Ransomware

Universidade de Mount Royal sofre ataque cibernético e dados são deletados

A Mount Royal University (MRU), localizada em Calgary, foi alvo de um ataque cibernético em 17 de junho, resultando no roubo e subsequente exclusão de dados de seus sistemas de armazenamento. A universidade, que possui mais de 11 mil alunos, informou que a violação afetou diversos sistemas, incluindo serviços online e acesso à internet. Dados armazenados em uma unidade designada como ‘H drive’, que continha informações de alunos e funcionários, foram acessados e deletados por um ator não autorizado. Além disso, uma segunda unidade, rotulada como ‘J drive’, que armazenava dados departamentais, também foi apagada, embora não haja evidências de que esses dados tenham sido copiados antes da exclusão. O grupo de hackers CMD Organization reivindicou a responsabilidade pelo ataque, exigindo um resgate de 30 BTC (cerca de R$ 1,9 milhão) e ameaçando vazar informações se a universidade não atender à demanda. A MRU está colaborando com especialistas em cibersegurança para investigar o incidente e recuperar os dados perdidos, além de oferecer monitoramento de crédito e proteção contra roubo de identidade aos afetados. O incidente foi reportado às autoridades competentes, incluindo o Comissário de Informação e Privacidade de Alberta.

ANPD investiga ataque que comprometeu dados de 500 mil pacientes no Brasil

A Agência Nacional de Proteção de Dados (ANPD) iniciou um processo de sanção contra o Instituto de Saúde e Cidadania (ISAC) após um ataque de ransomware que afetou cerca de 500 mil pacientes em várias unidades de saúde no Brasil. O incidente, que ocorreu em 2025, resultou no sequestro de dados sensíveis, incluindo informações de identificação e dados de saúde, como prontuários e diagnósticos. A ANPD investiga se houve infrações à Lei Geral de Proteção de Dados (LGPD), como a falta de medidas de segurança adequadas e a comunicação inadequada aos afetados. O ISAC alegou que não houve risco significativo, mas a ANPD contestou essa afirmação, destacando a falta de comprovação. A organização tem dez dias úteis para apresentar sua defesa, e as sanções podem incluir multas de até 2% do faturamento e a suspensão de atividades de tratamento de dados. Este caso destaca a importância da conformidade com a LGPD e a necessidade de medidas robustas de segurança da informação em instituições de saúde.

Accenture confirma violação de segurança e roubo de dados

A gigante de serviços de TI, Accenture, confirmou ter sofrido uma violação de segurança após um ator de ameaças afirmar ter roubado 35 GB de código-fonte e outros dados da empresa. Em uma declaração ao BleepingComputer, a Accenture afirmou que está ciente do incidente isolado e que já remediou a situação, garantindo que não houve impacto nas operações e na entrega de serviços. O ator de ameaças, conhecido como ‘888’, começou a oferecer os dados roubados para venda em um fórum de cibercrime, alegando que a violação ocorreu em julho de 2026 e que os dados incluem chaves RSA, chaves SSH, tokens de acesso pessoal do Azure e arquivos de configuração. Embora a Accenture tenha confirmado a violação, não forneceu detalhes sobre como os atacantes conseguiram acesso ou se dados de clientes foram afetados. Este incidente se soma a um histórico de violações da Accenture, incluindo um ataque do grupo de ransomware LockBit em 2021. A situação destaca a importância da segurança cibernética em um ambiente corporativo cada vez mais vulnerável a ataques.

Ransomware com IA acelera ataques, mas ainda depende de ação humana

Pesquisadores da Sysdig identificaram um ataque de ransomware inovador, atribuído ao operador JadePuffer, que utiliza inteligência artificial para automatizar etapas do sequestro de dados. Embora o ataque tenha sido facilitado pela IA, ele ainda requer a intervenção humana para configuração e direcionamento. O ataque começou com a exploração de uma vulnerabilidade no Langflow, uma ferramenta para criar aplicações com modelos de linguagem, e culminou em um ataque a um servidor de produção com banco de dados MySQL. Durante a operação, o agente de IA executou mais de 600 ações, adaptando-se a falhas e ajustando comandos em tempo real. O resultado foi a criptografia de aproximadamente 1.300 itens de configuração e a criação de um usuário administrador malicioso, seguido de uma mensagem de resgate. Notavelmente, a chave de criptografia gerada não foi preservada, o que pode inviabilizar a recuperação dos dados mesmo que o resgate seja pago. Este incidente destaca a crescente sofisticação dos ataques cibernéticos e a necessidade de vigilância constante por parte das empresas.

Grupo cibercriminoso CMD reivindica ataque a universidade canadense

O grupo cibercriminoso CMD Organization assumiu a responsabilidade por um ataque cibernético à Mount Royal University (MRU), em Calgary, Alberta, ocorrido em 17 de junho de 2026. A universidade confirmou a ocorrência de um incidente cibernético que afetou seus sistemas, incluindo folha de pagamento e registro de acomodações estudantis. CMD afirma ter roubado 10 TB de dados da MRU e está exigindo um resgate de 1,9 milhão de dólares em uma semana. Para corroborar sua reivindicação, o grupo publicou amostras de documentos que alegam ter sido roubados. A MRU ainda não confirmou a autenticidade da reivindicação e está em fase inicial de investigação, sem determinar se informações pessoais foram acessadas. CMD Organization, que opera um esquema de ransomware como serviço, já reivindicou 32 ataques desde sua fundação em maio de 2026, com um resgate médio de 580 mil dólares. O ataque à MRU é parte de uma tendência crescente de ataques de ransomware a instituições educacionais, que podem causar interrupções significativas nas operações diárias e riscos de fraude para alunos e funcionários.

Hacker ligado a roubo de dados de joalheria de luxo nos EUA é preso

Um hacker, identificado como Peter Stokes, de 19 anos, foi preso e acusado de envolvimento em um ataque cibernético a uma joalheria de luxo nos Estados Unidos. O ataque ocorreu entre 12 e 15 de maio de 2025, quando os invasores se passaram por funcionários da empresa e conseguiram redefinir senhas e acessar contas críticas. Utilizando ferramentas como ngrok e Teleport, os hackers transferiram pelo menos 77 gigabytes de dados para armazenamento em nuvem. Embora tenham tentado implantar ransomware, a equipe de segurança da joalheria conseguiu bloquear a ação. O ataque resultou em um custo de aproximadamente 2 milhões de dólares para a empresa. A investigação levou à identificação de Stokes através de um identificador de dispositivo da Microsoft, que estava ligado à conta usada para o ataque. Apesar da prisão, especialistas alertam que o grupo Scattered Spider, do qual Stokes faz parte, é uma rede descentralizada e que a captura de um único membro não é suficiente para mitigar a ameaça. O caso destaca a importância de processos rigorosos de verificação de identidade em help desks e a adoção de autenticação multifatorial resistente a phishing.

