Extorsão

O grupo de ameaças conhecido como UNC6783 está atacando provedores de terceirização de processos de negócios (BPO) para obter acesso a empresas de alto valor em diversos setores. Segundo o Google Threat Intelligence Group, essa tática tem sido utilizada para exfiltrar dados sensíveis e extorquir as vítimas. O analista principal da GTIG, Austin Larsen, destaca que o grupo geralmente utiliza engenharia social e campanhas de phishing para comprometer os BPOs. Além disso, há relatos de que os hackers têm contatado diretamente funcionários de suporte e helpdesk das organizações-alvo para obter acesso direto. O grupo pode estar vinculado a um ator conhecido como Raccoon, que já atacou vários BPOs. As táticas incluem direcionar funcionários de suporte a páginas de login falsas do Okta, que imitam os domínios das empresas-alvo. O kit de phishing utilizado pode roubar conteúdos da área de transferência, permitindo que os atacantes contornem a autenticação multifator (MFA). Após o roubo de dados, os atacantes exigem pagamentos através de endereços ProtonMail. O Google recomenda a implementação de chaves de segurança FIDO2 para MFA, monitoramento de chats ao vivo e auditorias regulares das inscrições de dispositivos MFA como medidas de defesa contra esses ataques.

A Polícia Federal da Alemanha (BKA) identificou dois cidadãos russos como líderes das operações de ransomware GandCrab e REvil entre 2019 e 2021. Daniil Maksimovich Shchukin, de 31 anos, e Anatoly Sergeevitsch Kravchuk, de 43 anos, foram apontados como responsáveis por pelo menos 130 casos de extorsão, especificamente direcionados a empresas na Alemanha. Os ataques resultaram em um pagamento total de aproximadamente 2,2 milhões de dólares em resgates, com danos financeiros estimados em mais de 40 milhões de dólares.

Daniel Rhyne, um ex-engenheiro de infraestrutura, admitiu ter invadido a rede de sua empresa, uma indústria em Nova Jersey, e bloqueado o acesso de administradores a 254 servidores. Entre 9 e 25 de novembro, ele utilizou uma conta de administrador para agendar tarefas que deletaram contas de administradores de rede e alteraram senhas de 13 contas de domínio, além de 301 contas de usuários. Rhyne também programou a alteração de senhas de contas locais que afetariam 3.284 estações de trabalho e 254 servidores, além de desligar servidores aleatórios. Após a invasão, ele enviou um e-mail de extorsão aos colegas, exigindo um resgate de 20 bitcoins (aproximadamente R$ 750 mil) sob a ameaça de desligar 40 servidores diariamente. O ataque foi planejado com pesquisas na internet sobre como manipular logs do Windows e alterar senhas. Rhyne foi preso em agosto e enfrenta até 15 anos de prisão por suas ações. Este incidente destaca a vulnerabilidade das empresas a ataques internos e a necessidade de controles de segurança robustos.

Ilya Angelov, um cidadão russo de 40 anos, foi condenado a dois anos de prisão após confessar que gerenciou uma botnet de phishing utilizada em ataques de ransomware BitPaymer contra 72 empresas nos Estados Unidos. Angelov, que se apresentou nos EUA após a invasão da Ucrânia, era um dos líderes de uma operação criminosa russa conhecida como Mario Kart, que entre 2017 e 2021, enviou até 700 mil e-mails de spam por dia, infectando cerca de 3 mil computadores diariamente. A gangue não apenas distribuía malware, mas também vendia o acesso a dispositivos infectados para outros cibercriminosos, que realizavam extorsões em criptomoedas, resultando em mais de 14 milhões de dólares em pagamentos de resgate. Além disso, Angelov colaborou com outros grupos de ransomware, como o IcedID, e sua operação foi associada a diversas campanhas de phishing e ransomware, incluindo a parceria com a gangue TrickBot. Outro cidadão russo, Aleksey Volkov, também foi condenado a quase sete anos de prisão por atuar como intermediário em ataques de ransomware Yanluowang. O caso destaca a crescente ameaça de ransomware e phishing, que continua a impactar empresas globalmente.

A Infinite Campus, um sistema de informações estudantis amplamente utilizado nas escolas K-12 dos EUA, notificou seus clientes sobre uma violação de dados após uma tentativa de extorsão por um grupo de hackers. Segundo a notificação, os invasores acessaram a conta Salesforce de um funcionário, expondo informações que, em sua maioria, eram publicamente disponíveis. O grupo de extorsão ShinyHunters reivindicou a responsabilidade pelo ataque e ameaçou vazar todos os dados supostamente roubados, dando um prazo até 25 de março para que a empresa iniciasse negociações. A Infinite Campus, no entanto, afirmou que não irá negociar com os atacantes. Embora a empresa tenha confirmado que não houve acesso a bancos de dados de clientes, os dados expostos incluem nomes e informações de contato de funcionários escolares, que são informações geralmente disponíveis em diretórios públicos. Para mitigar riscos, a Infinite Campus desativou serviços voltados para clientes sem restrições de IP e está em contato com os distritos potencialmente afetados. O incidente é comparável a um ataque anterior à PowerSchool, que expôs informações sensíveis de milhões de estudantes.

A plataforma de streaming de anime Crunchyroll está investigando um possível vazamento de dados após hackers afirmarem ter roubado informações pessoais de cerca de 6,8 milhões de usuários. A empresa confirmou que está colaborando com especialistas em cibersegurança para apurar a situação. O ataque teria ocorrido em 12 de março, quando os invasores acessaram a conta de SSO Okta de um agente de suporte da Crunchyroll, que trabalhava para a Telus International, uma empresa de terceirização de processos de negócios. Os hackers alegam ter utilizado malware para infectar o computador do agente e obter suas credenciais, o que lhes permitiu acessar diversas aplicações da Crunchyroll, incluindo Zendesk e Google Workspace. Com esse acesso, os atacantes teriam baixado 8 milhões de registros de tickets de suporte, dos quais 6,8 milhões continham endereços de e-mail únicos. Embora alguns dados de cartão de crédito tenham sido expostos, isso ocorreu apenas quando os clientes os compartilharam nos tickets de suporte. Os hackers também enviaram e-mails de extorsão à Crunchyroll, exigindo US$ 5 milhões para não divulgar os dados publicamente. Este incidente destaca a vulnerabilidade das empresas de terceirização, que têm se tornado alvos frequentes de ataques cibernéticos.

