Extorsão

A rede de lojas 7-Eleven confirmou que seus sistemas foram comprometidos em um ciberataque atribuído ao grupo de extorsão ShinyHunters. O incidente ocorreu em 8 de abril de 2026, quando um terceiro não autorizado acessou sistemas que armazenam documentos de franqueados, resultando na exposição de informações pessoais de um número não divulgado de indivíduos. O grupo criminoso afirma ter roubado mais de 600.000 registros, incluindo dados corporativos e informações pessoais, após invadir o ambiente Salesforce da empresa. Após a recusa da 7-Eleven em pagar um resgate, os atacantes divulgaram um arquivo de 9,4 GB com documentos na dark web. A 7-Eleven, que opera mais de 86.000 lojas globalmente, já havia enfrentado um ataque de ransomware em 2022, que afetou suas operações na Dinamarca. O FBI aconselhou as vítimas a não ceder às demandas dos extorsionários, ressaltando que o pagamento de resgates não garante a segurança futura dos dados. Este incidente destaca a crescente ameaça de grupos de cibercrime que visam empresas de grande porte, especialmente aquelas que utilizam plataformas populares como Salesforce.

A Grafana Labs, responsável pela popular plataforma de análise e visualização de dados, confirmou que hackers acessaram seu código-fonte após uma violação em seu ambiente do GitHub, utilizando um token de acesso roubado. O grupo de extorsão conhecido como CoinbaseCartel reivindicou a responsabilidade pelo ataque, embora até o momento não tenha vazado dados. A empresa afirmou que não houve exposição de dados de clientes ou informações pessoais, e que os sistemas dos clientes permaneceram inalterados. Após a investigação, a Grafana invalidou as credenciais comprometidas e implementou medidas de segurança adicionais. O grupo de hackers tentou extorquir a empresa, exigindo pagamento para não publicar o código-fonte roubado, mas a Grafana optou por não ceder à demanda, seguindo as orientações do FBI, que desaconselha o pagamento de resgates. O CoinbaseCartel, que começou suas atividades em setembro do ano passado, já anunciou mais de 100 vítimas em seu portal de vazamento de dados, utilizando técnicas como engenharia social e phishing para obter acesso a redes-alvo. A Grafana planeja divulgar mais detalhes sobre o incidente após a conclusão de sua investigação.

O Comitê de Segurança Nacional da Câmara dos EUA convocou executivos da Instructure para depor sobre dois ataques cibernéticos realizados pelo grupo de extorsão ShinyHunters, que afetaram a plataforma Canvas da empresa. Os ataques resultaram no roubo de dados de milhões de estudantes e na interrupção de atividades escolares durante períodos críticos, como as provas finais. A Instructure confirmou que, em 29 de abril, detectou a invasão, que expôs informações como nomes, endereços de e-mail e números de identificação de estudantes, mas não incluiu senhas ou dados financeiros. O ShinyHunters reivindicou a responsabilidade, alegando ter roubado 280 milhões de registros de 8.809 instituições educacionais. Após o segundo ataque, que desfigurou portais de login do Canvas, a Instructure anunciou ter chegado a um acordo com o grupo para interromper a divulgação pública dos dados. O Comitê expressou preocupações sobre a capacidade de resposta da Instructure a incidentes e solicitou uma reunião até 21 de maio para discutir as intrusões e as medidas tomadas. O incidente levanta questões sérias sobre a segurança dos dados armazenados pela empresa e sua responsabilidade em proteger as informações de estudantes e educadores.

A gangue de extorsão ShinyHunters comprometeu novamente a Instructure, empresa de tecnologia educacional, explorando uma vulnerabilidade para alterar os portais de login do Canvas de centenas de instituições de ensino. As defacements, que ficaram visíveis por cerca de 30 minutos, continham uma mensagem da gangue reivindicando a responsabilidade pela violação anterior e ameaçando vazar dados roubados caso um resgate não fosse pago. A mensagem estipula um prazo até 12 de maio para que a Instructure e as instituições afetadas entrem em contato para negociar. A Instructure confirmou que dados de aproximadamente 280 milhões de registros de estudantes e funcionários foram roubados, abrangendo 8.809 escolas e universidades. A empresa está investigando o incidente e tomou medidas para desativar temporariamente o Canvas enquanto responde ao ataque. A vulnerabilidade que permitiu a alteração dos portais de login foi identificada, e a Instructure está trabalhando para mitigar os danos. Este ataque destaca a crescente ameaça de grupos de cibercrime que visam instituições educacionais, que frequentemente lidam com grandes volumes de dados sensíveis.

Deniss Zolotarjovs, um cidadão letão extraditado para os Estados Unidos, foi condenado a 8,5 anos de prisão por seu papel como negociador em casos de extorsão do grupo de ransomware Karakurt. Com 35 anos e residente em Moscou, Zolotarjovs foi preso na Geórgia em dezembro de 2023 e se declarou culpado em julho de 2025 por conspiração para cometer fraude eletrônica e lavagem de dinheiro. O Departamento de Justiça dos EUA revelou que ele ajudou a gangue a lucrar com ataques a mais de 54 empresas, resultando em perdas superiores a 56 milhões de dólares, incluindo 2,8 milhões em pagamentos de resgate. Zolotarjovs era responsável por reativar negociações com vítimas que haviam interrompido a comunicação, utilizando informações pessoais e de saúde roubadas para aumentar a pressão psicológica. Ele é o primeiro membro do Karakurt a ser processado e condenado nos EUA, o que pode abrir caminho para ações contra outros membros do grupo. O FBI o vinculou a pelo menos seis casos de extorsão entre agosto de 2021 e novembro de 2023, destacando a gravidade e a complexidade das operações de ransomware que afetam organizações americanas e, potencialmente, brasileiras.

O Departamento de Justiça dos EUA anunciou a condenação de dois profissionais de cibersegurança, Ryan Goldberg e Kevin Martin, a quatro anos de prisão por sua participação em ataques de ransomware BlackCat em 2023. Ambos, junto com um terceiro cúmplice, Angelo Martino, foram acusados de extorquir vítimas em todo o país, utilizando suas habilidades em cibersegurança para facilitar os ataques. Os criminosos concordaram em pagar 20% dos resgates recebidos aos administradores do BlackCat em troca de acesso à plataforma de extorsão. Em um dos casos, conseguiram extorquir cerca de US$ 1,2 milhão em Bitcoin, que foi posteriormente lavado. O esquema de ransomware como serviço (RaaS) BlackCat já havia atacado mais de 1.000 vítimas globalmente. Martino, que também se declarou culpado, abusou de sua função como negociador para obter pagamentos maiores, revelando informações confidenciais sobre limites de apólices de seguro das vítimas. O caso destaca a grave ameaça que profissionais com conhecimento técnico podem representar quando desviam suas habilidades para atividades criminosas.

