Empresa

Em 30 de julho, Keonne Rodriguez e William Lonergan Hill, cofundadores da Samourai Wallet, um misturador de criptomoedas que facilitou mais de US$ 200 milhões em transações ilegais, se declararam culpados perante a juíza do Tribunal Distrital dos EUA, Denise L. Cote, em Nova York. Rodriguez, CEO da Samourai, e Hill, CTO, admitiram sua participação em uma conspiração para operar um negócio de transmissão de dinheiro que envolvia, entre outras atividades, mercados ilegais na dark web e esquemas de phishing. Desde 2015, os dois desenvolveram o aplicativo móvel Samourai, projetado para transmitir lucros provenientes de crimes. O serviço incluía duas funcionalidades principais: o ‘Whirlpool’, um serviço de mistura de Bitcoin que obscurecia a origem dos fundos, e o ‘Ricochet’, que introduzia transações intermediárias para dificultar o rastreamento. Desde o lançamento do Ricochet em 2017 e do Whirlpool em 2019, mais de 80.000 Bitcoins, avaliados em mais de US$ 2 bilhões, passaram por esses serviços. Ambos os fundadores promoviam ativamente a utilidade da Samourai para esconder lucros ilícitos, reconhecendo que seus clientes incluíam participantes de mercados ilegais. Rodriguez, de 36 anos, e Hill, de 67, cada um se declarou culpado de um único crime de conspiração, que pode resultar em até cinco anos de prisão, além de concordarem em devolver US$ 237.832.360,55 ao governo dos EUA.

KLM e Air France confirmaram uma violação de dados que envolveu acesso não autorizado a informações de clientes em uma plataforma externa de atendimento. Importante ressaltar que o incidente não afetou os sistemas internos das companhias aéreas, e não houve comprometimento de informações sensíveis, como senhas, detalhes de viagem, números de passaporte, milhas do programa Flying Blue ou dados de cartões de crédito. A violação está relacionada a uma onda mais ampla de ataques similares que têm afetado diversas empresas. Medidas de segurança imediatas foram implementadas para interromper o acesso não autorizado e prevenir futuros incidentes. As companhias notificaram as autoridades nacionais de proteção de dados de seus respectivos países: a Autoridade de Proteção de Dados da Holanda (AP) e a Comissão Nacional de Informática e Liberdades da França (CNIL). Este ataque faz parte de uma série de incidentes relacionados ao Salesforce, perpetrados pelo grupo ShinyHunters. Em um contexto mais amplo, outras empresas também foram alvo de ataques recentes, incluindo uma violação de dados que expôs informações de 6,4 milhões de clientes da Bouygues Telecom e uma série de outros incidentes cibernéticos que estão gerando preocupações sobre a segurança de dados em várias indústrias.

Na manhã de ontem, o grupo cibercriminoso ShinyHunters enviou uma mensagem provocativa no Telegram, afirmando que nem mesmo a NSA consegue detê-los ou identificá-los. O membro do grupo, conhecido como ‘Shiny1’, revelou que a NSA está analisando gravações de chamadas de voz de empresas afetadas, mas acredita que a análise será infrutífera devido ao uso de vozes geradas por inteligência artificial. ShinyHunters, que recentemente atacou marcas de luxo como Dior e Tiffany, expressou ira não apenas contra a aplicação da lei, mas também contra a LVMH, afirmando que a pressão dessa empresa influenciou ações de força-tarefa na França. Shiny declarou que a estratégia do grupo é focar em países como EUA, Reino Unido, Austrália, Canadá e França, enquanto evita atacar nações como Rússia e China. Durante a conversa, ele também mencionou que metade dos membros do grupo está localizada em países como EUA, Reino Unido e Austrália, o que justifica os ataques a grandes empresas australianas, como a Qantas. ShinyHunters enviou um e-mail à Qantas desafiando a empresa a não cumprir ordens judiciais, afirmando que não têm obrigação de obedecer a regulamentações fora de sua jurisdição. Além disso, o grupo também enviou um aviso à Polícia Federal Australiana sobre futuros ataques, destacando a ‘ignorância e arrogância’ no cenário de segurança cibernética do país. O grupo demonstrou confiança na continuidade de seus ataques, afirmando que as empresas afetadas não têm ideia do que está por vir.

