Linux

Uma vulnerabilidade crítica no sistema operacional Linux, identificada como CVE-2026-46333, foi revelada pela Qualys. Essa falha, que existe desde 2016, permite que usuários comuns ou atacantes maliciosos obtenham acesso administrativo em sistemas vulneráveis. A vulnerabilidade afeta distribuições populares como Debian, Ubuntu e Fedora, e ocorre durante um breve intervalo em que um processo privilegiado está encerrando, permitindo que usuários não privilegiados acessem arquivos e conexões abertas. A Qualys demonstrou a exploração da falha em instalações padrão dessas distribuições. A pontuação de severidade da vulnerabilidade é de 5.5/10, considerada média. Os administradores devem aplicar atualizações de segurança imediatamente, e aqueles que não puderem fazê-lo devem aumentar a proteção do sistema. A falha foi reportada à equipe de segurança do kernel do Linux, que lançou um patch rapidamente. É aconselhável que sistemas com usuários locais não confiáveis tratem chaves SSH e credenciais como comprometidas e as rotacionem o mais rápido possível.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo malware para Linux chamado Showboat, que tem sido utilizado em uma campanha direcionada a um provedor de telecomunicações no Oriente Médio desde pelo menos meados de 2022. O Showboat é um framework modular de pós-exploração, capaz de criar um shell remoto, transferir arquivos e atuar como um proxy SOCKS5. Acredita-se que o malware esteja associado a grupos de ameaças vinculados à China, com conexões identificadas entre servidores de comando e controle (C2) e endereços IP localizados em Chengdu, na China. Um dos grupos envolvidos é o Calypso, ativo desde 2016, que já atacou instituições estatais em diversos países, incluindo Brasil e Índia. O malware foi classificado como um backdoor sofisticado com capacidades semelhantes a rootkits, e sua entrega ainda não foi determinada. O Showboat é projetado para coletar informações do sistema e se esconder no dispositivo infectado, utilizando um código hospedado no Pastebin. Além disso, a análise da infraestrutura revelou vítimas em Afeganistão e Azerbaijão, além de possíveis compromissos nos EUA e na Ucrânia. A presença de tal malware é um sinal de alerta para problemas de segurança mais amplos nas redes afetadas.

A Flipper Devices, fabricante da ferramenta de pentesting Flipper Zero, está solicitando a colaboração da comunidade para o desenvolvimento do Flipper One, uma plataforma Linux aberta voltada para dispositivos conectados. Diferente do Flipper Zero, que se concentra em controle de acesso offline e tecnologias de rádio, o Flipper One é projetado como um computador portátil ARM Linux de alto desempenho, com capacidade para suportar análise de rádio definida por software (SDR) e modelos de linguagem local (LLMs).

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no kernel do Linux, identificada como CVE-2026-46333, que permaneceu oculta por nove anos. Com uma pontuação CVSS de 5.5, a falha se refere a uma gestão inadequada de privilégios, permitindo que usuários locais não privilegiados acessem arquivos sensíveis e executem comandos como root em distribuições populares como Debian, Fedora e Ubuntu. A vulnerabilidade, conhecida como ssh-keysign-pwn, foi descoberta pela Qualys e está relacionada à função __ptrace_may_access() do kernel, introduzida em novembro de 2016. A exploração bem-sucedida pode permitir a divulgação de arquivos críticos, como /etc/shadow e chaves privadas em /etc/ssh/*_key. A Qualys recomenda que as distribuições Linux apliquem atualizações de kernel imediatamente. Caso não seja possível, sugere-se aumentar o parâmetro “kernel.yama.ptrace_scope” para 2 como uma medida temporária. A situação é agravada pela recente divulgação de um exploit de prova de conceito (PoC) para essa vulnerabilidade, o que aumenta a urgência de ações corretivas. Além disso, um exploit chamado PinTheft, que permite a escalada de privilégios locais em sistemas Arch Linux, foi também mencionado, destacando a necessidade de vigilância contínua em relação a falhas de segurança no Linux.

Uma nova vulnerabilidade de escalonamento de privilégios no Linux, chamada PinTheft, foi recentemente corrigida, mas agora possui um exploit de prova de conceito (PoC) disponível publicamente. Essa falha, que afeta o kernel Linux, especificamente o módulo RDS (Reliable Datagram Sockets), permite que atacantes locais obtenham privilégios de root em sistemas Arch Linux. O exploit se aproveita de um erro no caminho de envio zerocopy do RDS, onde páginas de usuário são ‘pinned’ uma a uma. Se ocorrer uma falha de página, as páginas já ‘pinned’ são descartadas, permitindo que referências sejam roubadas. Para que a exploração seja bem-sucedida, o módulo RDS deve estar carregado, o que é padrão apenas no Arch Linux entre as distribuições mais comuns. Os usuários são aconselhados a instalar as atualizações do kernel imediatamente, mas uma mitigação temporária também foi sugerida. Essa vulnerabilidade se junta a uma série de outras falhas de escalonamento de privilégios que foram reveladas recentemente, algumas das quais estão sendo ativamente exploradas por agentes de ameaças. A situação é crítica, especialmente para usuários de distribuições Linux afetadas, que devem agir rapidamente para proteger seus sistemas.

Um novo código de exploração de prova de conceito (PoC) foi liberado para uma vulnerabilidade recentemente corrigida no kernel Linux, conhecida como DirtyDecrypt (ou DirtyCBC). Descoberta pela equipe de segurança Zellic e V12 em 9 de maio de 2026, a falha permite a escalada de privilégios locais (LPE) devido à ausência de uma proteção de copy-on-write (COW) na função rxgk_decrypt_skb. Essa vulnerabilidade, identificada como CVE-2026-31635, possui uma pontuação CVSS de 7.5 e afeta distribuições como Fedora, Arch Linux e openSUSE Tumbleweed. A falha permite que dados sejam escritos na memória de processos privilegiados, potencialmente comprometendo arquivos sensíveis como /etc/shadow e /etc/sudoers. Além disso, a vulnerabilidade é considerada uma variante de outras falhas que também permitem acesso root em sistemas vulneráveis. Em resposta a uma série de vulnerabilidades críticas, desenvolvedores do kernel Linux estão considerando a implementação de um “killswitch” para desativar funções vulneráveis até que correções adequadas sejam disponibilizadas. O Rocky Linux introduziu um repositório de segurança opcional para fornecer correções urgentes rapidamente, destacando a necessidade de uma resposta ágil a vulnerabilidades críticas.