Pesquisadores em cibersegurança alertam sobre dois grupos de cibercrime, Cordial Spider e Snarky Spider, que estão realizando ataques rápidos e de alto impacto em ambientes de Software como Serviço (SaaS). Esses grupos, ativos desde pelo menos outubro de 2025, utilizam táticas como phishing por voz (vishing) para direcionar usuários a páginas de login falsas, onde capturam dados de autenticação. Ao operar quase exclusivamente em ambientes SaaS confiáveis, eles minimizam suas pegadas digitais, dificultando a detecção por parte das equipes de segurança. Os ataques têm como alvo principalmente setores de varejo e hospitalidade, e os invasores são conhecidos por registrar novos dispositivos para contornar a autenticação multifatorial (MFA) e suprimir notificações de e-mail sobre registros não autorizados. A exfiltração de dados ocorre rapidamente, geralmente em menos de uma hora, e os atacantes visam contas privilegiadas para acessar informações sensíveis em plataformas como Google Workspace e Salesforce. A combinação de velocidade e precisão torna esses ataques particularmente desafiadores para a defesa.

Ryan Clifford Goldberg e Kevin Tyler Martin, ex-funcionários de empresas de resposta a incidentes de cibersegurança, foram condenados a quatro anos de prisão por envolvimento em ataques de ransomware BlackCat (ALPHV) contra empresas nos EUA. Ambos, junto com um terceiro cúmplice, Angelo Martino, atuaram como afiliados do ransomware entre maio e novembro de 2023, comprometendo redes de diversas vítimas, incluindo uma empresa farmacêutica em Maryland e um fabricante de dispositivos médicos em Tampa. Os criminosos exploraram seu conhecimento especializado em cibersegurança para extorquir empresas, exigindo resgates que variavam de $300.000 a $10 milhões. O caso destaca a crescente ameaça de ransomware e a necessidade de vigilância constante nas redes corporativas. O FBI já havia vinculado o grupo BlackCat a mais de 60 violações de segurança, coletando pelo menos $300 milhões em pagamentos de resgate até setembro de 2023. Este incidente ressalta a importância de uma postura proativa em cibersegurança e a necessidade de medidas rigorosas para proteger dados sensíveis.

O grupo de cibercriminosos ShinyHunters comprometeu os sistemas da ADT, uma das maiores empresas de segurança residencial dos EUA, e roubou informações pessoais de 5,5 milhões de indivíduos. A ADT, que já havia enfrentado outras violações de dados em 2024, confirmou que a invasão ocorreu em 20 de abril e que os dados expostos incluem nomes, endereços, números de telefone e, em alguns casos, datas de nascimento e os últimos quatro dígitos de números de identificação. Importante ressaltar que informações de pagamento não foram acessadas. O ataque foi realizado através de um golpe de vishing, onde um funcionário teve sua conta de acesso único (SSO) comprometida. Após a falha na extorsão, os cibercriminosos vazaram um arquivo de 11 GB com os dados roubados em um site da dark web. O incidente destaca a crescente ameaça de ataques direcionados a contas SSO corporativas, que têm sido um alvo frequente do grupo ShinyHunters, que também alega ter atacado outras grandes empresas recentemente, como Medtronic e 7-Eleven.

Um novo grupo de hackers, conhecido como BlackFile, tem sido associado a uma série de ataques de roubo de dados e extorsão direcionados a organizações de varejo e hospitalidade desde fevereiro de 2026. O grupo, que também é rastreado como CL-CRI-1116 e UNC6671, utiliza técnicas de engenharia social, como o vishing, para se passar por funcionários de suporte técnico e obter credenciais de funcionários. Os ataques começam com ligações de números falsificados, levando os funcionários a páginas de login falsas onde são solicitadas suas credenciais e códigos de acesso temporários.

Angelo Martino, um negociador de ransomware de 41 anos, se declarou culpado por realizar ataques de ransomware contra empresas nos Estados Unidos em 2023. Ele colaborou com o grupo criminoso BlackCat, fornecendo informações confidenciais sobre as posições de negociação de cinco vítimas, sem o conhecimento ou consentimento delas. Essas informações incluíam limites de apólices de seguro e estratégias internas, o que resultou em resgates mais altos. Martino foi compensado financeiramente por essas informações. Além disso, ele admitiu ter trabalhado com outros dois respondentes a incidentes para implantar o ransomware BlackCat em várias vítimas entre abril e novembro de 2023, extorquindo uma delas em aproximadamente 1,2 milhão de dólares em Bitcoin. As autoridades confiscam 10 milhões de dólares em ativos de Martino, incluindo criptomoedas e veículos. Ele enfrenta uma pena máxima de 20 anos de prisão e está programado para ser sentenciado em julho de 2026. O caso destaca a traição de confiança em um setor que deveria proteger as vítimas de ataques cibernéticos.

Angelo Martino, ex-funcionário da DigitalMint, admitiu sua culpa em ataques de ransomware BlackCat (ALPHV) direcionados a empresas dos EUA em 2023. Juntamente com outros dois negociadores de resgates, Martino foi acusado de conspiração para interferir no comércio interestadual por extorsão e danos intencionais a computadores protegidos. Durante seu trabalho como negociador, ele compartilhou informações confidenciais sobre as vítimas com os operadores do ransomware, facilitando a extorsão de valores elevados. Entre abril de 2023 e abril de 2025, Martino e seus cúmplices exigiram pagamentos de resgate, ameaçando vazar dados antes de criptografar os sistemas das vítimas. O impacto financeiro foi significativo, com uma empresa de serviços financeiros pagando mais de 25 milhões de dólares e uma organização sem fins lucrativos mais de 26 milhões. A operação BlackCat, associada a mais de 60 violações, arrecadou pelo menos 300 milhões de dólares em pagamentos de resgate até setembro de 2023. A DigitalMint condenou as ações de seus ex-funcionários e os demitiu assim que as irregularidades foram descobertas.

O site da Seiko USA foi alvo de um ataque cibernético no último fim de semana, resultando em uma deface que exibia uma mensagem de extorsão. Os atacantes alegam ter acessado o banco de dados de clientes da plataforma Shopify da empresa e ameaçam divulgar as informações a menos que um resgate seja pago. A página comprometida, localizada na seção ‘Press Lounge’, substituiu o conteúdo normal por um aviso de violação de dados e uma demanda de resgate. Os hackers afirmam ter obtido dados sensíveis, incluindo nomes, e-mails, números de telefone, histórico de pedidos e detalhes de envio. A mensagem de extorsão também especificava um prazo de 72 horas para que a Seiko USA iniciasse negociações, utilizando um e-mail associado a uma conta de cliente identificada. Até o momento, a Seiko não confirmou publicamente o incidente, mas removeu a mensagem de extorsão do site. A situação levanta preocupações sobre a segurança dos dados de clientes e a eficácia das medidas de proteção em plataformas de e-commerce como o Shopify.

