Cibersegurança

O setor financeiro da Coreia do Sul foi alvo de um sofisticado ataque de cadeia de suprimentos, resultando na implementação do ransomware Qilin. Segundo a Bitdefender, esse ataque envolveu um grupo de Ransomware-as-a-Service (RaaS) e possivelmente atores ligados ao estado norte-coreano, utilizando a violação de um Provedor de Serviços Gerenciados (MSP) como vetor de acesso inicial. Em outubro de 2025, o Qilin se destacou por um crescimento explosivo, atingindo mais de 180 vítimas, com 29% de todos os ataques de ransomware atribuídos a esse grupo. A análise revelou que 25 casos de ransomware na Coreia do Sul em setembro foram exclusivamente atribuídos ao Qilin, com 24 das vítimas pertencendo ao setor financeiro. Os atacantes se autodenominaram ‘Korean Leaks’, e a campanha foi marcada por uma abordagem de propaganda, ameaçando expor corrupção sistêmica e manipulação do mercado financeiro. O ataque resultou no roubo de mais de 1 milhão de arquivos e 2 TB de dados de 28 vítimas. Para mitigar riscos semelhantes, a Bitdefender recomenda a implementação de autenticação multifator (MFA) e a aplicação do Princípio do Menor Privilégio (PoLP).

O FBI alertou sobre um aumento significativo em fraudes de roubo de contas (ATO) nos Estados Unidos, onde cibercriminosos estão se passando por instituições financeiras para roubar dinheiro e informações sensíveis. Desde o início do ano, mais de 5.100 queixas foram registradas, resultando em perdas superiores a US$ 262 milhões. Os ataques geralmente envolvem técnicas de engenharia social, como mensagens de texto, chamadas e e-mails que exploram o medo dos usuários, além de sites falsos que imitam instituições financeiras. Os criminosos manipulam as vítimas a fornecerem suas credenciais de login, incluindo códigos de autenticação de múltiplos fatores. O FBI também destacou o uso de SEO para direcionar usuários a sites fraudulentos. Para se proteger, recomenda-se que os usuários sejam cautelosos ao compartilhar informações online, monitorem suas contas regularmente e utilizem senhas complexas e únicas. O aumento das fraudes coincide com o uso de ferramentas de inteligência artificial por atacantes, que facilitam a criação de e-mails de phishing e sites falsos mais convincentes. Além disso, a exploração de vulnerabilidades em plataformas de e-commerce também foi observada, aumentando o risco de fraudes durante a temporada de compras.

Um novo ataque cibernético envolvendo a família de malware RomCom foi identificado, visando uma empresa de engenharia civil baseada nos Estados Unidos. O ataque foi realizado através de um carregador JavaScript conhecido como SocGholish, que é utilizado para entregar o Mythic Agent, um trojan de acesso remoto (RAT). Este é o primeiro caso documentado em que um payload do RomCom foi distribuído via SocGholish, que é associado a um grupo de hackers russo, o GRU, e tem como alvo entidades ligadas à Ucrânia. O ataque tipicamente envolve a exibição de alertas falsos de atualização de navegador em sites legítimos, mas comprometidos, para induzir os usuários a baixar o código JavaScript malicioso. Embora o ataque tenha sido bloqueado antes de causar danos, ele demonstra o interesse contínuo do RomCom em atingir organizações que, mesmo indiretamente, estão conectadas à Ucrânia. A velocidade do ataque, que levou menos de 30 minutos desde a infecção até a entrega do carregador, destaca a eficácia e a ameaça representada por esse tipo de ataque, que pode afetar organizações em todo o mundo.

A CrowdStrike, empresa renomada na área de cibersegurança, negou ter sofrido uma violação de segurança após um funcionário compartilhar capturas de tela internas com hackers. O incidente foi revelado pelo grupo Scattered Lapsus$ Hunters, que divulgou a informação em um canal do Telegram. A empresa assegurou que não houve exposição de dados sensíveis de clientes e que seus sistemas permaneceram intactos. O funcionário foi demitido após uma investigação interna que confirmou a troca de informações com os hackers, que ofereceram US$ 25 mil para obter acesso à rede interna da empresa. Embora os hackers tenham conseguido acessar cookies de autenticação SSO, a CrowdStrike agiu rapidamente para bloquear o acesso do colaborador, evitando um possível comprometimento de seus sistemas. A empresa também informou que o caso foi encaminhado às autoridades para investigação. Este incidente destaca a importância da vigilância constante e da segurança interna nas empresas de tecnologia, especialmente aquelas que lidam com dados sensíveis.

O escritório de advocacia Davies, McFarland & Carroll, localizado em Pittsburgh, confirmou que notificou 54.712 pessoas sobre um vazamento de dados ocorrido em maio de 2025. As informações comprometidas incluem números de Seguro Social, histórico médico, informações de seguro de saúde e datas de nascimento. O ataque foi reivindicado pelo grupo de ransomware Lynx, que listou o escritório em seu site de vazamento de dados. Embora a firma tenha detectado o acesso não autorizado em 22 de maio de 2025, a investigação forense revelou que os dados podem ter sido acessados entre 19 e 22 de maio. A empresa está oferecendo 12 meses de monitoramento de crédito gratuito e assistência contra fraudes aos afetados. O Lynx, um grupo que opera um esquema de ransomware como serviço, já reivindicou 316 ataques desde julho de 2024, sendo este o maior ataque a um escritório de advocacia em 2025. Ransomware tem se tornado uma ameaça crescente para escritórios de advocacia nos EUA, colocando em risco dados sensíveis de clientes e causando interrupções operacionais significativas.

Uma nova pesquisa revelou que diversas organizações em setores sensíveis, como governo e infraestrutura crítica, estão colando senhas e credenciais em ferramentas online como JSONFormatter e CodeBeautify. A empresa de cibersegurança watchTowr Labs coletou um conjunto de dados com mais de 80.000 arquivos nesses sites, revelando milhares de informações sensíveis, incluindo nomes de usuários, senhas, chaves de autenticação e dados pessoais. Os dados expostos incluem informações de setores como finanças, saúde e tecnologia, evidenciando a gravidade do problema. As ferramentas, que são populares entre desenvolvedores e administradores, permitem a criação de links compartilháveis que podem ser acessados por qualquer pessoa com o URL, facilitando o acesso não autorizado. Após a pesquisa, as plataformas desativaram temporariamente a funcionalidade de salvar links, indicando uma resposta a preocupações de segurança. O uso descuidado dessas ferramentas representa um risco significativo, pois informações valiosas estão sendo exploradas por agentes maliciosos, destacando a necessidade urgente de conscientização e melhores práticas de segurança entre as organizações.

