Cibersegurança

Grupo ligado à China compromete sistema de login do Linux

Um grupo de cibercriminosos conhecido como Velvet Ant, vinculado à China, conseguiu se infiltrar no sistema de login do Linux, especificamente nos componentes PAM e OpenSSH, por quase uma década. Em vez de utilizar malware visível, os atacantes modificaram os programas de login confiáveis, permitindo acesso não detectado e a coleta de credenciais de usuários. A operação começou em 2016 e foi caracterizada por uma abordagem furtiva, onde o grupo utilizou servidores expostos à internet como ponte para acessar redes isoladas. A pesquisa revelou nove versões diferentes do módulo de login PAM comprometido, que registravam senhas e comandos sem que os usuários percebessem. A complexidade da situação é agravada pelo fato de que a simples reinicialização de senhas não é eficaz, uma vez que o sistema que valida as credenciais está sob controle do atacante. A recomendação para mitigar esses riscos inclui monitorar alterações nos arquivos de login e realizar verificações rigorosas de integridade. O caso destaca a necessidade de uma vigilância mais abrangente sobre sistemas que normalmente não estão sob monitoramento constante.

Google processa rede chinesa de cibercrime por uso de IA em phishing

O Google anunciou que está tomando medidas legais contra uma rede de cibercrime chinesa, acusando-a de utilizar seu agente de inteligência artificial, Gemini, para enviar mensagens de phishing direcionadas a cidadãos americanos. A rede é responsável pelo desenvolvimento de um kit de software chamado Outsider, que permite a criação de páginas fraudulentas e o envio de ataques massivos de smishing, ou phishing via SMS. As mensagens, que se passam por marcas legítimas, alertam os usuários sobre ‘problemas em contas de corretagem’ ou oferecem ‘recompensas através de operadoras de telefonia’.

Ataque à cadeia de suprimentos compromete pacotes do Arch Linux

Recentemente, mais de 400 pacotes do Arch User Repository (AUR) foram comprometidos por atacantes que alteraram seus scripts de construção para instalar um malware projetado para roubar credenciais de desenvolvedores. O malware, um binário em Rust, coleta informações sensíveis, como cookies e tokens de autenticação de navegadores e aplicativos Electron. O ataque não explorou uma falha de software, mas sim o modelo de confiança do AUR, que manteve os nomes e históricos dos pacotes, enquanto apenas as instruções de construção foram alteradas. Os atacantes adotaram pacotes abandonados e enganaram a comunidade ao falsificar metadados de commits. A lista de pacotes afetados continua a crescer, e os usuários que instalaram ou atualizaram pacotes do AUR após 11 de junho devem verificar suas instalações. A remoção do pacote comprometido não é suficiente, pois o malware pode ter instalado um rootkit e um serviço persistente no sistema. A situação é crítica, e os administradores devem agir rapidamente para mitigar os riscos e proteger suas credenciais.

Um espião no seu bolso? Como o bloqueio de imagens nuas pode funcionar

Durante a London Tech Week, o Primeiro-Ministro britânico, Keir Starmer, anunciou um ultimato para as grandes empresas de tecnologia, como Apple e Google, para que implementem tecnologias de escaneamento em dispositivos com o objetivo de proteger crianças de imagens explícitas. Starmer enfatizou a urgência de combater o aumento de materiais de abuso sexual infantil (CSAM) e incidentes de grooming, ameaçando mudar a legislação caso as empresas não se adequem. Embora Apple e Google já tenham introduzido algumas funcionalidades de segurança para crianças, como o recurso de ‘Comunicação Segura’ que desfoca imagens explícitas, a proposta de bloqueio total de conteúdo explícito levanta preocupações sobre privacidade e segurança. A empresa britânica SafeToNet desenvolveu uma tecnologia chamada HarmBlock, que promete detectar e bloquear imagens explícitas com uma taxa de precisão superior a 98%. No entanto, especialistas alertam que a implementação de escaneamento no nível do sistema operacional pode prejudicar a confiança dos usuários em seus dispositivos, afetando seus direitos de privacidade. A discussão sobre a viabilidade técnica e as implicações éticas desse tipo de escaneamento continua, com muitos defendendo que a proteção das crianças não deve comprometer a privacidade dos usuários.

Ataques à cadeia de suprimentos sinais de alerta e riscos ocultos

Os ataques à cadeia de suprimentos são frequentemente discutidos após se tornarem evidentes, como pacotes maliciosos ou atualizações de software comprometidas. No entanto, sinais de alerta podem surgir antes que um incidente se torne público. Pesquisadores da Flare investigaram fóruns underground e descobriram que acessos a repositórios privados, chaves de API e credenciais em nuvem podem indicar riscos à cadeia de suprimentos. Esses ataques visam ferramentas e fornecedores confiáveis, permitindo que invasores alcancem clientes e sistemas internos através de acessos legítimos. Um exemplo notável foi o incidente da Vercel em abril de 2026, que demonstrou como um comprometimento de um fornecedor confiável pode gerar preocupações de segurança mais amplas. Os pesquisadores enfatizam a importância de monitorar acessos a plataformas como GitHub e dados de CI/CD, pois a exposição de credenciais pode revelar caminhos de acesso e relacionamentos de confiança que aumentam o risco. Portanto, as equipes de segurança devem estar atentas a sinais de alerta em fóruns underground, pois esses dados podem prever futuros ataques à cadeia de suprimentos.

Pacotes do AUR distribuem rootkit e malware para Linux

Mais de 400 pacotes no Arch User Repository (AUR) estão distribuindo um rootkit para Linux e malware infostealer que visam credenciais e tokens de acesso. Um novo mantenedor está se passando por um publicador confiável na plataforma AUR para inserir pacotes infectados. O AUR é um repositório mantido pela comunidade, essencial para usuários do Arch Linux, pois oferece versões atualizadas de software e utilitários não disponíveis nos repositórios oficiais. No entanto, por não ser um espaço verificado, ele pode ser explorado por agentes maliciosos. Os pacotes comprometidos contêm scripts que baixam e executam um pacote npm malicioso chamado atomic-lockfile, que possui capacidades de rootkit e é projetado para ambientes de desenvolvimento. Ele visa dados de aplicativos como Slack, Microsoft Teams, e credenciais do GitHub, além de permitir a exfiltração de informações sensíveis. A equipe de manutenção do AUR está trabalhando para remover os pacotes maliciosos e recomenda que os usuários verifiquem os pacotes afetados. É aconselhável que os usuários do Arch Linux revisem suas credenciais e considerem reinstalar o sistema caso encontrem pacotes comprometidos.

Nacional ucraniano se declara culpado por ataques de ransomware Conti

Oleksii Oleksiyovych Lytvynenko, um cidadão ucraniano extraditado da Irlanda para os Estados Unidos, se declarou culpado por acusações de conspiração relacionadas à operação de ransomware Conti. O Departamento de Justiça dos EUA anunciou que Lytvynenko, de 44 anos, admitiu sua participação em ataques de ransomware que ocorreram entre 2021 e 2022, onde ele e seus cúmplices implantaram o ransomware Conti em redes de vítimas nos EUA e no exterior, roubando dados e criptografando dispositivos para extorquir pagamentos em Bitcoin. Lytvynenko se juntou à conspiração em setembro de 2021 e possuía dados roubados de oito vítimas nos EUA e quatro no exterior. Ele também trabalhou em um grupo que desenvolveu um “loader”, um tipo de malware utilizado para carregar softwares necessários para realizar os ataques. A operação Conti foi uma das mais ativas de grupos de cibercrime, tendo atacado mais de 1.000 vítimas e arrecadado mais de 150 milhões de dólares em resgates. Lytvynenko enfrenta uma pena máxima de 20 anos de prisão após sua extradição em julho de 2023.