Linus Torvalds, criador do Linux, expressou preocupações sobre o impacto negativo que os relatórios de bugs gerados por inteligência artificial (IA) estão tendo na lista de segurança do Linux. Ele afirmou que a inundação de relatórios duplicados e irrelevantes tornou a lista ‘quase totalmente inadministrável’. Torvalds destacou que muitos dos bugs detectados por ferramentas de IA não são segredos e que a repetição de relatórios apenas aumenta a confusão. Ele incentivou os pesquisadores a contribuírem de forma mais significativa, sugerindo que, ao invés de apenas enviar relatórios automatizados, eles deveriam ler a documentação e criar patches que realmente agreguem valor. Essa situação não é única do Linux; projetos como curl e a equipe de recompensas de bugs da HackerOne também enfrentaram problemas semelhantes, levando a restrições em seus programas de recompensas. A crescente dependência de ferramentas de IA para identificação de bugs levanta questões sobre a eficácia e a qualidade das contribuições na comunidade de código aberto.

Uma vulnerabilidade recentemente corrigida no módulo rxgk do kernel Linux, conhecida como DirtyDecrypt ou DirtyCBC, permite que atacantes obtenham acesso root em alguns sistemas Linux. Essa falha de segurança foi identificada e relatada pela equipe de segurança V12, que descobriu que se tratava de uma duplicata de uma vulnerabilidade já corrigida, a CVE-2026-31635, em 25 de abril. Para explorar essa vulnerabilidade, é necessário executar um kernel Linux com a opção de configuração CONFIG_RXGK, que habilita o suporte de segurança RxGK para o cliente do Andrew File System (AFS). Isso limita a superfície de ataque a distribuições Linux que seguem de perto as versões mais recentes do kernel, como Fedora, Arch Linux e openSUSE Tumbleweed. A equipe V12 testou a prova de conceito apenas no Fedora. Os usuários de Linux em distribuições potencialmente afetadas são aconselhados a instalar as atualizações mais recentes do kernel o mais rápido possível. Para aqueles que não podem aplicar o patch imediatamente, uma mitigação temporária é sugerida, embora isso possa afetar VPNs IPsec e sistemas de arquivos distribuídos AFS. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre a exploração ativa de outras vulnerabilidades semelhantes, como a Copy Fail, que também requer atenção imediata.

Recentemente, distribuições Linux começaram a lançar patches para uma nova vulnerabilidade de alta severidade, conhecida como Fragnasia (CVE-2026-46300). Essa falha de segurança, descoberta por William Bowling, permite que atacantes locais não privilegiados executem código malicioso com privilégios de root, explorando um erro lógico no subsistema XFRM ESP-in-TCP do Linux. O ataque é realizado através da escrita de bytes arbitrários no cache de página do kernel de arquivos somente leitura, sem a necessidade de condições de corrida. Bowling também revelou um exploit de prova de conceito que corrompe a memória do cache de página do binário /usr/bin/su, possibilitando acesso root em sistemas vulneráveis. A vulnerabilidade Fragnasia pertence à classe de vulnerabilidades Dirty Frag, que afeta todos os kernels Linux lançados antes de 13 de maio de 2026. Para mitigar os riscos, os usuários do Linux são aconselhados a aplicar atualizações de kernel imediatamente. Caso não consigam, devem remover módulos vulneráveis, embora isso possa impactar sistemas de arquivos distribuídos e VPNs IPsec. A divulgação da Fragnasia ocorre em um momento em que outras vulnerabilidades, como a Copy Fail, também estão sendo exploradas ativamente, aumentando a urgência para que as organizações atualizem suas defesas.

Uma nova variante da vulnerabilidade Dirty Frag, chamada Fragnesia, foi identificada no núcleo do Linux, permitindo que atacantes locais não privilegiados obtenham acesso root. Classificada como CVE-2026-46300, a vulnerabilidade apresenta um CVSS de 7.8 e está relacionada ao subsistema XFRM ESP-in-TCP do kernel. Descoberta por William Bowling da equipe de segurança V12, a falha permite a modificação de conteúdos de arquivos somente leitura na cache de página do kernel, utilizando uma lógica defeituosa que não requer condições de corrida. A Fragnesia é semelhante a outras vulnerabilidades recentes, como Copy Fail e Dirty Frag, e já possui um exploit de prova de conceito disponível. Várias distribuições Linux, incluindo Amazon Linux e Red Hat Enterprise Linux, emitiram avisos sobre a necessidade de aplicar patches. Embora não tenha sido observada exploração ativa até o momento, especialistas recomendam que usuários e organizações apliquem as correções imediatamente. Medidas de mitigação incluem desabilitar funcionalidades relacionadas ao IPsec e aumentar a vigilância sobre atividades anormais de escalonamento de privilégios.

Recentemente, especialistas propuseram a implementação de um mecanismo de ‘killswitch’ no kernel Linux, que permitiria desativar temporariamente funções vulneráveis em tempo de execução. Essa proposta surge em resposta a falhas críticas como Copy Fail e Dirty Frag, que expõem sistemas a riscos elevados. O ‘killswitch’ seria acessível através da interface securityfs, permitindo que administradores desabilitem funções problemáticas rapidamente, evitando que vulnerabilidades causem danos significativos até que correções adequadas sejam disponibilizadas. Embora a ideia apresente um potencial de mitigação, ela não resolve os problemas subjacentes e pode causar instabilidade no sistema. A proposta está atualmente em revisão pela comunidade Linux e não deve ser vista como um substituto para o patching adequado. A adoção dessa funcionalidade pode ser um recurso útil para prevenir a escalada de problemas de segurança enquanto as correções são desenvolvidas.

Um novo malware, denominado Quasar Linux RAT (QLNX), foi descoberto visando sistemas de desenvolvedores e ambientes DevOps. Este implante, que opera de forma silenciosa, é capaz de realizar uma série de atividades maliciosas, incluindo o roubo de credenciais, keylogging, manipulação de arquivos e monitoramento de clipboard. Segundo pesquisadores da Trend Micro, o QLNX extrai informações sensíveis de arquivos críticos, como .npmrc e .git-credentials, permitindo que atacantes comprometam pipelines de publicação de software e acessem infraestruturas em nuvem.