Um homem da Carolina do Norte foi condenado por extorquir a Brightly Software, uma empresa de tecnologia baseada em Washington, D.C., enquanto ainda trabalhava como analista de dados. Cameron Curry, de 27 anos, aproveitou seu acesso a informações sensíveis da empresa para roubar documentos e ameaçar vazar dados pessoais de funcionários, exigindo um resgate de 2,5 milhões de dólares. Após o término de seu contrato em dezembro de 2023, ele enviou mais de 60 e-mails de extorsão, incluindo informações pessoais identificáveis (PII) de funcionários, como nomes e endereços. A Brightly pagou 7.540 dólares em Bitcoin para evitar a divulgação dos dados. O FBI prendeu Curry em janeiro de 2024, e ele enfrenta até 12 anos de prisão. Este incidente destaca a vulnerabilidade das empresas a ataques internos e a importância de proteger informações sensíveis, especialmente em um cenário de crescente criminalidade cibernética. Além disso, a Brightly já havia notificado seus clientes sobre um vazamento de dados anterior, afetando quase 3 milhões de usuários, o que levanta preocupações sobre a segurança de dados na era digital.

A empresa de segurança digital Aura confirmou um vazamento de dados que expôs cerca de 900 mil registros de clientes após um ataque de phishing realizado por telefone. O incidente ocorreu quando um funcionário da empresa foi alvo de um golpe, permitindo que o invasor acessasse sua conta por aproximadamente uma hora. Durante esse período, foram extraídos dados de clientes ativos e antigos, incluindo nomes e endereços de e-mail, mas informações sensíveis como números de Seguro Social e dados financeiros não foram comprometidos. A Aura informou que os dados foram retirados de uma ferramenta de marketing adquirida em 2021 e que suas medidas de segurança, como criptografia e acesso restrito, funcionaram conforme o esperado. O grupo ShinyHunters reivindicou a responsabilidade pelo ataque e adicionou a Aura ao seu site de extorsão, alegando ter obtido 12 GB de informações pessoais identificáveis. A empresa está notificando os clientes afetados e não espera que o ataque se agrave.

Um homem de 22 anos do Alabama, Jamarcus Mosley, se declarou culpado por extorsão, ciberstalking e fraudes computacionais após sequestrar contas de redes sociais de centenas de mulheres jovens, incluindo menores. Entre abril de 2022 e maio de 2025, Mosley se passou por amigos das vítimas e utilizou táticas de engenharia social para obter códigos de recuperação de contas e senhas. Com as credenciais roubadas, ele tomou controle de contas do Snapchat, Instagram e outras redes sociais. Após o sequestro, Mosley ameaçou divulgar imagens e vídeos íntimos das vítimas ou bloqueá-las de suas contas, a menos que elas atendessem suas exigências, que incluíam o envio de conteúdo sexual explícito ou pagamento em dinheiro. O promotor dos EUA, Theodore S. Hertzberg, destacou que Mosley explorou a confiança de adolescentes e jovens adultos, resultando em um esquema cruel e calculado. O caso inclui exemplos específicos, como o de uma mulher da Geórgia que foi enganada a compartilhar seu código de recuperação do Snapchat, e outra da Flórida que teve suas fotos íntimas publicadas online após recusar os pedidos de Mosley. Ele deve ser sentenciado em 27 de maio. Este caso é um alerta sobre os riscos de interação online e a necessidade de cautela.

A operação ‘Project Compass’, coordenada pela Europol, resultou na prisão de 30 pessoas e na identificação de 179 suspeitos ligados ao coletivo de cibercrime conhecido como ‘The Com’, que tem como alvo crianças e adolescentes. Desde seu lançamento em janeiro de 2025, a operação envolveu agências de segurança de 28 países e conseguiu identificar 62 vítimas, protegendo diretamente quatro delas. ‘The Com’ é descrito como uma rede descentralizada de criminosos cibernéticos que recrutam jovens para atividades de extorsão, violência e produção de material de exploração sexual infantil (CSAM). A rede opera em diversas plataformas digitais, incluindo redes sociais e aplicativos de mensagens, e é dividida em subgrupos, como o ‘Offline Com’, que promove danos físicos, e o ‘Sextortion Com’, que coage menores a cometer crimes sexuais. Dois líderes do subgrupo ‘764’, que se especializa em aliciar jovens para a produção de conteúdo explícito, foram presos e enfrentam acusações graves. A Europol destaca a importância da cooperação internacional para enfrentar essas ameaças, que exploram a vulnerabilidade dos jovens em ambientes digitais.

O número de vítimas de ransomware que pagaram aos criminosos caiu para 28% no último ano, o menor índice já registrado, apesar do aumento significativo no número de ataques. A plataforma de inteligência em blockchain Chainalysis observou uma tendência de queda nos pagamentos nos últimos quatro anos. Em 2025, os pagamentos totais em ransomware chegaram a $820 milhões, com a expectativa de que esse valor ultrapasse $900 milhões à medida que mais eventos e pagamentos sejam atribuídos. Embora o número total de pagamentos tenha se mantido relativamente estável, o número de ataques de ransomware aumentou 50% em relação ao ano anterior. Em 2024, a taxa de pagamento foi de 62,8%, enquanto em 2022 foi de 78,9%. A análise também revelou que, apesar da queda no número de vítimas que pagam, o valor médio dos resgates aumentou 368%, passando de $12,738 em 2024 para $59,556 em 2025. Os Estados Unidos continuam sendo o país mais visado, seguidos por Canadá, Alemanha e Reino Unido. O relatório destaca que o cenário de ransomware está em adaptação, com grupos de extorsão se diversificando e aumentando a complexidade de seus ataques.

O grupo de extorsão cibernética ShinyHunters divulgou informações pessoais de mais de 12 milhões de registros supostamente roubados da CarGurus, uma plataforma digital de automóveis dos EUA. Em 21 de fevereiro, o grupo publicou um arquivo de 6,1 GB contendo dados como endereços de e-mail, números de telefone, endereços físicos e informações financeiras. Embora a CarGurus não tenha confirmado oficialmente a violação, a plataforma de monitoramento HaveIBeenPwned (HIBP) adicionou os dados ao seu banco, indicando que 70% das informações já estavam disponíveis em incidentes anteriores, resultando em cerca de 3,7 milhões de registros novos. Os usuários da CarGurus são aconselhados a ficarem atentos a comunicações maliciosas que possam explorar essas informações vazadas. O ShinyHunters tem um histórico recente de ataques a grandes empresas, utilizando engenharia social, como phishing por voz, para obter acesso a plataformas SaaS. Este incidente destaca a crescente ameaça de grupos de extorsão e a importância da vigilância contínua em relação à segurança de dados.