Novo Nordisk revela vazamento de dados de pacientes em ensaios clínicos

A gigante farmacêutica dinamarquesa Novo Nordisk, líder mundial na produção de insulina, anunciou um vazamento de dados que afeta informações de pacientes de alguns de seus ensaios clínicos. O ataque, que comprometeu sistemas internos da empresa, resultou na exposição de dados pseudonimizados, incluindo IDs de pacientes, informações sobre participação em ensaios, dados de saúde e fatores de estilo de vida. Embora a empresa tenha garantido que os dados não podem ser usados para identificar pacientes diretamente, o incidente também afetou profissionais de saúde, cujos nomes, e-mails e números de telefone foram expostos. A Novo Nordisk está trabalhando com especialistas em cibersegurança para investigar o incidente e restaurar os sistemas afetados, sem que suas operações principais tenham sido impactadas. A empresa alertou os profissionais de saúde afetados sobre possíveis ataques de phishing, recomendando cautela com mensagens inesperadas. Até o momento, não foram divulgadas informações sobre a data da detecção do vazamento ou o número exato de indivíduos afetados.

Microsoft corrige falha em atualizações do Windows via WUSA

A Microsoft anunciou a correção de um problema conhecido que impedia a instalação de atualizações do Windows, lançadas desde maio de 2025, quando realizadas através do Windows Update Standalone Installer (WUSA) a partir de compartilhamentos de rede. O WUSA é uma ferramenta de linha de comando do Windows que auxilia administradores na instalação e desinstalação de arquivos de atualização (.msu). Essa falha afetou dispositivos com Windows 11 24H2/25H2 e Windows Server 2025 em redes corporativas, mas não ocorreu em instalações locais ou com um único arquivo .msu. O erro, identificado como ERROR_BAD_PATHNAME, foi reconhecido pela Microsoft em agosto de 2025 e mitigado automaticamente em dispositivos não gerenciados a partir de setembro do mesmo ano. A correção definitiva foi incluída nas atualizações cumulativas de junho de 2026. A Microsoft também alertou sobre problemas na instalação de atualizações mensais em dispositivos que foram atualizados para o Windows 11 24H2 ou 25H2, destacando a importância de testar cada camada de segurança antes que os atacantes o façam.

Vulnerabilidades críticas no LangGraph podem permitir execução remota de código

Pesquisadores de cibersegurança revelaram três falhas de segurança, agora corrigidas, que afetam o LangGraph, um framework de código aberto desenvolvido pela LangChain para criar aplicações de inteligência artificial (IA). A vulnerabilidade mais crítica, identificada como CVE-2025-67644, é uma injeção SQL que permite a atacantes obter controle total de um servidor através da execução remota de código. Outras falhas incluem uma vulnerabilidade de desserialização insegura (CVE-2026-28277) e uma injeção de consulta RediSearch (CVE-2026-27022). Essas vulnerabilidades podem ser exploradas em implementações auto-hospedadas que utilizam os checkpointers SQLite ou Redis com entradas de filtro controladas pelo usuário. O pesquisador de segurança Yarden Porat, que descobriu as falhas, destacou que a combinação das vulnerabilidades CVE-2025-67644 e CVE-2026-28277 pode levar à execução remota de código. O LangGraph afirmou que a exploração bem-sucedida dessas falhas pode expor segredos em tempo de execução e permitir acesso a outros sistemas. Os usuários são aconselhados a aplicar as correções mais recentes e implementar práticas de segurança rigorosas, como autenticação e segmentação de rede.

A evolução da segurança cibernética o fim do MDR?

Nos últimos anos, o modelo de Managed Detection and Response (MDR) foi uma solução eficaz para as equipes de segurança que enfrentavam dificuldades em monitorar alertas 24 horas por dia. No entanto, o cenário de ameaças evoluiu rapidamente, com atacantes utilizando inteligência artificial para automatizar ataques e criar variantes de malware que burlam a detecção tradicional. Um estudo de 2025 revelou que cerca de 60% dos alertas gerados em ambientes corporativos não são revisados, resultando em incidentes reais que permanecem ocultos. Além disso, a qualidade das investigações varia conforme a experiência do analista e o momento do dia, o que pode levar a classificações incorretas de ameaças. A falta de integração entre a engenharia de detecção e a investigação também compromete a eficácia do MDR, resultando em uma postura de detecção que se degrada mais rapidamente do que melhora. Com a crescente complexidade dos ataques, é necessário repensar o modelo operacional, adotando soluções de segurança que utilizem IA para acelerar a investigação e garantir que todos os alertas sejam analisados. Essa mudança é crucial para que as organizações se mantenham protegidas em um ambiente de ameaças em constante evolução.

Nova técnica de ataque pode comprometer agentes de IA em desenvolvimento

Pesquisadores de cibersegurança identificaram uma nova classe de ataque chamada ‘Agentjacking’, que pode enganar agentes de codificação de inteligência artificial (IA) a executar códigos maliciosos em máquinas de desenvolvedores. O ataque, descrito pela Tenet Security, utiliza um relatório de erro falso criado com a plataforma Sentry, que é amplamente utilizada para rastreamento de erros e monitoramento de desempenho. A vulnerabilidade reside em uma falha arquitetônica crítica que permite a injeção de entradas manipuladas em eventos de erro do Sentry, que são interpretados como passos legítimos de resolução por agentes de codificação como Claude Code e Cursor. Isso pode expor dados sensíveis, como variáveis de ambiente e credenciais do Git, sem depender de métodos tradicionais de ataque, como phishing. A Tenet Security identificou mais de 2.388 organizações expostas com DSNs válidos, testando o ataque em mais de 100 delas com uma taxa de sucesso de 85%. Embora a Sentry tenha reconhecido o problema, optou por não corrigi-lo, alegando que não é defensável tecnicamente. A pesquisa destaca que, à medida que as empresas adotam agentes de codificação de IA, esses agentes se tornam a nova superfície de ataque, colocando em risco a segurança dos desenvolvedores que confiam neles.

Incidente de segurança da Kyushu Electric afeta dados de 10 milhões

A Kyushu Electric Power Co., Inc. revelou um incidente de segurança física que comprometeu dados pessoais de mais de 10 milhões de clientes. O evento ocorreu após a equipe de TI utilizar um dispositivo de armazenamento externo para backups, que foi armazenado em um armário de servidor protegido. Em 26 de maio, ao tentar recuperar o dispositivo, a equipe encontrou o armário destrancado e o drive desaparecido. Os dados contidos no dispositivo incluem nomes de clientes, endereços de serviço, dados de consumo de eletricidade e números de telefone, mas não informações bancárias ou de cartões de crédito. A empresa, que fornece eletricidade para a região de Kyushu no Japão, está investigando o caso e já notificou as autoridades competentes. A Kyushu Electric também informou que 57 pessoas tinham acesso ao local do incidente e que um boletim de ocorrência foi registrado. O Ministério da Economia, Comércio e Indústria do Japão deu um prazo até 8 de julho para que a empresa apresente todos os detalhes sobre o incidente e as medidas preventivas adotadas.

