Extorsão De Dados

O grupo de extorsão de dados ShinyHunters anunciou ter roubado mais de 600 mil registros de clientes da Canada Goose, incluindo informações pessoais e dados de pagamento. A Canada Goose, uma marca canadense de roupas de luxo, afirmou que os dados parecem ser de transações passadas e que não há evidências de uma violação em seus sistemas. O conjunto de dados, com 1,67 GB, foi publicado em formato JSON e contém registros detalhados de pedidos, como nomes, endereços de e-mail, números de telefone, endereços de cobrança e entrega, além de informações parciais de cartões de pagamento. Embora não inclua números completos de cartões, as informações expostas podem ser utilizadas para phishing e fraudes. O grupo ShinyHunters negou que os dados tenham origem em ataques recentes a contas de SSO, afirmando que provêm de uma violação de um processador de pagamentos de terceiros. A empresa está revisando o conjunto de dados para avaliar sua precisão e escopo, mas ainda não se sabe quantos clientes podem ser afetados.

O relatório Red Report 2026 da Picus Labs revela uma mudança significativa nas estratégias de ataque cibernético, onde o foco não está mais em ataques destrutivos, como ransomware, mas sim em acessos prolongados e invisíveis. Embora o ransomware continue a ser uma ameaça, a pesquisa indica que a criptografia de dados para causar impacto caiu 38% em um ano, com os atacantes agora preferindo a extorsão de dados como modelo principal de monetização. Isso permite que os sistemas permaneçam operacionais enquanto os atacantes exfiltram informações sensíveis e coletam credenciais. O relatório destaca que a extração de credenciais de armazenamentos de senhas é uma das táticas mais comuns, representando quase 25% dos ataques. Além disso, 80% das técnicas mais utilizadas pelos atacantes priorizam a evasão e a persistência, com malware se comportando como parasitas digitais, operando silenciosamente e evitando detecções. A evolução do malware, que agora é capaz de evitar ambientes de análise, reflete uma lógica mais sofisticada dos atacantes, que se adaptam rapidamente às defesas. Apesar das expectativas em torno da inteligência artificial, os dados mostram que as técnicas tradicionais ainda dominam, com pouca inovação significativa no uso de IA para ataques.

Um ator de ameaças está atacando instâncias expostas do MongoDB em uma série de extorsões automatizadas, exigindo resgates baixos para restaurar os dados. O foco do atacante são bancos de dados inseguros, resultantes de configurações inadequadas que permitem acesso sem restrições. Até o momento, cerca de 1.400 servidores expostos foram comprometidos, com notas de resgate solicitando aproximadamente $500 em Bitcoin. Pesquisadores da empresa de cibersegurança Flare identificaram mais de 208.500 servidores MongoDB publicamente expostos, dos quais 3.100 podiam ser acessados sem autenticação. Quase metade (45,6%) desses servidores já havia sido comprometida, com dados apagados e notas de resgate deixadas. A análise das notas revelou que a maioria exigia um pagamento de 0.005 BTC em até 48 horas, sem garantias de que os atacantes realmente possuíam os dados ou forneceriam uma chave de descriptografia funcional. Flare recomenda que administradores do MongoDB evitem expor instâncias publicamente, utilizem autenticação forte e atualizem para as versões mais recentes do software. A situação é preocupante, pois muitos servidores expostos ainda estão vulneráveis a falhas conhecidas, o que pode levar a ataques adicionais.

Um novo coletivo cibercriminoso, formado por grupos como Scattered Spider, LAPSUS$ e ShinyHunters, tem se destacado por sua atividade no Telegram, onde já criou 16 canais desde agosto de 2025. O grupo, denominado Scattered LAPSUS$ Hunters (SLH), tem se envolvido em ataques de extorsão de dados, visando empresas que utilizam plataformas como Salesforce. O SLH oferece um serviço de extorsão como serviço (EaaS), permitindo que afiliados se unam para exigir pagamentos em troca do uso de sua marca. Além disso, o grupo tem se posicionado como uma entidade organizada, utilizando uma estrutura administrativa que confere legitimidade a suas operações. As atividades incluem campanhas de pressão contra executivos de alto escalão e a promoção de uma nova família de ransomware chamada Sh1nySp1d3r, que pode rivalizar com grupos estabelecidos como LockBit. A análise da Trustwave sugere que o SLH combina motivações financeiras com elementos de hacktivismo, utilizando técnicas de engenharia social e desenvolvimento de exploits para realizar suas operações. O uso do Telegram como plataforma central para coordenação e visibilidade reflete uma estratégia de comunicação eficaz entre os membros do grupo.