Cibersegurança

O Google anunciou a expansão da Transparência Binária para o Android, uma iniciativa que visa proteger o ecossistema de ataques à cadeia de suprimentos. Essa nova abordagem, que se baseia na Transparência Binária do Pixel, introduz um registro público criptográfico que garante que os aplicativos do Google em dispositivos Android sejam exatamente o que a empresa pretende distribuir. A Transparência Binária é uma resposta a ataques que injetam código malicioso em canais de atualização de software, mantendo as assinaturas digitais intactas. Um exemplo recente é o comprometimento de instaladores do DAEMON Tools, que distribuíam um backdoor disfarçado. O Google enfatiza que confiar apenas na assinatura digital não é mais suficiente, pois ela não garante que o binário foi realmente o que o autor pretendia liberar. Com a nova medida, todos os aplicativos do Google lançados após 1º de maio de 2026 terão uma entrada criptográfica correspondente, permitindo que usuários e pesquisadores verifiquem a autenticidade do software. Essa iniciativa é um passo importante para aumentar a segurança e a privacidade dos usuários, especialmente em um cenário onde ataques à cadeia de suprimentos estão se tornando mais comuns.

Um estudante universitário de 23 anos em Taiwan foi preso por interferir no sistema de comunicação TETRA, utilizado pela rede ferroviária de alta velocidade do país (THSR). Em 5 de abril, ele paralisou quatro trens por 48 minutos ao transmitir um sinal de ‘Alarme Geral’ usando rádios manuais e equipamentos de rádio definidos por software (SDR). O THSR, que opera uma linha de 350 km com trens que alcançam até 300 km/h, transporta anualmente 81,8 milhões de passageiros, sendo um serviço vital e subsidiado pelo governo. O estudante, identificado pelo sobrenome Lin, interceptou e decodificou parâmetros do sistema TETRA, que não foram atualizados em 19 anos, permitindo que ele burlasse sete camadas de verificação. A polícia prendeu Lin após rastrear o sinal de rádio não autorizado até sua residência, onde foram encontrados 11 rádios manuais, um SDR e um laptop. Ele enfrenta acusações sob o Artigo 184 da Lei Penal, com pena de até 10 anos de prisão, e atualmente está sob fiança de NT$100.000. A defesa alega que a transmissão foi acidental, mas as autoridades consideram essa justificativa pouco convincente.

Desde 8 de abril, hackers têm distribuído instaladores trojanizados do software DAEMON Tools, resultando em uma infecção em milhares de sistemas em mais de 100 países. O ataque de supply chain, que ainda está em andamento, afetou principalmente organizações de varejo, científicas, governamentais e de manufatura na Rússia, Belarus e Tailândia. As versões comprometidas incluem DAEMON Tools de 12.5.0.2421 a 12.5.0.2434, com os arquivos DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe sendo os principais alvos. Após a instalação, o malware coleta informações do sistema e pode baixar e executar cargas adicionais. Em alguns casos, um backdoor mais avançado, chamado QUIC RAT, foi implantado, permitindo a injeção de código malicioso em processos legítimos. A Kaspersky, que está monitorando o ataque, alerta que a complexidade do incidente exige que as organizações verifiquem máquinas que tiveram o DAEMON Tools instalado para atividades anômalas desde a data do ataque. Embora não tenha sido atribuído a um ator específico, acredita-se que os atacantes falem chinês. O ataque destaca a crescente preocupação com a segurança da cadeia de suprimentos, que tem sido uma tendência crescente em 2023.

Um ataque cibernético à Instructure, empresa de tecnologia educacional conhecida pelo sistema de gerenciamento de aprendizagem Canvas, resultou no roubo de 280 milhões de registros de estudantes e funcionários de 8.809 instituições de ensino. A gangue de extorsão ShinyHunters assumiu a responsabilidade pelo ataque, que expôs nomes, endereços de e-mail e mensagens privadas dos usuários. A Instructure confirmou a violação de dados e está investigando o incidente, mas não respondeu a solicitações de esclarecimento. As informações foram supostamente extraídas utilizando recursos de exportação de dados do Canvas, como consultas DAP e APIs de usuários, resultando em centenas de gigabytes de dados comprometidos. Universidades como a Universidade do Colorado Boulder e Rutgers já emitiram alertas sobre o impacto potencial, enquanto outras instituições estão em processo de verificação. A situação destaca a vulnerabilidade de plataformas amplamente utilizadas em ambientes educacionais e a necessidade de medidas de segurança robustas para proteger dados sensíveis.

Um novo malware, denominado Quasar Linux (QLNX), foi identificado como uma ameaça significativa aos sistemas de desenvolvedores, combinando funcionalidades de rootkit, backdoor e roubo de credenciais. O QLNX é implantado em ambientes de desenvolvimento e DevOps, como npm, PyPI, GitHub, AWS, Docker e Kubernetes, possibilitando ataques à cadeia de suprimentos ao publicar pacotes maliciosos em plataformas de distribuição de código. Pesquisadores da Trend Micro descobriram que o malware é capaz de compilar dinamicamente objetos compartilhados de rootkit e módulos de backdoor PAM diretamente no sistema alvo, utilizando o compilador GNU (gcc).

No dia 30 de abril de 2026, a OpenAI anunciou o lançamento da Segurança Avançada de Conta (AAS), uma nova camada de proteção opcional para usuários do ChatGPT. Desenvolvida em colaboração com a Yubico, a AAS introduz duas novas chaves de segurança, a YubiKey C NFC e a YubiKey C Nano, que visam proteger especialmente indivíduos em situações de risco, como dissidentes políticos, jornalistas e pesquisadores. Essas chaves de segurança funcionam como dispositivos de hardware que se conectam às contas digitais via USB, garantindo que apenas o usuário original possa acessar a conta. A OpenAI destaca que, embora essas medidas aumentem a segurança contra ataques de phishing, que têm se tornado cada vez mais sofisticados, a perda da chave pode resultar na perda permanente de acesso à conta e aos dados armazenados. O aumento da segurança é uma resposta à crescente ameaça de cibercriminosos que visam informações valiosas em plataformas de chatbot, tornando a implementação dessas medidas uma prioridade para usuários que lidam com dados sensíveis.