Vazamento de dados afeta mais de 73 mil servidores públicos na França

O governo francês confirmou uma violação de segurança na plataforma de mensagens criptografadas Tchap, que impactou as contas de mais de 73 mil funcionários do setor público. A DINUM, diretoria de assuntos digitais do governo francês, revelou que um ator de ameaças acessou a plataforma por meio de uma conta de usuário comprometida, levando à notificação da CNIL, a autoridade de proteção de dados da França. Embora as conversas privadas sejam criptografadas, os dados compartilhados em salas de chat públicas não possuem essa proteção, permitindo que o invasor coletasse nomes, endereços de e-mail e informações sobre as organizações dos usuários. O ataque, que pode ter exposto dados de cerca de 9% dos usuários registrados, foi atribuído a um ataque de engenharia social. O invasor alegou ter coletado quase 650 mil mensagens e mais de 13,5 GB de documentos e arquivos de mídia. A Tchap, desenvolvida pela DINUM em colaboração com a ANSSI, é uma ferramenta de colaboração descentralizada e se tornou o aplicativo padrão para comunicações de trabalho entre servidores públicos desde agosto de 2025.

Autoridades europeias desmantelam serviço de lavagem de criptomoedas

As autoridades na Europa desmantelaram o AudiA6, um serviço de lavagem de criptomoedas utilizado por gangues de ransomware e redes cibernéticas criminosas. A Europol anunciou que a operação, realizada em 10 de junho de 2026, cortou um ‘canal financeiro crucial’ que lavou mais de €336 milhões desde seu lançamento em 2021. O AudiA6 funcionava como um hub central para criminosos que buscavam ocultar a origem de ativos digitais roubados. Durante a operação, dois administradores foram presos na Geórgia, 25 domínios foram retirados do ar e mais de 30 servidores foram apreendidos. Além disso, foram confiscados veículos e propriedades, além de ativos em criptomoedas no valor de €692.000. A investigação revelou que o AudiA6 utilizava contas de troca fraudulentas e registros de ‘Know Your Customer’ (KYC) para movimentar os lucros ilícitos. A operação foi resultado de uma ação anterior da polícia polonesa, que levou à prisão de um ucraniano em setembro de 2025, permitindo que as autoridades identificassem mais envolvidos. O caso destaca o crescimento de serviços de lavagem de criptomoedas em escala industrial, que facilitam a economia do cibercrime.

Golpe usa falsa vaga da LOréal para roubar e-mails de candidatos

Pesquisadores de segurança digital identificaram uma nova campanha de phishing que utiliza falsas vagas de emprego da L’Oréal para roubar credenciais de e-mail de candidatos. O golpe se desenrola em duas etapas: inicialmente, os criminosos coletam dados pessoais dos candidatos, como nome, telefone e histórico profissional. Em seguida, solicitam a senha do e-mail sob a justificativa de que isso é necessário para validar a candidatura. A L’Oréal já confirmou que não está envolvida com essas mensagens fraudulentas. A ESET, empresa que detectou a fraude, alerta que outras marcas conhecidas, como Coca-Cola e RedBull, também foram alvo de golpes semelhantes. O primeiro contato com a vítima ocorre via e-mail, onde mensagens se disfarçam como comunicações de recrutadores. Ao clicar em links, as vítimas são direcionadas a páginas que imitam plataformas de recrutamento, onde são solicitadas informações pessoais. Após o envio, a página exibe o e-mail da vítima e pede a senha, aumentando a probabilidade de sucesso do golpe. Caso a senha seja fornecida, os criminosos podem acessar a conta de e-mail e comprometer outros serviços conectados. A ESET recomenda que as empresas nunca solicitem senhas de e-mail em processos seletivos e sugere medidas de proteção, como verificar o domínio do remetente e ativar a autenticação multifator.

Campanha de desinformação sobre vazamento de dados em Maine

Uma campanha de desinformação incomum foi registrada em Maine, onde notificações fraudulentas de vazamento de dados foram submetidas ao portal oficial do estado antes que sua legitimidade pudesse ser verificada. A notificação mais recente, supostamente da plataforma VRChat, alegava que dados pessoais de mais de 2,4 milhões de usuários haviam sido expostos. No entanto, representantes da VRChat confirmaram que a notificação era falsa, tendo sido apresentada em nome de um funcionário fictício. O incidente destaca a vulnerabilidade dos portais de notificação de vazamentos, onde qualquer pessoa pode submeter informações sem verificação prévia. Além disso, outra notificação suspeita foi identificada, supostamente da Discord, alegando que 10 milhões de usuários foram afetados. A falta de verificação adequada pode levar a danos à reputação das empresas e causar pânico desnecessário entre os usuários. O escritório do Procurador Geral de Maine afirmou que está tomando medidas para remover as notificações fraudulentas e que não tinha conhecimento de outros casos semelhantes. Este evento ressalta a importância de verificar a autenticidade das notificações de vazamento com as empresas afetadas antes de considerar as informações como verdadeiras.

Grupo ShinyHunters explora falha crítica no Oracle PeopleSoft

O grupo de extorsão ShinyHunters explorou uma falha não corrigida no Oracle PeopleSoft, resultando em invasões a sistemas empresariais, roubo de dados e exigência de pagamento para manter as informações em sigilo. A vulnerabilidade, identificada como CVE-2026-35273, é uma falha de execução remota de código com uma pontuação de 9.8 em 10, que não requer login ou interação do usuário, apenas acesso à rede via HTTP. A campanha, que ocorreu entre 27 de maio e 9 de junho de 2026, afetou principalmente universidades, com 68% das organizações comprometidas pertencendo ao setor de educação superior. O ataque foi possível devido à exposição do componente de gerenciamento de ambiente do PeopleSoft, que permite que os atacantes acessem e controlem servidores vulneráveis. A Oracle publicou um aviso sobre a falha apenas em 10 de junho, deixando a vulnerabilidade como um zero-day durante o período de exploração. A Mandiant, que rastreia o grupo como UNC6240, notificou mais de 100 organizações sobre a vulnerabilidade, com a Universidade de Nottingham sendo uma das primeiras vítimas confirmadas, resultando no vazamento de dados de aproximadamente 455.000 endereços de e-mail. As recomendações incluem desativar o serviço de gerenciamento de ambiente e restringir o acesso externo aos componentes vulneráveis.

