Irã

O FBI confirmou que a conta de e-mail pessoal de seu diretor, Kash Patel, foi comprometida por hackers do grupo Handala, associado ao Irã. A violação ocorreu em meio a um contexto de tensões entre os Estados Unidos e o Irã, com os hackers alegando ter acessado ‘sistemas impenetráveis’ da agência em poucas horas. Embora dados tenham sido roubados, o FBI assegurou que nenhuma informação confidencial do governo foi exposta. Entre os materiais vazados estão imagens e documentos pessoais de Patel, além de e-mails e conversas. A ação foi uma retaliação às operações do FBI, que apreendeu domínios do grupo e ofereceu uma recompensa de até US$ 10 milhões por informações sobre seus membros. O FBI declarou que tomou medidas para mitigar os riscos associados à violação e continua a investigar o incidente.

Pesquisadores em cibersegurança alertam sobre um aumento significativo na atividade hacktivista em resposta à campanha militar coordenada entre os EUA e Israel contra o Irã, denominada Epic Fury e Roaring Lion. Entre 28 de fevereiro e 2 de março de 2026, 149 ataques DDoS foram registrados, com 70% deles atribuídos a dois grupos principais: Keymous+ e DieNet. O grupo Hider Nex, que apoia causas pró-Palestina, foi responsável pelo primeiro ataque DDoS da série. A maioria dos ataques se concentrou no Oriente Médio, afetando principalmente a infraestrutura pública e alvos governamentais. Além disso, grupos hacktivistas pro-Rússia também reivindicaram invasões em redes militares israelenses. O cenário atual é marcado por uma combinação de ataques cibernéticos e campanhas de phishing, com o objetivo de causar danos econômicos e políticos. As organizações estão sendo aconselhadas a fortalecer suas posturas de segurança cibernética, especialmente em setores críticos como governo, infraestrutura e finanças, em resposta ao aumento da atividade de atores cibernéticos iranianos e hacktivistas.

A Amazon confirmou que três de seus data centers da AWS foram atacados por drones nos Emirados Árabes Unidos e no Bahrein, resultando em uma queda significativa nos serviços de computação em nuvem. O ataque, que parece ser uma retaliação do Irã a operações militares dos EUA e Israel, causou danos físicos à infraestrutura, afetando diretamente as regiões ME-CENTRAL-1 e ME-SOUTH-1. As instalações atingidas enfrentaram problemas de abastecimento energético e danos adicionais devido ao combate a incêndios. A Amazon está colaborando com as autoridades locais para restaurar os serviços e recomenda que os clientes façam backup de seus dados em regiões não afetadas, como os EUA ou Ásia Pacífica. O Centro de Ciber Segurança Nacional do Reino Unido já havia alertado sobre o aumento do risco de ciberataques iranianos, o que torna a situação ainda mais crítica para empresas que dependem da AWS.

Após um ataque aéreo dos Estados Unidos que resultou na morte do líder iraniano Ali Khamenei, o Irã está se preparando para responder com ciberataques, conforme indicado por John Hultquist, analista-chefe do Grupo de Inteligência de Ameaças da Google. Durante um evento em Londres, Hultquist destacou que o país poderá direcionar suas ações contra alvos no Oriente Médio e em outras regiões, especialmente aqueles com segurança cibernética mais fraca. O especialista observou que a linha entre o governo iraniano e grupos hacktivistas tem se tornado cada vez mais tênue, o que pode facilitar a realização de ataques cibernéticos. O Centro Nacional de Ciber Segurança do Reino Unido alertou organizações ocidentais a revisarem suas posturas de segurança, uma vez que a guerra moderna é híbrida, envolvendo tanto frentes físicas quanto digitais. O cenário atual sugere que países vizinhos ao Irã, como Bahrein, Emirados Árabes Unidos e Jordânia, estão sob risco de sofrer ataques cibernéticos, o que exige uma atenção redobrada das empresas que operam na região.