A exchange de criptomoedas Kraken revelou que um grupo criminoso está tentando extorquir a empresa, ameaçando divulgar vídeos que mostram sistemas internos que contêm dados de clientes. O Chief Security Officer da Kraken, Nick Percoco, afirmou que o incidente não comprometeu os fundos dos clientes e envolveu uma ameaça interna, com dois casos de acesso inadequado a dados limitados de clientes por funcionários de suporte. A empresa não pretende pagar ou negociar com os extorsionários. A Kraken, que opera em 190 países, iniciou uma investigação após receber uma dica sobre um vídeo que demonstrava acesso aos sistemas de suporte ao cliente. A investigação revelou que um funcionário de suporte foi recrutado pelo grupo criminoso. Embora cerca de 2.000 contas tenham sido afetadas, o acesso exposto se limitou a dados de suporte ao cliente. A Kraken está colaborando com as autoridades federais para processar os envolvidos e reforçou suas medidas de segurança. Este incidente destaca a crescente preocupação com ameaças internas e recrutamento malicioso, um problema que afeta não apenas a Kraken, mas também outras exchanges de criptomoedas, como evidenciado pelo caso da Coinbase, que sofreu um vazamento de dados após suborno de funcionários de uma agência de suporte.

O grupo de ameaças conhecido como UNC6783 está atacando provedores de terceirização de processos de negócios (BPO) para obter acesso a empresas de alto valor em diversos setores. Segundo o Google Threat Intelligence Group, essa tática tem sido utilizada para exfiltrar dados sensíveis e extorquir as vítimas. O analista principal da GTIG, Austin Larsen, destaca que o grupo geralmente utiliza engenharia social e campanhas de phishing para comprometer os BPOs. Além disso, há relatos de que os hackers têm contatado diretamente funcionários de suporte e helpdesk das organizações-alvo para obter acesso direto. O grupo pode estar vinculado a um ator conhecido como Raccoon, que já atacou vários BPOs. As táticas incluem direcionar funcionários de suporte a páginas de login falsas do Okta, que imitam os domínios das empresas-alvo. O kit de phishing utilizado pode roubar conteúdos da área de transferência, permitindo que os atacantes contornem a autenticação multifator (MFA). Após o roubo de dados, os atacantes exigem pagamentos através de endereços ProtonMail. O Google recomenda a implementação de chaves de segurança FIDO2 para MFA, monitoramento de chats ao vivo e auditorias regulares das inscrições de dispositivos MFA como medidas de defesa contra esses ataques.

A Polícia Federal da Alemanha (BKA) identificou dois cidadãos russos como líderes das operações de ransomware GandCrab e REvil entre 2019 e 2021. Daniil Maksimovich Shchukin, de 31 anos, e Anatoly Sergeevitsch Kravchuk, de 43 anos, foram apontados como responsáveis por pelo menos 130 casos de extorsão, especificamente direcionados a empresas na Alemanha. Os ataques resultaram em um pagamento total de aproximadamente 2,2 milhões de dólares em resgates, com danos financeiros estimados em mais de 40 milhões de dólares.

Daniel Rhyne, um ex-engenheiro de infraestrutura, admitiu ter invadido a rede de sua empresa, uma indústria em Nova Jersey, e bloqueado o acesso de administradores a 254 servidores. Entre 9 e 25 de novembro, ele utilizou uma conta de administrador para agendar tarefas que deletaram contas de administradores de rede e alteraram senhas de 13 contas de domínio, além de 301 contas de usuários. Rhyne também programou a alteração de senhas de contas locais que afetariam 3.284 estações de trabalho e 254 servidores, além de desligar servidores aleatórios. Após a invasão, ele enviou um e-mail de extorsão aos colegas, exigindo um resgate de 20 bitcoins (aproximadamente R$ 750 mil) sob a ameaça de desligar 40 servidores diariamente. O ataque foi planejado com pesquisas na internet sobre como manipular logs do Windows e alterar senhas. Rhyne foi preso em agosto e enfrenta até 15 anos de prisão por suas ações. Este incidente destaca a vulnerabilidade das empresas a ataques internos e a necessidade de controles de segurança robustos.

Ilya Angelov, um cidadão russo de 40 anos, foi condenado a dois anos de prisão após confessar que gerenciou uma botnet de phishing utilizada em ataques de ransomware BitPaymer contra 72 empresas nos Estados Unidos. Angelov, que se apresentou nos EUA após a invasão da Ucrânia, era um dos líderes de uma operação criminosa russa conhecida como Mario Kart, que entre 2017 e 2021, enviou até 700 mil e-mails de spam por dia, infectando cerca de 3 mil computadores diariamente. A gangue não apenas distribuía malware, mas também vendia o acesso a dispositivos infectados para outros cibercriminosos, que realizavam extorsões em criptomoedas, resultando em mais de 14 milhões de dólares em pagamentos de resgate. Além disso, Angelov colaborou com outros grupos de ransomware, como o IcedID, e sua operação foi associada a diversas campanhas de phishing e ransomware, incluindo a parceria com a gangue TrickBot. Outro cidadão russo, Aleksey Volkov, também foi condenado a quase sete anos de prisão por atuar como intermediário em ataques de ransomware Yanluowang. O caso destaca a crescente ameaça de ransomware e phishing, que continua a impactar empresas globalmente.

A Infinite Campus, um sistema de informações estudantis amplamente utilizado nas escolas K-12 dos EUA, notificou seus clientes sobre uma violação de dados após uma tentativa de extorsão por um grupo de hackers. Segundo a notificação, os invasores acessaram a conta Salesforce de um funcionário, expondo informações que, em sua maioria, eram publicamente disponíveis. O grupo de extorsão ShinyHunters reivindicou a responsabilidade pelo ataque e ameaçou vazar todos os dados supostamente roubados, dando um prazo até 25 de março para que a empresa iniciasse negociações. A Infinite Campus, no entanto, afirmou que não irá negociar com os atacantes. Embora a empresa tenha confirmado que não houve acesso a bancos de dados de clientes, os dados expostos incluem nomes e informações de contato de funcionários escolares, que são informações geralmente disponíveis em diretórios públicos. Para mitigar riscos, a Infinite Campus desativou serviços voltados para clientes sem restrições de IP e está em contato com os distritos potencialmente afetados. O incidente é comparável a um ataque anterior à PowerSchool, que expôs informações sensíveis de milhões de estudantes.