Casino Taos Mountain sofre violação de dados em 2026

O Taos Mountain Casino, localizado no Novo México, notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em março de 2026, que comprometeu nomes, números de Seguro Social e endereços. A violação foi detectada em 28 de março de 2026, e um grupo de cibercriminosos chamado DragonForce reivindicou a responsabilidade pelo ataque em 30 de maio, alegando ter roubado 38,6 GB de dados do cassino. Embora o cassino tenha oferecido 12 meses de monitoramento de crédito gratuito e restauração de identidade para as vítimas, não há confirmação se o DragonForce realmente executou o ataque ou se um resgate foi pago. O grupo DragonForce é conhecido por operar um modelo de ransomware como serviço, permitindo que outros cibercriminosos utilizem sua infraestrutura para realizar ataques. Este incidente destaca a crescente vulnerabilidade de cassinos a ataques de ransomware, com vários casos semelhantes ocorrendo nos últimos anos. Até agora, em 2026, foram registrados 218 ataques de ransomware, com 18 confirmados por organizações-alvo. A situação levanta preocupações sobre a segurança de dados e a proteção de informações pessoais em setores vulneráveis como o de jogos.

A Transformação da Cibersegurança com a Inteligência Artificial

A inteligência artificial (IA) está revolucionando a cibersegurança, aumentando a velocidade e a escala dos crimes cibernéticos de maneiras que as operações de segurança tradicionais não conseguem acompanhar. Segundo a Gartner, espera-se que agentes de IA reduzam em 50% o tempo necessário para explorar exposições de contas até 2027. Campanhas de phishing, que antes levavam dias para serem elaboradas, agora podem ser criadas em minutos, sem os erros que costumavam denunciá-las. Para provedores de serviços gerenciados (MSPs), a situação é crítica: aqueles que ainda dependem de uma pilha de segurança fragmentada não apenas demoram mais a responder, mas também têm dificuldade em demonstrar aos clientes que seus ambientes estão totalmente protegidos.

Polícia desmantela serviço de criptomoedas AudiA6 usado por cibercriminosos

As autoridades de segurança desmantelaram o serviço de criptomoedas conhecido como “AudiA6”, que supostamente facilitou a lavagem de mais de 380 milhões de dólares para atores de ransomware e outros cibercriminosos. Segundo a Europol, o AudiA6 funcionou como um hub central de lavagem de dinheiro entre 2022 e 2025, sendo vinculado a mais de 15 investigações internacionais relacionadas a ataques de ransomware. O serviço, que se apresentava como uma “plataforma profissional de mistura de criptomoedas”, aceitava lucros de crimes cibernéticos, movimentava o dinheiro por rotas complexas para ocultar sua origem e devolvia os fundos “limpos” aos usuários em cerca de uma hora, cobrando uma comissão de 3 a 10%. A investigação, que envolveu autoridades de 11 países, resultou na prisão de dois indivíduos na Geórgia, que são considerados administradores do AudiA6 e do fórum underground “Dark2Web”. Além disso, foram apreendidos 25 domínios, 80 veículos e propriedades, e congelados quase 800 mil dólares em criptomoedas. A ação foi facilitada pela prisão de um nacional ucraniano na Polônia, cujos dispositivos ajudaram a identificar outros envolvidos na operação.

Novas ameaças cibernéticas e ataques em cadeia expostas

Recentemente, um relatório da Flashpoint revelou que mais de 11 milhões de dispositivos foram infectados por infostealers, resultando na exposição de 3,3 bilhões de registros de identidade. Esses dados estão sendo comercializados em mercados ilícitos, com infostealers como Lumma e Vidar se destacando. Além disso, um novo trojan de acesso remoto (RAT) chamado SilabRAT, disponível por US$ 5.000 mensais, tem como foco o roubo de credenciais e é capaz de contornar medidas de segurança. A análise também aponta que hackers norte-coreanos são responsáveis por quase 50% das intrusões no setor de tecnologia, utilizando campanhas de infiltração para obter informações sensíveis. O Departamento de Justiça dos EUA apreendeu 13 domínios relacionados a uma suposta coleta de inteligência chinesa, destacando o uso de ofertas de emprego fraudulentas para obter dados confidenciais. Por fim, o Miasma Toolkit, um framework de ataque que permite a execução de ataques em cadeia, foi brevemente disponibilizado no GitHub, aumentando a preocupação com a segurança da cadeia de suprimentos. Essas ameaças evidenciam a sofisticação crescente dos ataques cibernéticos e a necessidade de vigilância constante.

Inovações e Excelência em Cibersegurança Prêmios de 2026

O artigo destaca a cerimônia de premiação dos Cybersecurity Stars Awards de 2026, que reconhece o trabalho invisível, mas essencial, realizado na área de cibersegurança. Com 95 subcategorias e quatro categorias principais, os prêmios foram concedidos a produtos e equipes que demonstraram inovação, impacto e excelência técnica. Entre as subcategorias premiadas estão segurança com IA, criptografia pós-quântica e gestão contínua de exposição a ameaças. A seleção dos vencedores foi feita por um painel independente, que avaliou as nomeações sem considerar popularidade ou tamanho da marca. O evento visa dar visibilidade a iniciativas que, embora não sejam amplamente divulgadas, são cruciais para a proteção cibernética. O artigo também menciona que as nomeações para os prêmios de 2027 abrirão ainda este ano, incentivando mais empresas e profissionais a participarem. A premiação é uma oportunidade de reconhecer o trabalho que, muitas vezes, só é notado quando algo dá errado, destacando a importância da prevenção na segurança digital.

Grupo de ransomware The Gentlemen se destaca no cibercrime

Uma nova análise da operação The Gentlemen revelou que o grupo de cibercriminosos, inicialmente atuando como afiliado em ataques de dupla extorsão, evoluiu para uma operação independente em julho de 2025. Conhecido como Phantom Mantis, o grupo é liderado por LARVA-368, um criminoso cibernético de origem russa. Desde sua formação, The Gentlemen já registrou 478 vítimas, com uma significativa presença em países como Tailândia, Reino Unido, Brasil, Alemanha e Índia. O grupo utiliza inteligência artificial para desenvolver e manter suas ferramentas de ransomware, além de empregar técnicas sofisticadas para obter acesso inicial a sistemas vulneráveis, como dispositivos de rede e serviços expostos à internet. Com um modelo de compartilhamento de lucros agressivo, onde 90% dos ganhos vão para os afiliados, The Gentlemen se destaca como um dos grupos de ransomware mais ativos, representando 10% das atividades de ransomware em abril de 2026. O uso de um esquema criptográfico híbrido e a capacidade de se adaptar rapidamente durante os ataques tornam essa operação uma ameaça significativa para organizações em todo o mundo.

Pesquisador revela bypass do BitLocker no Windows com GreatXML

O pesquisador de segurança conhecido como Chaotic Eclipse divulgou uma nova vulnerabilidade que permite contornar a proteção do BitLocker no Windows, chamada GreatXML. A descoberta foi feita acidentalmente em apenas quatro horas e revela que usuários que utilizaram a função de varredura offline do Windows Defender estão automaticamente vulneráveis a esse tipo de ataque. O exploit funciona ao copiar arquivos XML específicos para a partição de recuperação e reiniciar o sistema no Ambiente de Recuperação do Windows (WinRE). Se os passos forem seguidos corretamente, o atacante pode obter acesso irrestrito ao volume protegido pelo BitLocker. Essa vulnerabilidade é a segunda do tipo divulgada por Chaotic Eclipse, que já havia lançado anteriormente o YellowKey, e surge em um momento em que a Microsoft lançou patches para outras falhas críticas em seu software de segurança. A situação destaca a importância de manter sistemas atualizados e a necessidade de vigilância constante contra novas ameaças.