Cibercriminosos estão utilizando uma nova técnica para disseminar malware através de notificações push em navegadores, sem a necessidade de downloads. A campanha, identificada pela BlackFrog, utiliza uma plataforma chamada Matrix Push C2, que engana os usuários ao fazer parecer que estão aceitando notificações legítimas. Uma vez que a vítima se inscreve, os hackers conseguem monitorar suas atividades no navegador e redirecioná-las para sites maliciosos que imitam interfaces de empresas conhecidas, como Netflix e PayPal. O ataque é particularmente preocupante porque não requer a presença de arquivos maliciosos inicialmente, tornando-o mais difícil de detectar. O Matrix Push C2 é capaz de operar em diversos sistemas operacionais, incluindo Windows, Linux e Android, e permite que os criminosos tenham acesso em tempo real às informações sensíveis das vítimas. Essa abordagem direta ao navegador torna o ataque mais eficaz, já que não depende de e-mails de phishing aleatórios. Especialistas alertam que essa nova estratégia representa um risco significativo para a segurança dos usuários na internet.

Recentemente, a Salesforce revogou todos os acessos ativos e tokens do aplicativo Gainsight após detectar atividade suspeita que resultou em acesso não autorizado a dados de usuários. Estima-se que até 200 instâncias da Salesforce tenham sido afetadas por uma campanha emergente que comprometeu tokens de autenticação OAuth de terceiros. O grupo hacker ShinyHunters, que já havia atacado outras plataformas, reivindicou a autoria do ataque, afirmando ter roubado dados de quase 1.000 organizações. A Gainsight, um dos aplicativos afetados, já havia sido alvo de um ataque anterior, mas não está claro se os incidentes estão interligados. A Salesforce, por precaução, removeu o Gainsight do AppExchange e revogou conexões com o Zendesk. Embora a empresa não tenha identificado vulnerabilidades em sua plataforma, a situação destaca a importância de monitorar aplicativos de terceiros e a segurança dos tokens de autenticação utilizados.

Pesquisadores da Universidade de Michigan e da CMU identificaram uma nova vulnerabilidade no sistema Android, especificamente em dispositivos da Google e Samsung, chamada Pixnapping. Essa falha permite que atacantes capturem informações exibidas na tela, incluindo códigos de autenticação de dois fatores (2FA), utilizando uma técnica de canal lateral que burla as proteções visuais do sistema. O ataque explora o SurfaceFlinger, um mecanismo de renderização de imagens, e foi testado em cinco modelos de aparelhos com versões do Android entre 13 e 16. Apesar de uma correção oficial (CVE-2025-48561) ter sido lançada, os especialistas conseguiram contornar o patch rapidamente. Para que o ataque ocorra, a vítima precisa instalar um aplicativo malicioso que utiliza a API de desfoque de janelas para espionar a atividade do usuário. A Google não planeja corrigir essa falha, que é considerada bloqueada por padrão, mas tanto a Google quanto a Samsung pretendem implementar medidas de mitigação até dezembro. Especialistas recomendam que os usuários mantenham seus dispositivos atualizados e evitem aplicativos de fontes não confiáveis.

Pesquisadores em cibersegurança revelaram uma nova campanha que utiliza arquivos da Blender Foundation para disseminar um malware conhecido como StealC V2. Esta operação, que está ativa há pelo menos seis meses, envolve a inserção de arquivos .blend maliciosos em plataformas como CGTrader. Ao abrir esses arquivos no Blender, um software gratuito de criação 3D, scripts Python embutidos são executados automaticamente, caso a opção Auto Run esteja habilitada. Essa vulnerabilidade é reconhecida pela própria Blender, que alerta sobre os riscos de segurança associados à execução de scripts Python. Os arquivos maliciosos contêm um script chamado ‘Rig_Ui.py’, que, ao ser executado, baixa um script PowerShell para obter dois arquivos ZIP. Um deles contém o payload do StealC V2, que é capaz de coletar informações de 23 navegadores, 100 plugins e extensões, além de aplicativos de carteiras de criptomoedas e serviços de mensagens. A Morphisec, empresa de segurança cibernética, recomenda que os usuários mantenham a opção Auto Run desativada, a menos que a fonte do arquivo seja confiável, já que os atacantes exploram o Blender, que normalmente é executado em máquinas físicas com GPUs, evitando ambientes virtuais e sandboxes.

O grupo de ameaças conhecido como ToddyCat tem utilizado métodos inovadores para obter acesso a dados de e-mail corporativo de empresas-alvo, incluindo uma ferramenta personalizada chamada TCSectorCopy. Essa técnica permite que os atacantes obtenham tokens do protocolo de autorização OAuth 2.0 através do navegador do usuário, possibilitando o acesso a e-mails corporativos fora da infraestrutura comprometida. Desde 2020, o ToddyCat tem como alvo diversas organizações na Europa e na Ásia, utilizando ferramentas como Samurai e TomBerBil para manter acesso e roubar cookies e credenciais de navegadores como Google Chrome e Microsoft Edge. Recentemente, o grupo explorou uma vulnerabilidade no ESET Command Line Scanner (CVE-2024-11859) para entregar um malware inédito chamado TCESB. Além disso, uma nova variante do TomBerBil foi detectada, capaz de extrair dados do Mozilla Firefox e operar em controladores de domínio. O ToddyCat também tem tentado obter tokens de acesso diretamente da memória em organizações que utilizam o Microsoft 365, utilizando uma ferramenta chamada SharpTokenFinder. Apesar de enfrentar dificuldades em algumas tentativas, o grupo continua a desenvolver suas técnicas para acessar correspondências corporativas de forma furtiva.

Com o aumento de violações de dados e ciberataques, muitos usuários estão buscando alternativas mais seguras para suas atividades online. O artigo destaca a importância de utilizar VPNs (Redes Privadas Virtuais) para aumentar a privacidade e segurança na navegação, mas alerta que isso não deve ser a única medida de proteção. A troca de serviços que coletam dados, como o Gmail, por opções mais seguras é essencial. A Proton, uma empresa suíça, oferece uma alternativa robusta ao Gmail, com um pacote de serviços que inclui Proton VPN, Proton Mail, Proton Drive, Proton Calendar e Proton Pass, todos com forte foco em privacidade. Durante a Black Friday, a Proton está oferecendo um desconto de 50%, reduzindo o preço do pacote para $6,49 por mês. O Proton VPN é destacado por sua política de não registro e forte criptografia, enquanto o Proton Mail garante que os e-mails sejam criptografados antes de serem enviados. Além disso, o Proton Drive e o Proton Calendar oferecem alternativas seguras para armazenamento e agendamento. Essa promoção é uma oportunidade para os usuários que desejam melhorar sua segurança digital a um custo reduzido.