Uma nova vulnerabilidade zero-day no Linux, chamada Dirty Frag, foi descoberta, permitindo que atacantes locais obtenham privilégios de root em diversas distribuições Linux com um único comando. O pesquisador de segurança Hyunwoo Kim revelou a falha, que foi introduzida há cerca de nove anos na interface algif_aead do kernel Linux. A Dirty Frag explora duas vulnerabilidades do kernel: a vulnerabilidade de gravação em cache de página xfrm-ESP e a vulnerabilidade de gravação em cache de página RxRPC, permitindo a modificação de arquivos do sistema protegidos na memória sem autorização. Essa falha é semelhante às vulnerabilidades Dirty Pipe e Copy Fail, mas utiliza um campo de fragmento de uma estrutura de dados diferente do kernel. Kim destacou que, ao contrário de outras vulnerabilidades, a Dirty Frag não depende de condições de corrida, o que aumenta sua taxa de sucesso. Até o momento, a vulnerabilidade não possui um ID CVE e afeta várias distribuições populares, como Ubuntu, Red Hat, CentOS e Fedora, que ainda não receberam patches. Para mitigar os riscos, os usuários do Linux podem desativar os módulos do kernel vulneráveis, embora isso possa quebrar VPNs IPsec e sistemas de arquivos distribuídos AFS. A descoberta ocorre em um momento em que as distribuições Linux ainda estão implementando correções para a vulnerabilidade Copy Fail, que também permite escalonamento de privilégios de root.

Uma nova vulnerabilidade de escalonamento de privilégios local (LPE) chamada Dirty Frag foi identificada no kernel Linux, afetando diversas distribuições populares, como Ubuntu, RHEL e Fedora. Essa falha, que ainda não possui um identificador CVE, permite que usuários não privilegiados obtenham acesso root ao explorar duas vulnerabilidades existentes: xfrm-ESP Page-Cache Write e RxRPC Page-Cache Write. A primeira foi introduzida em 2017 e a segunda em 2023, e juntas formam uma cadeia que pode ser explorada em diferentes ambientes. A vulnerabilidade é considerada de alta gravidade, com um CVSS score de 7.8, e sua exploração não depende de condições de corrida, o que aumenta a taxa de sucesso do ataque. A urgência é acentuada pela divulgação de um proof-of-concept (PoC) que permite a exploração em um único comando. Enquanto os patches não estão disponíveis, recomenda-se bloquear os módulos esp4, esp6 e rxrpc para mitigar o risco. A Dirty Frag representa uma ameaça significativa, pois pode ser explorada independentemente da ativação do módulo algif_aead, que é uma mitigação conhecida para outra vulnerabilidade, Copy Fail.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo backdoor para Linux, chamado PamDOORa, que está sendo comercializado por $1.600 em um fórum de cibercrime russo. Desenvolvido por um ator de ameaças conhecido como ‘darkworm’, o PamDOORa é um módulo de autenticação pluggable (PAM) que permite acesso SSH persistente a sistemas comprometidos. O backdoor utiliza uma combinação de senha mágica e porta TCP específica para garantir o acesso contínuo, além de ser capaz de coletar credenciais de usuários legítimos que se autenticam no sistema afetado.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) alertou sobre a exploração da vulnerabilidade de segurança ‘Copy Fail’, identificada como CVE-2026-31431, que afeta o kernel do Linux. Essa falha permite que usuários locais não privilegiados obtenham privilégios de root em sistemas Linux não corrigidos, manipulando quatro bytes controlados na cache de páginas de arquivos legíveis. A vulnerabilidade foi divulgada por pesquisadores da Theori, que também disponibilizaram um exploit em Python considerado ‘100% confiável’ para diversas distribuições Linux, incluindo Ubuntu 24.04 LTS e Amazon Linux 2023. A CISA incluiu a falha em seu catálogo de Vulnerabilidades Conhecidas e ordenou que agências federais atualizassem seus sistemas em até duas semanas. Embora as principais distribuições Linux já tenham iniciado a distribuição de correções, a falta de atualizações oficiais no momento da divulgação da vulnerabilidade levanta preocupações sobre a segurança de sistemas em uso. A CISA enfatizou que esse tipo de vulnerabilidade é um vetor de ataque comum e representa riscos significativos para a segurança das agências federais.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma nova vulnerabilidade ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2026-31431, possui uma pontuação CVSS de 7.8 e se trata de uma vulnerabilidade de escalonamento de privilégios local (LPE) que pode permitir que um usuário local sem privilégios obtenha acesso root. Essa falha, que existe há nove anos, é resultado de um erro lógico no template criptográfico de autenticação do kernel Linux, permitindo que atacantes acionem a escalada de privilégios com um exploit de apenas 732 bytes. A vulnerabilidade afeta distribuições Linux desde 2017 e pode ser explorada por usuários não privilegiados para corromper o cache de página em memória do kernel, resultando em execução de código com permissões de root. A CISA recomenda que as agências federais apliquem correções até 15 de maio de 2026, e, se a aplicação de patches não for imediata, sugere desabilitar a funcionalidade afetada e implementar controles de acesso. A presença de um exploit funcional já disponível aumenta a urgência da situação, especialmente em ambientes de contêiner, onde a vulnerabilidade pode comprometer a isolação e o controle do sistema físico.

Uma nova vulnerabilidade de escalonamento de privilégios local, chamada ‘Copy Fail’ e identificada como CVE-2026-31431, afeta kernels do Linux lançados desde 2017. Descoberta pela empresa de segurança Theori, a falha permite que um atacante local não privilegiado obtenha permissões de root. A vulnerabilidade foi encontrada após uma varredura de uma hora no subsistema criptográfico do Linux utilizando a plataforma de pentesting Xint Code. A falha é causada por um erro lógico no template criptográfico do kernel, que permite a escrita controlada de 4 bytes na cache de página de qualquer arquivo legível. Isso pode alterar o comportamento de binários setuid-root, concedendo privilégios de root ao atacante. A Theori desenvolveu um exploit em Python que funciona em várias distribuições Linux, incluindo Ubuntu, Amazon Linux, RHEL e SUSE. A correção foi disponibilizada rapidamente, revertendo uma otimização problemática introduzida em 2017. Embora as distribuições principais estejam implementando as correções, ainda não há atualizações oficiais para algumas versões. Como mitigação temporária, recomenda-se desabilitar a interface criptográfica vulnerável. A vulnerabilidade é considerada mais prática e portátil do que outras falhas similares, como a ‘Dirty Pipe’.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Linux, identificada como CVE-2026-31431, que permite a um usuário local não privilegiado obter acesso root ao sistema. Nomeada ‘Copy Fail’, essa falha de escalonamento de privilégios local (LPE) foi descoberta nas versões do kernel Linux desde 2017 e está relacionada a um erro lógico no subsistema criptográfico do kernel, especificamente no módulo algif_aead. A exploração bem-sucedida da vulnerabilidade pode ser realizada através de um simples script Python de 732 bytes, que manipula a cache de páginas de arquivos executáveis setuid. Embora a vulnerabilidade não seja explorável remotamente, ela pode ser utilizada por qualquer usuário local para corromper a cache de página de um binário setuid, afetando potencialmente todas as distribuições Linux, incluindo Amazon Linux, RHEL, SUSE e Ubuntu. A gravidade da falha é elevada, com um CVSS de 7.8, e sua exploração é facilitada pela portabilidade e simplicidade do ataque, que não requer condições de corrida ou offsets de kernel. As distribuições Linux já emitiram avisos sobre a vulnerabilidade, e a comunidade de segurança está em alerta para suas implicações.