Incidentes de Cibersegurança Ameaças e Respostas Recentes

O cenário de cibersegurança apresentou eventos significativos na última semana, destacando a vulnerabilidade de dispositivos comuns e a exploração de falhas em sistemas amplamente utilizados. A ação conjunta do Google e do FBI resultou na desativação da rede de proxies residenciais NetNut, que utilizava dispositivos domésticos, como TVs inteligentes, para mascarar atividades maliciosas. Estima-se que a rede envolva cerca de 2 milhões de dispositivos globalmente. Além disso, o WhatsApp introduziu um sistema de nomes de usuário, levantando preocupações sobre possíveis abusos para impersonificação. Outro incidente relevante foi a descoberta do trojan bancário Ousaban, que ataca usuários na Espanha e Portugal através de documentos PDF falsos. Por fim, um novo ransomware gerado por IA foi identificado, explorando a API de Acesso a Arquivos do Chromium, embora ainda não tenha sido observado em ataques reais. Esses eventos ressaltam a necessidade de uma abordagem proativa em cibersegurança, especialmente em um ambiente onde a confiança é frequentemente mal colocada.

Primeiro caso documentado de ransomware gerado por IA

Pesquisadores identificaram o que acreditam ser o primeiro caso documentado de uma operação de ransomware, chamada JadePuffer, conduzida inteiramente por um agente de modelo de linguagem grande (LLM). Segundo a empresa de segurança em nuvem Sysdig, JadePuffer utilizou um agente de IA autônomo para realizar reconhecimento do alvo, roubar credenciais, mover-se lateralmente, estabelecer persistência, escalar privilégios e criptografar dados. O agente de IA demonstrou uma capacidade de adaptação a falhas durante a intrusão, semelhante ao que um operador humano faria. A operação começou com a exploração de uma vulnerabilidade (CVE-2025-3248) em Langflow, um framework open-source popular. Após obter acesso, o agente coletou informações sensíveis e estabeleceu persistência no servidor. A partir daí, ele se moveu para um servidor MySQL de produção, onde implantou o ransomware, criptografando 1.342 itens de configuração do serviço Nacos. A nota de resgate indicava que os dados foram criptografados usando o algoritmo AES-256, embora os pesquisadores acreditem que o AES-128-ECB foi o realmente utilizado. Este caso destaca a chegada de ‘agentes de ameaças autônomas’, que podem reduzir a habilidade necessária para realizar ataques cibernéticos prejudiciais.

Extorsão cibernética governo dos EUA paga US 1 milhão para evitar vazamento

Um estudo de caso revelou que uma entidade governamental dos EUA pagou cerca de US$ 1 milhão para evitar o vazamento de arquivos roubados por um grupo que se autodenomina Kairos. O caso, analisado por Rakesh Krishnan para o Ransom-ISAC, destaca uma nova abordagem de extorsão cibernética que não envolve a criptografia de dados, mas sim a ameaça de divulgação de informações sensíveis. O grupo Kairos não apresentou sinais de que tenha criptografado sistemas, mas sim de que roubou dados, incluindo informações pessoais e financeiras de residentes de Union County, Ohio. A negociação entre o condado e os atacantes durou cerca de um mês, começando com uma demanda de US$ 3 milhões e culminando em um pagamento de US$ 1 milhão. O pagamento foi rastreado através de transações em criptomoedas, mas a prova de que os dados foram realmente deletados é questionável. O incidente ilustra uma tendência crescente em que as extorsões não dependem mais da criptografia, mas sim da ameaça de vazamento de dados. Especialistas recomendam que entidades governamentais adotem medidas de segurança, como autenticação multifatorial e monitoramento de transferências de dados, para se protegerem contra esse tipo de ataque.

Framework de malware modular Avalon representa nova ameaça cibernética

Pesquisadores de cibersegurança identificaram um novo framework de malware modular, denominado Avalon, que utiliza uma cadeia de phishing em múltiplas etapas para contornar controles de segurança tradicionais. O ataque inicia com um e-mail que simula um documento legal, levando o destinatário a um arquivo protegido por senha no Proton Drive. Dentro desse arquivo, um atalho do Windows aciona uma sequência de malware que culmina na execução do Avalon, que combina funções de coleta de credenciais, movimentação lateral, acesso remoto e execução de ransomware, conhecido internamente como CrownX.

Grupo Anubis explora vulnerabilidade Citrix para ataques de ransomware

O grupo de ransomware Anubis tem utilizado a vulnerabilidade Citrix Bleed 2 (CVE-2025-5777) para obter acesso inicial a sistemas. De acordo com um relatório da Arctic Wolf, os afiliados do Anubis empregam ferramentas legítimas de gerenciamento remoto, como ScreenConnect e Zoho Assist, para se infiltrar nas redes das vítimas sem levantar suspeitas. Desde sua reemergência em 2024, o Anubis já reivindicou 91 vítimas, com 11 ataques ocorrendo apenas em junho de 2026, afetando setores como saúde, serviços financeiros e tecnologia. A operação oferece uma divisão de lucros atrativa para afiliados, que podem receber até 80% do valor do resgate. Além disso, o grupo implementa um módulo de destruição de dados que aumenta a pressão sobre as vítimas para que paguem o resgate. As intrusões observadas também envolveram o uso de credenciais VPN válidas e técnicas de movimento lateral, como RDP e PsExec, para garantir acesso persistente e exfiltração de dados. A situação é crítica, pois a exploração da vulnerabilidade CVE-2025-5777, com uma pontuação CVSS de 9.3, permite que atacantes contornem autenticações em servidores Citrix, representando um risco significativo para empresas que utilizam essa tecnologia.

Companhia de faturamento médico confirma violação de dados em 2025

A empresa de faturamento médico MCBS notificou mais de 309 mil pessoas sobre uma violação de dados ocorrida em setembro de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, histórico médico, condições de saúde e informações de seguro. A violação foi atribuída ao grupo de ransomware PEAR, que reivindicou ter roubado 3,3 TB de dados da MCBS. A empresa notificou 295.625 pessoas na Carolina do Sul, 13.302 no Texas e 382 em Massachusetts, mas o número total de vítimas pode aumentar à medida que mais estados divulgam dados. A MCBS não confirmou se pagou um resgate ou como a violação ocorreu. O grupo PEAR, ativo desde agosto de 2025, já reivindicou 98 ataques de ransomware, com foco principal em empresas de saúde. Este incidente é considerado o maior ataque ao setor de saúde realizado pelo grupo até agora, superando outras violações significativas ocorridas no mesmo mês. A MCBS não ofereceu monitoramento de crédito ou proteção contra roubo de identidade para as vítimas da violação.

Vulnerabilidades em sistemas e novas ameaças de cibersegurança

Nesta semana, diversas vulnerabilidades e campanhas de phishing foram destacadas no cenário de cibersegurança. Uma campanha de phishing está atacando pequenas empresas em várias regiões, incluindo a Europa e os EUA, utilizando e-mails falsos que se passam por investigações da INTERPOL, levando à instalação de ransomware. Além disso, uma pesquisa revelou uma falha no serviço ‘Hide My Email’ da Apple, que permite que endereços de e-mail reais sejam expostos. Outra descoberta alarmante envolve um novo Trojan de Acesso Remoto (RAT) chamado BeepRAT, que se infiltra em sistemas através de um utilitário de gerenciamento de números de telefone, demonstrando um sofisticado encadeamento de infecção. Por fim, a avaliação do modelo GPT-5.6 da OpenAI mostrou que, apesar de suas capacidades ofensivas, ainda enfrenta limitações em alvos bem defendidos. Essas questões ressaltam a necessidade de vigilância constante e atualização de sistemas para mitigar riscos.