A Microsoft emitiu um alerta sobre uma campanha de phishing em larga escala que afetou mais de 35.000 usuários em 13.000 empresas, principalmente nos Estados Unidos. Entre 14 e 16 de abril de 2026, a campanha se espalhou por 26 países, com 92% dos e-mails direcionados a organizações americanas, especialmente nos setores de saúde (19%) e serviços financeiros (18%). Os e-mails, que utilizavam templates HTML refinados e mensagens de urgência, foram projetados para parecer comunicações internas legítimas, aumentando a probabilidade de que os destinatários caíssem na armadilha. Os atacantes usaram identidades falsas e alegações de conformidade para pressionar os usuários a agir rapidamente. Além disso, os e-mails continham links que redirecionavam os usuários para páginas maliciosas após a abertura de PDFs, passando por CAPTCHAs para criar uma falsa sensação de segurança. O objetivo final era coletar credenciais do Microsoft em tempo real, contornando a autenticação multifator (MFA). Essa campanha destaca a evolução das táticas de phishing, exigindo que as empresas adotem medidas de segurança mais robustas para proteger suas informações.

O grupo de cibercrime ShinyHunters comprometeu informações pessoais de mais de 119 mil usuários após invadir a plataforma de vídeos Vimeo em abril. A violação foi confirmada pelo serviço de notificação de vazamentos Have I Been Pwned, que analisou os dados expostos. A Vimeo, que possui mais de 300 milhões de usuários registrados, informou que os dados acessados incluíam principalmente informações técnicas, títulos de vídeos e, em alguns casos, endereços de e-mail dos clientes. A empresa garantiu que não houve acesso a credenciais de login ou informações financeiras dos usuários. Após a descoberta da violação, a Vimeo desativou as credenciais da Anodot, uma empresa de detecção de anomalias de dados, que estava integrada ao seu sistema. O grupo ShinyHunters, após não conseguir extorquir a Vimeo, vazou um arquivo de 106GB com documentos roubados em seu site na dark web. Além disso, o grupo tem um histórico de ataques a várias empresas, incluindo tentativas de roubo de dados de plataformas como Salesforce e campanhas de vishing direcionadas a contas de SSO. Este incidente destaca a vulnerabilidade das integrações de terceiros e a necessidade de vigilância constante em relação a acessos não autorizados.

O artigo de Isaac Wuest, da HeroDevs, destaca os perigos associados ao uso de software open source que atingiu o fim de sua vida útil (EOL). Embora a falta de patches seja uma preocupação evidente, existem problemas mais profundos que muitas equipes de segurança ignoram. O primeiro é que o ecossistema de CVEs não investiga versões EOL, resultando em uma falsa sensação de segurança. Em 2025, foram identificados mais de 167 mil componentes exploráveis que não foram sinalizados. O segundo problema é que a maioria das ferramentas de segurança se baseia em dados limitados, reconhecendo apenas uma fração das versões EOL. Estima-se que 5,4 milhões de versões de pacotes estejam EOL, mas apenas cerca de 7 mil são monitoradas ativamente. Isso significa que muitas organizações estão subestimando sua exposição a vulnerabilidades. O crescimento acelerado do ecossistema de software open source, combinado com a falta de capacidade de investigação, agrava a situação. A introdução de ferramentas de inteligência artificial pode identificar vulnerabilidades em versões não monitoradas, aumentando ainda mais o risco. O artigo conclui que as equipes de segurança devem ter visibilidade sobre suas dependências EOL e não devem confiar na ausência de alertas como um sinal de segurança.

Uma grave vulnerabilidade de segurança foi identificada no sistema de gerenciamento de conteúdo (CMS) de código aberto MetInfo, afetando as versões 7.9, 8.0 e 8.1. Classificada como CVE-2026-29014, essa falha de injeção de código PHP permite que atacantes remotos não autenticados executem código arbitrário ao enviar requisições maliciosas. O problema reside no script ‘weixinreply.class.php’, que não sanitiza adequadamente a entrada do usuário durante as requisições à API do Weixin (WeChat). Para que a exploração seja bem-sucedida, é necessário que o diretório ‘/cache/weixin/’ exista, o que ocorre durante a instalação do plugin oficial do WeChat. Desde a liberação de patches em 7 de abril de 2026, a vulnerabilidade começou a ser explorada ativamente a partir de 25 de abril, com um aumento significativo de tentativas de ataque focadas em endereços IP na China e em Hong Kong. Estima-se que cerca de 2.000 instâncias do MetInfo CMS estejam acessíveis online, a maioria delas na China, o que eleva o risco de comprometimento de dados e controle de servidores.

Um novo estudo destaca a vulnerabilidade das organizações em relação aos tokens OAuth, que não expiram e não são monitorados adequadamente. Com a crescente adoção de ferramentas de IA e automação, muitos funcionários conectam aplicativos diretamente ao Google ou Microsoft, gerando tokens persistentes que podem ser explorados por atacantes. O incidente com a Drift, onde um ator malicioso acessou dados de mais de 700 organizações usando tokens OAuth legítimos, exemplifica a gravidade do problema. A pesquisa revela que 80% dos líderes de segurança consideram os tokens OAuth não gerenciados um risco significativo, mas 45% das organizações não monitoram esses acessos. Para mitigar esse risco, é essencial implementar um monitoramento contínuo do comportamento dos aplicativos conectados, avaliando não apenas as permissões concedidas, mas também as ações realizadas ao longo do tempo. Ferramentas como o OAuth Threat Remediation Agent da Material Security oferecem uma solução para essa lacuna, permitindo que as empresas identifiquem e revoguem rapidamente acessos de alto risco.

Um grupo avançado de ameaças persistentes (APT) com vínculos à China, identificado como UAT-8302, tem sido responsável por ataques direcionados a entidades governamentais na América do Sul desde o final de 2024 e em agências governamentais do sudeste europeu em 2025. A Cisco Talos está monitorando essa atividade, que envolve a utilização de malwares personalizados, como o backdoor NetDraft, uma variante em C# do FINALDRAFT. Este malware já foi associado a outros grupos de hackers alinhados à China, como Ink Dragon e Earth Alux. Além do NetDraft, o UAT-8302 utiliza ferramentas como CloudSorcerer e SNOWLIGHT, que têm sido observadas em ataques a entidades russas. Os métodos de acesso inicial do grupo ainda não são totalmente conhecidos, mas suspeita-se que envolvam a exploração de vulnerabilidades em aplicações web. Após obter acesso, os atacantes realizam uma extensa exploração da rede, utilizando ferramentas de código aberto para mapear o ambiente e se mover lateralmente. A colaboração entre grupos alinhados à China está em ascensão, com práticas como o “Premier Pass-as-a-Service”, onde o acesso inicial é compartilhado entre diferentes grupos para exploração subsequente, aumentando o risco de exposição. Essa situação destaca a necessidade de vigilância e proteção robusta para as entidades governamentais e outras organizações potencialmente afetadas.