Uma nova vulnerabilidade, chamada Pack2TheRoot, foi identificada no daemon PackageKit, permitindo que usuários locais do Linux instalem ou removam pacotes do sistema e adquiram permissões de root. Classificada como CVE-2026-41651, a falha possui uma severidade alta, com nota de 8.8 em 10, e está presente no PackageKit há quase 12 anos. A vulnerabilidade foi descoberta pela equipe de segurança da Deutsche Telekom e afeta diversas distribuições Linux, incluindo Ubuntu, Debian e Fedora. A falha permite que comandos como ‘pkcon install’ sejam executados sem autenticação em certas condições, o que possibilita a instalação de pacotes de sistema sem permissão adequada. A versão 1.3.5 do PackageKit, que corrige essa falha, já está disponível, e os usuários são aconselhados a atualizá-la imediatamente. A vulnerabilidade pode ser explorada em várias distribuições que utilizam o PackageKit, e a falta de um patch pode deixar os sistemas vulneráveis a ataques. A equipe de pesquisa também observou que a exploração pode causar falhas no daemon, resultando em registros de erro que podem ser monitorados. Portanto, é crucial que os administradores de sistemas verifiquem suas versões do PackageKit e apliquem as atualizações necessárias.

O grupo de ciberespionagem conhecido como Harvester lançou uma nova versão do backdoor GoGra, agora direcionada a sistemas Linux, em ataques que visam entidades na Ásia do Sul, especialmente na Índia e no Afeganistão. O malware utiliza a API do Microsoft Graph e caixas de entrada do Outlook como um canal de comando e controle (C2) encoberto, permitindo que ele contorne as defesas tradicionais de rede. A Symantec e a Carbon Black identificaram que o malware é capaz de enganar as vítimas por meio de engenharia social, disfarçando arquivos ELF como documentos PDF. Uma vez instalado, o GoGra se conecta a uma pasta específica no Outlook a cada dois segundos, procurando por mensagens que contenham comandos a serem executados. Após a execução, os resultados são enviados de volta ao operador, enquanto o malware apaga as mensagens originais para evitar detecções. A continuidade do desenvolvimento de ferramentas pelo Harvester indica uma expansão de suas capacidades de ataque, o que representa um risco crescente para organizações que utilizam tecnologias da Microsoft na região.

Pesquisadores da Microsoft Defender alertam que atores de ameaças estão utilizando cookies HTTP como um canal de controle para shells web baseados em PHP em servidores Linux, visando a execução remota de código. Essa técnica permite que o código malicioso permaneça inativo durante a execução normal da aplicação, ativando-se apenas quando valores específicos de cookies estão presentes. O uso de cookies para controle de execução oferece uma camada adicional de furtividade, já que esses dados se misturam ao tráfego web normal, dificultando a detecção. As implementações incluem loaders PHP que utilizam ofuscação e verificações em tempo de execução, além de scripts que segmentam dados de cookies para executar cargas úteis secundárias. A pesquisa também revela que os atacantes podem obter acesso inicial ao ambiente Linux da vítima através de credenciais válidas ou exploração de vulnerabilidades conhecidas, configurando tarefas cron para invocar rotinas de shell periodicamente. Para mitigar essa ameaça, a Microsoft recomenda a implementação de autenticação multifator, monitoramento de atividades de login incomuns e auditoria de tarefas cron. Essa abordagem de controle por cookies sugere uma reutilização de técnicas de shell web estabelecidas, permitindo acesso persistente pós-compromisso que pode evadir controles tradicionais de inspeção e registro.

A nova versão do Kali Linux, 2026.1, já está disponível para download e traz diversas novidades para profissionais de cibersegurança. Entre as principais atualizações, destacam-se a adição de 25 novos pacotes e a atualização de 183 outros, além da atualização do kernel para a versão 6.18. O Kali Team introduziu oito novas ferramentas, incluindo o AdaptixC2, um framework extensível para pós-exploração, e o Fluxion, uma ferramenta de auditoria de segurança e pesquisa em engenharia social.

Pesquisadores de cibersegurança revelaram um módulo Go malicioso que visa coletar senhas, criar acesso persistente via SSH e instalar um backdoor Linux conhecido como Rekoobe. O módulo, que se disfarça como parte do repositório legítimo ‘golang.org/x/crypto’, injeta código malicioso que exfiltra informações sensíveis inseridas em prompts de senha do terminal para um servidor remoto. Ao ser executado, o código baixa um script que adiciona a chave SSH do invasor ao arquivo ‘authorized_keys’ do usuário, altera as políticas do iptables para aceitar conexões e busca mais cargas úteis disfarçadas com a extensão .mp5. Entre essas cargas, uma é um trojan conhecido, Rekoobe, que permite ao invasor receber comandos e executar ações maliciosas no sistema. O Go security team já tomou medidas para bloquear o módulo, mas a natureza do ataque sugere que campanhas semelhantes podem ocorrer no futuro, visando bibliotecas de alta relevância. Defensores devem estar atentos a ataques de cadeia de suprimentos que possam afetar outras bibliotecas críticas de autenticação e conexão em sistemas Linux.

