Hacktivismo

Um grupo de hackers ligado ao Irã, conhecido como Handala Hack Team, invadiu a conta de e-mail pessoal de Kash Patel, diretor do FBI, e divulgou uma série de fotos e documentos na internet. O FBI confirmou que os e-mails de Patel foram alvo de ataque, mas assegurou que os dados vazados são de natureza histórica e não contêm informações governamentais. O Handala Hack é associado ao Ministério da Inteligência e Segurança do Irã e tem um histórico de ataques direcionados a provedores de serviços de TI, utilizando credenciais comprometidas para obter acesso inicial. Recentemente, o grupo também foi responsável por um ataque destrutivo à Stryker, uma empresa da Fortune 500, onde deletou dados e limpou dispositivos de funcionários. O ataque é considerado um marco na ameaça à cadeia de suprimentos, especialmente no setor de saúde. Em resposta a operações de combate ao cibercrime, o Handala Hack divulgou os e-mails de Patel, que incluem comunicações de 2010 a 2019. O governo dos EUA está oferecendo uma recompensa de 10 milhões de dólares por informações sobre os membros do grupo, que tem utilizado táticas de engenharia social e malware para atingir dissidentes e jornalistas. O FBI e a CISA emitiram orientações para reforçar a segurança de domínios do Windows e do Microsoft Intune, visando prevenir ataques semelhantes.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para organizações americanas sobre a necessidade de fortalecer as configurações do Microsoft Intune, após um ataque cibernético que comprometeu os sistemas da Stryker Corporation, uma gigante da tecnologia médica. O ataque, reivindicado pelo grupo hacktivista Handala, resultou no roubo de 50 terabytes de dados e na utilização do comando de limpeza do Intune para apagar quase 80 mil dispositivos. Os hackers conseguiram criar uma nova conta de Administrador Global após comprometer uma conta de administrador existente. A CISA recomenda que as organizações adotem uma abordagem de menor privilégio para funções administrativas, implementem autenticação multifator (MFA) e exijam aprovação de múltiplos administradores para ações sensíveis, como a limpeza de dispositivos. Essas práticas visam aumentar a resiliência das organizações contra ataques semelhantes. O grupo Handala, vinculado ao Irã, é conhecido por suas operações de hacktivismo e por vazar dados sensíveis de sistemas comprometidos. O alerta da CISA destaca a importância de medidas proativas para proteger ambientes de gerenciamento de endpoints.

O FBI confiscou dois domínios utilizados pelo grupo hacktivista Handala, após um ataque cibernético devastador à gigante de tecnologia médica Stryker, que resultou na exclusão de aproximadamente 80.000 dispositivos. Os sites handala-redwanted[.]to e handala-hack[.]to agora exibem um aviso de apreensão, indicando que a ação foi realizada com um mandado emitido pelo Tribunal Distrital de Maryland. O aviso menciona que os domínios foram usados para facilitar atividades cibernéticas maliciosas em coordenação com um ator estatal estrangeiro. O Handala, vinculado ao Irã, é conhecido por realizar ataques direcionados a organizações israelenses, utilizando malware destrutivo. Após o ataque à Stryker, que envolveu a criação de uma conta de administrador global e o envio de um comando de ‘wipe’ pelo Microsoft Intune, a empresa e a CISA emitiram orientações para reforçar a segurança dos domínios Windows e do Intune. O Handala reconheceu a apreensão e afirmou que está trabalhando na criação de novas plataformas digitais para continuar suas operações.

Pesquisadores em cibersegurança alertam sobre um aumento significativo na atividade hacktivista em resposta à campanha militar coordenada entre os EUA e Israel contra o Irã, denominada Epic Fury e Roaring Lion. Entre 28 de fevereiro e 2 de março de 2026, 149 ataques DDoS foram registrados, com 70% deles atribuídos a dois grupos principais: Keymous+ e DieNet. O grupo Hider Nex, que apoia causas pró-Palestina, foi responsável pelo primeiro ataque DDoS da série. A maioria dos ataques se concentrou no Oriente Médio, afetando principalmente a infraestrutura pública e alvos governamentais. Além disso, grupos hacktivistas pro-Rússia também reivindicaram invasões em redes militares israelenses. O cenário atual é marcado por uma combinação de ataques cibernéticos e campanhas de phishing, com o objetivo de causar danos econômicos e políticos. As organizações estão sendo aconselhadas a fortalecer suas posturas de segurança cibernética, especialmente em setores críticos como governo, infraestrutura e finanças, em resposta ao aumento da atividade de atores cibernéticos iranianos e hacktivistas.

