Ransomware

Uma nova operação de ransomware chamada Kyber está atacando sistemas Windows e endpoints VMware ESXi, com uma variante utilizando criptografia pós-quântica Kyber1024. A empresa de cibersegurança Rapid7 analisou duas variantes do Kyber em março de 2026, ambas implantadas na mesma rede, sendo uma focada em VMware ESXi e a outra em servidores de arquivos Windows. A variante ESXi é projetada para ambientes VMware, permitindo a criptografia de datastores e a desfiguração de interfaces de gerenciamento. Por outro lado, a variante Windows, escrita em Rust, possui uma funcionalidade experimental para atacar máquinas virtuais Hyper-V. Embora a variante Linux do ransomware afirme usar criptografia pós-quântica, na prática, utiliza ChaCha8 e RSA-4096 para a criptografia de arquivos. Já a variante Windows realmente implementa Kyber1024, mas apenas para proteger chaves simétricas, enquanto a criptografia de dados é realizada pelo AES-CTR. Ambas as variantes visam eliminar caminhos de recuperação de dados, como a exclusão de cópias de sombra e a desativação de serviços de backup. Até o momento, apenas uma vítima foi identificada, um grande contratante de defesa e serviços de TI dos EUA.

O RAMP (Russian Anonymous Marketplace) foi um fórum de cibercrime que operou de 2021 até sua apreensão pelo FBI em janeiro de 2026. Com mais de 7.700 usuários registrados, o fórum facilitava a venda de acessos a redes corporativas, malware e dados roubados, destacando-se pela sua acessibilidade tanto na rede Tor quanto na clearnet. O acesso a redes corporativas era o foco principal, com 333 threads oferecendo pontos de entrada, sendo o RDP (Remote Desktop Protocol) o tipo mais comum. Os Estados Unidos foram o principal alvo, representando 40% das listagens. O fórum também promovia programas de ransomware como serviço (RaaS), com divisões de lucros que chegaram a 90% para os afiliados. A atividade no fórum aumentou 348% em um ano, indicando uma resiliência após ações de law enforcement. O aumento das listagens de acesso VPN reflete uma mudança nas táticas de ataque, especialmente após a divulgação de vulnerabilidades críticas em produtos populares como Cisco e Fortinet. O RAMP exemplifica a crescente complexidade e a interconexão do cibercrime global, exigindo atenção redobrada das organizações, especialmente em setores críticos como governo, finanças e tecnologia.

O grupo de ransomware Qilin reivindicou a responsabilidade por um ataque cibernético ocorrido em março de 2026 contra o governo local de Rusk County, Wisconsin. Os oficiais do condado relataram um ‘incidente de cibersegurança’ no início de março, que ainda está sob investigação. A confirmação do ataque foi feita pelo Qilin em seu site de vazamento de dados em 21 de abril de 2026, embora o condado não tenha reconhecido oficialmente a reivindicação. O grupo Qilin, baseado na Rússia, é conhecido por suas táticas de phishing e opera um modelo de ransomware como serviço, permitindo que afiliados utilizem seu malware para realizar ataques. Até agora, em 2026, o Qilin já reivindicou 411 ataques, sendo que 27 organizações confirmaram as invasões. O ataque a Rusk County é o quarto contra entidades governamentais neste ano, destacando uma tendência preocupante de ataques a governos nos EUA. Esses incidentes podem resultar em roubo de dados e paralisação de sistemas, obrigando as autoridades a pagar resgates para restaurar o funcionamento normal. O caso de Rusk County se junta a outros ataques recentes, como os ocorridos em Tulsa, Oklahoma, e Seal Beach, Califórnia.

O grupo de ransomware conhecido como The Gentlemen, que opera sob o modelo de ransomware-as-a-service (RaaS), está utilizando um malware proxy chamado SystemBC para expandir suas operações. De acordo com a pesquisa da Check Point, o servidor de comando e controle (C2) associado ao SystemBC revelou uma botnet com mais de 1.570 vítimas em todo o mundo. O SystemBC estabelece túneis de rede SOCKS5 e pode baixar e executar malware adicional, complicando a defesa das vítimas. Desde sua aparição em julho de 2025, The Gentlemen já reivindicou mais de 320 vítimas em seu site de vazamento de dados, utilizando um modelo de dupla extorsão. As táticas do grupo incluem o uso de objetos de política de grupo (GPOs) para comprometer domínios inteiros e a desativação de ferramentas de segurança como o Windows Defender. A pesquisa também destaca que a velocidade dos ataques está aumentando, com a maioria das tentativas ocorrendo durante a noite e nos fins de semana, visando maximizar o impacto antes que as defesas possam reagir. O cenário atual de ransomware é caracterizado por uma evolução para operações mais disciplinadas e especializadas, com um aumento significativo nos ataques a pequenas e médias empresas e setores críticos.

O Hospital Caribbean Medical Center, localizado em Porto Rico, registrou uma violação de dados que afetou 92.000 registros no portal de violações do Departamento de Saúde e Serviços Humanos dos EUA. O ataque, reivindicado pelo grupo de ransomware The Gentlemen, ocorreu em fevereiro de 2026. Em março, o hospital confirmou que conseguiu conter o ataque, que impactou parte de seus sistemas de informação. A detecção precoce permitiu a implementação de medidas de contenção com o apoio de especialistas em cibersegurança. Embora o hospital tenha notificado as autoridades competentes e esteja colaborando na análise técnica do incidente, não confirmou se um resgate foi exigido ou pago. Este ataque é o quarto confirmado contra provedores de saúde, destacando a crescente ameaça de ransomware no setor. Em 2026, já foram registrados 27 ataques confirmados a instituições de saúde em todo o mundo, com o Hospital Caribbean Medical Center sendo o segundo maior em termos de registros afetados. A situação ressalta a necessidade urgente de medidas de segurança robustas para proteger dados sensíveis na área da saúde.

A Southern Illinois Dermatology confirmou que notificou 160.312 pessoas sobre uma violação de dados ocorrida em novembro de 2025, que comprometeu informações sensíveis, incluindo números de Seguro Social, números de telefone, endereços de e-mail e registros médicos. O incidente foi classificado como um ‘incidente de cibersegurança’, onde um grupo criminoso chamado Insomnia reivindicou a responsabilidade pelo ataque, alegando ter acessado e roubado dados dos pacientes. O grupo publicou amostras de documentos supostamente roubados em seu site de vazamento de dados, e notificou a clínica sobre o ataque em 28 de novembro de 2025, possivelmente exigindo um resgate. A clínica não confirmou a reivindicação do grupo e não se sabe como a violação ocorreu, nem se um resgate foi pago. Este ataque é um dos maiores registrados, com 135 ataques de ransomware em provedores de saúde dos EUA em 2025, comprometendo mais de 11,9 milhões de registros pessoais e médicos. A Southern Illinois Dermatology opera 13 clínicas em várias cidades do estado, e a situação destaca a crescente ameaça de ataques cibernéticos no setor de saúde.