A gangue de extorsão ShinyHunters assumiu a responsabilidade por uma violação de dados na operadora de telecomunicações holandesa Odido, resultando no roubo de milhões de registros de usuários. A Odido, uma das maiores empresas de telecomunicações da Holanda, revelou que os atacantes acessaram seu sistema de contato com clientes em 7 de fevereiro e baixaram dados pessoais de aproximadamente 6,2 milhões de clientes. Embora a empresa tenha afirmado que informações sensíveis, como senhas e dados de cobrança, não foram expostas, a ShinyHunters alegou ter roubado quase 21 milhões de registros, incluindo dados corporativos internos e senhas em texto claro. A Odido notificou a Autoridade de Proteção de Dados da Holanda e contratou especialistas em cibersegurança para mitigar os danos. A gangue também emitiu um aviso de extorsão, sugerindo que a empresa deve entrar em contato para evitar a divulgação dos dados. Este incidente se insere em uma série de ataques recentes da ShinyHunters, que visaram outras empresas conhecidas, utilizando técnicas de phishing e vishing para comprometer contas de acesso único (SSO).

As autoridades holandesas prenderam um homem de 40 anos que baixou documentos confidenciais da polícia, que foram compartilhados por engano. O incidente ocorreu quando o suspeito contatou a polícia sobre imagens relevantes para uma investigação em andamento. Um policial, ao responder, enviou um link de download de documentos em vez de um link para upload. O homem baixou os arquivos e, ao ser instruído a deletá-los, se recusou a fazê-lo a menos que recebesse algo em troca, configurando uma tentativa de extorsão. A polícia destacou que o ato de baixar arquivos de um link destinado ao upload pode ser considerado invasão de computador sob a legislação holandesa. Embora não haja evidências de que os documentos tenham sido distribuídos além do suspeito, a polícia iniciou uma investigação e enfatizou a obrigação legal de relatar erros e não acessar documentos não destinados ao receptor. O caso levanta questões sobre a responsabilidade de indivíduos que recebem informações confidenciais por engano e as implicações legais associadas a esses atos.

A Iron Mountain, empresa de armazenamento e recuperação de dados, confirmou que um recente incidente de segurança, atribuído ao grupo de extorsão Everest, envolveu principalmente materiais de marketing. A empresa, com sede em Portsmouth, New Hampshire, e com mais de 240 mil clientes em 61 países, informou que os atacantes acessaram uma única pasta em um servidor de compartilhamento de arquivos utilizando credenciais comprometidas. Segundo a Iron Mountain, não houve envolvimento de ransomware ou malware, e nenhum sistema adicional da empresa foi comprometido. O grupo Everest, que se destacou por suas táticas de extorsão de dados, não conseguiu acessar informações confidenciais ou sensíveis de clientes. A empresa desativou a credencial comprometida e assegurou que a situação está sob controle. O incidente destaca a importância da segurança cibernética, especialmente em um cenário onde grupos como o Everest têm se tornado mais ativos, visando principalmente organizações de saúde e empresas de grande porte. A Iron Mountain reafirma seu compromisso com a proteção de dados e a transparência em suas operações.

A América Latina está enfrentando um aumento alarmante de ataques cibernéticos, tornando-se a região mais atacada do mundo, de acordo com dados da Check Point Research. Em 2025, a média de ataques semanais na região foi de 3.065, um crescimento de 26% em relação ao ano anterior. Essa escalada de incidentes fez com que a América Latina ultrapassasse a África em termos de riscos cibernéticos. Entre os tipos de ataques mais comuns, 76% das organizações afetadas relataram incidentes de extorsão por vazamento de dados, além de tentativas de execução remota de códigos maliciosos e violações de autenticação. Os ataques de ransomware, embora representem apenas 5% dos casos, ainda são uma preocupação significativa. Os países mais afetados incluem Paraguai, Peru, Brasil, México e Argentina, com a Jamaica também sendo mencionada devido à sua proximidade geográfica. Especialistas atribuem esse aumento à forte presença digital e às conexões comerciais internacionais na região, que atraem cibercriminosos em busca de vantagens financeiras.

Recentemente, mais de 200.000 servidores MongoDB foram identificados como mal configurados, com cerca de 3.000 deles expostos sem senhas. Esses servidores estão sendo alvo de ataques de extorsão, onde hackers apagaram dados e deixaram notas de resgate exigindo pagamentos em bitcoin. A pesquisa da Flare revelou que aproximadamente metade dos servidores expostos contém informações operacionais sensíveis. Além disso, muitos desses servidores estão rodando versões desatualizadas do MongoDB, que são vulneráveis a falhas conhecidas e desconhecidas, aumentando o risco de acesso persistente e negação de serviço (DoS). Os administradores de sistemas são aconselhados a verificar suas configurações e garantir que suas instâncias não estejam expostas à internet sem as devidas proteções, como senhas fortes e regras de firewall rigorosas. O cenário é alarmante, pois a maioria dos servidores vulneráveis pode ser facilmente acessada, e a falta de segurança pode resultar em perdas significativas de dados e financeiros.

A Mandiant, empresa de cibersegurança pertencente ao Google, identificou um aumento nas atividades de grupos de hackers, como o ShinyHunters, que utilizam táticas de engenharia social para realizar ataques de extorsão. Esses ataques envolvem phishing por voz (vishing) e sites falsos de coleta de credenciais, visando obter acesso não autorizado a ambientes de empresas, especialmente em aplicações de software como serviço (SaaS). O objetivo final é roubar dados sensíveis e extorquir as vítimas. Os grupos estão sendo monitorados sob diferentes clusters, como UNC6661 e UNC6671, que têm se mostrado adaptáveis em suas táticas. A Mandiant recomenda que as empresas adotem medidas de segurança, como a implementação de autenticação multifatorial resistente a phishing e melhorias nos processos de suporte técnico. A situação destaca a eficácia da engenharia social e a necessidade de as organizações se protegerem contra essas ameaças emergentes.