Um ataque à cadeia de suprimentos recentemente identificado comprometeu o software DAEMON Tools, segundo a Kaspersky. Os instaladores do software, distribuídos pelo site oficial e assinados digitalmente, foram adulterados desde 8 de abril de 2026. As versões afetadas variam de 12.5.0.2421 a 12.5.0.2434. Três componentes principais foram comprometidos: DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe. Quando um desses arquivos é executado, um implante é ativado, enviando requisições HTTP para um servidor externo para receber comandos que baixam e executam cargas maliciosas. A Kaspersky observou milhares de tentativas de infecção em mais de 100 países, incluindo o Brasil, mas a entrega do malware avançado foi restrita a um pequeno número de alvos, sugerindo uma abordagem direcionada. O malware inclui um trojan de acesso remoto, QUIC RAT, e suporta múltiplos protocolos de comando e controle. A falta de atribuição a um ator específico e a sofisticação do ataque indicam um risco elevado, especialmente para organizações que utilizam o DAEMON Tools. A Kaspersky recomenda que as empresas isolem máquinas afetadas e realizem varreduras de segurança para evitar a propagação do malware.

A Apache Software Foundation (ASF) lançou atualizações de segurança para corrigir várias vulnerabilidades no Apache HTTP Server, incluindo uma falha severa que pode levar à execução remota de código (RCE). A vulnerabilidade, identificada como CVE-2026-23918, possui uma pontuação CVSS de 8.8 e afeta a versão 2.4.66 do servidor. A falha, classificada como ‘double free e possível RCE’, ocorre no manuseio do protocolo HTTP/2. O problema foi descoberto por Bartlomiej Dmitruk, co-fundador da Striga.ai, e Stanislaw Strzalkowski, pesquisador da ISEC.pl.

Em abril de 2026, os ataques de ransomware caíram 22%, totalizando 628 incidentes, o menor número em seis meses. Os ataques a entidades governamentais diminuíram significativamente, com apenas 19 ocorrências, menos da metade das 41 registradas em março. No entanto, o setor de saúde viu um aumento de 10%, passando de 41 para 45 ataques. Exemplos notáveis incluem o ataque à Signature Healthcare, que resultou em interrupções significativas, e à ChipSoft, que afetou a plataforma de registros eletrônicos de saúde na Holanda. O grupo de ransomware Qilin, responsável por 105 ataques, viu uma queda de 28% em suas reivindicações. No total, 125 TB de dados foram roubados em abril, com os EUA liderando em número de ataques. O setor de saúde continua sendo um alvo prioritário para hackers, refletindo uma tendência preocupante que exige atenção contínua das organizações de segurança cibernética.

O grupo de hackers norte-coreano APT37, também conhecido como ScarCruft, desenvolveu uma versão para Android de um backdoor chamado BirdCall, que já era conhecido por suas operações em sistemas Windows. Essa nova variante, que atua como spyware, foi identificada em um ataque à cadeia de suprimentos através de uma plataforma de jogos, especificamente o site sqgame[.]net, que hospeda jogos para Android, iOS e Windows. A pesquisa da ESET revelou que a versão Android do BirdCall foi criada em outubro de 2024 e possui pelo menos sete versões diferentes.

Uma nova versão da ferramenta de acesso remoto CloudZ (RAT) está utilizando um plugin malicioso inédito chamado Pheno, que se aproveita da conexão do Microsoft Phone Link para roubar códigos sensíveis de dispositivos móveis. O malware foi identificado em uma intrusão ativa desde janeiro, com o objetivo de roubar credenciais e senhas temporárias. O Microsoft Phone Link, disponível em Windows 10 e 11, permite que os usuários façam chamadas e respondam a mensagens diretamente do computador, o que facilita a interceptação de mensagens sem comprometer o dispositivo móvel. O Pheno monitora sessões ativas do Phone Link e acessa seu banco de dados local SQLite, que pode conter SMS e senhas de uso único (OTPs). Além disso, o CloudZ RAT possui capacidades adicionais, como gerenciamento de arquivos e execução de comandos. A infecção ocorre quando a vítima executa uma atualização falsa do ScreenConnect, que instala um loader baseado em Rust, seguido pela instalação do CloudZ RAT. Para se proteger, recomenda-se evitar serviços de OTP via SMS e optar por aplicativos de autenticação que não dependam de notificações que podem ser interceptadas. A Cisco Talos publicou indicadores de comprometimento que podem ajudar na proteção contra essa ameaça.

Deniss Zolotarjovs, um cidadão letão extraditado para os Estados Unidos, foi condenado a 8,5 anos de prisão por seu papel como negociador em casos de extorsão do grupo de ransomware Karakurt. Com 35 anos e residente em Moscou, Zolotarjovs foi preso na Geórgia em dezembro de 2023 e se declarou culpado em julho de 2025 por conspiração para cometer fraude eletrônica e lavagem de dinheiro. O Departamento de Justiça dos EUA revelou que ele ajudou a gangue a lucrar com ataques a mais de 54 empresas, resultando em perdas superiores a 56 milhões de dólares, incluindo 2,8 milhões em pagamentos de resgate. Zolotarjovs era responsável por reativar negociações com vítimas que haviam interrompido a comunicação, utilizando informações pessoais e de saúde roubadas para aumentar a pressão psicológica. Ele é o primeiro membro do Karakurt a ser processado e condenado nos EUA, o que pode abrir caminho para ações contra outros membros do grupo. O FBI o vinculou a pelo menos seis casos de extorsão entre agosto de 2021 e novembro de 2023, destacando a gravidade e a complexidade das operações de ransomware que afetam organizações americanas e, potencialmente, brasileiras.

A Microsoft revelou uma campanha de roubo de credenciais em larga escala que utilizou iscas relacionadas a códigos de conduta e serviços de e-mail legítimos para direcionar usuários a domínios controlados por atacantes. Observada entre 14 e 16 de abril de 2026, a campanha afetou mais de 35 mil usuários em mais de 13 mil organizações em 26 países, com 92% dos alvos localizados nos EUA. Os e-mails de phishing, que visavam principalmente os setores de saúde (19%), serviços financeiros (18%) e tecnologia (11%), apresentavam templates HTML sofisticados que aumentavam sua credibilidade. As mensagens criavam um senso de urgência, solicitando ações imediatas sob a alegação de revisões de conduta interna. Os atacantes usaram serviços de entrega de e-mail legítimos e incluíram anexos PDF que levavam a um fluxo de coleta de credenciais. A campanha utilizou táticas de phishing adversário no meio (AiTM) para contornar autenticações multifatoriais (MFA). Além disso, a análise da Microsoft indicou um aumento significativo em ataques de phishing via QR code e uma evolução rápida em phishing com CAPTCHA. Com 8,3 bilhões de ameaças de phishing detectadas entre janeiro e março de 2026, a situação exige atenção redobrada das organizações.