A Pakistan Petroleum Limited (PPL), empresa de exploração de petróleo e gás, confirmou ter enfrentado um ataque de ransomware que afetou partes de sua infraestrutura de TI. O incidente foi detectado em 6 de agosto de 2025, mas, segundo a empresa, foi rapidamente contido, sem comprometimento de sistemas críticos ou dados sensíveis. Em um comunicado enviado à Bolsa de Valores do Paquistão (PSX), a PPL informou que ativou imediatamente seus protocolos internos de cibersegurança após identificar a intrusão. Até o momento, nenhum grupo de ransomware assumiu a responsabilidade pelo ataque. Este incidente ocorre em um contexto mais amplo de ataques cibernéticos, com outras empresas e setores também lidando com violações de dados. Por exemplo, recentemente, a Air France e a KLM alertaram seus clientes sobre uma violação de dados em uma plataforma externa, enquanto a Bouygues Telecom enfrentou uma exposição significativa de dados, marcando o segundo grande incidente envolvendo operadoras de telecomunicações francesas em um mês. Além disso, o estado de Ohio implementou uma lei exigindo que governos locais aprovem formalmente pagamentos de resgates relacionados a ataques cibernéticos. Esses eventos ressaltam a crescente preocupação com a segurança cibernética em todo o mundo e a necessidade de medidas preventivas mais robustas para proteger informações críticas.

Nos últimos anos, a segurança das credenciais tem se tornado uma preocupação crescente para organizações em todo o mundo. Um relatório da Verizon de 2025 revelou que 22% das violações de dados em 2024 foram causadas por credenciais vazadas, superando técnicas de phishing e exploração de software. Em 2025, a Cyberint, uma empresa de gestão de riscos, registrou um aumento de 160% nas credenciais vazadas em comparação ao ano anterior. Este cenário é agravado pela facilidade de roubo de credenciais, com malwares como infostealers permitindo que atacantes de baixa qualificação coletem dados de login de forma automatizada. As credenciais vazadas não só são utilizadas para invasões diretas de contas, mas também podem resultar em fraudes financeiras, campanhas de spam e extorsão. A Cyberint utiliza sistemas automatizados para monitorar uma ampla variedade de fontes e detectar essas exposições em larga escala, correlacionando padrões de domínio e reutilização de senhas. A falta de monitoramento em dispositivos pessoais de funcionários representa um desafio adicional, pois 46% das credenciais vazadas estavam associadas a dispositivos desprotegidos. Apesar de políticas de senhas e autenticação de múltiplos fatores, o roubo de credenciais continua sendo uma probabilidade real. Portanto, a capacidade de detectar e remediar rapidamente exposições é crucial para a defesa cibernética das organizações. O relatório completo oferece insights sobre como as empresas podem operacionalizar essa inteligência para proteger suas credenciais e reduzir riscos.

Pesquisadores de cibersegurança identificaram mais de uma dúzia de vulnerabilidades em cofres de segurança empresarial da CyberArk e HashiCorp, que, se exploradas, podem permitir que atacantes remotos acessem sistemas de identidade corporativa e extraiam segredos e tokens. As 14 falhas, nomeadas coletivamente de Vault Fault, afetam o CyberArk Secrets Manager, Self-Hosted e Conjur Open Source, bem como o HashiCorp Vault. As falhas foram corrigidas em versões recentes, incluindo CyberArk Secrets Manager 13.5.1 e 13.6.1 e HashiCorp Vault Community Edition 1.20.2. As vulnerabilidades incluem bypass de autenticação, escalonamento de privilégios, execução remota de código e roubo de tokens de root. A mais crítica permite a execução remota de código, onde atacantes podem assumir o controle do cofre sem credenciais válidas. Além disso, falhas na lógica de proteção contra bloqueio do HashiCorp Vault podem permitir que atacantes determinem quais nomes de usuário são válidos e até redefinam contadores de bloqueio. As vulnerabilidades também expõem a possibilidade de contornar a autenticação multifator (MFA). O ataque pode ser realizado através de uma cadeia de exploração que combina várias falhas, permitindo acesso não autenticado e execução de comandos arbitrários. Em um cenário relacionado, a Cisco Talos destacou falhas no firmware ControlVault3 da Dell, que poderiam ser exploradas para contornar login do Windows e extrair chaves criptográficas. As vulnerabilidades encontradas criam um método de persistência remoto para acesso encoberto em ambientes de alto valor. Para mitigar esses riscos, os usuários devem aplicar as correções fornecidas e desabilitar serviços ControlVault quando não estiverem em uso.