O cenário de cibersegurança está passando por uma transformação significativa, especialmente com a adoção crescente de arquiteturas multicloud e aplicações em contêineres. O modelo tradicional de segurança, que se baseia em um perímetro rígido, está se mostrando inadequado para as novas realidades, onde o tráfego interno se desloca por infraestruturas públicas, frequentemente sem a devida visibilidade ou controle. Muitas empresas enfrentam dificuldades em integrar firewalls de nuvem em suas estratégias de segurança, resultando em lacunas que podem ser exploradas por atacantes. Além disso, o tráfego de saída, que é a principal via utilizada por invasores para comunicação e exfiltração de dados, muitas vezes não é adequadamente monitorado. A fragmentação das estratégias de segurança, causada pela diversidade de provedores de nuvem e pela complexidade das tecnologias emergentes, cria pontos cegos críticos. Para enfrentar esses desafios, as organizações precisam adotar um modelo de segurança que integre controles diretamente na infraestrutura da nuvem, priorizando a visibilidade e o controle do tráfego, especialmente o lateral, e eliminando a confiança implícita entre as cargas de trabalho. Essa abordagem não apenas protege melhor os dados, mas também permite que as equipes de segurança respondam rapidamente a ameaças, mantendo a agilidade necessária para a inovação.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre o uso crescente de spyware e trojans de acesso remoto (RATs) por atores maliciosos que visam usuários de aplicativos de mensagens móveis. Esses ataques utilizam técnicas avançadas de engenharia social e direcionamento para comprometer dispositivos móveis, permitindo o acesso não autorizado a aplicativos de mensagens e a instalação de cargas maliciosas adicionais. Entre os exemplos citados estão campanhas que visam o aplicativo Signal, além de spyware para Android que se disfarça como aplicativos populares, como WhatsApp e TikTok, para roubar dados. A CISA recomenda que indivíduos em risco adotem práticas de segurança, como o uso de comunicações criptografadas de ponta a ponta, autenticação resistente a phishing e a atualização periódica de software. O alerta destaca a importância de proteger informações sensíveis, especialmente para indivíduos de alto valor, como oficiais do governo e organizações da sociedade civil, em regiões como os EUA, Oriente Médio e Europa.

Um relatório do Google Threat Intelligence Group (GTIG) revelou que um grupo hacker chinês, conhecido como APT24, utilizou um malware chamado BadAudio para ciberespionagem durante três anos sem ser detectado. O ataque começou em novembro de 2022 e envolveu a modificação de mais de 20 sites legítimos com a injeção de código malicioso em JavaScript. O malware se disfarçava como uma atualização de software, enganando as vítimas para que o instalassem sem perceber a verdadeira intenção. Uma técnica sofisticada chamada ‘control flow flattening’ foi utilizada para ofuscar o código, dificultando a engenharia reversa e a detecção do malware. Após a infecção, o BadAudio coletava informações do sistema e criptografava dados sensíveis para enviá-los a um centro de comando. O grupo também implementou campanhas de spearphishing, enviando e-mails que se passavam por organizações legítimas, e utilizou serviços como Google Drive e OneDrive para distribuir o malware. Apesar de algumas tentativas terem sido bloqueadas, a maioria das amostras analisadas permaneceu indetectada por mais de 25 plataformas de antivírus, evidenciando a eficácia das técnicas de invisibilidade empregadas pelo APT24.

Uma vulnerabilidade crítica foi identificada no 7-Zip, um popular software de compressão de arquivos, que pode permitir que hackers assumam o controle total de computadores. A falha, classificada como CVE-2025-11001, foi descoberta por Ryota Shiga da GMO Flatt Security Inc. e envolve a manipulação de links simbólicos em arquivos ZIP. Essa vulnerabilidade permite que um arquivo ZIP malicioso redirecione a extração para diretórios não autorizados, possibilitando a execução de códigos arbitrários com privilégios elevados. Embora até o momento não tenham sido registrados casos de exploração ativa, o NHS England Digital emitiu um alerta de alto risco, destacando a facilidade de exploração, que requer apenas que o usuário abra o arquivo ZIP comprometido. A 7-Zip lançou uma correção na versão 25.00, mas a falta de um sistema de atualização automática significa que os usuários devem atualizar manualmente. A situação é preocupante, especialmente considerando que o score de risco CVSS da falha é de 7,0, indicando um alto nível de severidade.

O grupo de ransomware conhecido como Devman reivindicou um ataque cibernético contra a Georgia Superior Court Clerks’ Cooperative Authority (GSCCCA), que resultou na interrupção do acesso ao seu site. O ataque ocorreu no final de semana, e o grupo afirmou ter roubado 500 GB de dados, exigindo um pagamento de resgate em um prazo de três dias, que já expirou. A GSCCCA, em sua página no Facebook, confirmou a ameaça cibernética e ativou protocolos de segurança defensiva, restringindo temporariamente o acesso aos seus serviços. Embora a GSCCCA não tenha confirmado a reivindicação de Devman, o grupo é conhecido por operar um modelo de ransomware como serviço, permitindo que afiliados lancem ataques utilizando sua infraestrutura. Desde abril de 2025, Devman já atacou mais de 50 organizações, incluindo agências governamentais. Em 2025, foram registrados 71 ataques de ransomware em entidades governamentais dos EUA, com um resgate médio de 1,2 milhão de dólares. O impacto desses ataques pode ser severo, resultando em perda de dados e interrupção de serviços essenciais, o que levanta preocupações sobre a segurança cibernética em instituições públicas.

Pesquisadores de cibersegurança identificaram cinco vulnerabilidades críticas no Fluent Bit, um agente de telemetria leve e de código aberto, que podem ser exploradas para comprometer infraestruturas em nuvem. As falhas incluem a possibilidade de contornar autenticação, execução remota de código, manipulação de dados e negação de serviço. As vulnerabilidades são: CVE-2025-12972, que permite a travessia de caminho e execução remota de código; CVE-2025-12970, que envolve um estouro de buffer no plugin de métricas do Docker; CVE-2025-12978, que permite a falsificação de tags confiáveis; CVE-2025-12977, que permite a injeção de caracteres de controle em logs; e CVE-2025-12969, que permite a injeção de logs falsos devido à falta de autenticação. A exploração bem-sucedida dessas falhas pode permitir que atacantes manipulem dados e ocultem suas atividades. As versões 4.1.1 e 4.0.12 já corrigiram essas vulnerabilidades, e a AWS recomenda que os usuários atualizem imediatamente. A situação é crítica, pois o Fluent Bit é amplamente utilizado em ambientes corporativos, e as falhas podem impactar diretamente a segurança e a integridade dos serviços em nuvem.