Vulnerabilidades do OpenClaw expõem dados e permitem ataques

Pesquisas recentes revelaram que o OpenClaw, um agente de IA autônomo amplamente utilizado, possui falhas que permitem a execução de códigos maliciosos e a exfiltração de dados sensíveis através de entradas aparentemente inofensivas. A Imperva demonstrou como comandos ocultos podem ser inseridos em contatos compartilhados e vCards, que o agente executa sem que o usuário perceba. A Varonis, por sua vez, explorou a vulnerabilidade de phishing, onde um e-mail comum pode induzir o agente a enviar informações confidenciais, como chaves de acesso da AWS. Embora a Imperva tenha corrigido uma das falhas na versão 2026.4.23 do OpenClaw, a vulnerabilidade de phishing não pode ser resolvida apenas com um patch, exigindo uma reavaliação das permissões do agente. Ambas as pesquisas destacam a confiança excessiva do OpenClaw em suas entradas, o que torna o sistema vulnerável a ataques. As recomendações incluem a implementação de controles rigorosos sobre as ações do agente e a verificação de remetentes antes de enviar dados. O impacto potencial dessas falhas é significativo, especialmente em ambientes que lidam com informações sensíveis, levantando preocupações sobre conformidade com a LGPD.

O teste de Voight-Kampff da vida real como dar crachá para uma IA?

O artigo de Fábio Maia discute os desafios da cibersegurança em um mundo onde a Inteligência Artificial (IA) opera em níveis de complexidade e autonomia semelhantes aos humanos. Inspirando-se no filme Blade Runner, o autor levanta a questão de como autenticar e auditar Agentes Autônomos de IA, que podem agir de forma criativa e adaptativa, mas com a velocidade de máquinas. A abordagem tradicional de Gestão de Identidade e Acesso (IAM) divide usuários em humanos e máquinas, mas a IA generativa desafia essa categorização. O texto sugere que, ao conceder credenciais a uma IA, há riscos significativos, como a possibilidade de ‘alucinações’ da IA ou ataques de injeção de comandos, que podem levar a ações maliciosas sem que o sistema perceba. A solução proposta é a adoção de um modelo de autorização dinâmica e comportamental, onde o acesso é reavaliado constantemente com base no comportamento do agente, alinhando-se ao conceito de Confiança Zero. A pressão por eficiência nas empresas pode levar à adoção apressada de IAs, mas a governança e o controle são essenciais para evitar desastres.

Brasil se torna referência global no combate a fraudes digitais

O Brasil se destaca como um dos países mais atacados por fraudes digitais, mas também como um líder em soluções para combatê-las. Luis Felipe Monteiro, CEO da Unico, afirma que essa dualidade proporciona uma vantagem competitiva para as empresas brasileiras no mercado internacional. Em 2025, as tentativas de fraudes sofisticadas aumentaram 1.082%, impulsionadas pelo uso de inteligência artificial, e a projeção para 2026 é de um crescimento adicional de até 550%. Para enfrentar esse cenário, o Brasil adotou um modelo de ‘confiança contínua’, que avalia mais de 40 pontos de dados em tempo real para validar transações, permitindo que até 90% das transações legítimas sejam aprovadas sem fricção. A Unico, que já opera em mais de 20 países, evitou perdas de mais de R$ 23 bilhões em fraudes em 2025, e seu crescimento internacional foi de 130% no primeiro trimestre de 2026. Essa abordagem inovadora não apenas protege os usuários, mas também posiciona o Brasil como um exemplo a ser seguido globalmente.

CISA prioriza atualizações de segurança para agências federais dos EUA

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) anunciou a nova Diretriz Operacional Vinculativa 26-04, que prioriza atualizações de segurança para agências do Poder Executivo Civil Federal (FCEB). O objetivo é reduzir a ameaça de ciberataques ao setor público, exigindo que as agências remedeiem vulnerabilidades de alto risco em prazos acelerados, que podem ser de até três dias. A CISA afirma que a nova diretriz substitui as anteriores BOD 19-02 e BOD 22-01, introduzidas em 2019 e 2021, respectivamente. A priorização das correções é baseada em quatro considerações principais: exposição pública do ativo, presença da vulnerabilidade no catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), possibilidade de exploração automatizada e controle total ou parcial do sistema pelos atacantes. As agências devem atualizar suas políticas de gerenciamento de vulnerabilidades e relatar o status de KEV em um prazo de 60 dias. A nova diretriz também se aplica a sistemas em nuvem e ambientes de terceiros, influenciando a indústria de cibersegurança como um todo.

Coupang é multada em R 409 milhões após vazamento de dados de 37 milhões

A Comissão de Proteção de Informações Pessoais da Coreia do Sul (PIPC) impôs uma multa recorde de 624,6 bilhões de won (cerca de R$ 409 milhões) à Coupang, gigante do e-commerce, após um vazamento de dados que afetou mais de 37 milhões de clientes. A subsidiária Coupang Fulfillment Service também foi multada em 248 milhões de won por coleta e uso indevido de dados pessoais. A investigação revelou falhas graves nas práticas de segurança da empresa, incluindo gestão inadequada de chaves de autenticação e controles de acesso. Além disso, a PIPC identificou violações nas obrigações de destruição de dados e notificação de vazamentos, além de interferência na atuação do encarregado de proteção de dados da Coupang. O vazamento, um dos piores da história sul-coreana, ocorreu em junho, mas foi descoberto apenas em novembro. O principal suspeito é um ex-funcionário da área de TI, que tentou destruir evidências. A Coupang anunciou planos de compensar os clientes afetados com vouchers de compra em 2026. Este incidente destaca a importância de práticas robustas de segurança da informação, especialmente em empresas que lidam com grandes volumes de dados pessoais.

Grupo OceanLotus realiza ataques cibernéticos no Vietnã

O grupo de ameaças cibernéticas OceanLotus, alinhado ao Vietnã, foi responsável por duas campanhas distintas de espionagem cibernética, utilizando um backdoor conhecido como SPECTRALVIPER. As operações visaram uma corporação de construção de infraestrutura e transporte no Vietnã entre meados de 2024 e fevereiro de 2026, além de um ataque à cadeia de suprimentos que explorou o FireAnt Metakit, uma plataforma popular entre investidores de ações no país. A ESET, empresa de cibersegurança, observou uma mudança no foco operacional do grupo, que agora prioriza a espionagem doméstica em vez de alvos externos. O ataque ao FireAnt Metakit, que começou em outubro de 2025, utilizou um URL de atualização legítimo para distribuir SPECTRALVIPER a um subconjunto de investidores. A falta de validação de integridade no arquivo de configuração permitiu que o malware fosse executado como uma atualização legítima. Além disso, OceanLotus manteve acesso a uma empresa de construção até fevereiro de 2026, explorando vulnerabilidades em servidores SQL da Microsoft. A ESET sugere que o grupo adotou uma abordagem mais seletiva após a exposição de sua empresa de fachada em 2020, focando em alvos domésticos e demonstrando táticas agressivas e sofisticadas.