A plataforma de streaming de anime Crunchyroll está investigando um possível vazamento de dados após hackers afirmarem ter roubado informações pessoais de cerca de 6,8 milhões de usuários. A empresa confirmou que está colaborando com especialistas em cibersegurança para apurar a situação. O ataque teria ocorrido em 12 de março, quando os invasores acessaram a conta de SSO Okta de um agente de suporte da Crunchyroll, que trabalhava para a Telus International, uma empresa de terceirização de processos de negócios. Os hackers alegam ter utilizado malware para infectar o computador do agente e obter suas credenciais, o que lhes permitiu acessar diversas aplicações da Crunchyroll, incluindo Zendesk e Google Workspace. Com esse acesso, os atacantes teriam baixado 8 milhões de registros de tickets de suporte, dos quais 6,8 milhões continham endereços de e-mail únicos. Embora alguns dados de cartão de crédito tenham sido expostos, isso ocorreu apenas quando os clientes os compartilharam nos tickets de suporte. Os hackers também enviaram e-mails de extorsão à Crunchyroll, exigindo US$ 5 milhões para não divulgar os dados publicamente. Este incidente destaca a vulnerabilidade das empresas de terceirização, que têm se tornado alvos frequentes de ataques cibernéticos.

Um homem da Carolina do Norte foi condenado por extorquir a Brightly Software, uma empresa de tecnologia baseada em Washington, D.C., enquanto ainda trabalhava como analista de dados. Cameron Curry, de 27 anos, aproveitou seu acesso a informações sensíveis da empresa para roubar documentos e ameaçar vazar dados pessoais de funcionários, exigindo um resgate de 2,5 milhões de dólares. Após o término de seu contrato em dezembro de 2023, ele enviou mais de 60 e-mails de extorsão, incluindo informações pessoais identificáveis (PII) de funcionários, como nomes e endereços. A Brightly pagou 7.540 dólares em Bitcoin para evitar a divulgação dos dados. O FBI prendeu Curry em janeiro de 2024, e ele enfrenta até 12 anos de prisão. Este incidente destaca a vulnerabilidade das empresas a ataques internos e a importância de proteger informações sensíveis, especialmente em um cenário de crescente criminalidade cibernética. Além disso, a Brightly já havia notificado seus clientes sobre um vazamento de dados anterior, afetando quase 3 milhões de usuários, o que levanta preocupações sobre a segurança de dados na era digital.

A empresa de segurança digital Aura confirmou um vazamento de dados que expôs cerca de 900 mil registros de clientes após um ataque de phishing realizado por telefone. O incidente ocorreu quando um funcionário da empresa foi alvo de um golpe, permitindo que o invasor acessasse sua conta por aproximadamente uma hora. Durante esse período, foram extraídos dados de clientes ativos e antigos, incluindo nomes e endereços de e-mail, mas informações sensíveis como números de Seguro Social e dados financeiros não foram comprometidos. A Aura informou que os dados foram retirados de uma ferramenta de marketing adquirida em 2021 e que suas medidas de segurança, como criptografia e acesso restrito, funcionaram conforme o esperado. O grupo ShinyHunters reivindicou a responsabilidade pelo ataque e adicionou a Aura ao seu site de extorsão, alegando ter obtido 12 GB de informações pessoais identificáveis. A empresa está notificando os clientes afetados e não espera que o ataque se agrave.

Um homem de 22 anos do Alabama, Jamarcus Mosley, se declarou culpado por extorsão, ciberstalking e fraudes computacionais após sequestrar contas de redes sociais de centenas de mulheres jovens, incluindo menores. Entre abril de 2022 e maio de 2025, Mosley se passou por amigos das vítimas e utilizou táticas de engenharia social para obter códigos de recuperação de contas e senhas. Com as credenciais roubadas, ele tomou controle de contas do Snapchat, Instagram e outras redes sociais. Após o sequestro, Mosley ameaçou divulgar imagens e vídeos íntimos das vítimas ou bloqueá-las de suas contas, a menos que elas atendessem suas exigências, que incluíam o envio de conteúdo sexual explícito ou pagamento em dinheiro. O promotor dos EUA, Theodore S. Hertzberg, destacou que Mosley explorou a confiança de adolescentes e jovens adultos, resultando em um esquema cruel e calculado. O caso inclui exemplos específicos, como o de uma mulher da Geórgia que foi enganada a compartilhar seu código de recuperação do Snapchat, e outra da Flórida que teve suas fotos íntimas publicadas online após recusar os pedidos de Mosley. Ele deve ser sentenciado em 27 de maio. Este caso é um alerta sobre os riscos de interação online e a necessidade de cautela.

A operação ‘Project Compass’, coordenada pela Europol, resultou na prisão de 30 pessoas e na identificação de 179 suspeitos ligados ao coletivo de cibercrime conhecido como ‘The Com’, que tem como alvo crianças e adolescentes. Desde seu lançamento em janeiro de 2025, a operação envolveu agências de segurança de 28 países e conseguiu identificar 62 vítimas, protegendo diretamente quatro delas. ‘The Com’ é descrito como uma rede descentralizada de criminosos cibernéticos que recrutam jovens para atividades de extorsão, violência e produção de material de exploração sexual infantil (CSAM). A rede opera em diversas plataformas digitais, incluindo redes sociais e aplicativos de mensagens, e é dividida em subgrupos, como o ‘Offline Com’, que promove danos físicos, e o ‘Sextortion Com’, que coage menores a cometer crimes sexuais. Dois líderes do subgrupo ‘764’, que se especializa em aliciar jovens para a produção de conteúdo explícito, foram presos e enfrentam acusações graves. A Europol destaca a importância da cooperação internacional para enfrentar essas ameaças, que exploram a vulnerabilidade dos jovens em ambientes digitais.

O número de vítimas de ransomware que pagaram aos criminosos caiu para 28% no último ano, o menor índice já registrado, apesar do aumento significativo no número de ataques. A plataforma de inteligência em blockchain Chainalysis observou uma tendência de queda nos pagamentos nos últimos quatro anos. Em 2025, os pagamentos totais em ransomware chegaram a $820 milhões, com a expectativa de que esse valor ultrapasse $900 milhões à medida que mais eventos e pagamentos sejam atribuídos. Embora o número total de pagamentos tenha se mantido relativamente estável, o número de ataques de ransomware aumentou 50% em relação ao ano anterior. Em 2024, a taxa de pagamento foi de 62,8%, enquanto em 2022 foi de 78,9%. A análise também revelou que, apesar da queda no número de vítimas que pagam, o valor médio dos resgates aumentou 368%, passando de $12,738 em 2024 para $59,556 em 2025. Os Estados Unidos continuam sendo o país mais visado, seguidos por Canadá, Alemanha e Reino Unido. O relatório destaca que o cenário de ransomware está em adaptação, com grupos de extorsão se diversificando e aumentando a complexidade de seus ataques.