O Brasil enfrenta um alarmante aumento nas fraudes digitais, com 28 milhões de golpes via Pix registrados entre janeiro e setembro de 2025. O país ocupa o segundo lugar no ranking global de ciberataques, com 700 milhões de tentativas anuais, o que equivale a 1.379 ataques por minuto. A pesquisa da Associação de Defesa de Dados Pessoais e do Consumidor (ADDP) revela que a maioria das fraudes ocorre em compras online, com 2,7 milhões de casos, seguidos por 1,6 milhão de golpes via WhatsApp e 1,5 milhão relacionados a phishing. Os golpes financeiros, especialmente os que envolvem o Pix, representam 47% das fraudes totais, enquanto 15% estão ligados ao roubo de identidade. O estudo também destaca que pessoas acima de 50 anos são as mais afetadas, representando 53% das vítimas. Além disso, a utilização de tecnologias avançadas, como deepfakes e inteligência artificial, tem contribuído para a sofisticação dos golpes. O presidente da ADDP, Francisco Gomes Junior, alerta que a falta de educação digital e a popularização do Pix têm facilitado a atuação de quadrilhas organizadas, resultando em prejuízos estimados entre R$ 10 bilhões e R$ 112 bilhões, muitos dos quais não são reportados.

A Advocacia Geral da União (AGU) tomou medidas para desativar um site estrangeiro que comercializava deepfakes utilizados na produção de pornografia infantil. A ação foi desencadeada após uma notificação extrajudicial da Procuradoria Nacional da União de Defesa da Democracia (PNDD). A investigação, realizada em parceria com o Pulitzer Center, revelou que o site utilizava inteligência artificial para criar imagens falsas a partir de fotos reais de crianças, que eram então vendidas na dark web. A tecnologia de deepfake, baseada em deep learning, permite a criação de conteúdos visuais extremamente realistas, o que representa um risco significativo, especialmente quando utilizada para fins ilícitos como a exploração sexual infantil. A AGU conseguiu que o site reconhecesse a ilegalidade de suas atividades e o retirasse do ar. Este incidente destaca a crescente preocupação com o uso de IA em crimes online, especialmente em um contexto onde a identificação de conteúdos falsificados se torna cada vez mais difícil. Além disso, o Brasil está em processo de regulamentação do uso de IA, com o Marco Legal da IA em análise na Câmara dos Deputados, visando aumentar a segurança e a transparência no uso dessas tecnologias.

Uma análise da empresa de cibersegurança NordPass revelou que a Geração Z, composta por indivíduos nascidos entre 1997 e 2012, está criando senhas menos seguras do que as gerações anteriores. A pesquisa identificou que a sequência ‘12345’ foi a mais utilizada por esses jovens, enquanto os Millennials e as gerações mais velhas, como Gen X e Boomers, optaram por senhas ligeiramente mais complexas, como ‘123456’. Apesar de campanhas de conscientização sobre cibersegurança, os hábitos de criação de senhas não melhoraram significativamente ao longo dos anos. O estudo também apontou que, embora a inclusão de caracteres especiais em senhas esteja se tornando mais comum, isso ainda não é suficiente para garantir a segurança digital necessária em um cenário de crimes cibernéticos cada vez mais sofisticados. Especialistas recomendam o uso de autenticação de dois fatores e gerenciadores de senhas como medidas eficazes para melhorar a segurança das contas online.

Uma pesquisa da CrowdStrike revelou que o modelo de inteligência artificial (IA) DeepSeek-R1, desenvolvido pela empresa chinesa DeepSeek, produz um número significativamente maior de vulnerabilidades de segurança quando recebe prompts relacionados a temas considerados politicamente sensíveis pela China. A análise indicou que a probabilidade de gerar código com vulnerabilidades graves aumenta em até 50% ao incluir tais tópicos. O modelo, que já enfrentou preocupações de segurança nacional e foi banido em vários países, também censura questões sensíveis, como a Grande Muralha da China e o status político de Taiwan. O Bureau de Segurança Nacional de Taiwan alertou os cidadãos sobre o uso de modelos de IA generativa chineses, que podem distorcer narrativas históricas e amplificar desinformação. A pesquisa da CrowdStrike destacou que, ao solicitar a criação de código para sistemas de controle industrial em regiões sensíveis, a qualidade do código gerado se deteriora, apresentando falhas de segurança significativas. Além disso, o modelo possui um ‘kill switch’ intrínseco, recusando-se a gerar código para temas como o Falun Gong em 45% das tentativas. As descobertas ressaltam a necessidade de cautela ao utilizar ferramentas de IA que podem ser influenciadas por diretrizes políticas.

Nesta semana, o cenário de cibersegurança foi marcado por diversas vulnerabilidades e ataques significativos. A Fortinet alertou sobre uma nova falha no FortiWeb, identificada como CVE-2025-58034, que permite a execução de código não autorizado por atacantes autenticados, com um CVSS de 6.7. Essa vulnerabilidade foi explorada ativamente, e a empresa já havia corrigido outra falha crítica, CVE-2025-64446, com CVSS de 9.1, apenas dias antes.

Além disso, o Google lançou atualizações de segurança para o navegador Chrome, corrigindo duas falhas, incluindo uma de tipo confusão (CVE-2025-13223) com CVSS de 8.8, que estava sendo explorada ativamente. A empresa não divulgou detalhes sobre os atacantes ou o alcance dos ataques.

Recentemente, múltiplos fornecedores de segurança alertaram sobre uma nova onda de ataques direcionados ao registro npm, denominada Sha1-Hulud, que comprometeu centenas de pacotes. Os pacotes infectados foram carregados entre 21 e 23 de novembro de 2025 e introduzem um novo vetor de ataque que executa código malicioso durante a fase de pré-instalação, aumentando a exposição em ambientes de construção e execução. Os pesquisadores da Wiz identificaram mais de 25.000 repositórios afetados, com 1.000 novos repositórios sendo adicionados a cada 30 minutos. O malware é capaz de registrar a máquina infectada como um runner auto-hospedado e exfiltrar segredos do GitHub, como tokens e credenciais de serviços em nuvem. Se o malware não conseguir autenticar ou estabelecer persistência, ele pode destruir dados no diretório inicial do usuário. A situação é considerada mais agressiva do que a onda anterior de ataques, que já havia mostrado um padrão de comprometimento de pacotes legítimos. Organizações são aconselhadas a escanear seus endpoints, remover versões comprometidas e auditar repositórios para mitigar riscos.