Angelo Martino, um negociador de ransomware de 41 anos, se declarou culpado por realizar ataques de ransomware contra empresas nos Estados Unidos em 2023. Ele colaborou com o grupo criminoso BlackCat, fornecendo informações confidenciais sobre as posições de negociação de cinco vítimas, sem o conhecimento ou consentimento delas. Essas informações incluíam limites de apólices de seguro e estratégias internas, o que resultou em resgates mais altos. Martino foi compensado financeiramente por essas informações. Além disso, ele admitiu ter trabalhado com outros dois respondentes a incidentes para implantar o ransomware BlackCat em várias vítimas entre abril e novembro de 2023, extorquindo uma delas em aproximadamente 1,2 milhão de dólares em Bitcoin. As autoridades confiscam 10 milhões de dólares em ativos de Martino, incluindo criptomoedas e veículos. Ele enfrenta uma pena máxima de 20 anos de prisão e está programado para ser sentenciado em julho de 2026. O caso destaca a traição de confiança em um setor que deveria proteger as vítimas de ataques cibernéticos.

Angelo Martino, ex-funcionário da DigitalMint, admitiu sua culpa em ataques de ransomware BlackCat (ALPHV) direcionados a empresas dos EUA em 2023. Juntamente com outros dois negociadores de resgates, Martino foi acusado de conspiração para interferir no comércio interestadual por extorsão e danos intencionais a computadores protegidos. Durante seu trabalho como negociador, ele compartilhou informações confidenciais sobre as vítimas com os operadores do ransomware, facilitando a extorsão de valores elevados. Entre abril de 2023 e abril de 2025, Martino e seus cúmplices exigiram pagamentos de resgate, ameaçando vazar dados antes de criptografar os sistemas das vítimas. O impacto financeiro foi significativo, com uma empresa de serviços financeiros pagando mais de 25 milhões de dólares e uma organização sem fins lucrativos mais de 26 milhões. A operação BlackCat, associada a mais de 60 violações, arrecadou pelo menos 300 milhões de dólares em pagamentos de resgate até setembro de 2023. A DigitalMint condenou as ações de seus ex-funcionários e os demitiu assim que as irregularidades foram descobertas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu recentemente oito novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), destacando três falhas críticas que afetam o Cisco Catalyst SD-WAN Manager. Entre as vulnerabilidades, a CVE-2025-32975 se destaca com um escore CVSS de 10.0, permitindo que atacantes se façam passar por usuários legítimos sem credenciais válidas. Outras falhas incluem a CVE-2023-27351, que permite a bypass de autenticação no PaperCut NG/MF, e a CVE-2024-27199, que possibilita ações administrativas limitadas no JetBrains TeamCity. A CISA recomenda que as agências do governo federal dos EUA abordem as vulnerabilidades da Cisco até 23 de abril de 2026, e as demais até 4 de maio de 2026. A exploração ativa dessas falhas foi observada, com grupos de ameaças conhecidos, como Lace Tempest, utilizando-as em ataques de ransomware. A situação é crítica, pois as falhas podem comprometer a segurança de sistemas amplamente utilizados, exigindo atenção imediata das organizações para evitar possíveis incidentes de segurança.

Uma botnet de malware proxy chamada SystemBC, composta por mais de 1.570 hosts, foi descoberta após investigações relacionadas a um ataque de ransomware conhecido como Gentlemen. Este ransomware, que surgiu em meados de 2025, utiliza um serviço de ransomware como serviço (RaaS) e é capaz de criptografar sistemas Windows, Linux, NAS e BSD, além de hipervisores ESXi. A Check Point, responsável pela investigação, identificou que a maioria das vítimas está localizada nos Estados Unidos, Reino Unido, Alemanha, Austrália e Romênia, com um foco claro em ambientes corporativos.

O grupo de cibercriminosos Blackwater reivindicou a responsabilidade por um incidente de cibersegurança ocorrido no Minidoka Memorial Hospital, em Rupert, Idaho, durante o fim de semana da Páscoa de 2026. O ataque, que ocorreu no dia 17 de abril, resultou na interrupção de diversos serviços hospitalares, incluindo a imagem médica. Blackwater afirmou ter roubado 577 GB de dados do hospital e exigiu um pagamento de resgate em uma semana, embora o hospital não tenha confirmado publicamente a reivindicação. Em uma postagem no Facebook, o Minidoka Memorial Hospital reconheceu a ocorrência de um incidente cibernético que afetou temporariamente alguns sistemas, mas garantiu que os serviços de emergência seriam restaurados até a meia-noite do dia 19 de abril. Este ataque é parte de uma tendência crescente de ataques de ransomware a instituições de saúde nos EUA, com nove incidentes confirmados em 2026 até o momento. Blackwater, que surgiu em março de 2026, é um novo grupo de ransomware que combina a criptografia de sistemas com o roubo de dados, exigindo resgates para a devolução das informações. O aumento desses ataques levanta preocupações sobre a segurança cibernética em hospitais e a proteção de dados sensíveis dos pacientes.

O ransomware Payouts King tem utilizado o emulador QEMU como uma backdoor reversa SSH para executar máquinas virtuais ocultas em sistemas comprometidos, contornando a segurança de endpoints. O QEMU, uma ferramenta de virtualização de código aberto, permite que atacantes executem cargas maliciosas e armazenem arquivos dentro de máquinas virtuais, que não são escaneadas pelas soluções de segurança do host. Pesquisadores da Sophos documentaram duas campanhas, uma delas associada ao grupo de ameaças GOLD ENCOUNTER, que utiliza tarefas agendadas para lançar VMs QEMU disfarçadas. A primeira campanha, STAC4713, foi observada em novembro de 2025, enquanto a segunda, STAC3725, explora a vulnerabilidade CitrixBleed 2 (CVE-2025-5777) para obter acesso inicial. Os atacantes têm usado VPNs expostas e engenharia social para infiltrar-se em redes, além de empregar técnicas de ofuscação e mecanismos anti-análise para evitar detecções. O esquema de criptografia do Payouts King combina AES-256 e RSA-4096, e as notas de resgate direcionam as vítimas a sites de vazamento na dark web. A Sophos recomenda que as organizações verifiquem instalações não autorizadas do QEMU e monitorem atividades suspeitas relacionadas a SSH.