O aumento da sofisticação do cibercrime tem levado agências de segurança a intensificarem suas ações em nível global. Um novo estudo apresenta um conjunto de dados com 418 operações de aplicação da lei entre 2021 e 2025, coletadas pela Orange Cyberdefense. Os dados revelam que a extorsão, incluindo ransomware, é o crime mais abordado, seguido pela instalação de malware e invasões. As prisões representam 29% das ações, com um foco claro na responsabilização individual. Além disso, as operações de desmantelamento de plataformas ilícitas e a aplicação de sanções estão se tornando cada vez mais comuns, refletindo uma abordagem mais abrangente para combater o cibercrime. O estudo também destaca a liderança dos Estados Unidos, que participou de 45% das ações, enquanto países como Alemanha, Reino Unido e França também desempenham papéis significativos. A análise sugere que as motivações por trás do cibercrime estão se tornando mais complexas, misturando interesses financeiros, políticos e ideológicos, o que desafia as distinções tradicionais entre atividades criminosas e ideológicas.

Uma grave violação de segurança no SoundCloud comprometeu cerca de 29,8 milhões de contas, afetando aproximadamente 20% dos usuários da plataforma de streaming de áudio. O ataque, que ocorreu em dezembro de 2025, foi atribuído ao grupo hacker ShinyHunters, que também tentou extorquir a empresa. Os usuários relataram dificuldades de acesso ao serviço, mesmo ao tentarem utilizar VPNs. Embora o SoundCloud tenha confirmado a invasão, inicialmente não forneceu muitos detalhes, mas posteriormente revelou que os dados vazados incluíam endereços de e-mail, nomes, localizações geográficas e estatísticas de perfil, além de informações que já eram públicas. A situação foi analisada pelo site Have I Been Pwned, que confirmou a exposição de dados pessoais. A empresa tomou medidas para mitigar o problema, mas ainda não se pronunciou sobre as atualizações mais recentes do caso. O incidente destaca a vulnerabilidade de plataformas populares e a necessidade de medidas de segurança robustas para proteger dados sensíveis dos usuários.

Hackers comprometeram a segurança do SoundCloud, resultando no roubo de informações pessoais de mais de 29,8 milhões de contas de usuários. O incidente foi confirmado pela plataforma em 15 de dezembro, após relatos de usuários que enfrentaram dificuldades de acesso e erros 403 ao tentar se conectar via VPN. A empresa ativou seus procedimentos de resposta a incidentes ao detectar atividades não autorizadas em um painel de serviço auxiliar. Embora o SoundCloud tenha afirmado que dados sensíveis, como informações financeiras e senhas, não foram acessados, o ataque expôs endereços de e-mail e dados que já eram públicos nos perfis dos usuários. A gangue de extorsão ShinyHunters foi identificada como responsável pelo ataque, que também tentou extorquir a plataforma. O serviço de notificação de vazamentos Have I Been Pwned confirmou que os dados comprometidos incluíam 30 milhões de endereços de e-mail, nomes, nomes de usuário e estatísticas de perfil. O incidente destaca a vulnerabilidade das plataformas digitais e a necessidade de medidas de segurança robustas para proteger dados de usuários.

O cenário do ransomware em 2025 passou por uma transformação significativa, deixando de ser um problema puramente tecnológico para se tornar uma campanha de extorsão sistemática. As operações de ransomware evoluíram para táticas que vão além da simples criptografia de arquivos, utilizando dados roubados, responsabilidade legal e pressão psicológica em larga escala. Após a desarticulação de grupos como LockBit e BlackSuit em 2024, o ecossistema de ransomware se fragmentou, tornando a atribuição e a interrupção mais difíceis. As campanhas atuais empregam uma variedade de táticas, incluindo extorsão dupla, onde os atacantes não apenas criptografam dados, mas também ameaçam divulgar informações sensíveis publicamente. Pequenas e médias empresas (PMEs) se tornaram alvos preferenciais, especialmente em regiões com alta regulamentação, onde as consequências legais de vazamentos de dados são severas. A pesquisa revela que mais de 90% das vítimas do ransomware SafePay eram PMEs, indicando uma estratégia deliberada de ataque. Além disso, os atacantes utilizam táticas psicológicas para manipular suas vítimas, como pressão temporal e medo de repercussões legais, tornando a extorsão mais eficaz. As organizações precisam repensar suas estratégias de defesa e resposta a incidentes para lidar com essa nova realidade.

O grupo de extorsão ShinyHunters está por trás de uma série de ataques de vishing, visando contas de autenticação única (SSO) em plataformas como Okta, Microsoft e Google. Os atacantes se passam por suporte de TI e ligam para funcionários, induzindo-os a inserir suas credenciais e códigos de autenticação multifator (MFA) em sites de phishing que imitam portais de login corporativos. Uma vez que as contas SSO são comprometidas, os atacantes têm acesso a uma gama de aplicativos e serviços conectados, como Salesforce e Microsoft 365, facilitando o roubo de dados corporativos. A Okta confirmou a utilização de kits de phishing que permitem aos atacantes manipular o que a vítima vê em tempo real durante a ligação, guiando-os no processo de login e autenticação. O grupo ShinyHunters também afirmou que está utilizando dados de violações anteriores para identificar e contatar os funcionários, tornando os ataques mais convincentes. A situação é preocupante, pois as contas SSO comprometidas podem servir como portas de entrada para sistemas corporativos inteiros, aumentando o risco de extorsão e vazamento de dados.

Autoridades de segurança da Ucrânia e da Alemanha identificaram dois ucranianos suspeitos de atuar no grupo de ransomware Black Basta, vinculado à Rússia. O líder do grupo, Oleg Evgenievich Nefedov, foi incluído na lista dos mais procurados da União Europeia e no Aviso Vermelho da INTERPOL. Os suspeitos eram especializados em hacking técnico e na extração de senhas, permitindo que o grupo invadisse redes corporativas e extorquisse dinheiro por meio de ransomware. As investigações resultaram em buscas nas residências dos acusados, onde foram apreendidos dispositivos digitais e ativos em criptomoedas. O Black Basta, que surgiu em abril de 2022, é responsável por ataques a mais de 500 empresas em várias regiões, acumulando centenas de milhões de dólares em pagamentos ilícitos. Apesar de uma aparente queda após vazamentos de informações internas, a possibilidade de rebranding e reemergência do grupo é alta, com suspeitas de que ex-membros possam ter migrado para outras operações de ransomware, como a CACTUS.