Ataques de ransomware atingem recorde global no primeiro semestre de 2026

No primeiro semestre de 2026, os ataques de ransomware alcançaram um novo recorde global, com uma média de 23 ataques por dia, totalizando 4.217 incidentes. Este número representa um aumento de 11% em relação ao segundo semestre de 2025. Dentre os ataques registrados, 484 foram confirmados por organizações-alvo, enquanto o restante foi reivindicado por grupos de ransomware em sites de vazamento de dados. O setor empresarial foi o mais afetado, com 319 ataques confirmados, seguido por entidades governamentais (83) e empresas de saúde (49). O setor de transporte teve um aumento significativo de 52% nos ataques, enquanto a educação viu uma queda de 13%. Apesar do aumento global, os ataques nos Estados Unidos diminuíram em 8%, possivelmente devido à atuação do grupo The Gentlemen, que diversificou seus alvos fora dos EUA. O grupo Qilin foi o mais ativo, com 641 vítimas, seguido por The Gentlemen e Akira. As demandas de resgate variaram, com uma média de $1,36 milhão, destacando o caso do Nippon Medical School, que recebeu uma exigência de $100 milhões. Esses dados ressaltam a necessidade urgente de medidas de segurança cibernética mais robustas em diversos setores.

Campanha FortiBleed Ransomware e Roubo de Credenciais em Escala Global

A campanha FortiBleed, recentemente descoberta, está ligada a operações de ransomware como INC e Lynx, com credenciais roubadas sendo utilizadas para intrusões subsequentes. A SOCRadar revelou que a operação de roubo de credenciais afetou aproximadamente 11.250 portais FortiGate em mais de 150 países, resultando em acesso administrativo confirmado em 409 alvos e a conclusão bem-sucedida da cadeia de ataque em 354 deles. Pelo menos 12 implantações de ransomware foram registradas, criptografando centenas de endpoints nas organizações afetadas. Os atacantes realizaram varreduras sistemáticas na internet em busca de dispositivos Fortinet expostos, utilizando combinações de credenciais conhecidas e implantando sniffer de pacotes para coletar dados de autenticação. Estima-se que 430.000 firewalls FortiGate tenham sido alvo da operação, com mais de 110 milhões de credenciais coletadas. A atividade foi exposta devido a um erro de segurança operacional dos atacantes, que deixou um servidor com credenciais roubadas acessível na internet. A SOCRadar também identificou que os operadores da FortiBleed estão em posse de pelo menos uma vulnerabilidade zero-day no Nextcloud, e a empresa está coordenando com o fornecedor afetado.

Primeiro ataque de ransomware conduzido por agente de IA é identificado

A empresa de segurança Sysdig revelou um ataque de ransomware que, segundo eles, foi totalmente conduzido por um agente de inteligência artificial, nomeado JADEPUFFER. O ataque explorou uma vulnerabilidade já corrigida (CVE-2025-3248) em Langflow, uma ferramenta de código aberto, permitindo que o agente acessasse servidores expostos na internet. Após invadir a rede, o agente mapeou a máquina, coletou credenciais e, em seguida, criptografou e eliminou dados de um banco de dados de produção. O ataque se destacou pela ausência de um chave de descriptografia, impossibilitando a recuperação dos dados, mesmo que o resgate fosse pago. A Sysdig observou que o código do ataque continha anotações em inglês que explicavam cada passo, uma característica típica de modelos de IA, e que o agente corrigiu seus próprios erros rapidamente. Este incidente marca um novo patamar na automação de ataques cibernéticos, levantando preocupações sobre a segurança de sistemas que utilizam ferramentas de IA expostas à internet. Os especialistas recomendam que as empresas atualizem suas ferramentas e adotem práticas de segurança rigorosas para proteger suas redes.

Falha crítica no Microsoft SharePoint Server é explorada ativamente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no Microsoft SharePoint Server em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2026-45659, possui uma pontuação CVSS de 8.8 e permite a execução remota de código devido à desserialização de dados não confiáveis. A Microsoft já disponibilizou correções em maio de 2026 para as versões afetadas do SharePoint. A CISA alerta que qualquer atacante autenticado pode explorar essa vulnerabilidade, sem a necessidade de privilégios elevados, o que a torna particularmente preocupante. Além disso, a Microsoft revelou que investigações de ransomware identificaram dois grupos de atacantes operando simultaneamente em uma mesma rede, complicando a resposta a incidentes. Um dos grupos, conhecido como Storm-2603, tem explorado vulnerabilidades em servidores SharePoint desde 2025, utilizando técnicas para mascarar suas atividades. Diante da exploração ativa, agências federais dos EUA foram orientadas a aplicar as correções até 4 de julho de 2026.

Campanha FortiBleed expõe credenciais de 73 mil dispositivos Fortinet

A campanha de roubo de credenciais FortiBleed, que comprometeu mais de 73 mil dispositivos Fortinet, está ligada a operações de ransomware dos grupos INC e Lynx. Um servidor exposto na internet continha arquivos de configuração do FortiGate e credenciais coletadas de dispositivos comprometidos. A SOCRadar, responsável pela investigação, revelou que os atacantes utilizaram uma ferramenta personalizada chamada ‘FortiGate Sniffer’ para interceptar dados de autenticação, como credenciais de VPN, diretamente do tráfego de rede. A análise de um servidor Windows associado à infraestrutura do FortiBleed revelou acesso a painéis de negociação de ransomware, indicando que os atores de ameaça estavam diretamente envolvidos com as operações de extorsão. A campanha, que inicialmente afetou mais de 430 mil firewalls FortiGate, agora tem cerca de 11 mil dispositivos comprometidos. Além disso, os pesquisadores acreditam que uma vulnerabilidade zero-day do Nextcloud foi explorada para expandir o acesso após a invasão inicial. A SOCRadar planeja lançar um documento técnico adicional com mais detalhes sobre as evidências e indicadores de comprometimento.

Adolescente extraditado por envolvimento em grupo de hackers nos EUA

Um adolescente de 19 anos, Peter Stokes, foi extraditado da Finlândia para os Estados Unidos, onde enfrenta acusações de conspiração, invasão de computadores e fraude, conforme anunciado pelo Departamento de Justiça dos EUA. Stokes, que possui cidadania dupla dos EUA e Estônia, foi preso em abril sob um Aviso Vermelho da Interpol e compareceu a um tribunal federal em Chicago no dia 30 de junho, onde foi mantido sob custódia. Ele é acusado de fazer parte do grupo de hackers Scattered Spider, conhecido por ataques a cassinos, varejistas e companhias aéreas. O grupo utiliza engenharia social para obter acesso a sistemas, enganando funcionários de suporte técnico para que resetem senhas. Em um dos ataques, Stokes e outros invadiram uma joalheria de luxo, roubaram dados e exigiram um resgate de cerca de 8 milhões de dólares em criptomoeda. O caso de Stokes é parte de uma série de prisões relacionadas ao grupo, que já está associado a mais de 100 intrusões em redes, resultando em pagamentos de resgate superiores a 100 milhões de dólares. Especialistas em segurança alertam que a vulnerabilidade principal reside nos serviços de suporte técnico, e recomendações incluem a implementação de verificações de identidade mais rigorosas.