Os ciberataques estão evoluindo rapidamente, superando as defesas de muitos provedores de serviços gerenciados (MSPs) e empresas. O phishing se destaca como um dos principais motores do cibercrime moderno. Em um webinar programado para 14 de maio de 2026, a BleepingComputer, em parceria com especialistas da Kaseya, discutirá a necessidade de uma abordagem integrada entre segurança e estratégias de recuperação. O evento abordará como ataques impulsionados por inteligência artificial, como phishing e ransomware, estão se tornando mais direcionados e difíceis de detectar, frequentemente burlando controles de segurança tradicionais. Mesmo quando as ameaças são identificadas, atrasos na resposta ou lacunas no planejamento de recuperação podem transformar um incidente contido em uma interrupção em larga escala. A Kaseya, conhecida por suas soluções de segurança e backup focadas em MSPs, enfatiza a importância de combinar prevenção, detecção e recuperação rápida para proteger melhor os ambientes dos clientes e garantir a continuidade dos negócios. O webinar também abordará como os atacantes exploram infraestruturas confiáveis e plataformas SaaS para contornar defesas, destacando a importância de backups e planejamento de recuperação de desastres (BCDR) para a resiliência cibernética.

O Museu de Arte de Phoenix, localizado no Arizona, confirmou que notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em dezembro de 2025, que comprometeu nomes e números de Seguro Social. A violação foi identificada em 8 de dezembro de 2025, após o museu detectar acessos não autorizados em seus sistemas. O grupo cibercriminoso Rhysida assumiu a responsabilidade pelo ataque em 12 de fevereiro de 2026, exigindo um resgate de 10 bitcoins, equivalente a aproximadamente 667 mil dólares na época. O museu não confirmou a reivindicação do Rhysida e não se sabe quantas pessoas foram afetadas ou como os atacantes conseguiram acessar a rede. Como resposta, o museu está oferecendo monitoramento de crédito gratuito e seguro contra roubo de identidade aos afetados. O Rhysida, que opera um modelo de ransomware como serviço, foi responsável por 92 ataques em 2025, afetando organizações sem fins lucrativos, incluindo o Welthungerhilfe na Alemanha e o Hudson River Housing em Nova York. Os ataques de ransomware nos EUA aumentaram significativamente, com 708 incidentes confirmados em 2025, comprometendo quase 46 milhões de registros pessoais.

O Cookeville Regional Medical Center (CRMC), localizado no Tennessee, confirmou que notificou 337.917 pessoas sobre um vazamento de dados ocorrido em julho de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados financeiros e informações médicas. O incidente foi resultado de um ataque de ransomware, que interrompeu os sistemas de computação do hospital. O grupo cibercriminoso Rhysida reivindicou a responsabilidade pelo ataque e exigiu um resgate de 10 bitcoins, equivalente a aproximadamente 1,15 milhão de dólares na época. A investigação forense revelou que um terceiro não autorizado acessou a rede do hospital entre 11 e 14 de julho de 2025. Em resposta ao incidente, o CRMC está oferecendo um ano de proteção contra roubo de identidade aos afetados. O ataque destaca a crescente ameaça de ransomware no setor de saúde dos EUA, onde 134 ataques foram confirmados em 2025, comprometendo 11,7 milhões de registros. O CRMC é o oitavo maior vazamento em termos de registros afetados, evidenciando a gravidade da situação e a necessidade de medidas de segurança robustas.

O setor de transporte, especialmente o de caminhões, enfrenta crescentes ameaças cibernéticas, uma vez que esses veículos se tornaram redes móveis repletas de sistemas de comunicação e dispositivos conectados. Com a importância vital do transporte para a infraestrutura crítica da América do Norte, os cibercriminosos exploram a pressão sobre as empresas de logística para manter operações ininterruptas, utilizando táticas como ransomware e extorsão. Além disso, técnicas de roubo de carga têm se sofisticado, com criminosos se passando por corretores legítimos para desviar remessas valiosas. Em 2025, perdas de roubo de carga ultrapassaram US$ 725 milhões, evidenciando a gravidade do problema. Apesar dos desafios, práticas de higiene cibernética, como autenticação multifator e treinamento em engenharia social, podem mitigar riscos. No entanto, a maioria das empresas de transporte se classifica como pequenas, dificultando a adoção de padrões de segurança robustos. A National Motor Freight Traffic Association (NMFTA) tem promovido a conscientização e a educação em cibersegurança, organizando conferências e desenvolvendo recursos específicos para o setor. A colaboração entre profissionais de segurança é essencial para enfrentar as ameaças cibernéticas em evolução e proteger a infraestrutura de transporte.

O grupo de ransomware Anubis reivindicou um ataque cibernético contra a Signature Healthcare, resultando em sérias interrupções no Brockton Hospital, em Massachusetts. Em um comunicado de 6 de abril de 2026, a Signature Healthcare informou que um incidente de segurança cibernética levou o hospital a adotar procedimentos de emergência, incluindo a desvio de ambulâncias e o cancelamento de consultas de quimioterapia. Anubis alegou ter roubado 2 TB de dados sensíveis de pacientes e deu um prazo de sete dias para que a instituição pagasse um resgate, caso contrário, os dados seriam divulgados. Embora a Signature Healthcare não tenha confirmado a reivindicação do grupo, a situação destaca a crescente ameaça de ataques de ransomware no setor de saúde, onde a proteção de dados é crucial. Até agora, em 2026, Anubis já reivindicou 27 ataques, com seis deles confirmados em organizações de saúde. Os ataques de ransomware podem comprometer a segurança e a privacidade dos pacientes, além de causar danos financeiros significativos às instituições afetadas.

A ChipSoft, uma importante fornecedora de sistemas de Registro Eletrônico de Saúde (EHR) na Holanda, foi alvo de um ataque de ransomware que resultou na desativação de seu site e serviços digitais para pacientes e prestadores de saúde. O incidente foi confirmado por um memorando interno que alertou instituições de saúde sobre ‘possível acesso não autorizado’. A empresa recomendou que os operadores de centros de saúde desconectassem seus sistemas até que a situação fosse normalizada. O Z-CERT, equipe de resposta a emergências de cibersegurança na saúde, está colaborando com a ChipSoft e as instituições afetadas para avaliar o impacto e auxiliar na recuperação. Embora alguns sistemas voltados para pacientes estejam operando normalmente, relatos indicam que vários hospitais, como o Sint Jans Gasthuis e o Flevo Hospital, enfrentam interrupções. Ataques cibernéticos a provedores de TI na saúde podem ser extremamente prejudiciais, dado que essas empresas gerenciam grandes volumes de dados sensíveis. O incidente destaca a vulnerabilidade do setor de saúde a ataques cibernéticos, que podem ter consequências graves para a privacidade e a continuidade dos serviços.