As autoridades espanholas prenderam quatro supostos membros do grupo hacktivista ‘Anonymous Fénix’, que é acusado de realizar ataques cibernéticos contra ministérios, partidos políticos e instituições públicas. O grupo, que se dizia afiliado ao coletivo Anonymous, executou ataques de negação de serviço distribuída (DDoS) em alvos na Espanha e em países da América do Sul. Os primeiros ataques ocorreram em abril de 2023 e aumentaram após as inundações em Valência em outubro de 2024, quando o grupo atacou sites do governo, alegando que as autoridades eram responsáveis pelas mortes e destruição causadas pela tempestade. Além disso, o grupo utilizou plataformas como X e Telegram para disseminar mensagens anti-governamentais e recrutar voluntários. A Guarda Civil da Espanha prendeu o administrador e o moderador do grupo em maio de 2025, e, após investigações, identificou e prendeu outros dois membros ativos. As autoridades também ordenaram a apreensão das contas do grupo nas redes sociais e o fechamento de seu canal no Telegram. Não foram divulgados detalhes sobre as acusações específicas ou possíveis penalidades.

Um hacktivista revelou mais de 500 mil registros confidenciais de usuários de aplicativos stalkerware, que são softwares utilizados para monitorar pessoas sem seu consentimento. O vazamento ocorreu a partir de falhas de segurança em uma empresa ucraniana chamada Struktura, que desenvolve aplicativos como Geofinder e uMobix, além do serviço Peekviewer, que permite acesso a contas privadas no Instagram. As informações expostas incluem dados de pagamento e endereços de e-mail dos clientes que utilizavam esses aplicativos para espionagem. O hacktivista alegou que a coleta de dados foi facilitada por um ‘bug trivial’ no site do fornecedor, e as informações foram divulgadas em fóruns da dark web. Este incidente destaca a vulnerabilidade de aplicativos que operam na ilegalidade e a crescente preocupação com a privacidade e a segurança dos dados, especialmente em um contexto onde a coleta de informações pessoais é comum. O vazamento de dados sensíveis não é um caso isolado, já que nos últimos anos houve vários incidentes semelhantes envolvendo aplicativos espiões.

O governo do Reino Unido emitiu um alerta sobre atividades maliciosas contínuas de grupos hacktivistas alinhados à Rússia, que estão visando a infraestrutura crítica e organizações governamentais locais através de ataques de negação de serviço distribuído (DDoS). Esses ataques têm como objetivo derrubar sites e desativar serviços, causando custos elevados para as organizações afetadas. O Centro Nacional de Segurança Cibernética (NCSC) destacou o grupo NoName057(16), que opera o projeto DDoSia, permitindo que voluntários contribuam com recursos computacionais para realizar ataques DDoS em troca de recompensas. Apesar de uma operação internacional que interrompeu parte das atividades do grupo em julho de 2025, os principais operadores ainda estão ativos, o que representa uma ameaça em evolução, especialmente para ambientes de tecnologia operacional (OT). Para mitigar os riscos de DDoS, o NCSC recomenda que as organizações compreendam seus serviços, fortaleçam defesas, projetem para escalabilidade rápida e testem continuamente suas defesas. Os hacktivistas russos têm se tornado uma ameaça crescente desde 2022, visando organizações em países que se opõem às ambições geopolíticas da Rússia.

A Polícia Federal (PF) iniciou a Operação Intolerans para investigar ataques DDoS (Negação de Serviço Distribuída) que afetaram os sites de deputados que apoiaram o PL Antiaborto. O ataque, que ocorreu em 2 de dezembro de 2025, resultou em instabilidade e indisponibilidade das páginas dos parlamentares Eduardo Bolsonaro, Bia Kicis, Alexandre Ramagem e Paulo Bilynsky. Os ataques DDoS ocorrem quando um servidor é sobrecarregado com tráfego malicioso de múltiplas fontes, dificultando o acesso de usuários legítimos. Neste caso, os hackers utilizaram uma botnet, uma rede de dispositivos infectados, para coordenar o ataque, que teve motivações ideológicas e políticas, refletindo um protesto contra o projeto de lei que visa restringir o aborto em casos de violência sexual. Embora não tenha havido roubo de dados, a ação impediu a comunicação institucional dos deputados, o que pode ser considerado um crime de invasão de dispositivo informático. A PF está rastreando os IPs dos envolvidos, evidenciando que o anonimato na internet não é absoluto.

A Protei, uma empresa russa conhecida por desenvolver ferramentas de vigilância como DPI (Deep Packet Inspection) e SORM (Sistema de Interceptação Legal), foi recentemente hackeada, resultando no roubo de 182GB de dados, incluindo anos de correspondência por e-mail. O ataque ocorreu em torno de 8 de novembro e foi realizado por um grupo de hacktivistas que também desfigurou o site da empresa, deixando uma mensagem de oposição ao ecossistema de vigilância da Rússia. A Protei fornece soluções de software e hardware para operadores de telecomunicações e clientes governamentais em diversos países, incluindo Rússia, Belarus e Cuba, permitindo que autoridades monitorem comunicações. O roubo de dados e a desfiguração do site levantam questões sobre a segurança das informações sensíveis e a eficácia das medidas de proteção adotadas por empresas que operam nesse setor. O incidente destaca a crescente atividade de hacktivismo e a vulnerabilidade de empresas que atuam em áreas de vigilância e controle de dados.