Uma vulnerabilidade crítica foi identificada na plataforma Weaver (Fanwei) E-cology, que é amplamente utilizada para automação de escritório e colaboração. O problema, classificado como CVE-2026-22679, possui uma pontuação CVSS de 9.8, indicando seu alto risco. A falha permite a execução remota de código não autenticado em versões anteriores à 10.0, especificamente no endpoint ‘/papi/esearch/data/devops/dubboApi/debug/method’. Isso possibilita que atacantes enviem requisições POST manipuladas para executar comandos arbitrários no sistema. A exploração ativa dessa vulnerabilidade foi observada pela primeira vez em 31 de março de 2026, com evidências de abusos datando de 17 de março, apenas cinco dias após a disponibilização de patches. O ataque envolveu tentativas de execução de código malicioso e coleta de informações do sistema. Especialistas recomendam que os usuários atualizem suas versões do Weaver E-cology para evitar compromissos de segurança. Um script em Python para detectar instâncias vulneráveis também foi disponibilizado por pesquisadores de segurança.

O grupo de hackers ScarCruft, alinhado ao governo da Coreia do Norte, realizou um ataque de espionagem na cadeia de suprimentos, comprometendo uma plataforma de jogos voltada para coreanos étnicos na China. O ataque envolveu a inserção de um backdoor chamado BirdCall, que agora afeta tanto usuários de Windows quanto de Android, ampliando seu alcance. A plataforma sqgame[.]net, utilizada por coreanos na região de Yanbian, foi especificamente visada, dada a sua importância como ponto de trânsito para desertores norte-coreanos. O malware BirdCall é uma evolução do RokRAT e possui funcionalidades avançadas, como captura de tela, registro de teclas e roubo de dados pessoais. A distribuição do malware foi feita através de APKs maliciosos disponíveis para download na plataforma, enquanto o cliente para Windows e jogos iOS permaneceram intactos. A análise sugere que o ataque está em andamento desde o final de 2024 e que o backdoor foi desenvolvido para se comunicar com serviços de nuvem legítimos, como Dropbox e pCloud. Este incidente destaca a crescente ameaça de espionagem cibernética direcionada a grupos específicos, como desertores e ativistas de direitos humanos.

O rápido avanço da adoção de inteligência artificial (IA) está colocando em risco os progressos em segurança na indústria de software. Um estudo recente revelou que a infraestrutura de IA, especialmente após o fiasco do assistente virtual ClawdBot, apresenta vulnerabilidades alarmantes. A pesquisa identificou mais de 2 milhões de hosts, com 1 milhão de serviços expostos, muitos dos quais não possuem autenticação por padrão. Isso significa que dados reais de usuários e ferramentas empresariais estão acessíveis a qualquer um. Exemplos incluem chatbots que expõem conversas de usuários e plataformas de gerenciamento de agentes sem autenticação, permitindo que atacantes manipulem fluxos de trabalho e acessem informações sensíveis. Além disso, APIs da Ollama foram encontradas expostas, permitindo acesso sem autenticação a modelos de IA. A falta de práticas de segurança adequadas, como credenciais hardcoded e configurações inseguras, agrava a situação. A pressão para acelerar a entrega de soluções de IA está levando a um descuido com a segurança, o que pode resultar em danos significativos, incluindo compromissos de dados e danos à reputação das empresas.

O Amazon Simple Email Service (SES) está sendo cada vez mais utilizado para enviar e-mails de phishing que conseguem contornar filtros de segurança convencionais. Pesquisadores da Kaspersky identificaram um aumento significativo nesses ataques, que podem estar relacionados à exposição de chaves de acesso do AWS Identity and Access Management em repositórios públicos, como GitHub e arquivos .ENV. Os atacantes utilizam o Amazon SES, um recurso legítimo e confiável, para enviar e-mails maliciosos que passam por verificações de autenticação, como SPF, DKIM e DMARC. Os e-mails de phishing frequentemente imitam serviços reais, como notificações de assinatura de documentos, e podem incluir faturas falsas para enganar departamentos financeiros. A Kaspersky recomenda que as empresas restrinjam permissões de IAM, habilitem autenticação multifator e apliquem controles de acesso baseados em IP. A Amazon também se manifestou, sugerindo que qualquer atividade abusiva seja reportada ao AWS Trust & Safety. Este cenário representa um risco crescente, especialmente para organizações que utilizam serviços da AWS, exigindo atenção redobrada na gestão de credenciais e segurança de e-mail.

Desde meados de março, hackers têm explorado uma vulnerabilidade crítica (CVE-2026-22679) na plataforma de automação de escritório Weaver E-cology, utilizada principalmente por organizações chinesas. Essa falha permite a execução remota de código sem autenticação, devido a um endpoint de API de depuração exposto que não valida as entradas do usuário. Os ataques começaram cinco dias após a liberação de uma atualização de segurança pelo fornecedor e duas semanas antes de sua divulgação pública. A empresa de inteligência de ameaças Vega documentou a atividade maliciosa, que durou cerca de uma semana e incluiu várias fases distintas. Os atacantes tentaram inicialmente executar comandos de descoberta e baixar payloads baseados em PowerShell, mas foram bloqueados pelas defesas de endpoint. Embora tenham explorado a vulnerabilidade, não conseguiram estabelecer uma sessão persistente no host alvo. A recomendação é que os usuários da versão 10.0 do Weaver E-cology apliquem as atualizações de segurança disponíveis o mais rápido possível, uma vez que a correção remove completamente o endpoint vulnerável.

Uma campanha de phishing ativa, chamada VENOMOUS#HELPER, tem impactado mais de 80 organizações, principalmente nos EUA, desde abril de 2025. Os atacantes utilizam softwares legítimos de Monitoramento e Gerenciamento Remoto (RMM), como SimpleHelp e ScreenConnect, para estabelecer acesso remoto persistente a sistemas comprometidos. A campanha começa com um e-mail que se faz passar pela Administração da Seguridade Social dos EUA, solicitando que a vítima verifique seu endereço de e-mail e baixe um suposto extrato. O link contido no e-mail leva a um site legítimo, mas comprometido, que hospeda um executável malicioso. Ao abrir o arquivo, o malware se instala como um serviço do Windows, garantindo persistência e acesso elevado ao sistema. Essa abordagem permite que os atacantes realizem operações silenciosas, como injetar teclas e acessar recursos do usuário. Além disso, a instalação do ScreenConnect oferece um canal de comunicação alternativo, caso o SimpleHelp seja detectado. A utilização de ferramentas legítimas dificulta a detecção por antivírus, deixando as organizações vulneráveis a ataques futuros.