O Grubhub, uma plataforma popular de entrega de alimentos e supermercado, confirmou ter sido alvo de um ataque cibernético que resultou em uma violação de dados. Criminosos digitais conseguiram acessar sistemas da empresa, embora o Grubhub tenha assegurado que informações sensíveis de clientes, como dados financeiros e histórico de pedidos, não foram comprometidas. A empresa está enfrentando um cenário de extorsão e já notificou as autoridades competentes, além de estar colaborando com uma empresa de segurança para investigar o incidente. Apesar da confirmação do ataque, o Grubhub não forneceu detalhes sobre a origem da violação ou a identidade dos atacantes. Fontes sugerem que o grupo hacker ShinyHunters pode estar por trás da extorsão, exigindo um pagamento em Bitcoin para evitar a divulgação de dados antigos. Este ataque ocorre em um contexto em que a plataforma já havia enfrentado problemas relacionados a e-mails fraudulentos no final de 2025, levantando preocupações sobre a segurança de suas operações.

A plataforma de entrega de alimentos Grubhub confirmou uma recente violação de dados, onde hackers acessaram seus sistemas e estão exigindo pagamentos em Bitcoin para não divulgar informações sensíveis. A empresa declarou que indivíduos não autorizados baixaram dados de certos sistemas, mas garantiu que informações financeiras e histórico de pedidos não foram afetados. Grubhub está colaborando com uma empresa de cibersegurança e notificou as autoridades. O incidente ocorre em meio a um aumento de e-mails fraudulentos associados à empresa, que promoviam um golpe de criptomoeda. Fontes indicam que o grupo de cibercrime ShinyHunters está por trás da extorsão, exigindo pagamento para evitar a divulgação de dados antigos e novos, que foram obtidos em um ataque recente. A violação pode estar relacionada a credenciais roubadas durante ataques anteriores a outras plataformas, como Salesloft. Especialistas alertam que organizações afetadas devem rotacionar todas as credenciais comprometidas o mais rápido possível para mitigar riscos futuros.

O cenário de cibersegurança está em constante evolução, com ameaças cada vez mais sofisticadas e direcionadas. Um relatório recente da Bridewell destaca a crescente incidência de táticas de roubo de dados e extorsão, onde grupos de ransomware, como Warlock e Clop, têm priorizado a exfiltração de informações sensíveis em vez da simples criptografia de dados. O ataque à Colt Technology Services, que resultou no roubo de centenas de gigabytes de dados, exemplifica essa mudança de abordagem, onde os atacantes ameaçaram divulgar informações se o resgate não fosse pago. Além disso, a exploração de vulnerabilidades em dispositivos de rede e software de transferência de arquivos, como o MOVEit, tem sido uma estratégia comum entre os cibercriminosos. Os grupos de ransomware também estão se adaptando para evitar sistemas de Detecção e Resposta de Endpoint (EDR), utilizando ferramentas que se disfarçam como operações normais do sistema. À medida que as organizações enfrentam essas ameaças, é crucial que implementem medidas proativas de segurança, como o monitoramento contínuo e a atualização de sistemas, para se protegerem contra esses ataques em evolução.

No terceiro trimestre de 2025, a pesquisa da Check Point revelou um aumento alarmante no número de grupos de ransomware ativos, totalizando 85, o maior já registrado. Esses grupos foram responsáveis pela divulgação de 1.592 novas vítimas em mais de 85 sites de vazamento, indicando uma atividade intensa e contínua, mesmo sob pressão das autoridades. A fragmentação do mercado de ransomware, antes dominado por grandes grupos de Ransomware-as-a-Service (RaaS), agora abriga uma variedade de operações menores e independentes, dificultando a atribuição de ataques e a eficácia das estratégias de defesa. Apesar de operações de desmantelamento de grupos como RansomHub e 8Base, a quantidade de ataques não diminuiu, pois os afiliados se reorganizam rapidamente. A reemergência do LockBit com sua versão 5.0 sugere uma possível recente centralização, oferecendo uma estrutura que pode atrair novos afiliados. Além disso, a evolução do DragonForce, que busca visibilidade através de parcerias e serviços de auditoria de dados, reflete uma mudança no marketing dentro do cibercrime. Com os Estados Unidos como principal alvo, a situação exige atenção redobrada das equipes de segurança cibernética, que devem se adaptar a um cenário em constante mudança.

Um novo relatório da CISA (Agência de Segurança Cibernética e Infraestrutura) revela que o grupo de ransomware Akira impactou mais de 250 organizações na América do Norte, Europa e Austrália desde março de 2023, coletando cerca de 42 milhões de dólares em resgates. O grupo, que visa principalmente pequenas e médias empresas, também comprometeu grandes organizações em setores críticos como manufatura, educação, TI, saúde, serviços financeiros e agricultura. O modelo de extorsão dupla utilizado pelo Akira envolve a exfiltração de dados sensíveis antes de criptografar os arquivos das vítimas, ameaçando vazamentos públicos caso o pagamento não seja feito. Desde abril de 2023, o Akira expandiu suas operações para incluir variantes que atacam sistemas Linux, demonstrando uma evolução técnica significativa. As táticas de ataque incluem a exploração de vulnerabilidades em produtos VPN não corrigidos, phishing direcionado e ataques de força bruta. A CISA recomenda que as organizações priorizem a correção de vulnerabilidades conhecidas, implementem autenticação multifator resistente a phishing e mantenham backups offline testados. O impacto do Akira ressalta a necessidade urgente de aprimorar a detecção de ameaças e preparar planos de resposta abrangentes.

O Google Maps implementou uma nova funcionalidade que permite aos comerciantes reportarem tentativas de extorsão ligadas a avaliações falsas. Com o aumento de táticas de ‘review-bombing’, golpistas inundam perfis de empresas com avaliações negativas e, em seguida, contatam os proprietários exigindo pagamento para cessar a campanha de difamação. Essa prática prejudica a reputação de negócios legítimos, especialmente pequenos empreendimentos que dependem de avaliações para atrair clientes. O novo recurso de denúncia oferece um canal direto para que os comerciantes informem o Google sobre essas tentativas, permitindo uma investigação mais rápida e a remoção de conteúdo malicioso. O Google recomenda que os proprietários não interajam com os extorsionistas e preservem evidências, como capturas de tela e registros de comunicação, para fortalecer suas denúncias. Essa iniciativa visa não apenas proteger os negócios, mas também desmantelar redes de extorsão organizadas.