Uma nova botnet chamada SSHStalker tem sido utilizada por hackers para controlar sistemas Linux, utilizando o protocolo Internet Relay Chat (IRC) para comunicação. De acordo com a empresa de cibersegurança Flare, a botnet explora vulnerabilidades do kernel do Linux, permitindo o comprometimento em massa de dispositivos. O ataque é automatizado e visa servidores com SSH aberto na porta 22, permitindo que os hackers invadam os sistemas de maneira semelhante a um worm. Uma vez dentro, a botnet pode realizar ataques de negação de serviço distribuídos (DDoS), mineração de criptomoedas e proxyjacking, além de manter acesso persistente ao sistema sem ser detectada. O SSHStalker também utiliza um scanner em Golang para localizar servidores vulneráveis e executa arquivos em C para apagar registros de conexão SSH, dificultando a detecção de suas atividades. Pesquisadores suspeitam que a operação tenha origem romena, com base em gírias e nomenclaturas encontradas nos canais de IRC. A botnet é capaz de comprometer até versões antigas do Linux, datadas de 2009, e possui um catálogo extenso de malware e ferramentas maliciosas de código aberto.

O SSHStalker, uma nova botnet Linux, utiliza o protocolo IRC (Internet Relay Chat) para gerenciar suas operações, explorando servidores em nuvem para fins lucrativos. O protocolo, criado em 1988, foi revitalizado por essa botnet, que se destaca por sua estrutura de múltiplos bots e canais redundantes, permitindo controle eficiente sobre dispositivos infectados. A infecção inicial ocorre por meio de ataques automatizados de força bruta via SSH, com a botnet se espalhando rapidamente por infraestruturas de servidores em nuvem, como as da Oracle. Após comprometer um host, o malware baixa um compilador GCC para construir cargas úteis diretamente no sistema, garantindo a execução confiável dos bots em diversas distribuições Linux. Além disso, a botnet coleta chaves da AWS, realiza varreduras de sites e possui capacidades de mineração de criptomoedas. Embora existam capacidades de DDoS, não foram observados ataques, sugerindo que a botnet pode estar em fase de testes. Para mitigar os riscos, recomenda-se monitorar instalações de compiladores, atividades incomuns em cron e conexões de saída no estilo IRC, além de desabilitar a autenticação por senha SSH e aplicar filtragem rigorosa de saída.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova operação de botnet chamada SSHStalker, que utiliza o protocolo de comunicação Internet Relay Chat (IRC) para fins de comando e controle. A operação combina técnicas de exploração de sistemas Linux mais antigos com ferramentas de automação para comprometer em massa servidores vulneráveis, principalmente aqueles que ainda operam com versões do kernel Linux 2.6.x. O SSHStalker se destaca por manter acesso persistente aos sistemas comprometidos sem realizar ações de exploração subsequentes, sugerindo que a infraestrutura comprometida pode ser utilizada para testes ou retenção estratégica de acesso.

A botnet SSHStalker, recentemente documentada, utiliza o protocolo IRC (Internet Relay Chat) para suas operações de comando e controle (C2). Embora o IRC tenha sido criado em 1988 e tenha alcançado seu auge nos anos 90, ele ainda é valorizado por sua simplicidade e baixo consumo de banda. A SSHStalker adota mecânicas clássicas do IRC, como múltiplos bots e redundância de servidores e canais, priorizando resiliência e baixo custo em vez de furtividade. A botnet consegue acesso inicial por meio de varreduras automatizadas de SSH e força bruta, utilizando um binário em Go que se disfarça como o utilitário de descoberta de rede nmap. Após infectar um host, a botnet baixa ferramentas para compilar cargas úteis, permitindo uma melhor portabilidade. A persistência é garantida por meio de cron jobs que verificam a execução do processo principal a cada 60 segundos. A SSHStalker também inclui capacidades de mineração de criptomoedas e coleta de chaves AWS, embora ainda não tenha sido observada a realização de ataques DDoS. A empresa de inteligência de ameaças Flare sugere que as organizações implementem soluções de monitoramento e restrinjam a autenticação por senha SSH para mitigar os riscos associados a essa botnet.

Uma falha crítica de autenticação no Telnet, identificada como CVE-2026-24061, expôs cerca de 800 mil servidores a invasões sem necessidade de senha. A vulnerabilidade afeta versões do telnetd GNU InetUtils desde 1.9.3 até 2.7, sendo corrigida apenas na versão 2.8, lançada em 20 de janeiro de 2026. A empresa de segurança Shadowserver está monitorando os endereços IP afetados, com a maioria localizada na Ásia (380 mil), América do Sul (170 mil) e Europa (100 mil). Apesar da correção, muitos dispositivos, especialmente aqueles que operam com sistemas legados e Internet das Coisas, podem ainda estar vulneráveis. Desde a divulgação da falha, atividades maliciosas foram detectadas, com 83% dos ataques visando o usuário root. Os atacantes tentaram executar malwares Python, mas falharam devido à falta de diretórios e binários. Para mitigar o risco, recomenda-se desabilitar o serviço telnetd vulnerável ou bloquear a porta TCP 23 nos firewalls.

Pesquisadores de segurança da Anchore alertaram sobre uma nova campanha de hackers que invadem aplicativos inativos do Linux, especificamente os pacotes Snap, para roubar criptomoedas. Os atacantes se aproveitam de aplicativos dormentes na Snap Store Canonical, que não recebem mais atualizações e têm seus domínios expirados. Ao adquirir esses domínios, os cibercriminosos redefinem senhas e atualizam o código dos aplicativos para incluir malware. Essa técnica tem sido utilizada principalmente em aplicativos de carteira de criptomoeda, como Exodus, Ledger Live e Trust Wallet, resultando em perdas financeiras significativas que variam de R$ 50 mil a R$ 2,5 milhões. O grupo responsável pelos ataques ainda não foi identificado, mas há indícios de que opere na Croácia. A Canonical está ciente do problema e trabalha para remover os snaps maliciosos, embora novos apareçam rapidamente. Os usuários são aconselhados a ter cautela ao baixar softwares relacionados a criptomoedas, especialmente carteiras.