Rede de Saúde do Colorado confirma vazamento de dados de 68 mil pessoas

O Colorado Health Network (CHN) notificou 68.212 pessoas sobre um vazamento de dados ocorrido em julho de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados de cartões de crédito e débito, informações financeiras e médicas, como prescrições e dados de seguro saúde. O ataque foi reivindicado pelo grupo cibercriminoso Cephalus, que alegou ter roubado 900 GB de dados da organização. O CHN descobriu a violação em 29 de julho de 2025, mas só começou a notificar as vítimas quase 11 meses depois, em 18 de junho de 2026. O grupo Cephalus, ativo por um curto período, também foi responsável por outros ataques de ransomware, afetando diversas organizações de saúde nos EUA. Os ataques de ransomware têm se tornado uma preocupação crescente, com 148 incidentes confirmados em 2025, resultando em mais de 14,1 milhões de registros pessoais comprometidos. O CHN, que atende mais de 5.000 clientes afetados pelo HIV, não ofereceu monitoramento de crédito ou proteção contra roubo de identidade para as vítimas do vazamento.

Novo ransomware utiliza IA para atacar navegadores em Windows e Android

Pesquisadores de cibersegurança identificaram um novo artefato de malware que utiliza a tecnologia DeepSeek para criar um caminho de ataque inovador, combinando conceitos teóricos de ransomware em navegadores com capacidades reais. Este ataque, documentado pela primeira vez, ocorre inteiramente dentro do navegador, afetando dispositivos Windows e Android. O malware, denominado InfernoGrabber v9.0, é uma aplicação Python Flask que opera como um servidor web malicioso, atraindo vítimas com um falso aprimorador de avatar do Discord. Ele realiza uma série de ações prejudiciais, como roubo de tokens do Discord, números de cartões de crédito e frases-semente de criptomoedas, além de capturar feeds de webcam e microfone. O ataque utiliza uma técnica de ransomware que não requer a instalação de um payload nativo, explorando vulnerabilidades do navegador. A pesquisa destaca que a IA está redefinindo o cenário de ameaças cibernéticas, permitindo que atores maliciosos desenvolvam malware com menos expertise técnica. A abordagem é limitada a navegadores que expõem a API de Acesso ao Sistema de Arquivos, como o Google Chrome. Embora não haja evidências de que essa técnica tenha sido utilizada em campanhas reais, a descoberta representa uma mudança significativa na forma como ataques cibernéticos podem ser concebidos e executados.

Middletown, Ohio confirma vazamento de dados de 123 mil pessoas

A cidade de Middletown, Ohio, confirmou um vazamento de dados ocorrido em julho de 2025, afetando 123.791 pessoas. As informações comprometidas incluem números de Seguro Social, dados financeiros, informações médicas, dados de seguro de saúde e identificações emitidas pelo governo, como carteiras de motorista. O ataque cibernético, atribuído ao grupo de ransomware SafePay, causou a interrupção de serviços municipais, incluindo a cobrança de contas de água, que só foram totalmente restaurados em janeiro de 2026. O grupo SafePay, que utiliza um esquema de dupla extorsão, reivindicou a responsabilidade pelo ataque em setembro de 2025, embora a cidade não tenha confirmado essa alegação. A investigação forense revelou que os dados foram removidos da rede entre 29 de julho e 17 de agosto de 2025. Este incidente é um dos maiores ataques a entidades governamentais nos EUA em 2025, destacando a crescente ameaça de ransomware a serviços públicos e a necessidade urgente de medidas de segurança cibernética eficazes.

Vulnerabilidade do Microsoft Defender é explorada por gangues de ransomware

A CISA confirmou que gangues de ransomware começaram a explorar uma vulnerabilidade crítica no Microsoft Defender, conhecida como BlueHammer (CVE-2026-33825). Essa falha, que permite a elevação de privilégios locais, foi divulgada por um pesquisador de segurança em abril de 2026, em protesto ao processo de divulgação da Microsoft. A vulnerabilidade permite que atacantes autorizados acessem o banco de dados Security Account Manager (SAM), que contém hashes de senhas, possibilitando a escalada para privilégios de SYSTEM e controle total do sistema alvo. Embora a Microsoft tenha corrigido a falha em 14 de abril, a CISA alertou que a vulnerabilidade já estava sendo explorada em ataques zero-day. A agência incluiu a BlueHammer em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que agências federais aplicassem patches rapidamente. A exploração dessa vulnerabilidade representa um vetor de ataque frequente para atores maliciosos, aumentando os riscos para a segurança cibernética, especialmente em ambientes federais. A situação é crítica, pois a falha já foi associada a campanhas de ransomware, destacando a necessidade de ações imediatas por parte das equipes de segurança.

Grupo de ransomware Blackfield exige US 2 milhões da Nidec Corporation

O grupo de ransomware Blackfield está exigindo um resgate de US$ 2 milhões da Nidec Corporation, uma importante fabricante japonesa de componentes eletrônicos. A Nidec, que possui uma receita anual de US$ 17,2 bilhões e opera em mais de 40 países, confirmou que sua subsidiária em Taiwan, a Nidec Chaun Choung Technology, foi alvo de um ataque de ransomware. O incidente, que ocorreu em 22 de junho de 2026, resultou em danos a parte do servidor da subsidiária, levando a empresa a tomar medidas emergenciais, como o desligamento do servidor afetado. Embora a Nidec tenha mencionado a possibilidade de vazamento de informações, não há confirmação de que dados pessoais ou confidenciais tenham sido expostos. O grupo Blackfield deu um prazo de mais de 15 dias para que a Nidec respondesse e negociasse, ameaçando publicar ou vender os dados supostamente roubados. O ataque anterior à Nidec ocorreu em outubro de 2024, quando sua divisão no Vietnã foi comprometida, expondo mais de 50.000 arquivos sensíveis. A situação destaca a crescente ameaça de ransomware às empresas globais, especialmente em setores críticos como o de tecnologia e automotivo.

Grupo cibercriminoso Nova ataca Serviço de Incêndio da Austrália

O grupo cibercriminoso Nova reivindicou a responsabilidade por um incidente de cibersegurança que afetou o Serviço de Incêndio Rural de New South Wales (NSW RFS). O incidente, que ocorreu recentemente, não impactou as operações de resposta a emergências, mas levantou preocupações sobre um possível vazamento de dados. Segundo um e-mail do comissário do RFS, investigações preliminares indicam que muitos dos arquivos comprometidos são históricos e não há evidências de que informações pessoais sensíveis tenham sido acessadas. Nova afirma ter roubado 300 GB de dados do RFS e listou a organização em seu site de vazamento de dados. O grupo, que opera sob um modelo de ransomware como serviço, já foi responsável por 143 ataques, com 12 confirmados por suas vítimas. Este ataque é o primeiro incidente de ransomware confirmado em uma entidade governamental na Austrália em 2026. A crescente incidência de ataques de ransomware em serviços públicos destaca a vulnerabilidade desses sistemas e a necessidade de decisões rápidas sobre o pagamento de resgates, que podem resultar em perda de dados e riscos aumentados de fraude.