Uma nova campanha de phishing comprometeu cerca de 30 mil contas do Facebook, utilizando o Google AppSheet como fachada. O pesquisador de cibersegurança Shaked Chen, da Guard.io, revelou que os atacantes enviaram e-mails fraudulentos que se disfarçam como mensagens da Central de Ajuda da Meta. Esses e-mails alertam os usuários sobre a possível exclusão de suas contas, caso não verifiquem sua identidade através de um link malicioso. Ao clicar, as vítimas são direcionadas a uma página falsa que coleta suas credenciais. Os hackers, associados a um grupo do Vietnã, comercializam as contas roubadas em canais do Telegram, afetando principalmente usuários no Brasil, México, EUA, Itália, Canadá, Índia e Reino Unido. Para proteger suas contas, os especialistas recomendam a implementação de medidas de segurança adicionais, como a verificação em duas etapas.

A cidade de Suffolk, na Virgínia, notificou 157.725 pessoas sobre uma violação de dados ocorrida em fevereiro de 2026, que comprometeu nomes, números de Seguro Social e informações financeiras. A violação foi atribuída a um ataque de ransomware, embora os investigadores tenham afirmado que o ataque foi interrompido antes que o ransomware pudesse ser implantado. No entanto, os cibercriminosos conseguiram roubar dados da rede da cidade. O grupo de cibercriminosos Cloak reivindicou a responsabilidade pelo ataque, alegando ter roubado 2,5 TB de arquivos. Até o momento, a cidade não confirmou a reivindicação do Cloak, e não está claro como os atacantes conseguiram acessar a rede ou se um resgate foi pago. A notificação enviada às vítimas não menciona a oferta de monitoramento de crédito ou proteção contra roubo de identidade. Este incidente é um dos 20 ataques de ransomware confirmados em entidades governamentais dos EUA em 2026, destacando a crescente ameaça de ataques cibernéticos a instituições públicas.

Os ciberataques estão se desenvolvendo mais rapidamente do que a maioria dos provedores de serviços gerenciados (MSPs) consegue acompanhar, com o phishing se tornando o principal ponto de entrada para muitas violações. Os atacantes estão utilizando inteligência artificial para criar campanhas de phishing altamente personalizadas, o que dificulta a detecção e bloqueio dessas ameaças antes que o acesso seja concedido. Após a violação inicial, as organizações enfrentam desafios significativos, como perda de dados, tempo de inatividade e recuperação. Um webinar, programado para o dia 14 de maio de 2026, às 14h (horário de Brasília), reunirá especialistas da BleepingComputer e da Kaseya para discutir como os ataques modernos se desenrolam e a importância de os MSPs repensarem suas estratégias de segurança e recuperação. O evento abordará a necessidade de integrar a segurança e o backup, destacando que a recuperação é tão crucial quanto a prevenção. Os participantes aprenderão sobre a evolução dos ataques, como os atacantes utilizam infraestruturas confiáveis e plataformas SaaS para contornar defesas, e a importância de um plano de continuidade de negócios e recuperação de desastres (BCDR) para garantir a resiliência cibernética das organizações.

A Progress Software emitiu um alerta para que os clientes atualizem suas versões do MOVEit Automation, um aplicativo de transferência de arquivos gerenciado, devido a uma vulnerabilidade crítica de bypass de autenticação, identificada como CVE-2026-4670. Essa falha afeta versões anteriores a 2025.1.5, 2025.0.9 e 2024.1.8 e pode ser explorada remotamente por atacantes sem privilégios, em ataques de baixa complexidade que não requerem interação do usuário. A empresa recomenda que a atualização seja feita utilizando o instalador completo, uma vez que essa é a única forma de remediar a vulnerabilidade, embora isso cause uma interrupção no sistema durante o processo. Além disso, a Progress também lançou atualizações de segurança para uma vulnerabilidade de escalonamento de privilégios (CVE-2026-5174) relacionada a uma falha de validação de entrada. Um levantamento realizado pelo consultor de cibersegurança Daniel Card revelou que mais de 1.400 instâncias do MOVEit Automation estão expostas online, incluindo várias vinculadas a agências governamentais locais e estaduais dos EUA. Embora a empresa não tenha indicado que essas falhas estão sendo ativamente exploradas, vulnerabilidades anteriores do MOVEit foram alvo de ataques, como os realizados pelo grupo de ransomware Clop, que comprometeram mais de 2.100 organizações em 2023.

Atuantes em fóruns e grupos de chat underground, criminosos estão desenvolvendo métodos estruturados de fraude que visam explorar as fraquezas nos processos de trabalho das instituições financeiras. Em vez de golpes isolados, essas discussões revelam uma abordagem organizada que combina dados de identidade roubados, engenharia social e conhecimento dos fluxos financeiros. Pequenas e médias cooperativas de crédito são frequentemente mencionadas como alvos preferenciais devido a lacunas percebidas em seus sistemas de verificação e recursos limitados de prevenção de fraudes. Pesquisadores identificaram um método detalhado de fraude em empréstimos que permite que atacantes naveguem por verificações de crédito e processos de aprovação de empréstimos usando identidades roubadas, evitando os gatilhos de segurança tradicionais. A abordagem se concentra em contornar os processos legítimos de integração e empréstimo, utilizando dados pessoais suficientes para se passar por um tomador de empréstimo legítimo. A fraude começa antes mesmo da submissão do primeiro formulário, com atacantes adquirindo identidades roubadas e informações financeiras de mercados underground. O foco na exploração de instituições menores, que dependem de métodos tradicionais de verificação, destaca a evolução das fraudes financeiras, que agora se concentram mais nos processos do que nas vulnerabilidades de software.

A empresa de cibersegurança Trellix anunciou uma violação de dados após atacantes acessarem uma parte de seu repositório de código-fonte. Formada pela fusão da McAfee Enterprise e FireEye em outubro de 2021, a Trellix atende mais de 50 mil clientes em todo o mundo, protegendo mais de 200 milhões de endpoints. Em um comunicado oficial, a empresa informou que está investigando o incidente com a ajuda de especialistas forenses externos e que, até o momento, não encontrou evidências de que o código-fonte acessado tenha sido explorado ou alterado. A Trellix também notificou as autoridades policiais sobre o ocorrido. A empresa ainda não respondeu a perguntas adicionais sobre o incidente, como a data de detecção ou se dados corporativos ou de clientes foram roubados. Este não é o primeiro caso de violação em uma empresa de cibersegurança este ano, com outros incidentes envolvendo empresas como Checkmarx e Cisco. A Trellix promete compartilhar mais detalhes assim que a investigação for concluída.