Um novo pacote malicioso, identificado como sympy-dev, foi descoberto no Python Package Index (PyPI) e se disfarça como uma versão de desenvolvimento da popular biblioteca de matemática simbólica, SymPy. Desde sua publicação em 17 de janeiro de 2026, o pacote já foi baixado mais de 1.100 vezes, sugerindo que alguns desenvolvedores podem ter sido enganados. O pacote modificado atua como um downloader para um minerador de criptomoedas XMRig, ativando seu comportamento malicioso apenas quando certas funções polinomiais são chamadas, o que ajuda a evitar a detecção. O pesquisador de segurança Kirill Boychenko explicou que, ao serem invocadas, essas funções alteradas recuperam uma configuração JSON remota e baixam um payload ELF controlado por um ator de ameaça. Este método visa minimizar os artefatos deixados em disco, utilizando técnicas como memfd_create e /proc/self/fd. O objetivo final é minerar criptomoedas em sistemas Linux, utilizando configurações que priorizam mineração por CPU e desativam backends de GPU. A presença contínua do pacote no PyPI representa um risco significativo para desenvolvedores que podem não estar cientes da ameaça.

Pesquisadores da Check Point Research (CPR) identificaram um novo malware chamado VoidLink, que opera em ambientes Linux e foi desenvolvido quase que inteiramente com o auxílio de inteligência artificial (IA). O malware possui uma estrutura complexa, incluindo loaders, módulos de rootkit e uma variedade de plugins. A criação do VoidLink foi realizada em apenas uma semana, utilizando a TRAE SOLO, um assistente de IA que ajudou o desenvolvedor a gerar um código-fonte de 88.000 linhas. Embora o hacker não tenha conseguido ocultar completamente suas atividades, falhas em sua implementação permitiram que os pesquisadores acessassem o código e a documentação do projeto. O VoidLink é considerado o primeiro exemplo documentado de um malware avançado gerado por IA, o que levanta preocupações sobre a capacidade de indivíduos com conhecimentos técnicos limitados de criar ameaças cibernéticas sofisticadas. Essa nova era de desenvolvimento de malware pode alterar significativamente o cenário da cibersegurança, tornando mais fácil para cibercriminosos desenvolverem ferramentas complexas sem a necessidade de grandes equipes de desenvolvimento.

O malware VoidLink, um sofisticado framework para Linux, foi desenvolvido com a ajuda de um modelo de inteligência artificial (IA), segundo a Check Point Research. Identificado como um dos primeiros exemplos de malware avançado gerado em grande parte por IA, o VoidLink possui mais de 88.000 linhas de código e foi projetado para acesso furtivo a ambientes em nuvem baseados em Linux. A análise sugere que um desenvolvedor experiente, possivelmente de origem chinesa, utilizou um agente de codificação chamado TRAE SOLO para acelerar o desenvolvimento, que levou menos de uma semana para criar um protótipo funcional. A pesquisa também revelou que a documentação interna do projeto, escrita em chinês, apresenta características típicas de conteúdo gerado por IA, como formatação consistente e detalhes meticulosos. Embora ainda não tenham sido observadas infecções reais, o desenvolvimento do VoidLink representa uma mudança significativa na forma como malware avançado pode ser criado, permitindo que indivíduos com menos recursos realizem ataques complexos de forma rápida e eficiente. Especialistas alertam que a IA está transformando a cibercriminalidade, tornando ferramentas sofisticadas acessíveis a qualquer um com um cartão de crédito.

O malware VoidLink, recentemente descoberto, é um framework avançado focado em ambientes de nuvem, desenvolvido por um único criador com auxílio de um modelo de inteligência artificial. De acordo com a Check Point Research, o VoidLink é um malware para Linux que inclui carregadores personalizados, implantes, módulos de rootkit para evasão e uma variedade de plugins que ampliam suas funcionalidades. A pesquisa sugere que o desenvolvedor possui forte proficiência em várias linguagens de programação, possivelmente originando-se da China.

Pesquisadores da Check Point Research (CPR) descobriram o VoidLink, um novo framework de malware projetado especificamente para ambientes de nuvem que operam com Linux. Este malware, que se infiltra silenciosamente nas infraestruturas digitais, representa uma evolução nos ataques cibernéticos, focando em compromissos de longo prazo e ocultos. O VoidLink é escrito na linguagem Zig e é capaz de identificar plataformas como Kubernetes e Docker, ajustando seu comportamento conforme o ambiente. Além disso, ele coleta credenciais de sistemas de controle de versão, como o Git, o que sugere que desenvolvedores de software podem ser alvos de espionagem ou ataques futuros. O malware possui características semelhantes a rootkits, permitindo a expansão de suas funções através de um sistema de plugins em memória. Embora ainda não haja evidências de infecções ativas, o framework pode ser oferecido como um serviço no futuro. Para mitigar essas ameaças, é essencial que as organizações adotem uma abordagem de segurança que inclua visibilidade contínua e inteligência de ameaças em tempo real, especialmente em ambientes de nuvem e Linux.

Pesquisadores de cibersegurança revelaram detalhes sobre o VoidLink, um novo e sofisticado framework de malware projetado para acesso prolongado e furtivo a ambientes de nuvem baseados em Linux. Descoberto em dezembro de 2025, o VoidLink é uma ferramenta modular que inclui carregadores personalizados, implantes, rootkits e plugins, permitindo que seus operadores adaptem suas capacidades ao longo do tempo. O framework é escrito na linguagem Zig e é capaz de detectar e se adaptar a ambientes de nuvem como AWS, Google Cloud e Microsoft Azure, além de coletar credenciais de sistemas de controle de versão como Git.

O grupo hacker chinês UAT-7290 tem se destacado por suas atividades de invasão a instituições no sul da Ásia e sudeste da Europa, utilizando malwares como RushDrop, DriveSwitch e SilentRaid. Desde 2022, o grupo tem se concentrado em realizar um reconhecimento técnico detalhado de seus alvos antes de executar os ataques, que incluem a instalação de centros de Operação de Caixa de Retransmissão (ORB) para garantir anonimato e facilitar a espionagem. Os malwares utilizados são predominantemente baseados em Linux e permitem uma série de atividades maliciosas, como execução de shellcode, gerenciamento de arquivos e keylogging. Os hackers estão associados a outros grupos chineses, como Stone Panda e RedFoxTrot, e utilizam vulnerabilidades zero-day e força bruta SSH para comprometer dispositivos. A maioria das vítimas está localizada no sul da Ásia, mas também há registros de ataques na Europa. A situação é preocupante, pois a infraestrutura de telecomunicações pode ser um alvo estratégico para espionagem e ataques cibernéticos em larga escala.