Nos primeiros três meses de 2026, os ataques de ransomware se mantiveram elevados, com 2.200 incidentes registrados, um aumento de 1,66% em relação ao último trimestre de 2025. Os setores de educação e saúde apresentaram quedas significativas, com reduções de 23% e 14%, respectivamente. No entanto, empresas do setor de saúde que não prestam cuidados diretos, como fabricantes de dispositivos médicos, viram um aumento de 35% nos ataques. Os setores de transporte, finanças, varejo, tecnologia e construção também registraram aumentos nos ataques, com o setor de manufatura permanecendo como um dos mais visados, representando 22% de todos os ataques. O valor médio do resgate subiu para $480.000, com o maior resgate exigido sendo de $3,1 milhões. Os EUA foram o país mais afetado, com 1.041 ataques, seguidos por Canadá e Reino Unido. As gangues de ransomware mais ativas foram Qilin e The Gentlemen, com 353 e 202 ataques, respectivamente. O artigo destaca a necessidade de vigilância contínua e ações proativas para mitigar esses riscos.

O Procurador Geral de Indiana confirmou que a empresa TriMed notificou 81.203 pessoas sobre uma violação de dados ocorrida em setembro de 2025. O ataque comprometeu informações pessoais, incluindo números de registros médicos e datas de nascimento. O grupo de cibercriminosos Lynx reivindicou a responsabilidade pelo ataque em 2 de outubro de 2025, publicando amostras de documentos supostamente roubados do TriMed em seu site. A TriMed, que fabrica implantes ortopédicos e foi adquirida pela Henry Schein em abril de 2024, não confirmou a reivindicação do Lynx e não se sabe como os atacantes conseguiram acessar os dados. O ataque é parte de uma tendência crescente de ataques de ransomware direcionados a empresas de saúde nos EUA, que, em 2025, registraram 31 ataques confirmados, comprometendo mais de 7,2 milhões de registros. Os ataques de ransomware podem causar interrupções significativas nas operações comerciais, exigindo resgates para restaurar sistemas e proteger dados. A situação destaca a vulnerabilidade do setor de saúde e a necessidade de medidas de segurança robustas para proteger informações sensíveis.

Um novo relatório da Microsoft revelou que o grupo de hackers Storm-1175, baseado na China, está utilizando vulnerabilidades zero-day e n-day para lançar ataques de ransomware em organizações ao redor do mundo, com foco em setores como saúde, educação e finanças. O grupo tem demonstrado uma capacidade alarmante de transitar rapidamente de acesso inicial a compromissos completos de sistemas e exfiltração de dados, muitas vezes em menos de 24 horas. Até agora, foram identificadas mais de 16 vulnerabilidades exploradas, afetando produtos como Microsoft Exchange e Papercut. O Storm-1175 não é um ator patrocinado pelo estado, mas sim um coletivo que busca lucro, e suas operações têm se mostrado eficazes devido à sua velocidade e habilidade em identificar ativos expostos. Os especialistas alertam que a rapidez com que esses ataques são realizados oferece pouco tempo para que as defesas sejam implementadas, aumentando o risco para as organizações visadas.

O Heart South Cardiovascular Group, um hospital localizado no Alabama, confirmou que notificou 46.666 pessoas sobre um vazamento de dados ocorrido em novembro de 2025. Este é o segundo incidente de segurança em dois anos para a instituição. Embora o hospital não tenha especificado quais dados foram comprometidos, o grupo cibercriminoso Rhysida reivindicou a responsabilidade pelo ataque, exigindo um resgate de seis bitcoins, equivalente a cerca de 630 mil dólares na época. Para corroborar sua reivindicação, Rhysida publicou amostras de documentos que supostamente foram roubados, incluindo escaneamentos de documentos de identidade e registros médicos. O Heart South, por sua vez, afirmou que não encontrou evidências de acesso não autorizado à sua rede, mas confirmou que uma quantidade limitada de dados foi postada na dark web. A instituição está oferecendo monitoramento de crédito gratuito e restauração de identidade para as vítimas do vazamento. O ataque de novembro de 2025 segue um incidente anterior em maio de 2024, que também resultou na exposição de dados pessoais de mais de 20 mil pessoas. Os ataques de ransomware, como os realizados pelo Rhysida, têm se tornado cada vez mais comuns no setor de saúde, com um número crescente de instituições sendo alvo de extorsões.

Um grupo de cibercriminosos baseado na China, conhecido como Storm-1175, tem sido associado ao uso de vulnerabilidades zero-day e N-day para realizar ataques rápidos em sistemas expostos à internet. De acordo com a equipe de Inteligência de Ameaças da Microsoft, esses ataques têm impactado severamente organizações de saúde, educação, serviços profissionais e finanças na Austrália, Reino Unido e Estados Unidos. O grupo utiliza uma combinação de exploits, incluindo o OWASSRF, para obter acesso inicial e, após comprometer os sistemas, rapidamente exfiltra dados e implanta o ransomware Medusa. Desde 2023, Storm-1175 explorou mais de 16 vulnerabilidades conhecidas, algumas das quais foram utilizadas como zero-days antes de serem divulgadas publicamente. As táticas observadas incluem o uso de ferramentas legítimas para movimentação lateral e a modificação de políticas do Windows Firewall para facilitar a entrega de cargas maliciosas. A crescente utilização de ferramentas de gerenciamento remoto (RMM) por esses atacantes levanta preocupações sobre a segurança das infraestruturas de TI, pois permite que o tráfego malicioso se misture ao tráfego legítimo, dificultando a detecção.

A Polícia Federal da Alemanha (BKA) identificou dois cidadãos russos como líderes das operações de ransomware GandCrab e REvil entre 2019 e 2021. Daniil Maksimovich Shchukin, de 31 anos, e Anatoly Sergeevitsch Kravchuk, de 43 anos, foram apontados como responsáveis por pelo menos 130 casos de extorsão, especificamente direcionados a empresas na Alemanha. Os ataques resultaram em um pagamento total de aproximadamente 2,2 milhões de dólares em resgates, com danos financeiros estimados em mais de 40 milhões de dólares.

A Microsoft alertou sobre o grupo cibercriminoso Storm-1175, baseado na China, que tem se destacado por ataques rápidos e eficazes utilizando ransomware Medusa. Este grupo é conhecido por explorar vulnerabilidades de dia zero e dia n, conseguindo acesso às redes de suas vítimas em um curto espaço de tempo, frequentemente em menos de 24 horas após a descoberta das falhas. Recentemente, suas ações impactaram severamente setores críticos, como saúde, educação e finanças, em países como Austrália, Reino Unido e Estados Unidos.