O grupo de extorsão cibernética ShinyHunters divulgou informações pessoais de mais de 12 milhões de registros supostamente roubados da CarGurus, uma plataforma digital de automóveis dos EUA. Em 21 de fevereiro, o grupo publicou um arquivo de 6,1 GB contendo dados como endereços de e-mail, números de telefone, endereços físicos e informações financeiras. Embora a CarGurus não tenha confirmado oficialmente a violação, a plataforma de monitoramento HaveIBeenPwned (HIBP) adicionou os dados ao seu banco, indicando que 70% das informações já estavam disponíveis em incidentes anteriores, resultando em cerca de 3,7 milhões de registros novos. Os usuários da CarGurus são aconselhados a ficarem atentos a comunicações maliciosas que possam explorar essas informações vazadas. O ShinyHunters tem um histórico recente de ataques a grandes empresas, utilizando engenharia social, como phishing por voz, para obter acesso a plataformas SaaS. Este incidente destaca a crescente ameaça de grupos de extorsão e a importância da vigilância contínua em relação à segurança de dados.

A gangue de extorsão ShinyHunters assumiu a responsabilidade por uma violação de dados na operadora de telecomunicações holandesa Odido, resultando no roubo de milhões de registros de usuários. A Odido, uma das maiores empresas de telecomunicações da Holanda, revelou que os atacantes acessaram seu sistema de contato com clientes em 7 de fevereiro e baixaram dados pessoais de aproximadamente 6,2 milhões de clientes. Embora a empresa tenha afirmado que informações sensíveis, como senhas e dados de cobrança, não foram expostas, a ShinyHunters alegou ter roubado quase 21 milhões de registros, incluindo dados corporativos internos e senhas em texto claro. A Odido notificou a Autoridade de Proteção de Dados da Holanda e contratou especialistas em cibersegurança para mitigar os danos. A gangue também emitiu um aviso de extorsão, sugerindo que a empresa deve entrar em contato para evitar a divulgação dos dados. Este incidente se insere em uma série de ataques recentes da ShinyHunters, que visaram outras empresas conhecidas, utilizando técnicas de phishing e vishing para comprometer contas de acesso único (SSO).

As autoridades holandesas prenderam um homem de 40 anos que baixou documentos confidenciais da polícia, que foram compartilhados por engano. O incidente ocorreu quando o suspeito contatou a polícia sobre imagens relevantes para uma investigação em andamento. Um policial, ao responder, enviou um link de download de documentos em vez de um link para upload. O homem baixou os arquivos e, ao ser instruído a deletá-los, se recusou a fazê-lo a menos que recebesse algo em troca, configurando uma tentativa de extorsão. A polícia destacou que o ato de baixar arquivos de um link destinado ao upload pode ser considerado invasão de computador sob a legislação holandesa. Embora não haja evidências de que os documentos tenham sido distribuídos além do suspeito, a polícia iniciou uma investigação e enfatizou a obrigação legal de relatar erros e não acessar documentos não destinados ao receptor. O caso levanta questões sobre a responsabilidade de indivíduos que recebem informações confidenciais por engano e as implicações legais associadas a esses atos.

A Iron Mountain, empresa de armazenamento e recuperação de dados, confirmou que um recente incidente de segurança, atribuído ao grupo de extorsão Everest, envolveu principalmente materiais de marketing. A empresa, com sede em Portsmouth, New Hampshire, e com mais de 240 mil clientes em 61 países, informou que os atacantes acessaram uma única pasta em um servidor de compartilhamento de arquivos utilizando credenciais comprometidas. Segundo a Iron Mountain, não houve envolvimento de ransomware ou malware, e nenhum sistema adicional da empresa foi comprometido. O grupo Everest, que se destacou por suas táticas de extorsão de dados, não conseguiu acessar informações confidenciais ou sensíveis de clientes. A empresa desativou a credencial comprometida e assegurou que a situação está sob controle. O incidente destaca a importância da segurança cibernética, especialmente em um cenário onde grupos como o Everest têm se tornado mais ativos, visando principalmente organizações de saúde e empresas de grande porte. A Iron Mountain reafirma seu compromisso com a proteção de dados e a transparência em suas operações.

A América Latina está enfrentando um aumento alarmante de ataques cibernéticos, tornando-se a região mais atacada do mundo, de acordo com dados da Check Point Research. Em 2025, a média de ataques semanais na região foi de 3.065, um crescimento de 26% em relação ao ano anterior. Essa escalada de incidentes fez com que a América Latina ultrapassasse a África em termos de riscos cibernéticos. Entre os tipos de ataques mais comuns, 76% das organizações afetadas relataram incidentes de extorsão por vazamento de dados, além de tentativas de execução remota de códigos maliciosos e violações de autenticação. Os ataques de ransomware, embora representem apenas 5% dos casos, ainda são uma preocupação significativa. Os países mais afetados incluem Paraguai, Peru, Brasil, México e Argentina, com a Jamaica também sendo mencionada devido à sua proximidade geográfica. Especialistas atribuem esse aumento à forte presença digital e às conexões comerciais internacionais na região, que atraem cibercriminosos em busca de vantagens financeiras.

Recentemente, mais de 200.000 servidores MongoDB foram identificados como mal configurados, com cerca de 3.000 deles expostos sem senhas. Esses servidores estão sendo alvo de ataques de extorsão, onde hackers apagaram dados e deixaram notas de resgate exigindo pagamentos em bitcoin. A pesquisa da Flare revelou que aproximadamente metade dos servidores expostos contém informações operacionais sensíveis. Além disso, muitos desses servidores estão rodando versões desatualizadas do MongoDB, que são vulneráveis a falhas conhecidas e desconhecidas, aumentando o risco de acesso persistente e negação de serviço (DoS). Os administradores de sistemas são aconselhados a verificar suas configurações e garantir que suas instâncias não estejam expostas à internet sem as devidas proteções, como senhas fortes e regras de firewall rigorosas. O cenário é alarmante, pois a maioria dos servidores vulneráveis pode ser facilmente acessada, e a falta de segurança pode resultar em perdas significativas de dados e financeiros.