Nesta Black Friday, cerca de 50% dos consumidores utilizarão smartphones para aproveitar as ofertas, com 27% preferindo aplicativos de varejistas. No entanto, uma análise de 101 aplicativos populares para Android revelou que, em média, cada app solicita quase 29 permissões, sendo 8 delas consideradas ‘perigosas’ pelo Android. Essas permissões incluem acesso à câmera, microfone, localização e armazenamento. Embora algumas permissões sejam necessárias para o funcionamento do aplicativo, muitas delas são solicitadas sem justificativa clara nas políticas de privacidade. Em 27 casos, aplicativos pediram acesso à câmera e/ou arquivos de mídia sem mencionar isso em suas políticas. Além disso, 23% dos aplicativos analisados podem violar os padrões de privacidade do Google. A média de rastreadores por aplicativo é de 7, com um aplicativo apresentando 17 rastreadores. A falta de transparência sobre o uso de dados pessoais levanta preocupações sobre a privacidade dos usuários, especialmente em um contexto onde a proteção de dados é cada vez mais relevante, como na Lei Geral de Proteção de Dados (LGPD) no Brasil.

Uma falha de segurança recentemente corrigida no Microsoft Windows Server Update Services (WSUS) foi explorada por atacantes para distribuir o malware conhecido como ShadowPad. A vulnerabilidade, identificada como CVE-2025-59287, é uma falha crítica de desserialização que permite a execução remota de código com privilégios de sistema. Os atacantes inicialmente acessaram servidores Windows com WSUS habilitado e utilizaram ferramentas como PowerCat, um utilitário baseado em PowerShell, para obter um shell do sistema. Em seguida, eles baixaram e instalaram o ShadowPad usando comandos como certutil e curl.

A Palo Alto Networks alertou que o avanço da computação quântica pode tornar obsoletas as atuais normas de criptografia e dispositivos de segurança, como firewalls, em um futuro próximo. O CEO da empresa, Nikesh Arora, prevê que nações hostis poderão ter acesso a computadores quânticos armados até 2029, o que exigirá que organizações substituam seus dispositivos que dependem de criptografia para garantir a proteção de dados sensíveis. Além disso, a empresa destacou as vulnerabilidades de navegadores corporativos, especialmente com a integração de inteligência artificial, que pode aumentar a exposição a ataques. A Palo Alto está se preparando para oferecer uma gama de produtos resistentes à computação quântica e está em processo de aquisição da CyberArk, além de integrar a Chronosphere. Arora enfatizou a necessidade de inspeção e monitoramento mais rigorosos dos fluxos de dados, à medida que a computação quântica e a IA aumentam o volume de tráfego. As organizações devem manter softwares antivírus atualizados e implementar medidas de proteção contra roubo de identidade, enquanto se preparam para um futuro onde tecnologias emergentes exigem medidas de segurança proativas.

O documentário Fake Friend: The Ticket Scammer, da BBC, estreia no dia 24 de novembro de 2025, e revela a história de Miles Hart, um golpista de ingressos que enganou amigos e estranhos, vendendo ingressos falsificados para eventos como o Glastonbury Festival. Com 59 minutos de duração, o filme apresenta depoimentos impactantes de vítimas e especialistas da indústria de eventos, mostrando como Hart utilizou seu carisma para manter um estilo de vida luxuoso enquanto enganava centenas de pessoas. A produção faz parte da Scam Safe Week 2025 e está disponível gratuitamente no BBC iPlayer, acessível apenas para residentes do Reino Unido. Para quem está fora do país, a utilização de uma VPN, como a NordVPN, é recomendada para desbloquear o serviço. O documentário não apenas expõe a fraude, mas também investiga as consequências emocionais e financeiras enfrentadas pelas vítimas, destacando a cultura de influência que permitiu que Hart prosperasse em suas mentiras. Com um enredo envolvente, o filme promete ser uma reflexão sobre confiança e engano na era digital.

O artigo da TechRadar apresenta a programação da TV britânica para o Natal de 2025, destacando produções como ‘A Ghost Story for Christmas: The Room in the Tower’, com Joanna Lumley, e ‘Dear Father Christmas’, que promete uma abordagem divertida sobre a figura do Papai Noel. Além disso, menciona o retorno de personagens icônicos como Pat Butcher em ‘EastEnders’ e a animação ‘The Scarecrows’ Wedding’. Para quem estiver fora do Reino Unido durante as festividades, o texto sugere o uso de VPNs, como a NordVPN, para acessar serviços de streaming como BBC iPlayer e ITVX, que são restritos geograficamente. O uso de uma VPN não só facilita o acesso a esses conteúdos, mas também oferece proteção contra ameaças online. O artigo também lista uma série de especiais de Natal programados, que incluem desde comédias até dramas e animações, prometendo uma variedade de entretenimento para todos os gostos.

A Microsoft anunciou uma nova funcionalidade para telas de sinalização digital, que visa minimizar a exibição prolongada de erros do sistema, como a famosa Tela Azul da Morte (BSOD). Com o novo modo de Sinalização Digital, os erros serão exibidos por apenas quinze segundos antes que a tela seja apagada, exigindo interação física para reativação. Essa mudança é especialmente relevante para ambientes públicos, como painéis de transporte e exibições comerciais, onde a presença de mensagens de erro pode causar constrangimento. Além disso, a Microsoft está introduzindo ferramentas de recuperação, como a recuperação de ponto no tempo, permitindo que os usuários revertam sistemas para configurações anteriores. As opções de restauração podem ser agendadas em intervalos de quatro a vinte e quatro horas, com períodos de retenção de seis a setenta e duas horas. A empresa também está implementando a reconstrução em nuvem para o Windows 11, facilitando a reinstalação e configuração remota de dispositivos. Outras melhorias incluem a criptografia BitLocker acelerada por hardware e suporte a algoritmos de criptografia pós-quântica, visando reforçar a proteção de dados em ambientes corporativos.