Um ator de ameaça vinculado ao Irã está por trás de uma campanha de password spraying direcionada a ambientes Microsoft 365 em Israel e nos Emirados Árabes Unidos (EAU), conforme relatado pela empresa de cibersegurança Check Point. A atividade, que ocorre em três ondas distintas, afetou mais de 300 organizações em Israel e mais de 25 nos EAU, com alvos que incluem entidades governamentais, empresas de tecnologia, transporte e energia. O password spraying é uma técnica de ataque que tenta usar uma única senha comum em múltiplos nomes de usuário, sendo uma abordagem mais eficaz para descobrir credenciais fracas sem acionar defesas de limitação de taxa. Além disso, o grupo de ransomware iraniano Pay2Key também voltou a atacar, visando uma organização de saúde nos EUA, utilizando técnicas avançadas de evasão e execução. A campanha de ransomware, que não resultou em exfiltração de dados, destaca a crescente integração de operações cibernéticas com objetivos políticos por parte do Irã. As organizações são aconselhadas a monitorar logs de acesso, aplicar controles de acesso condicionais e implementar autenticação multifator (MFA) para mitigar esses riscos.

O Google Drive lançou uma nova atualização de segurança que visa proteger os usuários contra ataques de ransomware, um tipo de malware que sequestra dados e exige resgate para liberá-los. De acordo com informações divulgadas no blog do Google Workspace, a nova ferramenta utiliza inteligência artificial (IA) para detectar softwares maliciosos que tentam criptografar arquivos armazenados na nuvem. Quando um ataque é identificado, a sincronização do Drive é automaticamente pausada, evitando que o malware se espalhe e contamine arquivos legítimos. Embora a restauração de arquivos afetados esteja disponível para todos os usuários, os alertas e a interrupção da sincronização são recursos exclusivos para assinantes dos planos pagos do Workspace Business e Enterprise. A atualização é especialmente relevante, pois o Google afirma que a nova função é capaz de detectar até 14 vezes mais ataques de ransomware em comparação com versões anteriores. Essa melhoria na segurança é crucial, considerando que os ataques de ransomware aumentaram 50% recentemente, embora os valores de resgate tenham caído para níveis históricos.

No último fim de semana, o grupo cibercriminoso Interlock reivindicou um ataque de ransomware ocorrido em março de 2026 contra o Community College of Beaver County (CCBC), na Pensilvânia. Em 9 de março, a instituição anunciou que hackers criptografaram dados e exigiram pagamento de resgate para a recuperação. O ataque afetou o acesso a notas, históricos e informações financeiras, levando ao fechamento do campus até a segunda-feira seguinte e à suspensão das aulas presenciais até 30 de março. O Interlock afirmou ter roubado 780 GB de dados, incluindo informações pessoais e documentos financeiros, que foram posteriormente vazados. Embora a CCBC tenha reconhecido o incidente, não confirmou a reivindicação do grupo nem se pagou o resgate. O ataque é parte de uma tendência crescente de ataques de ransomware em instituições educacionais nos EUA, com sete incidentes confirmados em 2026 até o momento, afetando operações diárias e expondo dados sensíveis. A situação destaca a vulnerabilidade das instituições educacionais a ataques cibernéticos e a necessidade de medidas de segurança robustas.

O Escritório Federal de Polícia Criminal da Alemanha (BKA) revelou as identidades de dois indivíduos-chave associados ao extinto grupo de ransomware REvil, também conhecido como Sodinokibi. Daniil Maksimovich Shchukin, de 31 anos, e Anatoly Sergeevitsch Kravchuk, de 43 anos, ambos russos, são acusados de liderar uma das maiores operações de ransomware global, que resultou em 130 ataques na Alemanha, com pagamentos de resgate totalizando €1,9 milhão. O grupo, que atacou empresas de renome como JBS e Kaseya, exigia grandes quantias em troca da descriptografia e não divulgação de dados. O BKA destacou que os danos financeiros totais ultrapassaram €35,4 milhões. O REvil, que evoluiu do GandCrab, ficou offline em julho de 2021, mas ressurgiu brevemente antes de encerrar suas operações definitivamente. A Rússia também anunciou a prisão de membros do grupo, indicando um esforço global para combater o cibercrime. Shchukin, que se autodenominava UNKN, afirmou ter estado no negócio de ransomware desde 2007, revelando um passado difícil que contrasta com sua atual riqueza.

Recentemente, os grupos de ransomware Qilin e Warlock têm utilizado a técnica conhecida como ‘bring your own vulnerable driver’ (BYOVD) para desativar ferramentas de segurança em sistemas comprometidos. A análise realizada pela Cisco Talos revelou que o Qilin emprega um DLL malicioso chamado ‘msimg32.dll’, que inicia uma cadeia de infecção em múltiplas etapas, visando desativar soluções de detecção e resposta em endpoints (EDR). Este DLL é capaz de encerrar mais de 300 drivers de EDR de diversos fornecedores.

O grupo de ransomware Qilin comprometeu a rede do partido político alemão Die Linke, que é uma organização socialista democrática, e está ameaçando vazar dados sensíveis. Em 27 de março, um dia após a invasão, o partido revelou um incidente cibernético, mas não confirmou um vazamento de dados. A organização, que possui 123 mil membros e 64 representantes no Bundestag, afirmou que os atacantes visam publicar informações internas e dados pessoais de funcionários, embora a base de dados de membros não tenha sido afetada. O Die Linke identificou os atacantes como criminosos cibernéticos de língua russa, motivados tanto financeiramente quanto politicamente, e destacou que o ataque não parece ser acidental. Em 1º de abril, o Qilin reivindicou publicamente a responsabilidade pelo ataque, adicionando o partido à sua lista de vítimas sem divulgar amostras de dados. O partido notificou as autoridades alemãs e está colaborando com especialistas em TI para restaurar seus sistemas. O uso de ransomware é frequentemente associado a guerras híbridas e ataques a infraestruturas críticas, o que levanta preocupações sobre a segurança cibernética em contextos políticos.

Em fevereiro de 2026, o Centro Médico da Universidade do Mississippi (UMMC) sofreu um ataque de ransomware que desativou seu sistema de registro eletrônico de saúde, afetando 35 clínicas e mais de 200 locais de telemedicina. O ataque resultou no cancelamento de tratamentos de quimioterapia e adiamentos de cirurgias não emergenciais, forçando a equipe médica a retornar a processos em papel. Este incidente é parte de uma tendência alarmante, com 93% das organizações de saúde nos EUA relatando pelo menos um ataque cibernético em 2025, e 72% afirmando que esses incidentes impactaram diretamente o atendimento ao paciente. Outros setores, como manufatura e finanças, também estão em risco, como evidenciado pelo ataque à BridgePay, que paralisou suas operações de processamento de pagamentos. A evolução do ransomware para táticas de dupla e tripla extorsão, onde dados sensíveis são exfiltrados antes da criptografia, torna as defesas tradicionais insuficientes. A plataforma D.AMO, desenvolvida pela Penta Security, oferece uma solução abrangente que combina criptografia, controle de acesso e recuperação de backup, visando neutralizar as ameaças de ransomware em todas as suas fases.