Grupo de hackers acessa sistema de registros da Universidade de Nottingham

A Universidade de Nottingham confirmou que um grupo de hackers teve acesso ao seu sistema de registros de alunos, afetando tanto estudantes atuais quanto ex-alunos. O incidente expôs uma quantidade significativa de dados, incluindo informações financeiras, detalhes de cobrança e dados pessoais de aproximadamente 454.600 indivíduos. O grupo de cibercriminosos conhecido como ShinyHunters reivindicou a responsabilidade pelo ataque, alegando ter roubado mais de 40GB de documentos, que incluem nomes completos, endereços, números de telefone e informações acadêmicas. A universidade está colaborando com uma empresa terceirizada para conduzir uma investigação forense e já notificou o Escritório do Comissário de Informação do Reino Unido. Este ataque é parte de uma campanha mais ampla do ShinyHunters, que já comprometeu dados de mais de 100 organizações em todo o mundo, utilizando uma combinação de vulnerabilidades conhecidas e zero-days. A situação destaca a importância da segurança de dados em instituições educacionais e a necessidade de ações proativas para proteger informações sensíveis.

GitHub anuncia mudanças no npm para combater ameaças na cadeia de software

O GitHub anunciou mudanças significativas na versão 12 do npm, que visam aumentar a segurança da cadeia de suprimentos de software. Uma das principais alterações é a desativação padrão de scripts de instalação, que são frequentemente utilizados por atacantes para executar código malicioso durante o comando ’npm install’. Essa mudança é uma resposta a técnicas de ataque que exploram a execução automática de scripts de dependências transitivas, permitindo que um pacote comprometido execute código arbitrário em máquinas de desenvolvedores ou em ambientes de integração contínua (CI).

Mapa do Instagram chega ao Brasil com riscos de privacidade

O Instagram lançou no Brasil, em 10 de junho de 2026, o Mapa do Instagram, uma nova funcionalidade que permite aos usuários compartilhar sua localização com amigos selecionados. Embora a ferramenta tenha como objetivo facilitar a conexão entre amigos e a descoberta de novos lugares, ela levanta sérias preocupações de privacidade e segurança. A localização pode revelar informações sensíveis sobre a rotina do usuário, como locais frequentes e trajetos habituais, criando um ‘mapa comportamental’ que pode ser explorado por indivíduos mal-intencionados. A Meta, empresa controladora do Instagram, afirma que o compartilhamento de localização é desativado por padrão e que os usuários têm controle sobre quem pode ver suas informações. No entanto, a falta de compreensão clara sobre como a funcionalidade opera pode levar a riscos significativos, especialmente para grupos vulneráveis, como crianças e sobreviventes de violência doméstica. Autoridades de segurança já expressaram preocupações sobre o impacto potencial do recurso, que pode facilitar o stalking e outras formas de assédio. A discussão sobre a utilidade do Mapa do Instagram deve ser equilibrada com a necessidade de proteger a privacidade dos usuários, especialmente em uma plataforma com um alcance tão vasto.

Gangue ShinyHunters ataca servidores Oracle PeopleSoft em roubo de dados

Os servidores Oracle PeopleSoft estão sendo alvo de ataques de roubo de dados pela gangue de extorsão ShinyHunters, que afirma ter comprometido dados de mais de 100 organizações. O PeopleSoft é um software empresarial utilizado por grandes organizações para gerenciar operações como recursos humanos, finanças e administração estudantil. Recentemente, ataques generalizados foram relatados, afetando tanto instâncias em nuvem quanto locais do PeopleSoft. A gangue alega ter explorado uma ‘cadeia de gadgets’ composta por vulnerabilidades antigas e zero-day, embora a eficácia dos ataques dependa da configuração das instâncias. A Universidade de Nottingham foi identificada como uma das vítimas, com dados já publicados no site de vazamento da ShinyHunters. Pesquisadores de segurança encontraram diretórios expostos que revelam detalhes sobre os ataques, incluindo scripts para criar notas de resgate em servidores comprometidos. Especialistas recomendam que organizações que utilizam o PeopleSoft analisem logs para identificar conexões suspeitas e iniciem respostas a incidentes se forem alvo dos ataques. A situação é crítica, e a Oracle ainda não se manifestou oficialmente sobre as vulnerabilidades exploradas.

GitHub anuncia mudanças de segurança no npm para combater ataques

O GitHub revelou que a versão 12 do npm, prevista para o próximo mês, implementará mudanças significativas focadas na segurança, visando bloquear ataques à cadeia de suprimentos que exploram comportamentos do comando ’npm install’. Este comando é amplamente utilizado por desenvolvedores para baixar e instalar dependências de projetos, além de executar scripts relacionados à instalação. Os atacantes visam essa ação devido ao potencial de execução automática de código durante a instalação de pacotes.

Framework de ataque Miasma compromete ecossistemas de código aberto

O framework de ataque Miasma, que visa ecossistemas de código aberto por meio de ataques à cadeia de suprimentos, foi brevemente disponibilizado como código aberto no GitHub. Miasma é uma evolução do worm Shai-Hulud e compartilha características e técnicas semelhantes. O malware infecta máquinas de desenvolvedores, rouba credenciais de ambientes de construção e nuvem, e compromete repositórios legítimos, publicando versões trojanizadas que infectam outros desenvolvedores. Essa propagação autônoma pode transformar uma única violação em um ataque de cadeia de suprimentos em larga escala. O código-fonte do Miasma foi vazado através de contas de desenvolvedores comprometidas, indicando uma liberação intencional. O malware não requer infraestrutura de comando e controle, utilizando o GitHub para operar. Ele coleta credenciais de provedores de nuvem e sistemas CI/CD, comprometendo pacotes npm, PyPI e RubyGems. Uma característica notável é um ‘interruptor de segurança’ que apaga arquivos do usuário caso um token do GitHub seja revogado. A liberação do código do Miasma pode levar a variantes mais avançadas e aumentar a taxa de ataques, o que representa um risco significativo para a segurança do ecossistema de código aberto.

Vulnerabilidade crítica no Langflow permite exploração de servidores

A vulnerabilidade CVE-2026-5027, classificada como de alta severidade, está sendo ativamente explorada por atacantes na plataforma de desenvolvimento de IA Langflow. Essa falha de path traversal na funcionalidade de upload de arquivos permite que invasores escrevam arquivos em locais arbitrários do sistema de arquivos, utilizando sequências de travessia de caminho (’../’). O problema foi identificado pela Tenable no início de 2026 e divulgado publicamente em 27 de março, após a equipe do Langflow não ter respondido a um relatório inicial. A exploração é facilitada pelo fato de que o Langflow permite login automático não autenticado por padrão, tornando a vulnerabilidade acessível sem a necessidade de credenciais. Pesquisas indicam que cerca de 7.000 instâncias do Langflow estão expostas publicamente, embora esses dados possam incluir resultados de varreduras históricas. A recomendação é que os usuários atualizem para a versão mais recente, 1.10.0, que corrige a falha. A situação é preocupante, especialmente considerando que outras vulnerabilidades no Langflow também foram alvo de exploração recentemente.