O grupo de ameaças persistentes avançadas (APT) conhecido como APT31, vinculado à China, tem sido responsável por uma série de ataques cibernéticos direcionados ao setor de tecnologia da informação (TI) da Rússia entre 2024 e 2025. De acordo com pesquisadores da Positive Technologies, as empresas russas, especialmente aquelas que atuam como contratantes para agências governamentais, foram alvos frequentes. O APT31, ativo desde pelo menos 2010, utiliza serviços de nuvem legítimos, como o Yandex Cloud, para ocultar suas atividades de comando e controle (C2) e exfiltração de dados, misturando-se ao tráfego normal. Os ataques incluem técnicas sofisticadas, como phishing direcionado e o uso de ferramentas personalizadas para manter a persistência na rede das vítimas. Um dos métodos identificados foi o envio de e-mails com arquivos RAR que continham atalhos do Windows, permitindo a instalação de um loader chamado CloudyLoader. A utilização de ferramentas como SharpADUserIP e Tailscale VPN demonstra a adaptabilidade do grupo em explorar tanto recursos públicos quanto personalizados para suas operações. A capacidade do APT31 de permanecer indetectado por longos períodos representa um risco significativo para a segurança cibernética, especialmente em um contexto onde a coleta de informações pode oferecer vantagens políticas e econômicas para a China.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica no Oracle Identity Manager em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-61757, possui uma pontuação CVSS de 9.8 e permite a execução remota de código sem autenticação, afetando as versões 12.2.1.4.0 e 14.1.2.1.0 do software. Pesquisadores da Searchlight Cyber descobriram que a vulnerabilidade resulta de um bypass de um filtro de segurança, permitindo que atacantes não autenticados acessem endpoints de API e manipulem fluxos de autenticação. O ataque pode ser realizado ao adicionar parâmetros específicos a uma URI, levando à execução de código Groovy em um endpoint que deveria apenas verificar a sintaxe do código. A CISA alertou que houve tentativas de exploração ativa entre agosto e setembro de 2025, com múltiplos IPs tentando acessar a vulnerabilidade. Diante disso, agências federais dos EUA devem aplicar patches até 12 de dezembro de 2025 para proteger suas redes.

Cibercriminosos estão explorando notificações de navegador como um novo vetor para ataques de phishing, utilizando uma plataforma chamada Matrix Push C2. Essa estrutura, que não requer arquivos, aproveita notificações push, alertas falsos e redirecionamentos de links para enganar vítimas em diferentes sistemas operacionais. Os atacantes induzem os usuários a permitir notificações de sites maliciosos ou comprometidos, enviando alertas que parecem ser do sistema operacional ou do próprio navegador, utilizando marcas confiáveis e linguagem convincente. Uma vez que a vítima clica em um botão de ‘Verificar’ ou ‘Atualizar’, é redirecionada para um site falso.

Um estudo da Beazley Security revelou que 48% dos ataques de ransomware têm início com o roubo de credenciais de VPN, um aumento alarmante de 38% em relação ao trimestre anterior. Os cibercriminosos utilizam técnicas como o credential stuffing para acessar redes privadas virtuais, explorando vulnerabilidades como a falta de Autenticação Multifator (MFA). Além disso, 23% dos ataques foram realizados através da exploração de serviços externos. A pesquisa também destacou que 65% dos sequestros digitais foram perpetrados por três grupos criminosos notórios. O aumento nos vazamentos de dados sensíveis, que subiu 11% em comparação ao trimestre anterior, gera preocupação entre especialistas em segurança. É fundamental que as empresas escolham cuidadosamente seus provedores de VPN e implementem medidas de segurança adicionais, como antivírus e políticas de proteção de dados, para mitigar esses riscos. O uso de VPNs, embora ofereça uma navegação mais segura, não garante proteção contra ataques de phishing e ransomware, exigindo uma abordagem holística de segurança digital.

O grupo cibercriminoso Everest, especializado em ransomware, anunciou ter invadido a Petrobras, uma das maiores empresas do Brasil, e sua parceira SAExploration. Os hackers afirmam ter roubado mais de 176 gigabytes de dados, dos quais mais de 90 GB pertencem diretamente à Petrobras. Esses dados incluem informações críticas sobre navegação sísmica, como posicionamento de navios e medições de profundidade, essenciais para a indústria de petróleo e gás. O grupo deu um prazo de quatro dias para que a Petrobras inicie negociações de resgate, sob a ameaça de divulgar os dados ao público. A divulgação dessas informações poderia permitir que concorrentes replicassem métodos da Petrobras, reduzindo custos e aumentando a competitividade. A invasão foi confirmada por capturas de tela publicadas pelos hackers, que também se comunicaram com a empresa através de uma mensagem encriptada. Este incidente destaca a crescente ameaça de ransomware e a vulnerabilidade de grandes corporações a ataques cibernéticos.

A Polícia Civil do Rio de Janeiro liderou uma operação histórica contra o roubo e a venda de celulares, resultando na prisão de mais de 700 suspeitos e na devolução de 2,8 mil aparelhos aos seus donos. A Operação Rastreio, que começou em maio de 2025 com a prisão de Alan Gonçalves, um especialista em desbloqueio de celulares, revelou uma rede criminosa que não apenas desbloqueava dispositivos furtados, mas também tentava acessar dados bancários das vítimas. Durante a operação, foram cumpridos 132 mandados de busca e apreensão em 11 estados, incluindo São Paulo e Minas Gerais, e recuperados 10 mil celulares. A ação contou com o apoio do Ministério da Justiça e Segurança Pública e de polícias civis de outros estados. A operação destaca a crescente preocupação com a segurança dos dados dos usuários e a necessidade de medidas mais rigorosas para combater o furto e a receptação de celulares no Brasil.

Um novo trojan bancário, denominado Sturnus, está afetando dispositivos Android, permitindo que hackers roubem credenciais sensíveis e realizem fraudes financeiras. Especialistas da ThreatFabric identificaram que o malware não apenas compromete dados bancários, mas também assume o controle total do dispositivo, monitorando conversas em aplicativos de mensagens como WhatsApp e Telegram. O Sturnus se disfarça como aplicativos legítimos, como Google Chrome, e, uma vez instalado, estabelece um canal HTTPS criptografado para exfiltração de dados em tempo real. O malware utiliza serviços de acessibilidade do Android para capturar informações da tela, como botões pressionados e textos digitados, e realiza transferências bancárias sem o conhecimento do usuário. Embora ainda esteja em fase de desenvolvimento, o Sturnus já é considerado funcional e representa uma ameaça significativa, especialmente para instituições financeiras na Europa. A recomendação para usuários de Android é evitar a instalação de arquivos APK fora de lojas oficiais, a fim de mitigar riscos de infecção.