A Mandiant, empresa de cibersegurança pertencente ao Google, identificou um aumento nas atividades de grupos de hackers, como o ShinyHunters, que utilizam táticas de engenharia social para realizar ataques de extorsão. Esses ataques envolvem phishing por voz (vishing) e sites falsos de coleta de credenciais, visando obter acesso não autorizado a ambientes de empresas, especialmente em aplicações de software como serviço (SaaS). O objetivo final é roubar dados sensíveis e extorquir as vítimas. Os grupos estão sendo monitorados sob diferentes clusters, como UNC6661 e UNC6671, que têm se mostrado adaptáveis em suas táticas. A Mandiant recomenda que as empresas adotem medidas de segurança, como a implementação de autenticação multifatorial resistente a phishing e melhorias nos processos de suporte técnico. A situação destaca a eficácia da engenharia social e a necessidade de as organizações se protegerem contra essas ameaças emergentes.

O aumento da sofisticação do cibercrime tem levado agências de segurança a intensificarem suas ações em nível global. Um novo estudo apresenta um conjunto de dados com 418 operações de aplicação da lei entre 2021 e 2025, coletadas pela Orange Cyberdefense. Os dados revelam que a extorsão, incluindo ransomware, é o crime mais abordado, seguido pela instalação de malware e invasões. As prisões representam 29% das ações, com um foco claro na responsabilização individual. Além disso, as operações de desmantelamento de plataformas ilícitas e a aplicação de sanções estão se tornando cada vez mais comuns, refletindo uma abordagem mais abrangente para combater o cibercrime. O estudo também destaca a liderança dos Estados Unidos, que participou de 45% das ações, enquanto países como Alemanha, Reino Unido e França também desempenham papéis significativos. A análise sugere que as motivações por trás do cibercrime estão se tornando mais complexas, misturando interesses financeiros, políticos e ideológicos, o que desafia as distinções tradicionais entre atividades criminosas e ideológicas.

Uma grave violação de segurança no SoundCloud comprometeu cerca de 29,8 milhões de contas, afetando aproximadamente 20% dos usuários da plataforma de streaming de áudio. O ataque, que ocorreu em dezembro de 2025, foi atribuído ao grupo hacker ShinyHunters, que também tentou extorquir a empresa. Os usuários relataram dificuldades de acesso ao serviço, mesmo ao tentarem utilizar VPNs. Embora o SoundCloud tenha confirmado a invasão, inicialmente não forneceu muitos detalhes, mas posteriormente revelou que os dados vazados incluíam endereços de e-mail, nomes, localizações geográficas e estatísticas de perfil, além de informações que já eram públicas. A situação foi analisada pelo site Have I Been Pwned, que confirmou a exposição de dados pessoais. A empresa tomou medidas para mitigar o problema, mas ainda não se pronunciou sobre as atualizações mais recentes do caso. O incidente destaca a vulnerabilidade de plataformas populares e a necessidade de medidas de segurança robustas para proteger dados sensíveis dos usuários.

Hackers comprometeram a segurança do SoundCloud, resultando no roubo de informações pessoais de mais de 29,8 milhões de contas de usuários. O incidente foi confirmado pela plataforma em 15 de dezembro, após relatos de usuários que enfrentaram dificuldades de acesso e erros 403 ao tentar se conectar via VPN. A empresa ativou seus procedimentos de resposta a incidentes ao detectar atividades não autorizadas em um painel de serviço auxiliar. Embora o SoundCloud tenha afirmado que dados sensíveis, como informações financeiras e senhas, não foram acessados, o ataque expôs endereços de e-mail e dados que já eram públicos nos perfis dos usuários. A gangue de extorsão ShinyHunters foi identificada como responsável pelo ataque, que também tentou extorquir a plataforma. O serviço de notificação de vazamentos Have I Been Pwned confirmou que os dados comprometidos incluíam 30 milhões de endereços de e-mail, nomes, nomes de usuário e estatísticas de perfil. O incidente destaca a vulnerabilidade das plataformas digitais e a necessidade de medidas de segurança robustas para proteger dados de usuários.

O cenário do ransomware em 2025 passou por uma transformação significativa, deixando de ser um problema puramente tecnológico para se tornar uma campanha de extorsão sistemática. As operações de ransomware evoluíram para táticas que vão além da simples criptografia de arquivos, utilizando dados roubados, responsabilidade legal e pressão psicológica em larga escala. Após a desarticulação de grupos como LockBit e BlackSuit em 2024, o ecossistema de ransomware se fragmentou, tornando a atribuição e a interrupção mais difíceis. As campanhas atuais empregam uma variedade de táticas, incluindo extorsão dupla, onde os atacantes não apenas criptografam dados, mas também ameaçam divulgar informações sensíveis publicamente. Pequenas e médias empresas (PMEs) se tornaram alvos preferenciais, especialmente em regiões com alta regulamentação, onde as consequências legais de vazamentos de dados são severas. A pesquisa revela que mais de 90% das vítimas do ransomware SafePay eram PMEs, indicando uma estratégia deliberada de ataque. Além disso, os atacantes utilizam táticas psicológicas para manipular suas vítimas, como pressão temporal e medo de repercussões legais, tornando a extorsão mais eficaz. As organizações precisam repensar suas estratégias de defesa e resposta a incidentes para lidar com essa nova realidade.

O grupo de extorsão ShinyHunters está por trás de uma série de ataques de vishing, visando contas de autenticação única (SSO) em plataformas como Okta, Microsoft e Google. Os atacantes se passam por suporte de TI e ligam para funcionários, induzindo-os a inserir suas credenciais e códigos de autenticação multifator (MFA) em sites de phishing que imitam portais de login corporativos. Uma vez que as contas SSO são comprometidas, os atacantes têm acesso a uma gama de aplicativos e serviços conectados, como Salesforce e Microsoft 365, facilitando o roubo de dados corporativos. A Okta confirmou a utilização de kits de phishing que permitem aos atacantes manipular o que a vítima vê em tempo real durante a ligação, guiando-os no processo de login e autenticação. O grupo ShinyHunters também afirmou que está utilizando dados de violações anteriores para identificar e contatar os funcionários, tornando os ataques mais convincentes. A situação é preocupante, pois as contas SSO comprometidas podem servir como portas de entrada para sistemas corporativos inteiros, aumentando o risco de extorsão e vazamento de dados.

Autoridades de segurança da Ucrânia e da Alemanha identificaram dois ucranianos suspeitos de atuar no grupo de ransomware Black Basta, vinculado à Rússia. O líder do grupo, Oleg Evgenievich Nefedov, foi incluído na lista dos mais procurados da União Europeia e no Aviso Vermelho da INTERPOL. Os suspeitos eram especializados em hacking técnico e na extração de senhas, permitindo que o grupo invadisse redes corporativas e extorquisse dinheiro por meio de ransomware. As investigações resultaram em buscas nas residências dos acusados, onde foram apreendidos dispositivos digitais e ativos em criptomoedas. O Black Basta, que surgiu em abril de 2022, é responsável por ataques a mais de 500 empresas em várias regiões, acumulando centenas de milhões de dólares em pagamentos ilícitos. Apesar de uma aparente queda após vazamentos de informações internas, a possibilidade de rebranding e reemergência do grupo é alta, com suspeitas de que ex-membros possam ter migrado para outras operações de ransomware, como a CACTUS.