Daniel Rhyne, um ex-engenheiro de infraestrutura, admitiu ter invadido a rede de sua empresa, uma indústria em Nova Jersey, e bloqueado o acesso de administradores a 254 servidores. Entre 9 e 25 de novembro, ele utilizou uma conta de administrador para agendar tarefas que deletaram contas de administradores de rede e alteraram senhas de 13 contas de domínio, além de 301 contas de usuários. Rhyne também programou a alteração de senhas de contas locais que afetariam 3.284 estações de trabalho e 254 servidores, além de desligar servidores aleatórios. Após a invasão, ele enviou um e-mail de extorsão aos colegas, exigindo um resgate de 20 bitcoins (aproximadamente R$ 750 mil) sob a ameaça de desligar 40 servidores diariamente. O ataque foi planejado com pesquisas na internet sobre como manipular logs do Windows e alterar senhas. Rhyne foi preso em agosto e enfrenta até 15 anos de prisão por suas ações. Este incidente destaca a vulnerabilidade das empresas a ataques internos e a necessidade de controles de segurança robustos.

A Check City Partnership notificou 322.687 pessoas sobre um vazamento de dados ocorrido em março de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, documentos de identidade emitidos pelo governo, números de contas financeiras e dados de cartões de crédito. O grupo cibercriminoso Clop reivindicou a responsabilidade pelo ataque, publicando amostras de documentos supostamente roubados. Embora a Check City tenha reconhecido uma interrupção na rede em abril de 2025, não confirmou se pagou um resgate ou como os atacantes conseguiram acessar seu sistema. Para mitigar os danos, a empresa está oferecendo monitoramento de crédito gratuito e serviços de restauração de identidade aos afetados. O Clop, conhecido por explorar vulnerabilidades de software, já realizou 457 ataques de ransomware, sendo este o segundo maior ataque registrado por eles até agora. Em 2025, foram contabilizados 59 ataques confirmados a empresas financeiras nos EUA, comprometendo mais de 1,1 milhão de registros pessoais. O ataque à Check City destaca a crescente ameaça de ransomware no setor financeiro e a necessidade de vigilância contínua contra tais incidentes.

A loja de armas Mister Guns, localizada em Plano, Texas, está notificando 21.225 pessoas sobre um vazamento de dados ocorrido em novembro de 2025, após um ataque cibernético realizado pelo grupo de ransomware Securotrop. O ataque resultou na extração de 290 GB de dados sensíveis, incluindo números de seguridade social, datas de nascimento, números de carteira de motorista, licenças de porte de arma e passaportes. Embora a notificação da loja afirme que não há evidências de uso indevido das informações, não foram oferecidos serviços de monitoramento de crédito gratuitos, uma prática comum em casos de vazamento de dados. O grupo Securotrop, que opera sob um modelo de Ransomware-as-a-Service (RaaS), já adicionou a Mister Guns ao seu site de vazamento de dados, mas a loja não confirmou se um resgate foi exigido ou pago. Este incidente é o terceiro maior ataque de ransomware a um varejista nos EUA em 2025, destacando a crescente ameaça de ataques cibernéticos no setor de varejo, que já registrou 31 ataques confirmados este ano, afetando mais de 765 mil registros. A situação levanta preocupações sobre a segurança de dados e a necessidade de medidas de proteção mais robustas para evitar tais incidentes.

O grupo de ransomware Payouts King reivindicou a responsabilidade por um ataque cibernético à UFP Technologies, ocorrido em fevereiro de 2026. A UFP, uma fabricante americana de dispositivos médicos, revelou o incidente em um comunicado à Comissão de Valores Mobiliários dos EUA, informando que um terceiro não autorizado acessou seus sistemas, resultando no roubo de arquivos e na interrupção de processos de faturamento e rotulagem. O grupo afirma ter roubado 620 GB de dados da empresa e listou a UFP em seu site de vazamento de dados. Até o momento, a UFP não confirmou a alegação do grupo, e detalhes sobre a natureza dos dados comprometidos, a forma como o ataque foi realizado, se um resgate foi pago ou o valor exigido permanecem desconhecidos. O Payouts King, que atua de forma independente e não como um serviço de ransomware, já reivindicou 56 ataques, com 12 confirmados por organizações-alvo. O grupo tem como foco fabricantes e empresas do setor de saúde, que lidam com grandes volumes de dados pessoais, tornando-se alvos atraentes para hackers. O impacto de tais ataques pode ser devastador, comprometendo a segurança e a privacidade de pacientes e clientes.

Em março de 2026, os ataques de ransomware atingiram um pico alarmante, totalizando 780 incidentes, um aumento de 13% em relação a fevereiro. O setor de utilidades foi o mais afetado, com um aumento de 630% nos ataques, destacando a vulnerabilidade da infraestrutura crítica. Os Estados Unidos foram o país mais visado, com 375 ataques, seguidos por França e Alemanha. Entre os ataques confirmados, 33 foram direcionados a empresas, 10 a entidades governamentais e 6 a instituições de saúde. Os grupos de ransomware mais ativos foram Qilin, Akira e The Gentlemen, com Qilin liderando com 140 ataques. Um total de 242 TB de dados foi roubado, evidenciando a gravidade da situação. O aumento significativo nos ataques a entidades governamentais e educacionais também é preocupante, refletindo uma tendência crescente de ataques a setores críticos. A situação exige atenção imediata das organizações para fortalecer suas defesas contra essas ameaças.

O Google anunciou que a funcionalidade de detecção de ransomware no Google Drive, impulsionada por inteligência artificial, está agora disponível para todos os usuários pagantes. Lançada inicialmente em versão beta em outubro de 2025, essa ferramenta pausa a sincronização de arquivos assim que um ataque de ransomware é detectado, alertando usuários e administradores de TI sobre a violação. Embora os arquivos no computador comprometido possam ser criptografados, os documentos armazenados no Google Drive permanecem protegidos e podem ser rapidamente restaurados após a resolução da infecção. O Google afirma que a nova versão do modelo de IA é capaz de detectar 14 vezes mais infecções em comparação com a versão beta, oferecendo uma proteção mais abrangente. A funcionalidade está ativada por padrão para todos os usuários de organizações com licenças de negócios, educação e empresas, enquanto a ferramenta de restauração de arquivos está disponível para todos os clientes do Google Workspace. Administradores têm a opção de desativar essa funcionalidade, se desejarem. A detecção de ransomware é uma resposta a um cenário crescente de ataques cibernéticos, refletindo a necessidade de soluções robustas de segurança em ambientes de armazenamento em nuvem.