Uma vulnerabilidade crítica foi identificada no cliente Amazon WorkSpaces para Linux, afetando as versões de 2023.0 a 2024.8, conforme o CVE-2025-12779. Essa falha permite que usuários maliciosos em sistemas compartilhados extraiam tokens de autenticação válidos, possibilitando acesso não autorizado a sessões de trabalho de outros usuários. A Amazon emitiu um comunicado de segurança em 5 de novembro de 2025, alertando sobre a gravidade do problema e recomendando a atualização imediata para a versão 2025.0 ou superior. A vulnerabilidade é particularmente preocupante em ambientes multiusuários, onde um atacante pode obter controle total sobre o espaço de trabalho de outra pessoa, comprometendo dados sensíveis e recursos associados. A Amazon encerrou o suporte para as versões afetadas, exigindo que as organizações realizem a atualização sem demora. As equipes de segurança devem auditar suas implementações do WorkSpaces e priorizar a atualização em ambientes de alto risco, além de revisar logs de acesso para identificar tentativas suspeitas de extração de tokens durante o período vulnerável.

A CISA (Agência de Cibersegurança e Infraestrutura de Segurança dos EUA) emitiu um alerta sobre uma vulnerabilidade no kernel do Linux, identificada como CVE-2024-1086, que foi introduzida em 2014 e corrigida em 2024. Apesar da correção, a brecha continua a ser explorada em ataques de ransomware, permitindo a escalada de privilégios em sistemas que não foram atualizados. A vulnerabilidade, classificada com um grau de severidade de 7,8/10, afeta distribuições populares do Linux, como Debian, Ubuntu, Fedora e Red Hat. A CISA já havia alertado as agências federais para que atualizassem seus sistemas até junho de 2024, mas a exploração ativa da falha por grupos de ransomware demonstra que muitos usuários ainda não implementaram as correções necessárias. Para mitigar os riscos, recomenda-se atualizar o sistema operacional ou aplicar medidas de segurança, como bloquear o componente nf_tables ou usar o Linux Kernel Runtime Guard (LKRG), embora essas ações possam desestabilizar o sistema. A situação destaca a importância de manter sistemas atualizados para evitar a exploração de vulnerabilidades conhecidas.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma vulnerabilidade crítica no kernel do Linux, identificada como CVE-2024-1086. Essa falha, que se localiza no componente netfilter, permite que atacantes que já tenham acesso inicial a um sistema Linux elevem seus privilégios a nível root, concedendo controle total sobre a máquina comprometida. A vulnerabilidade é classificada como ‘use-after-free’, uma condição que ocorre quando um programa continua a usar um ponteiro de memória após a memória ter sido liberada, possibilitando a execução de código arbitrário. A exploração dessa falha tem sido utilizada em campanhas de ransomware, permitindo que operadores de ransomware criptografem arquivos em sistemas inteiros e realizem operações de exfiltração de dados. A CISA recomenda que todas as organizações realizem um inventário de seus sistemas Linux, priorizem a aplicação de patches e implementem controles compensatórios onde a correção imediata não for viável. A gravidade da situação exige atenção imediata de administradores de rede e defensores de sistemas, especialmente em ambientes empresariais e de infraestrutura crítica que dependem de sistemas baseados em Linux.

O ator de ameaças conhecido como zeta88 está promovendo um novo programa de ransomware como serviço (RaaS) chamado Gentlemen’s, que visa ambientes empresariais em sistemas operacionais Windows, Linux e ESXi. Este RaaS se destaca por sua arquitetura modular e compatível com múltiplas plataformas, utilizando linguagens como Go e C para otimização de desempenho. O ransomware implementa chaves efêmeras por arquivo, dificultando a recuperação de dados e aumentando a complexidade da descriptografia. Além disso, o malware possui recursos avançados de segurança operacional, como modos de execução silenciosa e técnicas anti-forense para evitar detecções. O modelo econômico do programa permite que afiliados recebam 90% dos pagamentos de resgate, enquanto os operadores retêm apenas 10%, refletindo uma tendência crescente em operações de ransomware. A operação exclui alvos na Rússia e em países da CEI, focando em empresas da América do Norte, Europa e APAC. Para se proteger contra essa ameaça emergente, as organizações devem priorizar a implementação de soluções de EDR, segmentação de rede e fortalecimento da infraestrutura de backup.

O grupo de ransomware Agenda, também conhecido como Qilin, lançou uma nova variante que utiliza um ransomware baseado em Linux, capaz de operar em sistemas Windows. Essa abordagem representa uma escalada significativa nas operações de ataque multi-plataforma do grupo. Os atacantes empregaram ferramentas legítimas de TI, como Splashtop Remote e WinSCP, para entregar um payload Linux, contornando sistemas de segurança centrados em Windows. A campanha se aproveita de ferramentas de gerenciamento remoto e de transferência de arquivos para implantar ransomware em ambientes híbridos de forma discreta. Além disso, o grupo realizou uma coleta direcionada de credenciais contra a infraestrutura de backup da Veeam, desativando a recuperação e roubando tokens de backup antes de implantar o ransomware. A variante híbrida demonstrou consciência do hipervisor, detectando ambientes VMware ESXi e Nutanix AHV, e utilizou técnicas de Bring Your Own Vulnerable Driver (BYOVD) para neutralizar ferramentas de antivírus. Com mais de 700 organizações comprometidas em 62 países, incluindo setores críticos como manufatura, finanças e saúde, especialistas alertam as empresas a reforçarem os controles de acesso e monitorarem o uso de credenciais. A Trend Vision One™ já detecta e bloqueia os indicadores de comprometimento identificados.

Em meados de outubro de 2025, o site oficial do Xubuntu foi comprometido por atacantes que alteraram os links de download de torrents. Em vez de fornecer os arquivos .torrent legítimos, os visitantes foram direcionados para um arquivo ZIP malicioso intitulado ‘Xubuntu-Safe-Download.zip’. Dentro deste arquivo, encontrava-se um executável do Windows, ‘TestCompany.SafeDownloader.exe’, acompanhado de um arquivo ’tos.txt’ que continha uma falsa declaração de direitos autorais de 2026. O ataque, descoberto em 18 de outubro, destaca os riscos crescentes enfrentados por sites de distribuições Linux mantidos pela comunidade, especialmente com a migração de usuários do Windows 10, que chegou ao fim do suporte. O malware, projetado para roubar criptomoedas, foi identificado por membros das comunidades r/xubuntu e r/Ubuntu, que alertaram sobre a anomalia. Após a confirmação do ataque, os mantenedores do Xubuntu desativaram rapidamente a página comprometida e recomendaram que os usuários verificassem as somas de verificação dos arquivos ISO. Até o momento, não foram relatadas infecções confirmadas ou perdas de criptomoedas, mas o incidente serve como um lembrete da importância de práticas rigorosas de segurança em projetos de código aberto.

