lavagem de dinheiro e fraudes de engenharia social. Em julho de 2024, a Interpol já havia confiscado R$ 26 milhões em criptomoedas e itens de luxo em operações relacionadas, resultando em mais de 400 prisões.

Recentemente, um conjunto de oito pacotes maliciosos foi identificado no registro npm, disfarçados como integrações para a plataforma de automação de workflows n8n. Esses pacotes, como ’n8n-nodes-hfgjf-irtuinvcm-lasdqewriit’, imitam integrações legítimas, como a do Google Ads, e têm como objetivo roubar credenciais OAuth dos desenvolvedores. A campanha representa uma escalada nas ameaças à cadeia de suprimentos, explorando plataformas de automação que atuam como cofres centralizados de credenciais, armazenando tokens OAuth e chaves de API de diversos serviços em um único local. Os pacotes maliciosos foram baixados milhares de vezes antes de serem removidos. A análise revelou que, embora alguns pacotes não apresentem problemas de segurança, outros têm histórico de malware. A n8n alertou sobre os riscos de usar nós comunitários do npm, que podem executar ações maliciosas na máquina onde o serviço está rodando. Os desenvolvedores são aconselhados a auditar pacotes antes da instalação e a usar integrações oficiais para mitigar riscos. A situação destaca a necessidade de vigilância constante e práticas de segurança rigorosas na integração de workflows não confiáveis.

Pesquisadores de cibersegurança, incluindo a equipe da Censys, identificaram 11 falhas críticas na plataforma de código aberto Coolify, que permite a hospedagem de servidores de forma autônoma. Essas vulnerabilidades, que afetam aproximadamente 52.890 servidores globalmente, possibilitam que hackers contornem autenticações e executem códigos remotamente, resultando em controle total sobre os servidores comprometidos. Os países mais afetados incluem Alemanha, Estados Unidos, França e Brasil, com 4.200 servidores vulneráveis. As falhas variam desde injeções de comando em bancos de dados até problemas de configuração e má codificação, o que gera acesso indevido por diferentes vetores, como SSH e repositórios Git. Embora não tenham sido registradas explorações ativas até o momento, os especialistas recomendam que os usuários atualizem suas versões do Coolify o mais rápido possível, especialmente as versões afetadas, que vão até a 4.0.0-beta.450. As correções estão disponíveis nas versões mais recentes, mas algumas falhas ainda não possuem soluções conhecidas. A gravidade das vulnerabilidades exige atenção imediata dos administradores de servidores que utilizam a plataforma.

O Instagram se manifestou negando um suposto vazamento de dados pessoais de 17,5 milhões de usuários na dark web, após a empresa de antivírus Malwarebytes divulgar um e-mail que indicava a possibilidade de uma violação. O e-mail, que solicitava redefinição de senhas, levantou preocupações sobre a segurança dos dados, incluindo logins, endereços físicos e números de telefone. O Instagram afirmou que não houve violação, mas reconheceu um ‘problema’ em seu sistema que permitia que terceiros enviassem e-mails de redefinição de senha para alguns usuários. A Malwarebytes, por sua vez, sugere que a vulnerabilidade pode estar relacionada a uma falha na API do Instagram, identificada em 2024. Embora não haja confirmação de que os dados tenham sido vendidos na dark web, a recomendação é que os usuários alterem suas senhas e ativem a autenticação de dois fatores para aumentar a segurança. O caso destaca a importância da vigilância contínua em relação à segurança de dados pessoais nas plataformas digitais.

Uma análise da TRM Labs revelou que as transações ilícitas de criptomoedas atingiram um recorde de US$ 158 bilhões em 2025, um aumento de 145% em relação aos US$ 64,5 bilhões registrados em 2024. Esse crescimento é atribuído, em parte, à evasão de sanções em países como Venezuela, Irã e Rússia, onde as transações ilícitas aumentaram mais de 400%. Além disso, a atividade na darknet e ataques em larga escala contribuíram para esse aumento. Apesar do número alarmante, a análise também indicou uma queda na proporção de transações ilícitas em relação ao fluxo total na blockchain, que caiu de 6% em 2023 para 2,7% em 2025. Esse fenômeno pode ser resultado de um aumento na fiscalização e investigações mais rigorosas, que revelam mais informações sobre transações anteriormente desconhecidas. Os especialistas alertam que, à medida que as investigações avançam, novas sanções podem ser implementadas, o que pode levar a um aumento nas estimativas de volume ilícito no futuro.