Hackers

Uma operação coordenada pela Europol e Eurojust, chamada Operação Endgame, resultou no desmantelamento de uma rede criminosa que disseminava malwares como Rhadamanthys Stealer e Venom RAT, além do bot Elysium. A ação, que ocorreu em 10 de novembro de 2025, levou à prisão do principal suspeito na Grécia e à desativação de mais de mil servidores, além da apreensão de cerca de 20 domínios. Segundo a Europol, a rede de malware afetou centenas de milhares de computadores em todo o mundo, resultando no roubo de milhões de credenciais. O Rhadamanthys Stealer, por exemplo, coletava informações de dispositivos sem que as vítimas percebessem, enquanto o Venom RAT estava associado a ataques de ransomware. A operação também revelou que o cibercriminoso investigado havia coletado cerca de 100 mil carteiras de criptomoedas, representando um valor significativo em euros. A investigação continua, especialmente em relação ao bot Elysium, cuja relação com os outros malwares ainda está sendo analisada.

Dominic Cummings, ex-assessor do ex-primeiro-ministro Boris Johnson, afirmou que hackers chineses acessaram sistemas de segurança de alto nível do governo do Reino Unido por mais de uma década, obtendo informações classificadas, incluindo dados sensíveis conhecidos como ‘Strap’. Cummings alegou que foi informado sobre a violação em 2020 e que a informação comprometida incluía materiais dos serviços de inteligência e do Secretariado de Segurança Nacional. Em resposta, o Gabinete do Primeiro-Ministro negou as alegações, afirmando que os sistemas utilizados para transferir informações sensíveis não foram comprometidos. O ex-chefe do Centro Nacional de Cibersegurança do Reino Unido, professor Ciaran Martin, também desmentiu as afirmações de Cummings, ressaltando que não houve investigação sobre a suposta violação e que os sistemas em questão são projetados para serem seguros e monitorados de forma diferente de sistemas baseados na internet. As declarações de Cummings geraram um debate acalorado, e ele se ofereceu para testemunhar caso o Parlamento inicie uma investigação sobre o assunto.

Recentemente, a Sony enfrentou críticas após o roubo da conta de um influenciador da PlayStation Network (PSN), que não conseguiu assistência adequada do suporte da empresa. O caso destaca a alegação de que funcionários do suporte são mal treinados e, em alguns casos, aceitam subornos para não resolver problemas de contas comprometidas. O incidente mais recente envolveu um caçador de troféus conhecido, que teve sua conta invadida, mesmo com a autenticação de dois fatores ativada. O hacker, que se apresentou como Zzyuj, revelou que era possível obter acesso às contas apenas fornecendo o nome de usuário ao suporte. Este problema não é novo; a PSN já teve um grande vazamento em 2011, quando 77 milhões de contas foram comprometidas. Apesar das promessas de melhorias na segurança, muitos usuários continuam a relatar invasões. A falta de transparência da Sony em relação a brechas de segurança e a ineficácia do suporte têm gerado descontentamento entre os jogadores, que pedem uma resposta da empresa sobre a situação.

O Discord, plataforma popular entre gamers, confirmou um vazamento de dados que comprometeu informações pessoais de aproximadamente 70.000 usuários globalmente. O incidente, que ocorreu devido a uma vulnerabilidade em uma empresa terceirizada de suporte ao consumidor, foi revelado no dia 3 de outubro, com detalhes adicionais divulgados em 8 de outubro. Os hackers acessaram o sistema de suporte por 58 horas, invadindo a conta de um funcionário e obtendo documentos de identificação, como carteiras de motorista e passaportes, que eram utilizados para verificação de idade. Embora o Discord tenha contestado números mais altos divulgados por hackers, que afirmaram ter acessado até 1,6 TB de dados, a empresa garantiu que não pagaria resgate e cortou vínculos com a prestadora de serviços. Informações como endereços de IP, usernames e dados parciais de pagamento também foram expostas. Todos os usuários afetados foram notificados, e a empresa reafirmou seu compromisso com a segurança dos dados dos usuários.

Pesquisadores da Cisco Talos identificaram um grupo de hackers chineses, conhecido como UAT-8099, que manipula mecanismos de busca para infectar servidores, especialmente os da Microsoft (IIS), no Brasil e em outros países. O ataque visa roubar credenciais, arquivos de configuração e certificados de vítimas, incluindo universidades e empresas de tecnologia. O grupo utiliza técnicas de SEO para manter seus sites maliciosos em posições altas nos resultados de busca, empregando malwares como o BadIIS, que possui táticas de evasão de antivírus. Os hackers exploram vulnerabilidades em servidores IIS, como configurações inadequadas e brechas de segurança, criando backdoors para garantir acesso contínuo, mesmo após a remoção de arquivos maliciosos. O uso de ferramentas open-source, como Cobalt Strike, e técnicas de proxy ajudam a evitar a detecção. O impacto ainda não é totalmente claro, mas a situação requer atenção, especialmente para organizações que utilizam servidores IIS.

O jornalista Joe Tidy, correspondente da seção de cibersegurança da BBC, recebeu uma proposta inusitada de um hacker que se identificou como Syn. Ele ofereceu 15% dos lucros de um resgate obtido em um ataque de ransomware à BBC, caso Tidy liberasse o acesso à sua conta corporativa. O caso destaca uma vulnerabilidade pouco discutida: a utilização de agentes internos para facilitar invasões. A comunicação ocorreu via Signal, um aplicativo de mensagens seguras, e foi precedida por um incidente em que um funcionário de TI no Brasil vendeu seu login a cibercriminosos, resultando em uma invasão que custou R$ 500 milhões à empresa. Tidy, que apenas buscava entender o golpe, foi alvo de tentativas de login e notificações de autenticação de dois fatores, uma técnica conhecida como MFA bombing. Após relatar o incidente à equipe de segurança da BBC, ele teve seus acessos revogados. Os hackers, que já atacaram mais de 300 vítimas, tentaram convencer Tidy de que não seriam descobertos, mas acabaram desistindo após dias sem resposta. O caso evidencia a necessidade de discutir as ameaças internas nas organizações, que podem ser tão perigosas quanto as externas.