Incidente de vazamento de dados no distrito escolar de Grandview

O distrito escolar de Grandview, em Washington, confirmou um vazamento de dados que afetou 9.414 pessoas, comprometendo informações pessoais sensíveis, como números de Seguro Social, dados financeiros e informações de saúde. O incidente ocorreu entre 28 de setembro e 8 de outubro de 2024, quando um ator desconhecido acessou os sistemas do distrito. A notificação aos afetados foi feita 21 meses após a descoberta do problema, um atraso significativo em comparação com a média de quatro meses para notificações de vazamentos. O grupo cibernético BlackSuit reivindicou a responsabilidade pelo ataque, que incluiu a exposição de arquivos pessoais de alunos e funcionários. O distrito está oferecendo 12 meses de monitoramento de crédito gratuito aos afetados. Este incidente destaca a crescente ameaça de ataques de ransomware a instituições educacionais, que têm visto um aumento significativo em ataques nos últimos anos, comprometendo milhões de registros e causando interrupções operacionais.

Extensão maliciosa do Microsoft Edge é usada em ataque de ransomware

Uma extensão maliciosa do Microsoft Edge, chamada ‘Edgecution’, foi utilizada em um ataque de ransomware que consegue escapar da sandbox do navegador e implantar um backdoor baseado em Python. O acesso ao sistema local é obtido através do protocolo de Mensageria Nativa do Chrome, que permite que extensões do navegador interajam com aplicativos nativos do desktop. O ataque começa com o invasor se passando por um funcionário de suporte técnico no Microsoft Teams, direcionando os empregados a uma página fraudulenta sob a alegação de instalar uma atualização de filtro de spam. Pesquisadores da Zscaler acreditam que o Edgecution é implantado por um corretor de acesso inicial (IAB) ligado à operação de ransomware Payouts Kings. Os componentes maliciosos são baixados de um site falso da Microsoft, disfarçados como uma atualização, e incluem uma extensão maliciosa que se conecta ao servidor de comando e controle do invasor. A extensão opera em um navegador Edge sem interface, utilizando o protocolo de Mensageria Nativa para se comunicar com um aplicativo local. O backdoor em Python permite ao invasor executar comandos no sistema, coletar informações e manter a persistência na máquina comprometida. A Zscaler recomenda que as organizações reforcem a supervisão das extensões do navegador e implementem controles rigorosos sobre as configurações de mensageria nativa para mitigar riscos.

Ataque de ransomware compromete dados pessoais em Kootenai County

Kootenai County, em Idaho, notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em 30 de março de 2026, quando um ataque de ransomware afetou sua rede. Embora a contagem exata de indivíduos impactados e os tipos de dados comprometidos não tenham sido divulgados, a revisão do incidente, concluída em 22 de junho de 2026, confirmou a aquisição não autorizada de informações pessoais, conforme definido pela legislação do estado. O condado não informou se um resgate foi pago ou como os atacantes conseguiram acessar a rede. Para mitigar os danos, o condado está oferecendo monitoramento de crédito gratuito aos afetados. Este não é o primeiro incidente de segurança na região; em fevereiro de 2024, o hospital local Kootenai Health também sofreu uma violação que expôs dados sensíveis de mais de 460 mil pessoas. O aumento de ataques de ransomware a entidades governamentais nos EUA, com 28 incidentes confirmados em 2026, levanta preocupações sobre a segurança de dados e a continuidade dos serviços públicos.

Microsoft e Europol desmantelam operações de malware Amadey e StealC

A Microsoft, em colaboração com a Europol e parceiros internacionais, desmantelou a infraestrutura utilizada pelas operações de malware Amadey e StealC durante a Operação Endgame. Essa ação conjunta envolveu autoridades de vários países e resultou na interrupção de 326 servidores e 142 domínios associados a essas famílias de malware. Além disso, foram identificados mais de €41 milhões (cerca de $47 milhões) em criptomoedas ligadas a atividades criminosas e a recuperação de aproximadamente 27 milhões de credenciais roubadas de mais de 385 mil sistemas comprometidos. A operação também focou no malware SocGholish, que infecta usuários por meio de sites comprometidos que exibem falsos avisos de atualização de navegador. A Amadey é utilizada para obter acesso inicial a dispositivos, enquanto o StealC é responsável pelo roubo de credenciais e informações sensíveis. A ação foi coordenada por agências de segurança de países como Canadá, Alemanha e Estados Unidos, com o suporte de empresas de segurança cibernética como Microsoft, ESET e IBM X-Force. Apesar do sucesso da operação, a Europol alerta que, sem prisões, os criminosos podem rapidamente reconstruir suas infraestruturas para novos ataques.

Operação conjunta desmantela infraestrutura de cibercrime na Europa e EUA

Uma operação coordenada de aplicação da lei, em parceria com empresas do setor privado como Bitdefender, ESET e Microsoft, resultou na desarticulação de infraestruturas criminosas associadas aos malwares Amadey e StealC. O objetivo principal foi interromper as ’linhas de montagem’ utilizadas por cibercriminosos para lançar ataques de ransomware e fraudes financeiras. Durante a ação, que durou duas semanas, foram identificados e restritos ativos de criptomoeda de origem criminosa avaliados em mais de 47 milhões de dólares, além da recuperação de 27 milhões de credenciais de login roubadas. A operação também desmantelou 326 servidores e 142 domínios relacionados a essas ameaças. O malware Amadey, ativo desde 2018, é um loader que facilita a introdução de outros malwares, enquanto o StealC, que surgiu em 2023, é um infostealer que coleta informações sensíveis de usuários. A colaboração entre o setor público e privado foi destacada como fundamental para o sucesso da operação, que representa um passo significativo na luta contra o cibercrime em escala global.

Novo backdoor Mistic ataca setores financeiros e educacionais

Um novo backdoor chamado Mistic foi identificado em ataques cibernéticos motivados financeiramente, visando organizações nos setores de seguros, educação, TI e serviços profissionais. Acredita-se que o malware esteja vinculado ao grupo KongTuke/Woodgnat, ativo desde 2024, que se especializa em comprometer redes corporativas e vender acesso a grupos de ransomware. Pesquisadores da Symantec relataram que o Mistic tem sido utilizado em intrusões desde abril de 2024. O ataque começa com a execução de um arquivo legítimo, MpExtMs.exe, que carrega uma DLL maliciosa, version.dll, que por sua vez carrega o Mistic. Este malware é projetado para operar de forma furtiva, permitindo que os atacantes mantenham um acesso persistente nas redes comprometidas. Entre suas capacidades estão a manipulação de arquivos, execução de código na memória e a possibilidade de se autodestruir. A análise sugere que o Mistic é uma ferramenta customizada, refletindo uma tendência crescente de uso de ferramentas específicas em ataques de ransomware. As empresas devem estar atentas a essa nova ameaça e considerar a implementação de medidas de segurança robustas para proteger suas redes.

Grupo cibercriminoso Interlock reivindica ataque a escola na Austrália

O grupo cibercriminoso Interlock assumiu a responsabilidade por um vazamento de dados na Reynella East College, localizado perto de Adelaide, Austrália. O incidente ocorreu em 9 de junho de 2026, quando a escola anunciou que uma violação de segurança cibernética resultou na paralisação de seus sistemas de tecnologia da informação por uma semana. Segundo o Interlock, foram roubados 610 GB de dados, incluindo números de identificação de alunos e funcionários, gráficos de assentos e relatórios financeiros. Para corroborar sua afirmação, o grupo publicou imagens de arquivos supostamente extraídos da instituição. Até o momento, a Reynella East College não confirmou a reivindicação do Interlock, e a Comparitech não conseguiu verificar a autenticidade das informações. O grupo Interlock, que começou a operar em outubro de 2024, já reivindicou 23 ataques de ransomware em 2026, afetando diversas instituições educacionais. Os ataques de ransomware em escolas têm se tornado uma preocupação crescente, pois não apenas comprometem dados sensíveis, mas também interrompem operações diárias, como a gestão de presença e comunicação. A situação destaca a vulnerabilidade das instituições educacionais a ataques cibernéticos e a necessidade urgente de medidas de segurança robustas.