O grupo cibercriminoso Everest reivindicou um ataque à Under Armour, afirmando ter roubado 343 GB de dados sensíveis da empresa. Os hackers publicaram um comunicado na dark web, incluindo informações pessoais e corporativas de clientes e funcionários, como histórico de compras, dados de identificação, e-mails e até passaportes. Além disso, documentos internos, catálogos de produtos e análises de comportamento de consumidores também foram supostamente comprometidos. O Everest não exigiu resgate, mas deu um ultimato à Under Armour, solicitando contato em até sete dias para evitar a divulgação de mais dados. Este ataque destaca o risco elevado de fraudes e roubo de identidade, especialmente considerando a natureza dos dados expostos. O grupo já atacou outras grandes empresas, como AT&T e Coca-Cola, o que evidencia um padrão de comportamento focado em extorsão ao invés de criptografia de dados. A Under Armour, que já enfrentou um incidente de segurança em 2018, agora se vê em uma situação crítica que pode afetar sua reputação e a confiança dos consumidores.

Uma nova campanha de hackers chineses, identificada como Operação WrtHug, comprometeu milhares de roteadores ASUS WRT globalmente, visando criar uma rede de espionagem. Pesquisadores da SecurityScorecard relataram que a operação explora seis vulnerabilidades específicas, incluindo CVE-2023-41345 a CVE-2025-2492, relacionadas ao serviço ASUS AiCLOUD e a falhas de OS Injection. Os atacantes conseguiram obter privilégios elevados em dispositivos SOHO considerados ‘fim de vida’, que são frequentemente utilizados por provedores de internet. A maioria dos dispositivos afetados compartilha um certificado TLS auto-assinado com uma data de expiração de 100 anos, facilitando a persistência dos hackers. Aproximadamente 50% das vítimas estão localizadas em Taiwan, levantando suspeitas sobre a origem chinesa dos atacantes. O incidente destaca a importância de monitorar serviços desatualizados e a necessidade de vigilância constante contra campanhas de intrusão patrocinadas por estados, que estão em evolução contínua para ampliar suas capacidades de espionagem.

Um novo trojan bancário, denominado “Eternidade Stealer”, está atacando usuários de WhatsApp no Brasil, conforme análise da Trustwave SpiderLabs. O malware é disseminado por hackers através do aplicativo de mensagens e possui a capacidade de se autorreplicar, facilitando sua propagação. O Eternidade Stealer combina um stealer baseado em Delphi e um dropper MSI, que permite o roubo de informações sensíveis, como dados bancários e listas de contatos. O ataque utiliza um VBScript, com um worm escrito em Python, que se instala silenciosamente no dispositivo da vítima, realizando uma varredura em busca de ferramentas antivírus e coletando dados críticos. Os bancos mais afetados incluem Itaú, Santander, Bradesco e Caixa, além de serviços como MercadoPago e Binance. Os especialistas alertam que o malware é mais difícil de remover do que outros trojans comuns e que mensagens personalizadas são enviadas para enganar as vítimas. Diante desse cenário, é crucial que os usuários permaneçam atentos a atividades suspeitas no WhatsApp para evitar golpes financeiros.

Joseph James O’Connor, um hacker britânico de 26 anos, foi condenado a pagar aproximadamente R$ 28,8 milhões em Bitcoin por sua participação em um ataque ao Twitter (atualmente X) em 2020. O ataque comprometeu contas de várias figuras públicas, incluindo Barack Obama, Joe Biden e Elon Musk, e envolveu fraudes com criptomoedas. O’Connor foi extraditado da Espanha para os Estados Unidos, onde já cumpria uma pena de cinco anos de prisão por crimes como invasão de computadores e extorsão. O Serviço de Promotoria da Coroa Britânica obteve uma ordem de recuperação civil para apreender 42 bitcoins e outros ativos relacionados ao crime. O promotor Adrian Foster destacou a importância de garantir que criminosos não se beneficiem de suas ações, mesmo que não sejam condenados no Reino Unido. O incidente levantou preocupações sobre a segurança das contas verificadas no Twitter, levando a plataforma a restringir o acesso a essas contas até que a situação fosse resolvida.

A Comissão Federal de Comunicações dos EUA (FCC) decidiu revogar regulamentações de cibersegurança que foram implementadas após os ataques do grupo de ameaças cibernéticas conhecido como Salt Typhoon, que infiltrou redes de telecomunicações americanas por mais de um ano. As regras exigiam que as empresas de telecomunicações adotassem controles básicos de segurança e colaborassem para proteger consumidores e a segurança nacional. A FCC argumentou que as regulamentações eram ineficazes e impunham um ônus legal desnecessário, já que as empresas estariam voluntariamente fortalecendo suas defesas cibernéticas. A decisão reflete uma tendência da administração Trump de desregulamentar o setor tecnológico, priorizando a liberdade das empresas em detrimento de proteções robustas contra ameaças cibernéticas. A revogação das regras pode aumentar a vulnerabilidade das redes de telecomunicações, especialmente em um cenário onde ataques cibernéticos estão se tornando cada vez mais sofisticados e frequentes.

O grupo de ameaças APT24, vinculado à China, tem utilizado um malware inédito chamado BADAUDIO para obter acesso remoto persistente a redes comprometidas, em uma campanha que já dura quase três anos. Inicialmente, o grupo se concentrava em compromissos estratégicos de sites legítimos, mas recentemente mudou sua abordagem para alvos mais sofisticados, especialmente em Taiwan. APT24, também conhecido como Pitty Tiger, tem atacado setores como governo, saúde e telecomunicações nos EUA e em Taiwan. O malware BADAUDIO, escrito em C++, é altamente ofuscado e atua como um downloader que pode baixar e executar cargas úteis criptografadas. Desde novembro de 2022, o grupo comprometeu mais de 20 sites legítimos, injetando código JavaScript malicioso para enganar usuários e forçá-los a baixar o malware disfarçado de atualização do Google Chrome. Além disso, a partir de julho de 2024, o grupo orquestrou um ataque à cadeia de suprimentos ao comprometer uma empresa de marketing digital em Taiwan, permitindo que mais de 1.000 domínios fossem afetados. A complexidade das técnicas utilizadas, como engenharia social e comprometimento de serviços em nuvem, demonstra a capacidade do grupo para espionagem persistente e adaptativa.

O uso de dispositivos móveis no ambiente corporativo traz benefícios, mas também riscos significativos à segurança de dados. Para mitigar esses riscos, muitas empresas estão adotando soluções da Samsung, especialmente os dispositivos Galaxy e o Knox Suite. O Knox é uma plataforma de segurança integrada que combina proteção em hardware e software, oferecendo uma defesa em múltiplas camadas contra ataques de malware. Além disso, os dispositivos Galaxy são projetados para atender aos rigorosos padrões de segurança exigidos por empresas, incluindo funcionalidades como inicialização segura e ambientes de execução confiáveis.