O Grubhub, uma plataforma popular de entrega de alimentos e supermercado, confirmou ter sido alvo de um ataque cibernético que resultou em uma violação de dados. Criminosos digitais conseguiram acessar sistemas da empresa, embora o Grubhub tenha assegurado que informações sensíveis de clientes, como dados financeiros e histórico de pedidos, não foram comprometidas. A empresa está enfrentando um cenário de extorsão e já notificou as autoridades competentes, além de estar colaborando com uma empresa de segurança para investigar o incidente. Apesar da confirmação do ataque, o Grubhub não forneceu detalhes sobre a origem da violação ou a identidade dos atacantes. Fontes sugerem que o grupo hacker ShinyHunters pode estar por trás da extorsão, exigindo um pagamento em Bitcoin para evitar a divulgação de dados antigos. Este ataque ocorre em um contexto em que a plataforma já havia enfrentado problemas relacionados a e-mails fraudulentos no final de 2025, levantando preocupações sobre a segurança de suas operações.

A plataforma de entrega de alimentos Grubhub confirmou uma recente violação de dados, onde hackers acessaram seus sistemas e estão exigindo pagamentos em Bitcoin para não divulgar informações sensíveis. A empresa declarou que indivíduos não autorizados baixaram dados de certos sistemas, mas garantiu que informações financeiras e histórico de pedidos não foram afetados. Grubhub está colaborando com uma empresa de cibersegurança e notificou as autoridades. O incidente ocorre em meio a um aumento de e-mails fraudulentos associados à empresa, que promoviam um golpe de criptomoeda. Fontes indicam que o grupo de cibercrime ShinyHunters está por trás da extorsão, exigindo pagamento para evitar a divulgação de dados antigos e novos, que foram obtidos em um ataque recente. A violação pode estar relacionada a credenciais roubadas durante ataques anteriores a outras plataformas, como Salesloft. Especialistas alertam que organizações afetadas devem rotacionar todas as credenciais comprometidas o mais rápido possível para mitigar riscos futuros.

O cenário de cibersegurança está em constante evolução, com ameaças cada vez mais sofisticadas e direcionadas. Um relatório recente da Bridewell destaca a crescente incidência de táticas de roubo de dados e extorsão, onde grupos de ransomware, como Warlock e Clop, têm priorizado a exfiltração de informações sensíveis em vez da simples criptografia de dados. O ataque à Colt Technology Services, que resultou no roubo de centenas de gigabytes de dados, exemplifica essa mudança de abordagem, onde os atacantes ameaçaram divulgar informações se o resgate não fosse pago. Além disso, a exploração de vulnerabilidades em dispositivos de rede e software de transferência de arquivos, como o MOVEit, tem sido uma estratégia comum entre os cibercriminosos. Os grupos de ransomware também estão se adaptando para evitar sistemas de Detecção e Resposta de Endpoint (EDR), utilizando ferramentas que se disfarçam como operações normais do sistema. À medida que as organizações enfrentam essas ameaças, é crucial que implementem medidas proativas de segurança, como o monitoramento contínuo e a atualização de sistemas, para se protegerem contra esses ataques em evolução.

No terceiro trimestre de 2025, a pesquisa da Check Point revelou um aumento alarmante no número de grupos de ransomware ativos, totalizando 85, o maior já registrado. Esses grupos foram responsáveis pela divulgação de 1.592 novas vítimas em mais de 85 sites de vazamento, indicando uma atividade intensa e contínua, mesmo sob pressão das autoridades. A fragmentação do mercado de ransomware, antes dominado por grandes grupos de Ransomware-as-a-Service (RaaS), agora abriga uma variedade de operações menores e independentes, dificultando a atribuição de ataques e a eficácia das estratégias de defesa. Apesar de operações de desmantelamento de grupos como RansomHub e 8Base, a quantidade de ataques não diminuiu, pois os afiliados se reorganizam rapidamente. A reemergência do LockBit com sua versão 5.0 sugere uma possível recente centralização, oferecendo uma estrutura que pode atrair novos afiliados. Além disso, a evolução do DragonForce, que busca visibilidade através de parcerias e serviços de auditoria de dados, reflete uma mudança no marketing dentro do cibercrime. Com os Estados Unidos como principal alvo, a situação exige atenção redobrada das equipes de segurança cibernética, que devem se adaptar a um cenário em constante mudança.

Um novo relatório da CISA (Agência de Segurança Cibernética e Infraestrutura) revela que o grupo de ransomware Akira impactou mais de 250 organizações na América do Norte, Europa e Austrália desde março de 2023, coletando cerca de 42 milhões de dólares em resgates. O grupo, que visa principalmente pequenas e médias empresas, também comprometeu grandes organizações em setores críticos como manufatura, educação, TI, saúde, serviços financeiros e agricultura. O modelo de extorsão dupla utilizado pelo Akira envolve a exfiltração de dados sensíveis antes de criptografar os arquivos das vítimas, ameaçando vazamentos públicos caso o pagamento não seja feito. Desde abril de 2023, o Akira expandiu suas operações para incluir variantes que atacam sistemas Linux, demonstrando uma evolução técnica significativa. As táticas de ataque incluem a exploração de vulnerabilidades em produtos VPN não corrigidos, phishing direcionado e ataques de força bruta. A CISA recomenda que as organizações priorizem a correção de vulnerabilidades conhecidas, implementem autenticação multifator resistente a phishing e mantenham backups offline testados. O impacto do Akira ressalta a necessidade urgente de aprimorar a detecção de ameaças e preparar planos de resposta abrangentes.

O Google Maps implementou uma nova funcionalidade que permite aos comerciantes reportarem tentativas de extorsão ligadas a avaliações falsas. Com o aumento de táticas de ‘review-bombing’, golpistas inundam perfis de empresas com avaliações negativas e, em seguida, contatam os proprietários exigindo pagamento para cessar a campanha de difamação. Essa prática prejudica a reputação de negócios legítimos, especialmente pequenos empreendimentos que dependem de avaliações para atrair clientes. O novo recurso de denúncia oferece um canal direto para que os comerciantes informem o Google sobre essas tentativas, permitindo uma investigação mais rápida e a remoção de conteúdo malicioso. O Google recomenda que os proprietários não interajam com os extorsionistas e preservem evidências, como capturas de tela e registros de comunicação, para fortalecer suas denúncias. Essa iniciativa visa não apenas proteger os negócios, mas também desmantelar redes de extorsão organizadas.