Incidente de cibersegurança no distrito escolar de Bellflower

O Distrito Escolar Unificado de Bellflower, localizado em Los Angeles, confirmou um vazamento de dados que ocorreu em agosto de 2025, comprometendo números de Seguro Social e outras informações pessoais. O ataque cibernético, atribuído ao grupo criminoso Rhysida, resultou na inoperabilidade temporária de muitos serviços da rede do distrito. Em 28 de outubro de 2025, Rhysida reivindicou a responsabilidade pelo ataque e exigiu um resgate de 10 bitcoins, equivalente a aproximadamente 1,15 milhão de dólares na época. Embora o distrito tenha notificado as vítimas do vazamento em junho de 2026, não está claro se o resgate foi pago ou como os atacantes conseguiram acessar a rede. O distrito oferece monitoramento de crédito gratuito para as vítimas afetadas. Rhysida, que opera um modelo de ransomware como serviço, já foi responsável por 92 ataques em 2025, afetando diversas instituições educacionais. Os ataques de ransomware em escolas nos EUA comprometeram mais de 4 milhões de registros em 2025, destacando a vulnerabilidade do setor educacional a esse tipo de crime cibernético.

Campanha FortiBleed e novas ameaças em cibersegurança

Nesta semana, o cenário de cibersegurança apresenta ameaças recorrentes, incluindo a campanha FortiBleed, que comprometeu mais de 80 mil dispositivos Fortinet FortiGate em todo o mundo. A campanha, que começou em fevereiro de 2026, utiliza credenciais reutilizadas de incidentes anteriores e técnicas de força bruta, destacando a importância de práticas de segurança robustas, como a autenticação multifator (MFA). Além disso, a Salesforce desativou a integração do aplicativo Klue após um incidente de extorsão que resultou no acesso não autorizado a dados de clientes. A operação de ransomware Gentlemen também está desenvolvendo ferramentas para desativar produtos de detecção de endpoint, enquanto uma nova vulnerabilidade no Splunk permite a execução remota de código sem autenticação. Por fim, um exploit de hardware, chamado usbliter8, afeta chips Apple A12 e A13, sendo impossível de ser corrigido. Essas ameaças ressaltam a necessidade de vigilância contínua e atualização das práticas de segurança em ambientes corporativos.

Aumento dramático do cibercrime na Ásia e Pacífico, alerta INTERPOL

Um novo relatório da INTERPOL destaca um aumento dramático no cibercrime na Ásia e no Pacífico, impulsionado pela rápida digitalização e pela penetração da internet. O relatório de Avaliação de Ciberameaças da INTERPOL para 2025/2026 revela que o phishing é a forma mais comum e financeiramente prejudicial de crime cibernético, com um terço dos países da região relatando mais de 10.000 casos entre janeiro de 2024 e março de 2025. Mais da metade dos países membros da INTERPOL indicou que o cibercrime representa pelo menos 30% de todos os crimes registrados. O diretor de Cibercrime da INTERPOL, Neal Jetton, enfatiza que os criminosos estão utilizando inteligência artificial e técnicas de engenharia social em larga escala. O relatório também aponta um aumento significativo em ataques de ransomware, com mais de 135.000 incidentes registrados em 2024, afetando principalmente os setores imobiliário, manufatureiro e de serviços financeiros. Além disso, a utilização de tecnologias como deepfake para fraudes e exploração sexual tem crescido, com organizações criminosas transnacionais estabelecendo centros de fraude que utilizam trabalho forçado. O fortalecimento da cooperação operacional e da resiliência cibernética é essencial para proteger comunidades e infraestruturas críticas na região.

Nova operação de ransomware Prinz Eugen prioriza arquivos recentes

Uma nova operação de ransomware chamada ‘Prinz Eugen’ tem chamado a atenção por sua abordagem distinta, priorizando a criptografia de arquivos recentemente modificados e não deixando notas de resgate nos sistemas afetados. A investigação da Threatdown, braço de cibersegurança da Malwarebytes, revelou que os hackers utilizam um estilo de ataque manual, empregando softwares legítimos de monitoramento remoto e ferramentas de living-off-the-land. O acesso inicial é provavelmente obtido através de credenciais RDP roubadas, seguido pelo download e execução manual do payload principal, denominado ‘servertool.exe’.

Grupo de ransomware Gentlemen desenvolve ferramentas para burlar EDRs

O grupo de ransomware Gentlemen, que opera como um serviço (RaaS), tem se destacado por desenvolver uma série de ferramentas para desativar sistemas de detecção e resposta de endpoint (EDR) antes de implementar seu software de criptografia. Conhecido como GentleKiller, esse conjunto de ferramentas é distribuído a afiliados e inclui variantes que imitam produtos legítimos de segurança, utilizando informações falsas de versão e certificados copiados. Desde sua aparição em março de 2025, o grupo já reivindicou 504 vítimas, principalmente na Ásia, América do Sul e Europa Ocidental. O líder da operação, Alexander Andreevich Yapaev, tem um histórico como afiliado em outros esquemas de ransomware. A equipe de segurança da ESET destacou a agilidade do grupo em operacionalizar novas vulnerabilidades, especialmente a técnica chamada ‘bring your own vulnerable driver’ (BYOVD), que permite a exploração de drivers vulneráveis para comprometer sistemas. Além disso, o Gentlemen também utiliza um ladrão de credenciais baseado em Rust, chamado OxideHarvest, que coleta dados de navegadores populares. A centralização da função de desativação de EDRs torna o grupo atraente para novos afiliados, reduzindo as barreiras de entrada e facilitando a execução de ataques.

Ransomware Gentlemen desenvolve ferramentas para evitar detecção

O ransomware Gentlemen, operando como um serviço (RaaS), está aprimorando suas capacidades com um conjunto de ferramentas projetadas para desativar sistemas de detecção e resposta de endpoint (EDR). A principal ferramenta, chamada GentleKiller, possui pelo menos oito variantes que se disfarçam como produtos de segurança legítimos, como Kaspersky e Valorant. Essas ferramentas são utilizadas para neutralizar defesas durante os ataques, permitindo que processos de roubo ou criptografia de dados ocorram sem obstáculos. A técnica ‘bring your own vulnerable driver’ (BYOVD) é empregada para elevar privilégios e desativar motores de segurança, com cada variante do GentleKiller utilizando drivers vulneráveis diferentes para alcançar privilégios de nível kernel. A análise indica que o grupo também utiliza ferramentas externas, como HexKiller e ThrottleBlood, para aumentar a eficácia de seus ataques. O Gentlemen RaaS já comprometeu a fornecedora de energia romena Oltenia e está associado a uma botnet de malware proxy chamada SystemBC. Dada a complexidade e a sofisticação das ferramentas utilizadas, a ameaça representa um risco significativo para empresas que utilizam as tecnologias afetadas.