Em uma atualização significativa, o Google anunciou que seu serviço de transferência de arquivos Quick Share agora é compatível com o AirDrop da Apple, permitindo que usuários de dispositivos Android e iOS compartilhem arquivos e fotos de forma mais fácil. Inicialmente, essa funcionalidade está disponível apenas para a linha Pixel 10, mas há planos para expandi-la a outros dispositivos Android no futuro. Para realizar a transferência, o dispositivo Apple deve estar configurado como ‘descoberto’ por um período de 10 minutos, enquanto os usuários do Android precisam ajustar as configurações de visibilidade do Quick Share.

A Salesforce emitiu um alerta sobre atividades incomuns relacionadas a aplicativos publicados pela Gainsight que estão conectados à sua plataforma. A investigação preliminar sugere que essa atividade pode ter possibilitado o acesso não autorizado a dados de clientes da Salesforce através da conexão com esses aplicativos. Como medida de precaução, a empresa revogou todos os tokens de acesso e atualização associados a esses aplicativos e os removeu temporariamente do AppExchange. Embora a Salesforce não tenha revelado quantos clientes foram afetados, informou que todos foram notificados. A empresa enfatizou que não há indícios de que a vulnerabilidade tenha origem na plataforma Salesforce, mas sim na conexão externa dos aplicativos. O analista Austin Larsen, do Google Threat Intelligence Group, classificou a situação como uma campanha emergente, possivelmente ligada ao grupo de ameaças ShinyHunters, que já havia realizado ataques semelhantes anteriormente. Organizações são aconselhadas a revisar aplicativos de terceiros conectados à Salesforce e a revogar tokens de acesso para aplicações suspeitas.

A Comissão de Valores Mobiliários dos EUA (SEC) decidiu abandonar o processo judicial contra a SolarWinds e seu diretor de segurança da informação, Timothy G. Brown, que alegavam que a empresa havia enganado investidores sobre suas práticas de segurança cibernética, levando ao ataque à cadeia de suprimentos em 2020. A SEC havia acusado a SolarWinds de ‘fraude e falhas de controle interno’, afirmando que a empresa exagerou suas práticas de cibersegurança e não divulgou adequadamente os riscos conhecidos. O ataque, atribuído ao grupo APT29, patrocinado pelo Estado russo, expôs vulnerabilidades significativas. Em julho de 2024, o tribunal descartou várias alegações, afirmando que não havia evidências suficientes para sustentar as acusações. O CEO da SolarWinds, Sudhakar Ramakrishna, declarou que a empresa emerge mais forte e preparada após esse desafio. A decisão da SEC não reflete sua posição em outros casos relacionados, e a empresa continua a ser um ponto focal em discussões sobre segurança cibernética e conformidade regulatória.

A WEL Companies, fornecedora de transporte, notificou 122.960 pessoas sobre um vazamento de dados ocorrido em janeiro de 2025. Informações pessoais comprometidas incluem números de Seguro Social e identificações emitidas pelo estado. O grupo de ransomware RansomHub reivindicou a responsabilidade pelo ataque, alegando ter roubado 189 GB de dados, incluindo documentos sensíveis como passaportes e relatórios de acidentes. Embora a WEL tenha identificado atividade incomum em sua rede no dia 31 de janeiro, a empresa ainda não confirmou se pagou um resgate ou como a violação ocorreu. Para mitigar os danos, a WEL está oferecendo monitoramento de identidade gratuito através da Kroll. Este ataque é um dos maiores registrados contra empresas de transporte nos EUA, destacando a crescente ameaça de ransomware nesse setor. Em 2025, já foram registrados seis ataques confirmados a empresas de transporte nos EUA, com 99 alegações adicionais ainda não verificadas. Os ataques de ransomware não apenas comprometem dados, mas também podem paralisar sistemas, resultando em perdas financeiras significativas e riscos de fraude para os clientes.

Pesquisadores de cibersegurança alertaram sobre a botnet Tsundere, que está em expansão e visa usuários do Windows. Desde meados de 2025, essa ameaça é capaz de executar código JavaScript arbitrário a partir de um servidor de comando e controle (C2). Embora os detalhes sobre a propagação do malware ainda sejam escassos, há indícios de que os atacantes tenham utilizado uma ferramenta legítima de Monitoramento e Gerenciamento Remoto (RMM) para baixar um arquivo MSI de um site comprometido. Os nomes dos artefatos de malware, como Valorant e cs2, sugerem que a botnet pode estar sendo disseminada através de iscas relacionadas a jogos, possivelmente visando usuários em busca de versões piratas. O instalador falso é projetado para instalar o Node.js e executar um script que decifra e executa o payload principal da botnet. A análise também revelou que a botnet utiliza a blockchain Ethereum para obter detalhes do servidor C2, permitindo uma infraestrutura resiliente. Embora a origem exata dos atacantes não seja clara, a presença do idioma russo no código sugere que eles são falantes dessa língua. A botnet Tsundere representa uma ameaça significativa, com a capacidade de se adaptar a várias ações maliciosas.

A Oligo Security alertou sobre ataques em andamento que exploram uma vulnerabilidade de dois anos no framework de inteligência artificial (IA) open-source Ray, transformando clusters infectados com GPUs da NVIDIA em uma botnet de mineração de criptomoedas autossustentável. Denominada ShadowRay 2.0, a campanha se baseia em uma falha crítica de autenticação (CVE-2023-48022, pontuação CVSS: 9.8) que permite o controle de instâncias vulneráveis para mineração ilícita usando o XMRig. Os atacantes submetem trabalhos maliciosos a uma API de submissão de trabalhos do Ray, criando um worm que se espalha entre dashboards expostos. A campanha utiliza repositórios no GitLab e GitHub para distribuir o malware, e os atacantes têm demonstrado resiliência ao criar novas contas após a remoção de contas anteriores. Além disso, a infecção é projetada para eliminar concorrentes, terminando processos de mineração em execução. A Oligo também observou que os clusters comprometidos estão sendo usados para ataques de negação de serviço (DDoS), ampliando o escopo da operação. Com mais de 230.500 servidores Ray acessíveis publicamente, a exposição à internet representa um risco significativo, e a Anyscale, desenvolvedora do Ray, lançou ferramentas para ajudar na configuração adequada dos clusters.