O Centro Nacional de Cibersegurança do Reino Unido (NCSC) emitiu um alerta para organizações britânicas sobre o aumento do risco de ciberataques patrocinados pelo Irã, em meio ao conflito em andamento no Oriente Médio. Embora não haja uma mudança significativa na ameaça cibernética direta do Irã para o Reino Unido, o NCSC enfatiza que a situação pode evoluir rapidamente. O aviso é especialmente relevante para entidades com presença ou cadeias de suprimentos na região. Apesar do apagão de internet imposto pelo regime iraniano, grupos de hackers apoiados pelo Estado ainda podem realizar ataques. O NCSC recomenda que as organizações britânicas se preparem para possíveis ciberataques, seguindo diretrizes sobre ataques DDoS, atividades de phishing e segurança de sistemas de controle industrial (ICS). Jonathon Ellison, diretor de Resiliência Nacional do NCSC, destacou a importância de as organizações permanecerem alertas e fortalecerem suas posturas de segurança cibernética. Este alerta segue uma advertência anterior do Departamento de Segurança Interna dos EUA sobre riscos crescentes de ciberataques por grupos de hackers apoiados pelo Irã, refletindo a crescente preocupação com a segurança cibernética em um cenário global instável.

A Windscribe, provedora de VPN, anunciou novas funcionalidades para ajudar usuários no Irã e na Rússia a contornar as crescentes restrições de acesso à internet. A empresa está priorizando a implementação do protocolo AmneziaWG, que visa driblar técnicas avançadas de Inspeção Profunda de Pacotes (DPI) ao simular tráfego web comum. Recentemente, o governo iraniano iniciou um sistema de whitelist, restringindo o acesso a um número limitado de sites, o que torna o uso de VPNs ainda mais desafiador. A Windscribe está desenvolvendo um sistema adicional para combater essa nova abordagem de bloqueio. A empresa planeja lançar uma versão beta do aplicativo para Android e Windows, com a expectativa de que todos os usuários, incluindo os do serviço gratuito, tenham acesso às novas funcionalidades. O CEO da Windscribe, Yegor Sak, destacou que a equipe está trabalhando para garantir que as soluções sejam eficazes e acessíveis, especialmente em um momento crítico de censura na internet. A mudança para um sistema de whitelist no Irã e a evolução das técnicas de bloqueio na Rússia exigem que os provedores de VPN se adaptem rapidamente a essas novas ameaças.

O Irã continua a manter a proibição do Telegram, que já dura sete anos, e um legislador iraniano atribui essa situação à chamada ‘máfia das VPNs’. O secretário da Comissão de Indústrias e Minas do parlamento, Mostafa Pourdehghan, afirmou que o lobby em favor da venda de VPNs, que movimenta cerca de 50 trilhões de tomans (aproximadamente 450 milhões de dólares), está impedindo a liberação do aplicativo. Desde 2018, os cidadãos iranianos têm acesso ao Telegram apenas por meio de VPNs, devido a restrições impostas em nome da segurança nacional. Apesar de o governo estar em conversações para potencialmente desbloquear o serviço, as condições impostas incluem a limitação de conteúdo considerado provocativo e a colaboração com a justiça iraniana em solicitações de dados. Essas exigências, segundo Pourdehghan, estão em desacordo com os princípios de liberdade de expressão defendidos pelo fundador do Telegram, Pavel Durov. A crescente utilização de VPNs no Irã, que atinge cerca de 90% da população, reflete a repressão à liberdade de acesso à internet, com a maioria das plataformas de redes sociais ainda bloqueadas no país. A situação levanta preocupações sobre a liberdade digital e os direitos dos cidadãos no Irã.

Um novo grupo de ciberespionagem, codinome UNK_SmudgedSerpent, foi identificado como responsável por uma série de ataques cibernéticos direcionados a acadêmicos e especialistas em política externa entre junho e agosto de 2025, em meio a tensões geopolíticas entre Irã e Israel. Segundo a Proofpoint, os ataques utilizam iscas políticas, como mudanças sociais no Irã e investigações sobre a militarização do Corpo da Guarda Revolucionária Islâmica (IRGC). As táticas empregadas são semelhantes às de grupos de espionagem cibernética iranianos anteriores, como TA455 e TA453, com e-mails que se assemelham a ataques clássicos de phishing. Os atacantes se envolvem em conversas benignas antes de tentarem roubar credenciais, utilizando URLs maliciosas que disfarçam instaladores de software legítimos, como o PDQ Connect. A operação sugere uma evolução na cooperação entre entidades de inteligência iranianas e unidades cibernéticas, focando na coleta de informações sobre análises de políticas ocidentais e pesquisas acadêmicas. O ataque destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger informações sensíveis.