O governo canadense emitiu um alerta de segurança sobre ataques realizados por hacktivistas a Sistemas de Controle Industrial (ICS), que incluem infraestruturas críticas como abastecimento de água, petróleo e agricultura. O relatório do Centro Cibernético e da Real Polícia Montada do Canadá menciona incidentes em que atacantes manipularam válvulas de pressão em uma instalação de água, causando degradação no serviço. Além disso, um sistema de medição de tanques de uma empresa de petróleo e gás foi comprometido, gerando alarmes falsos, e um silo de secagem de grãos teve seus níveis de temperatura e umidade alterados, o que poderia ter gerado condições inseguras. O governo canadense destaca que as vulnerabilidades nos ICS decorrem de uma divisão de responsabilidades pouco clara e da falta de proteção adequada dos ativos. Para mitigar esses riscos, recomenda-se a implementação de redes privadas virtuais (VPNs), autenticação em dois fatores (2FA) e sistemas de detecção de ameaças. A comunicação eficaz e a colaboração entre as empresas que operam ICS também são essenciais para proteger esses sistemas críticos.

No período entre 6 e 8 de outubro de 2025, grupos hacktivistas pró-Rússia, especialmente o Sylhet Gang e o NoName057(16), realizaram uma série de ataques cibernéticos coordenados contra sistemas israelenses, em resposta ao aniversário de um evento político significativo. Dados da Radware indicam que mais de 50 alegações de ataques DDoS foram registradas, um aumento de 14 vezes em relação à média diária de setembro. O Sylhet Gang atuou como um núcleo de mobilização, incentivando ações contra a infraestrutura israelense, enquanto o Arabian Ghosts se destacou como o grupo mais ativo, responsável por 40% das declarações de DDoS. Os ataques foram caracterizados por sua brevidade, com a maioria durando menos de 20 minutos, e focaram em alvos de alta visibilidade, como portais governamentais e plataformas de e-commerce. A participação de grupos como o NoName057(16) indica uma ampliação da coordenação entre coletivos hacktivistas com narrativas políticas comuns, refletindo uma nova dinâmica no cenário de cibersegurança global.

Um grupo hacktivista pró-russo, conhecido como TwoNet, foi identificado atacando uma instalação de tratamento de água durante uma operação de honeypot realizada pelos laboratórios Vedere da Forescout em setembro de 2025. O ataque destacou uma mudança nas táticas de hacktivistas, que estão se afastando da simples desfiguração de sites para intrusões mais sofisticadas em sistemas de tecnologia operacional (OT) e controle industrial (ICS). Os atacantes exploraram a autenticação fraca em uma interface homem-máquina (HMI), utilizando credenciais padrão para obter acesso. Após a invasão, eles realizaram consultas SQL para mapear dados e injetaram JavaScript malicioso, alterando a página de login. Além disso, criaram uma conta separada para realizar ações persistentes, como manipulação de dados e desativação de logs de alarmes. A análise revelou que o ataque foi manual, com IPs associados a entidades sancionadas pela UE, e que houve atividades correlacionadas de grupos aliados, aumentando a escalabilidade da ameaça. Especialistas recomendam medidas de endurecimento, como a eliminação de senhas padrão e a segmentação de redes, para mitigar riscos semelhantes.

O cenário de ataques DDoS (Distributed Denial of Service) evoluiu drasticamente, com mais de oito milhões de incidentes registrados globalmente na primeira metade de 2025, segundo pesquisa da NetScout. Esses ataques, que antes eram considerados anomalias raras, agora ocorrem em uma escala quase rotineira, com picos de até 3,12 Tbps na Holanda e 1,5 Gbps nos Estados Unidos. A crescente automação e o uso de botnets, que frequentemente exploram dispositivos comprometidos, como roteadores e dispositivos IoT, têm facilitado a execução desses ataques. A pesquisa destaca que disputas políticas, como as entre Índia e Paquistão e entre Irã e Israel, têm sido catalisadores significativos para essas campanhas de agressão digital. O grupo hacktivista NoName057(16) se destaca, realizando mais de 475 ataques em março de 2025, principalmente contra portais governamentais. A utilização de modelos de linguagem de IA por atacantes tem reduzido as barreiras para novos invasores, permitindo ataques de alta capacidade com conhecimento técnico mínimo. A situação exige que as organizações reavaliem suas defesas tradicionais, que já não são suficientes diante da evolução das táticas de ataque.