O Google anunciou uma nova funcionalidade que permite que empresas listadas no Google Maps relatem tentativas de extorsão por parte de criminosos que publicam avaliações negativas falsas e exigem resgates para removê-las. Essa prática, conhecida como ‘review bombing’, visa prejudicar a reputação de negócios. Laurie Richardson, vice-presidente de Confiança e Segurança do Google, destacou que os golpistas inundam perfis de empresas com avaliações de uma estrela e, em seguida, contatam os proprietários para exigir pagamento, ameaçando escalar a situação caso não sejam atendidos. Além disso, o Google alertou sobre outros tipos de fraudes, como golpes de emprego online, fraudes relacionadas a produtos de IA, aplicativos VPN maliciosos e golpes de recuperação de fraudes. Os usuários são aconselhados a ter cautela ao receber mensagens inesperadas e a baixar aplicativos apenas de fontes confiáveis. O artigo também menciona que a Meta, controladora do Facebook, está enfrentando críticas por permitir que anúncios fraudulentos proliferem em sua plataforma, com estimativas de que esses anúncios possam representar até 10,1% de sua receita total. A situação destaca a necessidade de vigilância constante contra fraudes online e a importância de medidas proativas para proteger empresas e consumidores.

Um novo consórcio de cibercriminosos, denominado Scattered LAPSUS$ Hunters (SLH), surgiu a partir da fusão de três grupos notórios: Scattered Spider, ShinyHunters e LAPSUS$. De acordo com a equipe de inteligência de ameaças da Trustwave SpiderLabs, o SLH é descrito como uma “aliança federada” que oferece Extorsão como Serviço (EaaS), herdando características operacionais do ecossistema cibercriminoso conhecido como The Com. O grupo utiliza o Telegram como plataforma de coordenação e identidade pública, mesclando motivação financeira com um estilo hacktivista. Desde sua primeira aparição em agosto de 2025, o SLH tem demonstrado uma notável capacidade de adaptação, reestabelecendo sua presença mesmo após frequentes desmantelamentos. O grupo promove seu modelo EaaS, convidando afiliados a “alugar” sua marca para campanhas de extorsão. Além disso, o SLH está desenvolvendo um ransomware chamado “Sh1nySp1d3r”. As táticas do grupo incluem engenharia social avançada e exploração de vulnerabilidades, como CVE-2025-31324 e CVE-2025-61882, indicando uma possível colaboração com outros operadores de ransomware. A análise sugere que o SLH representa uma reestruturação estratégica de operadores veteranos, sinalizando um novo modelo de ciberextorsão para 2026.

Dois ex-profissionais de segurança cibernética, Ryan Clifford Goldberg e Kevin Tyler Martin, foram acusados de liderar uma operação de ransomware sofisticada que visava empresas americanas. Entre maio de 2023 e abril de 2025, eles supostamente utilizaram a variante ALPHV BlackCat para atacar pelo menos cinco grandes corporações em setores como dispositivos médicos e farmacêuticos. As acusações incluem conspiração para extorsão e danos intencionais a computadores protegidos. Os criminosos operavam por meio de um painel na dark web, onde as vítimas podiam negociar pagamentos em criptomoedas. O caso destaca a crescente capacidade das autoridades de rastrear cibercriminosos, mesmo em um ambiente de criptomoedas, e representa um aumento significativo nas ações legais contra operadores de ransomware. Os réus enfrentam penas de até 20 anos de prisão por extorsão e 10 anos por danos a computadores, além de possíveis multas e confisco de ativos relacionados ao esquema de ransomware.

Três indivíduos foram acusados de invadir redes de cinco empresas nos EUA utilizando o ransomware BlackCat, também conhecido como ALPHV, entre maio e novembro de 2023. Os acusados, Ryan Clifford Goldberg, Kevin Tyler Martin e um co-conspirador não identificado, teriam atacado uma empresa de dispositivos médicos na Flórida, uma farmacêutica em Maryland, um consultório médico na Califórnia, uma empresa de engenharia na Califórnia e um fabricante de drones na Virgínia. Os ataques resultaram em extorsões, com a empresa de dispositivos médicos pagando cerca de 1,27 milhão de dólares em criptomoeda, embora os outros ataques não tenham gerado pagamentos. Os acusados foram identificados como negociadores de ameaças de ransomware e um gerente de resposta a incidentes em empresas de cibersegurança. As acusações incluem conspiração para interferir no comércio interestadual por extorsão e danos intencionais a computadores protegidos, com penas que podem chegar a 50 anos de prisão. O caso destaca a crescente ameaça do ransomware e a necessidade de vigilância constante na segurança cibernética.

O grupo de ransomware Akira anunciou em 29 de outubro de 2025 que conseguiu invadir os sistemas do Apache OpenOffice, exfiltrando 23 gigabytes de dados corporativos sensíveis. Conhecido por suas táticas de dupla extorsão, o grupo ameaçou divulgar as informações caso um resgate não fosse pago. O Apache OpenOffice, uma ferramenta de produtividade de código aberto amplamente utilizada, não teve seus servidores de download comprometidos, garantindo a segurança das instalações dos usuários até o momento. Os dados supostamente roubados incluem registros pessoais de funcionários, como endereços, números de telefone, datas de nascimento, além de informações financeiras e documentos confidenciais internos. A Apache Software Foundation ainda não confirmou a violação, levantando dúvidas sobre a autenticidade dos dados. O incidente destaca os riscos crescentes enfrentados por organizações de software de código aberto, que frequentemente operam com recursos limitados de cibersegurança. A situação é um alerta para a necessidade de maior investimento em segurança cibernética para proteger infraestruturas digitais críticas.

Um novo grupo de cibercrime, denominado Scattered Lapsus$ Hunters, lançou uma campanha de extorsão visando inquilinos corporativos da Salesforce em todo o mundo. Este grupo, associado a uma aliança chamada ‘Trinity of Chaos’, afirma ter roubado mais de um bilhão de registros da Salesforce entre maio e setembro de 2025, afetando grandes organizações como Toyota, FedEx e Disney. A campanha utiliza um modelo de extorsão como serviço (EaaS), onde os atacantes não criptografam dados, mas ameaçam divulgar informações sensíveis se o resgate não for pago. A técnica de phishing por voz (vishing) foi uma das principais táticas utilizadas, enganando as vítimas para que autorizassem integrações maliciosas em seus portais Salesforce. Embora o FBI tenha conseguido apreender a infraestrutura do grupo na superfície da web, a operação ainda está ativa no darknet. Especialistas em segurança alertam que essa mudança de foco para a monetização de dados representa um novo desafio para as organizações, que devem adotar controles de acesso rigorosos e monitorar continuamente suas credenciais expostas.