Um relatório de inteligência consolidado revelou operações de espionagem sofisticadas realizadas por um grupo de hackers conhecido como Salt Typhoon, vinculado ao Ministério da Segurança do Estado da China. Desde 2019, o grupo tem explorado vulnerabilidades em dispositivos de rede, como roteadores e firewalls, para implantar rootkits personalizados. Utilizando técnicas como a execução de binários legítimos para baixar cargas úteis disfarçadas de atualizações de firmware, os hackers conseguem manter a persistência em sistemas comprometidos por longos períodos.

Desde 2019, o grupo de hackers APT Salt Typhoon, apoiado pelo Estado chinês, tem conduzido uma campanha de espionagem altamente direcionada contra redes de telecomunicações globais. Este grupo, alinhado ao Ministério da Segurança do Estado da China, utiliza implantes de firmware personalizados e rootkits em roteadores para manter acesso persistente e discreto em ambientes de telecomunicações nos EUA, Reino Unido, Taiwan e na União Europeia.

As operações começam com a exploração de vulnerabilidades conhecidas em dispositivos de rede, como roteadores e firewalls. Após a invasão, o grupo implanta ferramentas que sobrevivem a atualizações de software, permitindo a coleta de dados sensíveis, como registros de chamadas e informações de roteamento SS7. Um ataque em 2024 resultou no roubo de terabytes de metadados de operadoras como AT&T e Verizon.

O FBI emitiu um alerta sobre atividades de dois grupos hackers, UNC6040 e UNC6395, que atacaram plataformas Salesforce de várias empresas, incluindo Google e Cloudflare. Os ataques, que começaram no final de 2024, utilizam engenharia social e vishing, onde os golpistas se passam por suporte técnico para induzir funcionários a conectar aplicativos OAuth falsos. Isso resultou no vazamento de dados sensíveis e extorsão por parte do grupo ShinyHunters. O UNC6395, por sua vez, explorou brechas na atualização da plataforma Salesforce Drift, permitindo acesso a informações críticas, como senhas e tokens de autenticação. O FBI ainda investiga os responsáveis, mas o grupo ShinyHunters já reivindicou a autoria dos ataques, que também comprometeram sistemas do FBI. As empresas afetadas incluem gigantes como Adidas, Cisco e Palo Alto Networks, levantando preocupações sobre a segurança de dados e a conformidade com a LGPD no Brasil.

Pesquisadores da Universidade de Tecnologia e Design de Cingapura (SUTD) descobriram um conjunto de falhas no firmware de modems 5G, denominado 5Ghoul, que permite a hackers rebaixar silenciosamente smartphones de 5G para 4G, expondo-os a riscos de segurança. O ataque utiliza um toolkit chamado SNI5GECT, que explora uma fase vulnerável de comunicação entre o celular e a torre de transmissão, onde mensagens críticas não são criptografadas. Isso permite que atacantes interceptem e injetem mensagens sem precisar das credenciais privadas do dispositivo. Os testes mostraram uma taxa de sucesso entre 70% e 90% a uma distância de cerca de 20 metros, afetando modelos populares de marcas como Samsung, Google, Huawei e OnePlus. Embora os pesquisadores afirmem que o toolkit é destinado a fins de pesquisa e não para uso criminoso, a possibilidade de derrubar dispositivos ou forçá-los a um downgrade levanta preocupações sobre a resiliência das redes atuais. Até o momento, não há relatos de abusos reais, mas a natureza pública e de código aberto do software aumenta o risco de que atores mal-intencionados possam adaptá-lo para fins prejudiciais.

Em março de 2025, o Google Threat Intelligence Group (GTIG) revelou uma campanha de espionagem cibernética sofisticada atribuída ao grupo de hackers UNC6384, vinculado à República Popular da China (RPC). O foco principal da campanha foram diplomatas e setores governamentais no Sudeste Asiático, mas também afetou organizações globais. Os hackers exploraram uma funcionalidade legítima dos navegadores para detectar portais cativos, utilizando ataques do tipo adversário-no-meio (AitM) em dispositivos comprometidos. Isso permitiu que os atacantes redirecionassem os usuários para uma infraestrutura controlada por eles, onde eram apresentados a uma página de atualização falsa que disfarçava um instalador de malware como uma atualização de plugin do Adobe. O malware, denominado STATICPLUGIN, foi entregue como um instalador assinado digitalmente, levantando questões sobre a origem do certificado utilizado. Após a execução, o STATICPLUGIN baixou um pacote MSI que continha um backdoor chamado SOGU.SEC, permitindo que os hackers exfiltrassem arquivos e executassem comandos remotamente. O GTIG destacou que as táticas de UNC6384 refletem uma tendência mais ampla da RPC em usar malware assinado digitalmente e técnicas de engenharia social para espionagem estratégica. O Google já tomou medidas para bloquear domínios maliciosos e revogar certificados abusados, alertando usuários afetados. A situação destaca a necessidade de uma vigilância constante e de uma reavaliação das práticas de segurança em relação a certificados digitais.