Relatório de pentest pode parecer seguro, mas não é

Um relatório de pentest que apresenta poucos problemas pode dar uma falsa sensação de segurança. Após várias execuções de testes automatizados, as descobertas tendem a diminuir, levando a uma interpretação errônea de que a segurança está estável. No entanto, isso pode significar que as ferramentas de pentest atingiram seus limites de visibilidade. O artigo destaca que a validação de segurança deve ser vista em múltiplas camadas, não apenas na capacidade de um atacante explorar um caminho. Embora o pentest automatizado mostre que um caminho de ataque existe, ele não garante que as defesas, como SIEM e EDR, estejam funcionando adequadamente para detectar ou bloquear essas tentativas. A simulação de ataque e a validação de controles são abordagens complementares, mas frequentemente confundidas. A falta de validação de controles pode levar a uma priorização inadequada dos riscos, uma vez que as equipes podem não ter evidências completas sobre a eficácia das defesas. O webinar promovido pela The Hacker News e Picus Security busca esclarecer essas questões e ajudar as equipes a entenderem como classificar e priorizar as descobertas de segurança de forma mais eficaz.

Rede de servidores suporta campanhas de phishing em larga escala

Um recente estudo revelou uma vasta rede de 12.704 servidores conectados à internet, que sustentam campanhas de spam e phishing. Esses servidores, distribuídos por 55 países, utilizam links do Google Cloud Storage como uma camada de redirecionamento inicial, levando os usuários a páginas controladas pelos atacantes. As páginas de destino são quase idênticas e contêm conteúdo extraído do The New York Times, o que as torna aparentemente benignas para scanners de segurança e visitantes não-alvo. A maioria dos servidores opera com software obsoleto, o que aumenta a vulnerabilidade e sugere que os operadores priorizam a descartabilidade. A pesquisa também indica que 99,8% dos servidores utilizam o protocolo HTTP inseguro, e 89% deles não tinham histórico de abusos, indicando que a infraestrutura pode ter sido recentemente provisionada. A utilização de serviços confiáveis como o Google para redirecionamento é uma tática comum entre os cibercriminosos, pois aumenta a probabilidade de que os usuários confiem nos links. A complexidade da infraestrutura, distribuída entre 412 provedores de hospedagem, dificulta os esforços de remoção e mitigação das campanhas de phishing.

Grupo cibercriminoso LockBit ataca escolas públicas em Minnesota

O grupo cibercriminoso LockBit reivindicou um ataque de ransomware ocorrido em maio de 2026 contra as escolas públicas de Delano, em Minnesota. O ataque foi detectado em 19 de maio, quando impressoras do distrito começaram a imprimir mensagens relacionadas a ransomware. As aulas foram canceladas no dia seguinte, e a administração confirmou que servidores foram acessados por um agente externo. Em 9 de junho, LockBit anunciou em seu site de vazamento de dados que havia roubado informações da instituição e exigiu um pagamento de resgate em um prazo de duas semanas. Até o momento, as escolas públicas de Delano não confirmaram a reivindicação do grupo, e não há informações sobre a natureza dos dados comprometidos ou sobre um possível pagamento de resgate. LockBit, que opera um esquema de ransomware como serviço, já foi responsável por 165 ataques em 2026, incluindo um ataque a uma organização de saúde no Brasil, que se recusou a pagar um resgate de 500 mil dólares. Os ataques de ransomware em instituições educacionais nos EUA têm se intensificado, com 11 incidentes confirmados em 2026, afetando operações diárias e expondo dados sensíveis.

Microsoft corrige vulnerabilidade crítica no Exchange Server

A Microsoft lançou um patch para uma vulnerabilidade crítica no Exchange Server, identificada como CVE-2026-42897, que está sendo ativamente explorada por atacantes. Essa falha de spoofing, que afeta as versões Exchange Server 2016, 2019 e Subscription Edition, permite que invasores executem código JavaScript arbitrário em ataques de cross-site scripting (XSS) direcionados a usuários do Outlook Web Access. O problema pode ser explorado remotamente, sem a necessidade de privilégios, através do envio de um e-mail especialmente elaborado. Caso o usuário abra o e-mail e certas condições de interação sejam atendidas, o código malicioso pode ser executado no contexto do navegador. A Microsoft recomenda que os administradores apliquem as atualizações de segurança de junho de 2026 o mais rápido possível e mantenham as mitig ações em vigor para proteção adicional. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) também incluiu essa vulnerabilidade em sua lista de falhas exploradas e ordenou que agências governamentais realizassem os patches em suas instalações até 29 de maio. Nos últimos cinco anos, 20 vulnerabilidades do Exchange Server foram adicionadas à lista da CISA, com 14 delas sendo exploradas por grupos de ransomware.

Roubo de credenciais aumenta 160 em 2025, exigindo novas abordagens de segurança

Em 2025, o roubo de credenciais cresceu 160%, representando um em cada cinco vazamentos de dados, à medida que atacantes utilizam técnicas impulsionadas por inteligência artificial para contornar defesas tradicionais. A verificação de identidade tornou-se um desafio crítico para as equipes de segurança, que precisam garantir a segurança sem criar atritos para usuários legítimos. Os processos de integração fracos e a dependência excessiva de credenciais estáticas oferecem oportunidades para os atacantes. Para fortalecer a verificação de identidade, o artigo sugere cinco práticas recomendadas: 1) Implementar autenticação multifatorial (MFA) robusta e resistente a fadiga; 2) Proteger o serviço de atendimento ao cliente contra engenharia social; 3) Integrar a confiança do dispositivo nas decisões de verificação de identidade; 4) Considerar o uso de chaves de acesso (passkeys); e 5) Proteger dados biométricos adequadamente. Essas abordagens visam modernizar os controles de verificação de identidade e aumentar a resiliência das organizações contra ataques cibernéticos.

Botnet JDY expande suas operações e mira em redes militares dos EUA

A botnet JDY, anteriormente associada a atores de ameaça chineses como o Volt Typhoon, ampliou significativamente seu escopo de ataque e esforços de reconhecimento. Pesquisadores da Black Lotus Labs, da Lumen, monitoraram a atividade da JDY, que atualmente foca fortemente nos Estados Unidos, onde muitos de seus dispositivos comprometidos estão localizados, especialmente em redes militares e associadas. Desde janeiro de 2024, o número de bots ativos cresceu de aproximadamente 650 para mais de 1.500 dispositivos SOHO e IoT comprometidos. A JDY não é uma botnet de DDoS, mas sim uma rede distribuída de escaneamento e reconhecimento, ajudando seus operadores a localizar alvos vulneráveis a falhas recém-divulgadas. A análise indica que a botnet se concentra em identificar infraestruturas vulneráveis logo após a divulgação pública de falhas, com um foco particular em setores críticos, como o militar. A CISA já havia alertado sobre os riscos que os operadores do Volt Typhoon representam para roteadores SOHO desprotegidos, enfatizando a necessidade de eliminar vulnerabilidades nas interfaces de gerenciamento web desses dispositivos. A JDY utiliza serviços ocultos do Tor para controle e comando, realizando uma variedade de escaneamentos e coleta de dados sobre vulnerabilidades. À medida que a atividade da JDY aumenta, é crucial que as organizações mantenham seus dispositivos atualizados e monitorem atividades de escaneamento incomuns.