O Google anunciou uma nova funcionalidade que permite que empresas listadas no Google Maps relatem tentativas de extorsão por parte de criminosos que publicam avaliações negativas falsas e exigem resgates para removê-las. Essa prática, conhecida como ‘review bombing’, visa prejudicar a reputação de negócios. Laurie Richardson, vice-presidente de Confiança e Segurança do Google, destacou que os golpistas inundam perfis de empresas com avaliações de uma estrela e, em seguida, contatam os proprietários para exigir pagamento, ameaçando escalar a situação caso não sejam atendidos. Além disso, o Google alertou sobre outros tipos de fraudes, como golpes de emprego online, fraudes relacionadas a produtos de IA, aplicativos VPN maliciosos e golpes de recuperação de fraudes. Os usuários são aconselhados a ter cautela ao receber mensagens inesperadas e a baixar aplicativos apenas de fontes confiáveis. O artigo também menciona que a Meta, controladora do Facebook, está enfrentando críticas por permitir que anúncios fraudulentos proliferem em sua plataforma, com estimativas de que esses anúncios possam representar até 10,1% de sua receita total. A situação destaca a necessidade de vigilância constante contra fraudes online e a importância de medidas proativas para proteger empresas e consumidores.

Um novo consórcio de cibercriminosos, denominado Scattered LAPSUS$ Hunters (SLH), surgiu a partir da fusão de três grupos notórios: Scattered Spider, ShinyHunters e LAPSUS$. De acordo com a equipe de inteligência de ameaças da Trustwave SpiderLabs, o SLH é descrito como uma “aliança federada” que oferece Extorsão como Serviço (EaaS), herdando características operacionais do ecossistema cibercriminoso conhecido como The Com. O grupo utiliza o Telegram como plataforma de coordenação e identidade pública, mesclando motivação financeira com um estilo hacktivista. Desde sua primeira aparição em agosto de 2025, o SLH tem demonstrado uma notável capacidade de adaptação, reestabelecendo sua presença mesmo após frequentes desmantelamentos. O grupo promove seu modelo EaaS, convidando afiliados a “alugar” sua marca para campanhas de extorsão. Além disso, o SLH está desenvolvendo um ransomware chamado “Sh1nySp1d3r”. As táticas do grupo incluem engenharia social avançada e exploração de vulnerabilidades, como CVE-2025-31324 e CVE-2025-61882, indicando uma possível colaboração com outros operadores de ransomware. A análise sugere que o SLH representa uma reestruturação estratégica de operadores veteranos, sinalizando um novo modelo de ciberextorsão para 2026.

Dois ex-profissionais de segurança cibernética, Ryan Clifford Goldberg e Kevin Tyler Martin, foram acusados de liderar uma operação de ransomware sofisticada que visava empresas americanas. Entre maio de 2023 e abril de 2025, eles supostamente utilizaram a variante ALPHV BlackCat para atacar pelo menos cinco grandes corporações em setores como dispositivos médicos e farmacêuticos. As acusações incluem conspiração para extorsão e danos intencionais a computadores protegidos. Os criminosos operavam por meio de um painel na dark web, onde as vítimas podiam negociar pagamentos em criptomoedas. O caso destaca a crescente capacidade das autoridades de rastrear cibercriminosos, mesmo em um ambiente de criptomoedas, e representa um aumento significativo nas ações legais contra operadores de ransomware. Os réus enfrentam penas de até 20 anos de prisão por extorsão e 10 anos por danos a computadores, além de possíveis multas e confisco de ativos relacionados ao esquema de ransomware.

Três indivíduos foram acusados de invadir redes de cinco empresas nos EUA utilizando o ransomware BlackCat, também conhecido como ALPHV, entre maio e novembro de 2023. Os acusados, Ryan Clifford Goldberg, Kevin Tyler Martin e um co-conspirador não identificado, teriam atacado uma empresa de dispositivos médicos na Flórida, uma farmacêutica em Maryland, um consultório médico na Califórnia, uma empresa de engenharia na Califórnia e um fabricante de drones na Virgínia. Os ataques resultaram em extorsões, com a empresa de dispositivos médicos pagando cerca de 1,27 milhão de dólares em criptomoeda, embora os outros ataques não tenham gerado pagamentos. Os acusados foram identificados como negociadores de ameaças de ransomware e um gerente de resposta a incidentes em empresas de cibersegurança. As acusações incluem conspiração para interferir no comércio interestadual por extorsão e danos intencionais a computadores protegidos, com penas que podem chegar a 50 anos de prisão. O caso destaca a crescente ameaça do ransomware e a necessidade de vigilância constante na segurança cibernética.

O grupo de ransomware Akira anunciou em 29 de outubro de 2025 que conseguiu invadir os sistemas do Apache OpenOffice, exfiltrando 23 gigabytes de dados corporativos sensíveis. Conhecido por suas táticas de dupla extorsão, o grupo ameaçou divulgar as informações caso um resgate não fosse pago. O Apache OpenOffice, uma ferramenta de produtividade de código aberto amplamente utilizada, não teve seus servidores de download comprometidos, garantindo a segurança das instalações dos usuários até o momento. Os dados supostamente roubados incluem registros pessoais de funcionários, como endereços, números de telefone, datas de nascimento, além de informações financeiras e documentos confidenciais internos. A Apache Software Foundation ainda não confirmou a violação, levantando dúvidas sobre a autenticidade dos dados. O incidente destaca os riscos crescentes enfrentados por organizações de software de código aberto, que frequentemente operam com recursos limitados de cibersegurança. A situação é um alerta para a necessidade de maior investimento em segurança cibernética para proteger infraestruturas digitais críticas.

Um novo grupo de cibercrime, denominado Scattered Lapsus$ Hunters, lançou uma campanha de extorsão visando inquilinos corporativos da Salesforce em todo o mundo. Este grupo, associado a uma aliança chamada ‘Trinity of Chaos’, afirma ter roubado mais de um bilhão de registros da Salesforce entre maio e setembro de 2025, afetando grandes organizações como Toyota, FedEx e Disney. A campanha utiliza um modelo de extorsão como serviço (EaaS), onde os atacantes não criptografam dados, mas ameaçam divulgar informações sensíveis se o resgate não for pago. A técnica de phishing por voz (vishing) foi uma das principais táticas utilizadas, enganando as vítimas para que autorizassem integrações maliciosas em seus portais Salesforce. Embora o FBI tenha conseguido apreender a infraestrutura do grupo na superfície da web, a operação ainda está ativa no darknet. Especialistas em segurança alertam que essa mudança de foco para a monetização de dados representa um novo desafio para as organizações, que devem adotar controles de acesso rigorosos e monitorar continuamente suas credenciais expostas.