As ameaças cibernéticas estão se tornando cada vez mais sofisticadas, com atacantes utilizando engenharia social, manipulação impulsionada por IA e exploração de nuvem para comprometer sistemas antes considerados seguros. O relatório destaca como o Microsoft Teams tem sido utilizado por grupos de ameaças para extorsão e roubo financeiro, enfatizando a importância de fortalecer a proteção de identidade e a segurança dos endpoints. Além disso, uma nova campanha de malware utiliza arquivos de atalho (.LNK) maliciosos para implantar um dropper de PowerShell, demonstrando a eficácia de técnicas de evasão. O artigo também menciona uma campanha de desinformação apoiada por Israel, visando desestabilizar o Irã, e a investigação da França sobre a coleta de dados de voz da Siri pela Apple. Outro ponto crítico é o roubo de criptomoedas, com hackers norte-coreanos responsáveis por cerca de $2 bilhões em furtos em 2025, destacando a crescente dependência do regime de atividades cibernéticas para financiamento. O artigo conclui com a resistência de empresas de tecnologia à proposta de controle de chat da UE, que exigiria a varredura de comunicações criptografadas, levantando preocupações sobre privacidade e vigilância em massa.

Um novo grupo de hackers, denominado Crimson Collective, representa uma ameaça significativa à infraestrutura de nuvem, com foco especial em ambientes da Amazon Web Services (AWS). De acordo com a pesquisa da Rapid7, o grupo se especializa em operações de roubo de dados e extorsão, utilizando credenciais de acesso de longo prazo comprometidas e políticas IAM excessivamente permissivas para infiltrar sistemas corporativos.

Os ataques começam com a exploração de chaves de acesso AWS vazadas, frequentemente obtidas de repositórios expostos ou ambientes mal configurados. Utilizando a ferramenta TruffleHog, os atacantes localizam e validam credenciais utilizáveis. Uma vez dentro do sistema, eles estabelecem persistência e elevam privilégios, ganhando controle administrativo total sobre o ambiente da vítima.

Um novo site de vazamento foi lançado pelo grupo de hackers conhecido como Scattered Lapsus$ Hunters, visando a extorsão de empresas que utilizam a plataforma Salesforce. O site, hospedado na rede Tor, exige pagamentos de resgate em troca da remoção de dados roubados. A origem desse ataque remonta ao final de 2024, quando os hackers utilizaram táticas de engenharia social, como o vishing, para obter acesso a ambientes corporativos da Salesforce. Eles conseguiram comprometer a plataforma Salesloft, extraindo credenciais e chaves de acesso armazenadas em repositórios de código. Isso permitiu que os atacantes acessassem o ambiente de nuvem da Salesloft, coletando tokens OAuth que possibilitaram a movimentação lateral em sistemas integrados. O site de extorsão foi lançado em 3 de outubro de 2025, listando clientes afetados e a quantidade de dados roubados, com um prazo para pagamento até 10 de outubro. Embora a Salesforce tenha afirmado que sua plataforma principal não foi comprometida, a flexibilidade de integração da plataforma apresenta riscos significativos. Especialistas em segurança recomendam a implementação de controles rigorosos sobre permissões de API e a adoção de autenticação multifator para mitigar esses riscos.

Hackers estão explorando rapidamente bancos de dados expostos na nuvem e em SaaS utilizando técnicas “sem malware”, abusando de comandos legítimos e configurações inadequadas. As operações automatizadas evoluíram para campanhas de dupla extorsão, com MySQL e PostgreSQL sendo as plataformas mais visadas. Os ataques resultam na criação de notas de resgate em novas tabelas de banco de dados, pressionando as vítimas com ameaças de vazamento ou venda de dados roubados.

O Google Mandiant e o Google Threat Intelligence Group (GTIG) estão monitorando uma nova atividade maliciosa possivelmente ligada ao grupo de cibercriminosos Cl0p, conhecido por suas motivações financeiras. Desde o dia 29 de setembro de 2025, executivos de diversas organizações têm recebido e-mails de extorsão, nos quais os criminosos alegam ter roubado dados sensíveis do Oracle E-Business Suite. Genevieve Stark, do GTIG, afirmou que a investigação ainda está em estágios iniciais e que as alegações do grupo não foram confirmadas. Charles Carmakal, CTO da Mandiant, descreveu a operação como uma “campanha de e-mail de alto volume” originada de contas comprometidas, algumas das quais estão ligadas ao grupo FIN11, que já atuava em ataques de ransomware desde 2020. Os e-mails maliciosos incluem informações de contato que foram verificadas como estando listadas no site de vazamento de dados do Cl0p, sugerindo uma associação com o grupo. Embora o Google não tenha evidências concretas para confirmar essas ligações, a similaridade nas táticas utilizadas em ataques anteriores do Cl0p levanta preocupações. A forma como os atacantes obtêm acesso inicial ainda não está clara, mas acredita-se que eles tenham comprometido e-mails de usuários e abusado da função de redefinição de senha do Oracle E-Business Suite. O grupo Cl0p é conhecido por explorar falhas em várias plataformas, comprometendo milhares de organizações nos últimos anos.

O ransomware BQTLOCK, identificado recentemente, opera sob o modelo Ransomware-as-a-Service (RaaS) desde julho de 2025. Associado ao grupo hacktivista pro-Palestina Liwaa Mohammed, o malware utiliza uma metodologia de dupla extorsão, exigindo pagamentos que variam de 13 a 40 XMR (aproximadamente R$ 18.000 a R$ 54.000). Os atacantes impõem um prazo de 48 horas para que as vítimas entrem em contato, com a ameaça de dobrar o valor do resgate se não houver resposta. Após sete dias, as chaves de descriptografia são excluídas permanentemente, e os dados roubados são vendidos em um site controlado pelos criminosos.

O grupo de ransomware Kawa4096, que surgiu em junho de 2025, rapidamente ganhou notoriedade ao atacar multinacionais em diversos setores, incluindo finanças, educação e serviços, nos Estados Unidos e Japão. Diferente de outros grupos que se concentram em setores específicos, Kawa4096 não demonstra preferência industrial, o que aumenta seu alcance e potencial de dano. O grupo utiliza um modelo de dupla extorsão, onde os dados das vítimas são não apenas criptografados, mas também ameaçados de divulgação caso o resgate não seja pago.