Uma versão maliciosa do pacote PyTorch Lightning, publicada no Python Package Index (PyPI), foi descoberta com um payload que rouba credenciais de navegadores, arquivos de ambiente e serviços em nuvem. O desenvolvedor do pacote revelou o ataque à cadeia de suprimentos em 30 de abril, informando que a versão 2.6.3 incluía uma cadeia de execução oculta que baixa e executa um payload JavaScript. O PyTorch Lightning é um framework popular de aprendizado profundo, com mais de 11 milhões de downloads no último mês. O advisory de segurança do mantenedor destaca que a cadeia de execução maliciosa é ativada automaticamente ao importar o pacote, criando um processo em segundo plano que baixa um runtime JavaScript e executa um payload ofuscado de 11,4 MB. O malware, identificado como “ShaiWorm” pelo Microsoft Defender, visa arquivos .env, chaves de API, segredos e dados armazenados em navegadores como Chrome e Firefox. A Microsoft informou que a atividade maliciosa afetou um número limitado de dispositivos e foi contida em um conjunto restrito de ambientes. Os usuários que importaram a versão 2.6.3 devem rotacionar imediatamente suas credenciais. O PyTorch Lightning foi revertido para a versão 2.6.1, considerada segura, enquanto a investigação sobre como a violação ocorreu continua.

O grupo de cibercrime baseado na China, conhecido como Silver Fox, está associado a uma nova campanha de ataques direcionados a organizações na Rússia e na Índia, utilizando um malware chamado ABCDoor. A campanha começou com e-mails de phishing que simulavam comunicações do Departamento de Imposto de Renda da Índia, seguidos por ataques semelhantes a entidades russas. Os e-mails continham arquivos que, ao serem abertos, baixavam um loader modificado em Rust, que por sua vez instalava o backdoor ValleyRAT.

Em dezembro de 2025, um adolescente de 17 anos foi preso em Osaka por invadir o sistema do Kaikatsu Club, a maior rede de cafés da internet do Japão, roubando dados pessoais de mais de 7 milhões de usuários. Sua motivação? Comprar cartas de Pokémon. Este caso ilustra uma nova era de cibercrime, onde a inteligência artificial (IA) tem facilitado ataques cibernéticos, permitindo que indivíduos sem formação técnica realizem ações complexas. Em 2025, o uso de sistemas de codificação assistidos por IA, como ChatGPT e Claude Code, resultou em um aumento significativo na frequência e gravidade dos crimes cibernéticos. O número de pacotes maliciosos em repositórios públicos cresceu 75%, e as intrusões em nuvem aumentaram 35%. Além disso, o tempo para explorar vulnerabilidades caiu drasticamente, de mais de 700 dias em 2020 para apenas 44 dias em 2025. Com a capacidade de IA superando as defesas tradicionais, as organizações enfrentam um cenário em que 45% das vulnerabilidades em sistemas de grandes empresas nunca são corrigidas. A resposta a essa nova realidade exige uma abordagem inovadora, como a proposta da Chainguard, que busca eliminar categorias inteiras de vulnerabilidades, protegendo as empresas de ataques estruturais.

Nesta semana, o cenário de cibersegurança se tornou ainda mais alarmante, com ataques sofisticados e vulnerabilidades críticas sendo exploradas ativamente. Um dos principais destaques é a falha crítica no cPanel e WebHost Manager (CVE-2026-41940), que permite a invasores contornar autenticações e assumir o controle remoto de painéis de controle, resultando em perdas significativas, como a exclusão de sites inteiros. Além disso, grupos de cibercrime, como Cordial Spider e Snarky Spider, estão utilizando vishing para roubo de dados e extorsão, explorando ambientes SaaS e comprometendo credenciais de funcionários através de páginas de phishing disfarçadas.

A Progress Software divulgou atualizações para corrigir duas vulnerabilidades de segurança no MOVEit Automation, uma solução de transferência de arquivos gerenciada e segura. As falhas identificadas são a CVE-2026-4670, que apresenta um risco crítico com uma pontuação CVSS de 9.8, permitindo um bypass de autenticação, e a CVE-2026-5174, com uma pontuação de 7.7, que permite a escalada de privilégios devido a uma validação inadequada de entrada. Ambas as vulnerabilidades podem ser exploradas através das interfaces de comando do serviço, resultando em acesso não autorizado e controle administrativo, além de potencial exposição de dados. As versões afetadas incluem MOVEit Automation até 2025.1.4, 2025.0.8 e 2024.1.7, que foram corrigidas nas versões 2025.1.5, 2025.0.9 e 2024.1.8, respectivamente. Embora não haja relatos de exploração ativa dessas falhas, a recomendação é que os usuários apliquem as correções imediatamente, especialmente considerando que vulnerabilidades anteriores no MOVEit Transfer foram exploradas por grupos de ransomware. A descoberta das falhas foi creditada a pesquisadores da Airbus SecLab.

Um novo relatório da KnowBe4 revela que 86% dos ataques de phishing são agora gerados por inteligência artificial (IA), tornando-os mais sofisticados e difíceis de detectar. O estudo aponta um aumento significativo na automação dos ataques, com um crescimento de 49% em convites de calendário e 41% em ataques no Microsoft Teams nos últimos seis meses. A IA permite que os cibercriminosos criem mensagens de phishing personalizadas e realistas, aumentando a eficiência dos ataques em até sete vezes em comparação com métodos manuais. Além disso, a utilização de deepfakes, tanto em áudio quanto em vídeo, está se tornando uma preocupação crescente, com 30% dos ataques envolvendo a impersonação de funcionários internos, como gerentes. O relatório destaca que a engenharia social está se tornando mais direcionada, dificultando a distinção entre comunicações legítimas e maliciosas. A KnowBe4 também menciona a ascensão do phishing como serviço, que democratiza o acesso a essas técnicas, permitindo que até mesmo indivíduos sem conhecimento técnico realizem ataques. Para mitigar esses riscos, é essencial que as organizações adotem uma abordagem holística, utilizando análises comportamentais profundas e inteligência de ameaças em tempo real, além de treinar seus funcionários para reconhecer e evitar ataques de phishing.