A cidade de Apex, na Carolina do Norte, notificou 22.601 pessoas sobre uma violação de dados ocorrida em junho de 2024, que comprometeu informações pessoais sensíveis, incluindo números de segurança social, dados de identificação emitidos pelo governo, informações financeiras e registros médicos. O incidente foi resultado de um ataque de ransomware, embora a cidade tenha afirmado que nenhum resgate foi pago. Os dados roubados foram publicados em um provedor de armazenamento em nuvem, e a cidade obteve uma ordem judicial para acessar essas informações. Além da violação, o ataque causou interrupções nos pagamentos de contas dos residentes. As autoridades não revelaram como a rede foi comprometida, o valor do resgate exigido ou o motivo da demora de quase dois anos para notificar as vítimas. Em 2024, foram registrados 96 ataques de ransomware a entidades governamentais nos EUA, comprometendo mais de 2,6 milhões de registros pessoais. O ataque a Apex destaca a vulnerabilidade das infraestruturas governamentais e a necessidade de medidas de segurança robustas para proteger dados sensíveis.

O grupo cibercriminoso conhecido como Inc reivindicou a responsabilidade por um ataque cibernético à cidade de Meriden, em Connecticut, que resultou em várias interrupções nos sistemas da cidade, incluindo atrasos na emissão de contas de água. O ataque, que começou a ser relatado em 17 de fevereiro, afetou serviços essenciais, como os escritórios do cartório e da arrecadação de impostos, que ainda estavam sendo restaurados mais de um mês após o incidente. Inc, um grupo de ransomware que surgiu em julho de 2023, utiliza métodos como phishing direcionado e exploração de vulnerabilidades conhecidas para invadir redes. O grupo já reivindicou 704 ataques, com 175 confirmados, sendo 25 direcionados a entidades governamentais. Embora os oficiais de Meriden não tenham confirmado a reivindicação do grupo, a situação destaca a crescente ameaça de ataques de ransomware a entidades governamentais nos EUA, que podem resultar em roubo de dados e paralisação de serviços. O impacto potencial desses ataques é significativo, pois pode levar a perdas financeiras e riscos de conformidade, especialmente em relação à proteção de dados pessoais.

Recentemente, uma falha crítica no Citrix NetScaler ADC e Gateway (CVE-2026-3055) foi identificada e está sendo ativamente explorada, com um CVSS de 9.3, o que a torna uma vulnerabilidade de alto risco. Essa falha se deve à validação insuficiente de entradas, permitindo que atacantes acessem informações sensíveis, especialmente se o sistema estiver configurado como um Provedor de Identidade SAML. Além disso, o FBI confirmou o hack da conta de e-mail do diretor Kash Patel, atribuído ao grupo de hackers Handala, vinculado ao Irã, que alegou ter acessado documentos confidenciais. Outro incidente notável envolve o grupo Red Menshen, que implantou backdoors em infraestruturas de telecomunicações, utilizando ferramentas como o BPFDoor para monitorar tráfego sem ser detectado. O caso de Ilya Angelov, um hacker russo condenado a dois anos de prisão por gerenciar um botnet usado em ataques de ransomware, também destaca a persistência de ameaças cibernéticas. Por fim, a FCC dos EUA baniu a importação de novos roteadores fabricados no exterior devido a riscos de segurança, refletindo uma crescente preocupação com a segurança cibernética em nível governamental.

Uma nova campanha de phishing está atacando contas do TikTok para Empresas, utilizando páginas falsas que imitam a plataforma. De acordo com um relatório da Push Security, os atacantes estão usando links maliciosos que redirecionam as vítimas para páginas que se parecem com o TikTok para Empresas ou Google Careers, onde são solicitadas credenciais. O objetivo final é realizar uma verificação do Cloudflare Turnstile para bloquear bots e, em seguida, exibir uma página de login de phishing para roubar informações. Além disso, a campanha também se aproveita de infostealers como Vidar e Aura Stealer, entregues através de vídeos gerados por IA que se disfarçam como guias de ativação. Os domínios utilizados para hospedar essas páginas de phishing incluem uma série de endereços que começam com ‘welcome.careers’. Outra campanha observada recentemente utiliza arquivos SVG maliciosos para entregar malware, destacando a versatilidade dos métodos de ataque. Essa situação ressalta a necessidade de vigilância constante e educação sobre segurança cibernética, especialmente para empresas que operam em plataformas sociais populares como o TikTok.

O grupo de hackers pro-Ucrânia conhecido como Bearlyfy, também chamado de Labubu, tem sido responsável por mais de 70 ataques cibernéticos direcionados a empresas russas desde sua aparição em janeiro de 2025. Recentemente, o grupo começou a utilizar uma nova variante de ransomware chamada GenieLocker, que ataca sistemas Windows. Segundo a empresa de segurança russa F6, os ataques do Bearlyfy têm como objetivos tanto a extorsão financeira quanto atos de sabotagem. Inicialmente, o grupo focou em pequenas empresas, mas suas demandas de resgate aumentaram, chegando a €80.000 (cerca de $92.100) e, em alguns casos, até centenas de milhares de dólares. Os ataques são caracterizados por uma rápida execução, com os hackers utilizando ferramentas como MeshAgent para obter acesso remoto e criptografar dados. Além disso, as notas de resgate são elaboradas diretamente pelos atacantes, ao invés de serem geradas automaticamente pelo software de ransomware. A evolução do Bearlyfy em um ano, de um grupo inexperiente para uma ameaça significativa para grandes empresas russas, destaca a crescente complexidade e sofisticação de suas operações.

O grupo de ransomware PEAR reivindicou a responsabilidade por um ataque cibernético à Universidade de Monmouth, ocorrido no início deste mês. O presidente da universidade, Patrick Leahy, informou os alunos sobre o incidente, que resultou em acesso não autorizado a informações na rede da instituição. PEAR afirma ter roubado 16 TB de dados e publicou amostras de documentos supostamente extraídos da universidade em seu site de vazamento de dados. Embora a universidade tenha iniciado protocolos de resposta e notificado o FBI e o Departamento de Educação, não há confirmação sobre a veracidade das alegações do grupo, nem se a universidade pagou um resgate. O ataque destaca a crescente ameaça de ransomware no setor educacional dos EUA, com pelo menos seis ataques confirmados em instituições de ensino em 2026. O grupo PEAR, que se especializa em roubo de dados sem criptografá-los, já reivindicou 64 ataques, com 13 confirmados por entidades alvo. A universidade se comprometeu a investigar o incidente e a melhorar a segurança de seus sistemas para evitar futuros ataques.