CISA adiciona novas vulnerabilidades críticas ao catálogo KEV

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu três novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) após relatos de exploração ativa. As vulnerabilidades são: CVE-2026-20245, com um escore CVSS de 7.8, que afeta o Cisco Catalyst SD-WAN Manager, permitindo que um atacante local autenticado execute comandos arbitrários; CVE-2026-11645, com um escore CVSS de 8.8, que impacta o Google Chrome V8, possibilitando que um atacante remoto execute código arbitrário através de uma página HTML maliciosa; e CVE-2026-7473, com um escore CVSS de 6.9, que afeta o sistema operacional extensível da Arista (EOS), permitindo a exploração de tráfego de túnel não configurado. A Arista reconheceu que a vulnerabilidade CVE-2026-7473 está sendo explorada ativamente, mas não planeja lançar um patch, citando riscos de quebra de configurações existentes. Em vez disso, a empresa sugere a aplicação de listas de controle de acesso (ACLs) para mitigar o problema. As agências do governo federal dos EUA foram instruídas a implementar correções ou mitigação até 23 de junho de 2026.

Vulnerabilidade crítica no Langflow permite execução remota de código

Uma falha de segurança de alta gravidade, classificada como CVE-2026-5027, foi identificada na plataforma de código aberto Langflow, que permite a construção de aplicações de inteligência artificial. Com uma pontuação CVSS de 8.8, essa vulnerabilidade de ‘path traversal’ possibilita que atacantes escrevam arquivos em locais arbitrários do sistema de arquivos. O endpoint vulnerável, ‘POST /api/v2/files’, não sanitiza o parâmetro ‘filename’, permitindo que sequências de travessia de caminho (’../’) sejam utilizadas para explorar a falha. A empresa Tenable, que descobriu a vulnerabilidade, tentou contatar os mantenedores do projeto em três ocasiões antes de divulgar a questão em março de 2026. A vice-presidente de pesquisa de segurança da VulnCheck, Caitlin Condon, destacou que a vulnerabilidade permite a execução remota de código, e como o Langflow permite login automático não autenticado por padrão, um único pedido não autenticado é suficiente para obter um token de sessão válido. Até o momento, os esforços de exploração têm se concentrado em escrever arquivos de teste nos sistemas das vítimas. Dados do Censys indicam que cerca de 7.000 instâncias do Langflow estão expostas publicamente na internet, principalmente na América do Norte. Essa atividade de exploração segue uma série de vulnerabilidades anteriores no Langflow, indicando uma tendência crescente de ataques direcionados a ferramentas utilizadas para desenvolver aplicações de IA.

Resurgência da Botnet JDY Ameaça à Segurança Cibernética Global

Pesquisadores de cibersegurança alertam sobre a resurgência da botnet JDY, uma rede clandestina associada a atores de ameaças patrocinados pelo Estado chinês. Composta por mais de 1.500 dispositivos de pequenas empresas e IoT, a JDY atua como um scanner de alto desempenho, mapeando serviços expostos na internet. Inicialmente identificada como parte da KV-botnet em dezembro de 2023, a JDY evoluiu para uma rede independente após a desativação da KV-botnet pelo governo dos EUA em 2024. A botnet é utilizada para realizar reconhecimento direcionado e identificação de infraestruturas vulneráveis, especialmente após divulgações públicas de falhas. A diversidade dos dispositivos comprometidos, que agora inclui marcas como Ubiquiti e Linksys, permite que os operadores evitem detecções tradicionais. A arquitetura da JDY utiliza nós Tor para gerenciar a infraestrutura infectada, facilitando a coleta de dados de reconhecimento. O malware é projetado para se adaptar ao ambiente local, utilizando diferentes métodos de varredura dependendo das permissões disponíveis. A expansão da JDY e suas operações contínuas demonstram a resiliência das redes de reconhecimento modernas, que persistem mesmo após intervenções governamentais.

Certta lança agente de IA para combater fraudes digitais em tempo real

A Certta apresentou, em 10 de junho de 2026, duas novas ferramentas voltadas para a prevenção de fraudes digitais: o Flow e o Hubby. O Flow é uma plataforma que permite a criação e ajuste de jornadas de verificação de identidade sem a necessidade de programação, possibilitando testes A/B e respostas automáticas a ameaças. Essa ferramenta visa reduzir o tempo que as empresas levam para atualizar suas regras de segurança, que atualmente pode levar semanas, enquanto os golpistas adaptam suas táticas em questão de horas. Por outro lado, o Hubby é um agente de inteligência artificial que atua como assistente especializado, permitindo que os usuários descrevam suas necessidades em texto, enquanto o sistema sugere ações e aguarda aprovação humana. A Certta utiliza modelos de linguagem para aprimorar a interpretação e análise de dados, oferecendo recomendações mais precisas e contextualizadas. Ambas as ferramentas estão disponíveis para mais de 300 clientes da Certta, sem exigência de porte mínimo para adoção.

Microsoft alerta sobre problemas com atualizações do Windows 11

A Microsoft emitiu um alerta informando que alguns dispositivos com Windows 11, versões 24H2 e 25H2, podem enfrentar dificuldades ao instalar as atualizações mensais mais recentes, especificamente as cumulativas de junho de 2026. Os usuários afetados podem encontrar erros 0x80073712 ou 0x800f0993 durante o processo de atualização. A empresa destacou que uma pequena porcentagem de dispositivos que foram atualizados de versões anteriores do Windows 10 e 11 pode não conseguir instalar essas atualizações. Para resolver o problema, a Microsoft recomenda que os usuários reiniciem seus dispositivos, o que pode permitir que a correção se aplique mais rapidamente. Caso o problema persista, é sugerido que os usuários removam um pacote específico através do Prompt de Comando ou realizem uma atualização in-place do Windows 11. A Microsoft já havia corrigido problemas semelhantes em meses anteriores, mas este novo incidente destaca a necessidade de monitoramento contínuo e ações proativas por parte dos administradores de TI.

Anthropic lança modelo de IA com foco em cibersegurança

No dia 9 de junho de 2026, a Anthropic lançou o Claude Fable 5, seu modelo mais avançado, disponível ao público. Este lançamento é notável por apresentar duas versões do mesmo modelo: Fable 5, que possui classificadores de segurança, e Claude Mythos 5, que é destinado a um grupo restrito de defensores cibernéticos e operadores de infraestrutura crítica. O Fable 5 redireciona solicitações de cibersegurança para um modelo menos potente, enquanto o Mythos 5 mantém capacidades cibernéticas robustas. A Anthropic afirma que o Mythos 5 é o modelo de cibersegurança mais forte do mundo, capaz de identificar e explorar vulnerabilidades em sistemas operacionais e navegadores. Durante testes, o Mythos Preview encontrou mais de dez mil vulnerabilidades críticas em softwares importantes. A empresa também implementou uma nova política de retenção de dados de 30 dias para melhorar a detecção de ataques. A principal preocupação é que, embora a descoberta de vulnerabilidades tenha se tornado rápida e barata, o processo de verificação e correção ainda depende do tempo humano, criando uma janela de oportunidade para atacantes. Assim, a necessidade de priorizar atualizações automáticas e monitoramento contínuo é mais urgente do que nunca.