Um novo ator de ameaças foi identificado atacando entidades governamentais e militares no Sudeste Asiático, além de provedores de serviços gerenciados (MSPs) e provedores de hospedagem em países como Filipinas, Laos, Canadá, África do Sul e EUA. A exploração da vulnerabilidade CVE-2026-41940, uma falha crítica no cPanel e WebHost Manager (WHM), permite que atacantes remotos contornem autenticações e obtenham controle elevado do painel de controle. As atividades foram detectadas em 2 de maio de 2026, com foco em domínios governamentais das Filipinas e Laos. Além disso, o ator utilizou uma cadeia de exploração personalizada em um portal de treinamento do setor de defesa da Indonésia, combinando injeção SQL autenticada e execução remota de código. O acesso persistente foi facilitado por ferramentas como OpenVPN e Ligolo, permitindo a exfiltração de documentos do setor ferroviário da China. A vulnerabilidade cPanel está sendo explorada por múltiplos terceiros, com pelo menos 44.000 IPs comprometidos realizando ataques de força bruta. A situação exige atenção, pois a exploração pode impactar a conformidade com a LGPD no Brasil.

A Norton VPN anunciou o lançamento do que considera ser a “primeira VPN verdadeiramente nativa de IA para agentes”, projetada para atender às necessidades de agentes autônomos que operam na internet. Tradicionalmente, as VPNs eram desenvolvidas para usuários humanos, o que limitava a eficácia dos agentes de IA ao compartilhar configurações de VPN e internet. A nova solução da Norton promete uma integração total com as atividades dos agentes de IA, eliminando a necessidade de instalação de aplicativos ou interfaces de linha de comando.

Uma operação internacional coordenada entre autoridades dos EUA e da China resultou na prisão de pelo menos 276 suspeitos e no fechamento de nove centros de fraudes relacionados a investimentos em criptomoedas, que visavam cidadãos americanos. A ação foi liderada pela Polícia de Dubai, em colaboração com o FBI e o Ministério da Segurança Pública da China. Os acusados, incluindo indivíduos de Mianmar e Indonésia, enfrentam acusações de fraude e lavagem de dinheiro nos EUA. Os golpistas utilizavam táticas conhecidas como ‘pig butchering’ e ‘romance baiting’, enganando vítimas a investirem em plataformas fraudulentas de criptomoedas. Após a transferência dos fundos, os ativos eram lavados para contas de criptomoedas dos fraudadores. A operação também resultou na notificação de quase 9.000 vítimas e na recuperação de aproximadamente $562 milhões. Além disso, um senador cambojano foi sancionado por seu envolvimento em redes de fraudes cibernéticas. A situação destaca a crescente interconexão entre fraudes financeiras e tráfico humano, com trabalhadores sendo forçados a participar de esquemas fraudulentos sob condições desumanas.

Recentemente, o Microsoft Defender começou a identificar certificados raiz legítimos da DigiCert como o malware Trojan:Win32/Cerdigent.A!dha, resultando em alertas de falsos positivos em larga escala. O problema teve início após uma atualização de assinatura do Defender em 30 de abril, levando à remoção de certificados da loja de confiança do Windows em sistemas afetados. Administradores relataram que os certificados identificados incluem dois hashes específicos. A situação gerou preocupação entre os usuários, muitos dos quais acreditaram que seus dispositivos estavam infectados e optaram por reinstalar o sistema operacional. A Microsoft já lançou uma atualização de inteligência de segurança que corrige as detecções e restaura os certificados removidos. Este incidente ocorre em um contexto em que a DigiCert enfrentou uma violação de segurança, permitindo que atacantes obtivessem certificados de assinatura de código válidos usados para assinar malware. A DigiCert revogou 60 certificados de assinatura de código, incluindo aqueles associados a uma campanha de malware chamada Zhong Stealer. Embora a Microsoft não tenha confirmado uma ligação direta entre os falsos positivos e a violação da DigiCert, a coincidência de tempo e o foco nos certificados da DigiCert levantam questões sobre uma possível conexão.

A Instructure, uma gigante da tecnologia educacional dos EUA, confirmou que dados foram roubados em um ataque cibernético atribuído ao grupo de extorsão ShinyHunters. A empresa, conhecida pelo sistema de gerenciamento de aprendizado Canvas, revelou que informações pessoais de usuários foram expostas, incluindo nomes, endereços de e-mail e números de identificação de estudantes. Até o momento, não há evidências de que senhas ou informações financeiras tenham sido comprometidas. A Instructure está colaborando com especialistas em cibersegurança e autoridades para investigar o incidente e já implementou medidas de segurança, como patches e monitoramento intensificado. O grupo ShinyHunters alegou que o ataque explorou uma vulnerabilidade em seus sistemas, resultando no roubo de mais de 240 milhões de registros de aproximadamente 9.000 instituições em várias regiões do mundo. A situação destaca a crescente preocupação com a segurança de dados em plataformas educacionais, especialmente em um cenário onde a proteção de informações pessoais é crucial.

O artigo de Fábio Maia explora como hackers conseguem tomar controle de programas em execução, utilizando uma analogia com o filme ‘Invasion of the Body Snatchers’. Ele explica que a arquitetura de von Neumann, que permite que código e dados coexistam na mesma memória, é a raiz do problema. Quando um programa não gerencia corretamente a memória, um ataque de ‘buffer overflow’ pode ocorrer, permitindo que um invasor insira código malicioso em áreas de memória adjacentes. Isso acontece quando um programa aceita mais dados do que o esperado, sobrescrevendo a memória e permitindo que o invasor execute suas instruções. Apesar de existirem mitigadores como ASLR e DEP/NX, a exploração continua a ser uma preocupação devido à complexidade do código legado e à pressão por desempenho. O autor conclui que a falta de segurança em muitos sistemas é uma questão persistente, e que a dualidade entre o modelo mental do programador e a realidade física da máquina pode levar a consequências graves.