O grupo de ransomware Interlock adicionou a Goodwill Industries da Pensilvânia Central ao seu site de vazamento de dados após alegadamente roubar 80 GB de informações. O ataque, que ocorreu em março de 2026, gerou problemas técnicos em várias lojas, incluindo a interrupção de sistemas que forçaram clientes a pagar apenas em dinheiro. Funcionários relataram que o sistema foi hackeado, corroborando a situação com postagens nas redes sociais. A Goodwill Industries International afirmou não ter conhecimento de um ataque cibernético em seus sites, sugerindo que as informações sobre a Goodwill de Greater Grand Rapids deveriam ser verificadas diretamente com eles. O Interlock, que começou a registrar vítimas em outubro de 2024, já realizou 96 ataques, utilizando uma técnica de dupla extorsão, onde exige um resgate para descriptografar sistemas e também ameaça vender dados na dark web. Este incidente destaca a vulnerabilidade de organizações sem fins lucrativos e a crescente ameaça de ataques de ransomware nos Estados Unidos, que já contabilizam 41 ataques confirmados em 2026, afetando diversas instituições, incluindo escolas e organizações de saúde.

O Departamento de Justiça dos EUA anunciou a condenação de Ilya Angelov, um cidadão russo de 40 anos, a dois anos de prisão e uma multa de $100.000 por gerenciar uma botnet utilizada em ataques de ransomware contra empresas americanas. Angelov, que operava sob os pseudônimos ‘milan’ e ‘okart’, co-gerenciou o grupo cibercriminoso TA551 entre 2017 e 2021. O grupo foi responsável por construir uma rede de computadores comprometidos através da distribuição de arquivos maliciosos anexados a e-mails de spam. Os ataques visavam revender o acesso a esses computadores para outros grupos criminosos, resultando em extorsões que ultrapassaram $14 milhões. A colaboração de Angelov com outros grupos, como o BitPaymer e o IcedID, destaca a complexidade e a sofisticação das operações de ransomware. O caso ressalta a crescente ameaça de cibercrime, especialmente para empresas que podem ser alvos de tais ataques, e a necessidade de medidas de segurança robustas.

Ilya Angelov, um cidadão russo de 40 anos, foi condenado a dois anos de prisão após confessar que gerenciou uma botnet de phishing utilizada em ataques de ransomware BitPaymer contra 72 empresas nos Estados Unidos. Angelov, que se apresentou nos EUA após a invasão da Ucrânia, era um dos líderes de uma operação criminosa russa conhecida como Mario Kart, que entre 2017 e 2021, enviou até 700 mil e-mails de spam por dia, infectando cerca de 3 mil computadores diariamente. A gangue não apenas distribuía malware, mas também vendia o acesso a dispositivos infectados para outros cibercriminosos, que realizavam extorsões em criptomoedas, resultando em mais de 14 milhões de dólares em pagamentos de resgate. Além disso, Angelov colaborou com outros grupos de ransomware, como o IcedID, e sua operação foi associada a diversas campanhas de phishing e ransomware, incluindo a parceria com a gangue TrickBot. Outro cidadão russo, Aleksey Volkov, também foi condenado a quase sete anos de prisão por atuar como intermediário em ataques de ransomware Yanluowang. O caso destaca a crescente ameaça de ransomware e phishing, que continua a impactar empresas globalmente.

Um novo ataque de malvertising, focado na temporada de declaração de impostos nos Estados Unidos, está sendo utilizado por hackers para disseminar ransomware. Especialistas da Huntress alertam que, com a proximidade do prazo de 15 de abril, muitos usuários apressam-se em buscar formulários fiscais, o que os torna vulneráveis a sites falsos promovidos por anúncios do Google. Esses sites maliciosos instalam o ScreenConnect, uma ferramenta legítima de acesso remoto, que é utilizada para fins maliciosos. Antes de ativar essa ferramenta, os atacantes instalam um driver de kernel que desativa as proteções de segurança, como o Windows Defender. A campanha não se limita apenas a iscas relacionadas a impostos; também foram identificadas páginas falsas de atualização do Chrome, sugerindo um arsenal de engenharia social mais amplo. O ataque parece ser uma fase inicial de uma campanha mais complexa, onde os criminosos buscam estabelecer uma base e coletar credenciais, possivelmente preparando o terreno para a implementação de ransomware.

A Crunchyroll, plataforma de streaming de anime, confirmou ter sido alvo de um ciberataque que resultou no roubo de dados de aproximadamente 6,8 milhões de usuários. O ataque foi realizado por um grupo de hackers que acessou a conta Okta de um agente de suporte, que trabalhava para a Telus International, uma empresa de terceirização. Durante 24 horas, os hackers conseguiram extrair cerca de 8 milhões de tickets de suporte, que incluíam endereços de e-mail, nomes de usuários, endereços IP e informações geográficas. Embora os dados de pagamento não tenham sido diretamente comprometidos, informações sensíveis dos usuários foram expostas. A Crunchyroll está colaborando com especialistas em cibersegurança para investigar o incidente e monitorar a situação. O atacante exigiu um resgate de US$ 5 milhões para não divulgar os dados roubados, mas a empresa não respondeu à demanda. A investigação está em andamento, e a Crunchyroll acredita que o acesso aos sistemas foi limitado ao incidente com o fornecedor terceirizado.

Aleksey Olegovich Volkov, um cidadão russo de 26 anos, foi condenado a quase 7 anos de prisão após se declarar culpado por atuar como um corretor de acesso inicial (IAB) em ataques de ransomware da gangue Yanluowang. Entre julho de 2021 e novembro de 2022, ele invadiu pelo menos oito empresas nos Estados Unidos, vendendo o acesso a redes corporativas para a operação de ransomware, cujos afiliados exigiam resgates que variavam de US$ 300 mil a US$ 15 milhões. Volkov foi extraditado para os EUA após ser preso na Itália em janeiro de 2024. Durante a investigação, o FBI recuperou registros de conversas, dados roubados e credenciais de rede das vítimas, além de rastrear a identidade de Volkov por meio de dados do iCloud e registros de troca de criptomoedas. Ele admitiu que sua parte nos resgates coletados chegou a US$ 1,5 milhão e foi condenado a pagar mais de US$ 9 milhões em restituição às vítimas. O caso destaca a crescente ameaça de ransomware e a complexidade das operações criminosas que envolvem múltiplos atores e tecnologias.