O grupo de cibercrime ShinyHunters, conhecido por extorsões de dados em larga escala, ampliou suas táticas em 2025, incluindo phishing por voz habilitado por IA e compromissos na cadeia de suprimentos. Em colaboração com afiliados como Scattered Spider, o grupo está lançando campanhas sofisticadas de vishing contra plataformas de SSO em setores como varejo, aviação e telecomunicações, exfiltrando grandes conjuntos de dados de clientes e preparando o novo ransomware ‘shinysp1d3r’ para atacar ambientes VMware ESXi.

O grupo de ransomware Everest reivindicou a responsabilidade pelo roubo de aproximadamente 600.000 linhas de documentos internos da Bayerische Motoren Werke AG (BMW), um dos maiores incidentes de segurança no setor automotivo em 2025. Os arquivos comprometidos incluem relatórios de auditoria, especificações de engenharia, demonstrações financeiras e comunicações executivas confidenciais. A análise de especialistas em cibersegurança revelou que os atacantes obtiveram acesso inicial por meio de um ponto de acesso remoto (RDP) comprometido, utilizando credenciais fracas ou reutilizadas para se mover lateralmente na rede da BMW. A exfiltração dos dados foi automatizada, com arquivos criptografados enviados para um servidor de comando e controle. A situação é crítica, pois a divulgação dos documentos pode resultar em danos à reputação da BMW, além de riscos regulatórios e de propriedade intelectual. Especialistas recomendam a adoção de uma arquitetura de segurança de confiança zero, autenticação multifatorial rigorosa e avaliações de vulnerabilidade regulares. A BMW ainda não confirmou oficialmente o incidente, enquanto a pressão aumenta para proteger suas informações proprietárias.

O FBI emitiu um alerta sobre atividades de dois grupos hackers, UNC6040 e UNC6395, que atacaram plataformas Salesforce de várias empresas, incluindo Google e Cloudflare. Os ataques, que começaram no final de 2024, utilizam engenharia social e vishing, onde os golpistas se passam por suporte técnico para induzir funcionários a conectar aplicativos OAuth falsos. Isso resultou no vazamento de dados sensíveis e extorsão por parte do grupo ShinyHunters. O UNC6395, por sua vez, explorou brechas na atualização da plataforma Salesforce Drift, permitindo acesso a informações críticas, como senhas e tokens de autenticação. O FBI ainda investiga os responsáveis, mas o grupo ShinyHunters já reivindicou a autoria dos ataques, que também comprometeram sistemas do FBI. As empresas afetadas incluem gigantes como Adidas, Cisco e Palo Alto Networks, levantando preocupações sobre a segurança de dados e a conformidade com a LGPD no Brasil.

O grupo de ransomware BlackNevas, surgido no final de 2024, rapidamente se tornou uma ameaça significativa para empresas e infraestruturas críticas em todo o mundo. Diferente de muitos grupos que operam sob o modelo Ransomware-as-a-Service (RaaS), o BlackNevas realiza campanhas direcionadas com precisão devastadora. Com operações concentradas na região Ásia-Pacífico, especialmente no Japão, Coreia e Tailândia, o grupo também tem atacado países europeus como Reino Unido, Itália e Lituânia, além de regiões nos Estados Unidos, como Connecticut.

Uma nova variante de ransomware, chamada Yurei, foi identificada no cenário de cibercrime, com seu primeiro ataque registrado em 5 de setembro de 2025, visando uma empresa de alimentos no Sri Lanka. O grupo, que se expandiu rapidamente para vítimas na Índia e Nigéria, adota um modelo de dupla extorsão, criptografando dados e exfiltrando arquivos sensíveis para pressionar as vítimas durante as negociações de resgate.

Desenvolvido na linguagem Go, o ransomware Yurei se inspira no projeto open-source Prince-Ransomware, mas apresenta melhorias significativas, como o uso do modelo de concorrência do Go para acelerar a criptografia. Ele utiliza a cifra ChaCha20 para criptografar arquivos, gerando chaves únicas para cada um. No entanto, uma falha crítica herdada de seu predecessor é a não remoção das Cópias de Sombra de Volume, permitindo que as vítimas possam restaurar dados sem pagar o resgate.

O FBI emitiu um alerta sobre dois grupos cibercriminosos, UNC6040 e UNC6395, que têm realizado ataques de roubo de dados e extorsão, visando plataformas Salesforce. O grupo UNC6395 foi responsável por uma campanha de roubo de dados em agosto de 2025, explorando tokens OAuth comprometidos do aplicativo Salesloft Drift, que teve sua conta do GitHub violada entre março e junho de 2025. Em resposta, a Salesloft isolou sua infraestrutura e desativou o aplicativo. O grupo UNC6040, ativo desde outubro de 2024, tem utilizado campanhas de vishing para obter acesso inicial e roubar dados em larga escala, utilizando uma versão modificada do aplicativo Data Loader do Salesforce. Após as intrusões, o grupo também se envolveu em atividades de extorsão, que foram atribuídas a um outro grupo chamado UNC6240, que se identifica como ShinyHunters. Recentemente, houve uma união entre ShinyHunters, Scattered Spider e LAPSUS$, que anunciaram a suspensão de suas atividades, embora especialistas alertem que isso pode ser uma estratégia para evitar a atenção das autoridades. As organizações devem permanecer vigilantes, pois o silêncio de um grupo de ameaças não significa que o risco desapareceu.

O grupo de ransomware Dire Wolf, que surgiu em maio de 2025, rapidamente se tornou uma ameaça significativa à cibersegurança, atacando organizações em diversas indústrias e regiões. Desde seu primeiro ataque, que resultou na divulgação de seis vítimas em um site da darknet, o grupo tem utilizado uma estratégia de dupla extorsão, combinando a criptografia de dados com ameaças de vazamento de informações.

A técnica de criptografia do Dire Wolf é sofisticada, utilizando algoritmos como Curve25519 e ChaCha20, o que torna a recuperação de dados extremamente difícil. O ransomware não utiliza arquivos de configuração tradicionais, mas sim argumentos de linha de comando para controle, e implementa um sistema de mutex para evitar execuções múltiplas. Além disso, o malware apaga cópias de sombra e interrompe serviços essenciais, eliminando opções de recuperação.