Microsoft 365 Proteção de Dados e a Necessidade de Soluções de Terceiros

O artigo de Andy Kerr, da Acronis, destaca que muitas organizações acreditam que o Microsoft 365 oferece proteção automática para seus dados, mas isso não é verdade. O modelo de responsabilidade compartilhada da Microsoft implica que a segurança dos dados, incluindo backup e recuperação, é responsabilidade do cliente. Essa lacuna se torna crítica em cenários reais, como ataques de ransomware, exclusões acidentais e ameaças internas. O autor apresenta cinco razões principais pelas quais o backup nativo do Microsoft 365 não é suficiente: 1) Falta de proteção contra ransomware e perda de dados maliciosos; 2) Políticas de retenção nativas inadequadas para conformidade; 3) Recuperação granular limitada; 4) Exposição a phishing e ameaças internas; 5) Escalabilidade de custo ineficiente. Para mitigar esses riscos, a adoção de soluções de terceiros, como a Acronis Cyber Platform, é recomendada, pois oferece armazenamento imutável, detecção de ransomware baseada em IA e recuperação rápida. Assim, as organizações podem garantir a integridade e a segurança de seus dados no Microsoft 365.

Grupo de ransomware INC se torna uma ameaça crescente em 2026

Pesquisadores em cibersegurança observaram a evolução do grupo de ransomware INC, que se tornou um dos mais ativos em 2026, com pelo menos 830 vítimas desde agosto de 2023. A interrupção de operações como LockBit e BlackCat permitiu que o INC expandisse suas atividades, com 65% das vítimas localizadas nos Estados Unidos, abrangendo setores como serviços jurídicos, manufatura, construção, tecnologia e saúde. O ransomware do INC, desenvolvido em Rust, visa facilitar o desenvolvimento multiplataforma e resistir a esforços de engenharia reversa. Os ataques são caracterizados pelo uso de um dumper de credenciais atualizado, capaz de atingir novas implementações de backup da Veeam. A cadeia de ataque do INC inclui acesso inicial por meio de phishing, compra de credenciais e exploração de vulnerabilidades em aplicações públicas. O grupo utiliza uma variedade de ferramentas para movimentação lateral e exfiltração de dados, culminando na criptografia de informações. A análise indica que o INC se destaca por sua capacidade de escalar operações sem depender de técnicas avançadas, resultando em um fluxo constante de vítimas em diversos setores e geografias.

Usuários do Microsoft Teams devem ter cuidado com ransomware

Pesquisadores de segurança da Symantec alertaram que hackers de ransomware, conhecidos como DragonForce, estão utilizando servidores de retransmissão do Microsoft Teams para ocultar tráfego malicioso. Essa técnica, chamada de ‘Ghost Calls’, permite que os atacantes disfarcem suas comunicações de comando e controle (C2) como se fossem tráfego legítimo do Teams, dificultando a detecção por parte das equipes de segurança. O ataque ocorreu em dezembro de 2025, quando os hackers exploraram uma vulnerabilidade desconhecida em servidores SQL para obter acesso à rede de uma grande empresa de serviços nos EUA. Eles implantaram um malware personalizado chamado ‘Backdoor.Turn’, que utiliza o protocolo TURN do Teams para mascarar suas atividades. Essa abordagem representa um avanço significativo nas táticas de cibercrime, mostrando um nível de sofisticação elevado. A DragonForce, que opera sob um modelo de cartel de drogas, permite que afiliados utilizem sua infraestrutura e malware, aumentando a complexidade do cenário de ameaças. A situação exige atenção redobrada das empresas que utilizam o Microsoft Teams, uma vez que a técnica pode ser replicada em outros ambientes corporativos.

Ransomware DragonForce usa malware para ocultar tráfego no Teams

O ransomware DragonForce, ativo desde 2023, utiliza um malware personalizado chamado ‘Backdoor.Turn’ para esconder o tráfego de comando e controle dentro da infraestrutura de relé do Microsoft Teams. Esse backdoor explora o protocolo TURN (Traversal Using Relays around NAT) do Teams, que é usado para distribuir mensagens quando uma conexão direta não está disponível. Pesquisadores da Symantec relataram que os hackers usaram esse malware baseado em Go em um ataque contra uma grande empresa de serviços nos EUA. O ataque começou com a exploração de uma falha desconhecida em um servidor SQL, seguido pelo download de um arquivo ZIP contendo um executável legítimo e um DLL malicioso. Os atacantes conseguiram obter privilégios de nível de kernel e desativar ferramentas de segurança, utilizando técnicas de BYOVD (Bring Your Own Vulnerable Driver). O Backdoor.Turn permite execução de comandos, criação de processos, e roubo de credenciais, culminando na exfiltração de dados e na implantação do ransomware DragonForce. A Sophos destaca que essa campanha demonstra um nível excepcionalmente sofisticado de técnicas cibernéticas. A publicação inclui uma lista de indicadores de comprometimento (IoCs) para auxiliar na detecção e bloqueio de tais ataques.

Nacional ucraniano se declara culpado por ataques de ransomware Conti

Oleksii Oleksiyovych Lytvynenko, um cidadão ucraniano extraditado da Irlanda para os Estados Unidos, se declarou culpado por acusações de conspiração relacionadas à operação de ransomware Conti. O Departamento de Justiça dos EUA anunciou que Lytvynenko, de 44 anos, admitiu sua participação em ataques de ransomware que ocorreram entre 2021 e 2022, onde ele e seus cúmplices implantaram o ransomware Conti em redes de vítimas nos EUA e no exterior, roubando dados e criptografando dispositivos para extorquir pagamentos em Bitcoin. Lytvynenko se juntou à conspiração em setembro de 2021 e possuía dados roubados de oito vítimas nos EUA e quatro no exterior. Ele também trabalhou em um grupo que desenvolveu um “loader”, um tipo de malware utilizado para carregar softwares necessários para realizar os ataques. A operação Conti foi uma das mais ativas de grupos de cibercrime, tendo atacado mais de 1.000 vítimas e arrecadado mais de 150 milhões de dólares em resgates. Lytvynenko enfrenta uma pena máxima de 20 anos de prisão após sua extradição em julho de 2023.

Autoridades europeias desmantelam serviço de lavagem de criptomoedas

As autoridades na Europa desmantelaram o AudiA6, um serviço de lavagem de criptomoedas utilizado por gangues de ransomware e redes cibernéticas criminosas. A Europol anunciou que a operação, realizada em 10 de junho de 2026, cortou um ‘canal financeiro crucial’ que lavou mais de €336 milhões desde seu lançamento em 2021. O AudiA6 funcionava como um hub central para criminosos que buscavam ocultar a origem de ativos digitais roubados. Durante a operação, dois administradores foram presos na Geórgia, 25 domínios foram retirados do ar e mais de 30 servidores foram apreendidos. Além disso, foram confiscados veículos e propriedades, além de ativos em criptomoedas no valor de €692.000. A investigação revelou que o AudiA6 utilizava contas de troca fraudulentas e registros de ‘Know Your Customer’ (KYC) para movimentar os lucros ilícitos. A operação foi resultado de uma ação anterior da polícia polonesa, que levou à prisão de um ucraniano em setembro de 2025, permitindo que as autoridades identificassem mais envolvidos. O caso destaca o crescimento de serviços de lavagem de criptomoedas em escala industrial, que facilitam a economia do cibercrime.