Um novo rootkit para Linux, chamado LinkPro, foi descoberto utilizando a tecnologia eBPF (Extended Berkeley Packet Filter) para ocultar sua presença e garantir persistência em sistemas comprometidos. A equipe de resposta a incidentes da Synacktiv (CSIRT) identificou o malware durante uma investigação em uma infraestrutura AWS comprometida. O LinkPro atuou como um backdoor discreto em clusters do Elastic Kubernetes Service (EKS) após a exploração de um servidor Jenkins exposto (CVE-2024-238976).

Uma vulnerabilidade crítica no Sudo, identificada como CVE-2025-32463, foi recentemente divulgada, permitindo que atacantes obtenham privilégios de root em sistemas Linux afetados. O código malicioso, que foi disponibilizado como uma prova de conceito (PoC) por meio do GitHub, permite que usuários locais com contas não privilegiadas explorem uma falha na funcionalidade chroot do Sudo, elevando seu acesso a controle total do sistema. As versões afetadas incluem o Sudo de 1.9.14 a 1.9.17, enquanto versões anteriores não são impactadas. A exploração dessa vulnerabilidade pode resultar em movimentos laterais dentro da rede, comprometendo a segurança de toda a infraestrutura de TI. Especialistas em segurança recomendam que as organizações atualizem para a versão 1.9.17p1 ou posterior, onde a falha foi corrigida. Além disso, o uso de frameworks de segurança como AppArmor ou SELinux é aconselhado para restringir o comportamento do Sudo. A detecção proativa de tentativas de exploração é essencial para mitigar riscos. A liberação pública do PoC aumenta significativamente o risco para sistemas não corrigidos, tornando a atualização imediata uma prioridade.

Uma nova técnica de rootkit chamada FlipSwitch foi descoberta, permitindo que atacantes contornem as melhorias de segurança do kernel Linux 6.9. Essa técnica representa um retrocesso na proteção do sistema, pois os invasores agora visam a lógica do novo despachante de chamadas do kernel, em vez de sobrescrever a tabela de chamadas de sistema, uma abordagem que se tornou obsoleta. O FlipSwitch funciona ao localizar e reescrever o código de máquina do próprio kernel dentro do despachante de chamadas do sistema, redirecionando a execução para manipuladores maliciosos. Essa técnica é reversível, permitindo que os atacantes removam vestígios de sua presença. A detecção de rootkits de kernel é desafiadora, mas pesquisadores lançaram uma assinatura YARA para identificar o FlipSwitch, tanto em disco quanto na memória. Essa evolução nas técnicas de ataque destaca a constante luta entre o endurecimento do Linux e a adaptação dos invasores, mostrando que o progresso defensivo não elimina a ameaça, mas muda suas regras.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica no utilitário de linha de comando Sudo, que impacta sistemas Linux e Unix-like, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-32463, possui uma pontuação CVSS de 9.3 e afeta versões do Sudo anteriores à 1.9.17p1. A vulnerabilidade foi revelada pelo pesquisador Rich Mirch da Stratascale em julho de 2025 e permite que atacantes locais utilizem a opção -R (–chroot) do Sudo para executar comandos arbitrários como root, mesmo que não estejam listados no arquivo sudoers.

A nova versão 5.0 do ransomware LockBit representa um avanço significativo em suas operações de ransomware como serviço (RaaS). Pela primeira vez, o LockBit oferece binários totalmente suportados para Windows, diversas distribuições Linux e hipervisores VMware ESXi, permitindo que atacantes comprometam simultaneamente endpoints, servidores e hosts de virtualização. Essa capacidade de ataque multiplataforma reduz drasticamente o tempo de impacto, afetando tanto as camadas de produção quanto de virtualização. Após a desarticulação da infraestrutura do LockBit em fevereiro de 2024, seus afiliados rapidamente migraram para novos canais de comando e controle, demonstrando resiliência e inovação. A versão 5.0 introduz técnicas avançadas de evasão e criptografia, como execução em memória e rotinas de criptografia paralela, dificultando a resposta a incidentes e a recuperação baseada em backups. Para se proteger contra essa ameaça, as organizações devem adotar uma estratégia de defesa em profundidade, que inclua segmentação de rede, controles de acesso, proteção de endpoints e servidores, segurança de hipervisores e rigor na recuperação de dados.

Uma vulnerabilidade crítica foi identificada no componente de compartilhamento de arquivos ksmbd do Kernel Linux, permitindo que atacantes remotos executem código arbitrário com privilégios totais do kernel. Classificada como CVE-2025-38561, a falha afeta distribuições Linux que utilizam a implementação do servidor SMB ksmbd. Embora a autenticação válida seja necessária, a exploração bem-sucedida pode levar a uma completa compromissão do sistema, tornando a aplicação de patches urgente para administradores e fornecedores.

O ransomware BlackLock, uma ameaça sofisticada que opera em múltiplas plataformas, foi identificado como um risco significativo para organizações que utilizam sistemas Windows, Linux e VMware ESXi. Desenvolvido na linguagem Go, BlackLock possui um design modular e um modelo de Ransomware-as-a-Service (RaaS), permitindo que seus operadores personalizem ataques de acordo com as necessidades. Desde sua primeira aparição em junho de 2024, o grupo por trás do ransomware, inicialmente chamado El Dorado, rebatizou-se como BlackLock em setembro do mesmo ano. O ransomware é capaz de criptografar arquivos em diferentes sistemas, utilizando rotinas avançadas de criptografia, como o algoritmo ChaCha20, e técnicas de troca de chaves como o ECDH para proteger os metadados. Após a criptografia, o BlackLock apaga cópias de sombra e limpa a lixeira para dificultar a recuperação dos dados. O grupo tem como alvo setores variados, incluindo instituições públicas, educação, transporte e manufatura, com operações registradas nos EUA, Coreia do Sul e Japão. Dada sua capacidade de afetar ambientes críticos, as equipes de segurança devem adotar estratégias rigorosas de backup e proteção de endpoints para mitigar os riscos associados a esse ransomware.