Pesquisadores de cibersegurança descobriram uma operação de fraude em larga escala que utiliza o recurso de Mini Apps do Telegram para realizar golpes relacionados a criptomoedas, imitar marcas conhecidas e distribuir malware para Android. Segundo um relatório da CTM360, a plataforma, chamada FEMITBOT, utiliza respostas de API para criar experiências convincentes dentro do aplicativo de mensagens. Os golpistas imitam marcas renomadas como Apple, Coca-Cola e Disney, aumentando a credibilidade das suas fraudes. Ao interagir com bots do Telegram, os usuários são levados a Mini Apps que exibem páginas de phishing, mostrando saldos falsos e ofertas limitadas para induzir a depósitos. Além disso, alguns Mini Apps tentam distribuir malware disfarçado de aplicativos legítimos. Os pesquisadores alertam que os usuários devem ter cautela ao interagir com bots que promovem investimentos em criptomoedas ou solicitam downloads de aplicativos, especialmente fora da Google Play Store. A operação é considerada uma ameaça significativa, com um potencial impacto na segurança dos usuários e na conformidade com a LGPD.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma nova vulnerabilidade ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2026-31431, possui uma pontuação CVSS de 7.8 e se trata de uma vulnerabilidade de escalonamento de privilégios local (LPE) que pode permitir que um usuário local sem privilégios obtenha acesso root. Essa falha, que existe há nove anos, é resultado de um erro lógico no template criptográfico de autenticação do kernel Linux, permitindo que atacantes acionem a escalada de privilégios com um exploit de apenas 732 bytes. A vulnerabilidade afeta distribuições Linux desde 2017 e pode ser explorada por usuários não privilegiados para corromper o cache de página em memória do kernel, resultando em execução de código com permissões de root. A CISA recomenda que as agências federais apliquem correções até 15 de maio de 2026, e, se a aplicação de patches não for imediata, sugere desabilitar a funcionalidade afetada e implementar controles de acesso. A presença de um exploit funcional já disponível aumenta a urgência da situação, especialmente em ambientes de contêiner, onde a vulnerabilidade pode comprometer a isolação e o controle do sistema físico.

Um novo tipo de ataque, denominado ConsentFix v3, está circulando em fóruns de hackers como uma técnica aprimorada que automatiza ataques contra o Microsoft Azure. A versão original foi apresentada pela Push Security em dezembro passado, como uma variação do ClickFix, focada em ataques de phishing via OAuth. O ConsentFix v3 mantém a ideia central de abusar do fluxo de autorização OAuth2, mas agora incorpora automação e escalabilidade. O ataque começa com a verificação da presença do Azure no ambiente alvo, seguido pela coleta de dados de funcionários para facilitar a impersonificação. Os atacantes criam várias contas em serviços como Outlook e Cloudflare para suportar operações de phishing e exfiltração de dados. Uma plataforma chamada Pipedream desempenha um papel crucial, atuando como um endpoint de webhook que recebe o código de autorização da vítima e automatiza a troca por tokens de acesso. O fluxo de ataque é finalizado com uma página de phishing que imita a interface do Microsoft/Azure, enganando a vítima a interagir com um URL localhost. Os tokens obtidos permitem que os atacantes acessem recursos da conta comprometida. Apesar de o ConsentFix v3 ainda não ter sido amplamente adotado, as implicações de segurança são significativas, especialmente para organizações que utilizam serviços da Microsoft.

A empresa de cibersegurança Trellix anunciou que sofreu uma violação de segurança que permitiu o acesso não autorizado a uma parte de seu repositório de código-fonte. A companhia, que foi formada em janeiro de 2022 pela fusão da McAfee Enterprise e FireEye, informou que identificou recentemente a violação e começou a trabalhar com especialistas forenses para resolver a situação. Embora a Trellix não tenha revelado a natureza exata dos dados acessados, garantiu que não há indícios de que seu código-fonte tenha sido afetado ou explorado. A empresa também notificou as autoridades policiais sobre o incidente. Até o momento, não foram divulgadas informações sobre a identidade dos atacantes ou a duração do acesso não autorizado. A Trellix se comprometeu a compartilhar mais informações assim que a investigação for concluída, destacando que não encontrou evidências de que seu processo de distribuição de código-fonte tenha sido comprometido.

A Instructure, empresa responsável pela plataforma de aprendizado Canvas, anunciou que sofreu um incidente de cibersegurança e está investigando suas consequências. O Chief Security Officer, Steve Proud, declarou que a empresa está trabalhando com especialistas forenses externos para entender a extensão do ataque, que foi realizado por um ator de ameaça criminal. A Instructure enfatizou que a manutenção da confiança dos usuários é sua prioridade máxima e que se compromete a ser transparente durante todo o processo de investigação. Desde 1º de maio, alguns serviços, como Canvas Data 2 e Canvas Beta, estão em manutenção, e os clientes foram alertados sobre possíveis problemas com ferramentas que dependem de chaves de API, embora a empresa não tenha confirmado se essa manutenção está relacionada ao incidente de segurança. O aumento de ataques a empresas de tecnologia educacional é uma preocupação crescente, dado o grande volume de informações pessoais que elas armazenam sobre alunos e professores. Incidentes anteriores, como o vazamento de dados da PowerSchool, que afetou 62 milhões de estudantes, e um ataque de engenharia social à Instructure em setembro de 2025, ressaltam a vulnerabilidade desse setor.

Recentemente, autoridades canadenses revelaram uma operação de cibersegurança em Toronto, onde hackers utilizaram torres de celular falsas para sequestrar milhares de dispositivos móveis. Os criminosos dirigiram por áreas urbanas com equipamentos que imitavam torres de celular legítimas, forçando os telefones próximos a se conectarem a essas redes fraudulentas. Essa manobra resultou em mais de 13 milhões de interrupções de rede, permitindo que os atacantes enviassem mensagens fraudulentas que pareciam vir de instituições confiáveis, levando os usuários a sites falsos para roubo de credenciais e pagamentos não autorizados. O impacto vai além de perdas financeiras, pois a interferência nas conexões pode comprometer o acesso a serviços de emergência, como polícia e ambulâncias. A operação, considerada a primeira do tipo no Canadá, destaca a vulnerabilidade das redes móveis e a necessidade de medidas de segurança mais robustas. Embora a operação tenha sido encerrada, a ameaça de torres de celular falsas continua a ser uma preocupação global, com casos semelhantes registrados em outros países.

As autoridades francesas detiveram um adolescente de 15 anos suspeito de vender dados roubados em um ataque cibernético à ANTS (Agência Nacional de Títulos de França), responsável pela emissão e gestão de documentos administrativos. A agência confirmou a violação e a autenticidade dos dados oferecidos à venda em um fórum criminoso por um usuário identificado como ‘breach3d’. Em 13 de abril, a ANTS detectou atividades suspeitas em sua rede e notificou as autoridades em 16 de abril. Acredita-se que o menor tenha oferecido entre 12 e 18 milhões de registros roubados. Ele enfrenta acusações de acesso não autorizado, persistência e exfiltração de dados de um sistema automatizado de processamento de dados pessoais, além de posse de software que possibilita esses crimes. As penas podem chegar a sete anos de prisão e multas de até 300 mil euros. A ANTS revelou que os dados comprometidos incluem nomes completos, endereços de e-mail, datas de nascimento, endereços postais e números de telefone, afetando cerca de 11,7 milhões de contas. Embora o número de registros oferecidos inicialmente fosse maior, a agência afirmou que os dados não poderiam ser usados para acessos não autorizados.