Casino Taos Mountain sofre violação de dados em 2026

O Taos Mountain Casino, localizado no Novo México, notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em março de 2026, que comprometeu nomes, números de Seguro Social e endereços. A violação foi detectada em 28 de março de 2026, e um grupo de cibercriminosos chamado DragonForce reivindicou a responsabilidade pelo ataque em 30 de maio, alegando ter roubado 38,6 GB de dados do cassino. Embora o cassino tenha oferecido 12 meses de monitoramento de crédito gratuito e restauração de identidade para as vítimas, não há confirmação se o DragonForce realmente executou o ataque ou se um resgate foi pago. O grupo DragonForce é conhecido por operar um modelo de ransomware como serviço, permitindo que outros cibercriminosos utilizem sua infraestrutura para realizar ataques. Este incidente destaca a crescente vulnerabilidade de cassinos a ataques de ransomware, com vários casos semelhantes ocorrendo nos últimos anos. Até agora, em 2026, foram registrados 218 ataques de ransomware, com 18 confirmados por organizações-alvo. A situação levanta preocupações sobre a segurança de dados e a proteção de informações pessoais em setores vulneráveis como o de jogos.

Polícia desmantela serviço de criptomoedas AudiA6 usado por cibercriminosos

As autoridades de segurança desmantelaram o serviço de criptomoedas conhecido como “AudiA6”, que supostamente facilitou a lavagem de mais de 380 milhões de dólares para atores de ransomware e outros cibercriminosos. Segundo a Europol, o AudiA6 funcionou como um hub central de lavagem de dinheiro entre 2022 e 2025, sendo vinculado a mais de 15 investigações internacionais relacionadas a ataques de ransomware. O serviço, que se apresentava como uma “plataforma profissional de mistura de criptomoedas”, aceitava lucros de crimes cibernéticos, movimentava o dinheiro por rotas complexas para ocultar sua origem e devolvia os fundos “limpos” aos usuários em cerca de uma hora, cobrando uma comissão de 3 a 10%. A investigação, que envolveu autoridades de 11 países, resultou na prisão de dois indivíduos na Geórgia, que são considerados administradores do AudiA6 e do fórum underground “Dark2Web”. Além disso, foram apreendidos 25 domínios, 80 veículos e propriedades, e congelados quase 800 mil dólares em criptomoedas. A ação foi facilitada pela prisão de um nacional ucraniano na Polônia, cujos dispositivos ajudaram a identificar outros envolvidos na operação.

Grupo de ransomware The Gentlemen se destaca no cibercrime

Uma nova análise da operação The Gentlemen revelou que o grupo de cibercriminosos, inicialmente atuando como afiliado em ataques de dupla extorsão, evoluiu para uma operação independente em julho de 2025. Conhecido como Phantom Mantis, o grupo é liderado por LARVA-368, um criminoso cibernético de origem russa. Desde sua formação, The Gentlemen já registrou 478 vítimas, com uma significativa presença em países como Tailândia, Reino Unido, Brasil, Alemanha e Índia. O grupo utiliza inteligência artificial para desenvolver e manter suas ferramentas de ransomware, além de empregar técnicas sofisticadas para obter acesso inicial a sistemas vulneráveis, como dispositivos de rede e serviços expostos à internet. Com um modelo de compartilhamento de lucros agressivo, onde 90% dos ganhos vão para os afiliados, The Gentlemen se destaca como um dos grupos de ransomware mais ativos, representando 10% das atividades de ransomware em abril de 2026. O uso de um esquema criptográfico híbrido e a capacidade de se adaptar rapidamente durante os ataques tornam essa operação uma ameaça significativa para organizações em todo o mundo.

Grupo cibercriminoso LockBit ataca escolas públicas em Minnesota

O grupo cibercriminoso LockBit reivindicou um ataque de ransomware ocorrido em maio de 2026 contra as escolas públicas de Delano, em Minnesota. O ataque foi detectado em 19 de maio, quando impressoras do distrito começaram a imprimir mensagens relacionadas a ransomware. As aulas foram canceladas no dia seguinte, e a administração confirmou que servidores foram acessados por um agente externo. Em 9 de junho, LockBit anunciou em seu site de vazamento de dados que havia roubado informações da instituição e exigiu um pagamento de resgate em um prazo de duas semanas. Até o momento, as escolas públicas de Delano não confirmaram a reivindicação do grupo, e não há informações sobre a natureza dos dados comprometidos ou sobre um possível pagamento de resgate. LockBit, que opera um esquema de ransomware como serviço, já foi responsável por 165 ataques em 2026, incluindo um ataque a uma organização de saúde no Brasil, que se recusou a pagar um resgate de 500 mil dólares. Os ataques de ransomware em instituições educacionais nos EUA têm se intensificado, com 11 incidentes confirmados em 2026, afetando operações diárias e expondo dados sensíveis.

CISA ordena proteção contra vulnerabilidade crítica em VPNs da Check Point

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA protejam suas implementações de VPN de Acesso Remoto e Acesso Móvel da Check Point contra uma vulnerabilidade crítica, identificada como CVE-2026-50751. Essa falha de segurança permite que atacantes remotos não autenticados contornem a autenticação e estabeleçam conexões VPN em dispositivos afetados, especialmente aqueles que utilizam o protocolo de troca de chaves IKEv1, que já está obsoleto. A Check Point lançou atualizações de segurança para corrigir essa vulnerabilidade, que foi explorada em ataques que começaram em 7 de maio e aumentaram durante o fim de semana. Embora os ataques tenham afetado apenas algumas dezenas de organizações globalmente, a Check Point associou um dos incidentes ao grupo de ransomware Qilin, que já comprometeu mais de 400 vítimas desde sua aparição em agosto de 2022. A CISA incluiu a CVE-2026-50751 em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que as agências federais implementem as correções até 11 de junho. A agência também recomendou que equipes de segurança, incluindo as do setor privado, adotem as atualizações de segurança imediatamente.

Plaza Home Mortgage confirma violação de dados que afeta quase 138 mil pessoas

A Plaza Home Mortgage notificou 137.976 pessoas sobre uma violação de dados ocorrida em fevereiro de 2026, onde informações pessoais sensíveis foram comprometidas. Os dados expostos incluem números de Seguro Social, informações sobre aplicações e serviços de empréstimos hipotecários, identificações emitidas pelo governo, como carteiras de motorista, e datas de nascimento. O grupo criminoso Silent Ransom Group reivindicou a responsabilidade pelo ataque em 22 de março de 2026, embora a Plaza não tenha confirmado essa alegação. A empresa ofereceu 12 meses de monitoramento de crédito gratuito para as vítimas da violação. Este incidente é parte de uma tendência crescente de ataques de ransomware que visam empresas do setor financeiro nos Estados Unidos, com 10 ataques confirmados em 2026 até o momento, resultando na exposição de 304.000 registros. O ataque à Plaza é o segundo maior do ano em termos de dados comprometidos, atrás apenas de um incidente que afetou a Beacon Mutual Insurance Company. A segurança das informações e a proteção de dados pessoais são preocupações crescentes, especialmente em um contexto onde a conformidade com a LGPD é essencial.