Ransomware

Falha crítica em VPNs da Check Point expõe organizações a ataques

A empresa israelense de cibersegurança Check Point divulgou atualizações de segurança para corrigir uma falha crítica, identificada como CVE-2026-50751, que afeta implementações de VPN de Acesso Remoto e Acesso Móvel. Essa vulnerabilidade permite que atacantes remotos não autenticados contornem a autenticação em VPNs e firewalls da Check Point, estabelecendo conexões de acesso remoto. A falha impacta apenas as configurações que utilizam o protocolo de troca de chaves IKEv1, que já está obsoleto. Os ataques começaram em 7 de maio e aumentaram em junho, afetando cerca de uma dúzia de organizações globalmente, com um caso relacionado à operação de ransomware Qilin. A Check Point recomenda que os clientes que ainda utilizam o IKEv1 apliquem as atualizações de segurança imediatamente. Além disso, a empresa identificou uma segunda vulnerabilidade, CVE-2026-50752, que afeta a validação de certificados no IKEv1, suscetível a ataques man-in-the-middle, embora ainda não haja evidências de exploração ativa dessa falha. Medidas de mitigação foram sugeridas para aqueles que não podem aplicar os patches imediatamente.

Grupo cibercriminoso Anubis assume vazamento de dados em hospital dos EUA

O grupo de cibercriminosos Anubis reivindicou a responsabilidade por um vazamento de dados no Singing River Health System, localizado no Condado de Jackson, Mississippi. O incidente, que ocorreu entre 19 e 21 de dezembro de 2025, afetou 53.888 pessoas, comprometendo informações sensíveis, como números de Seguro Social, dados bancários, informações médicas e de seguro saúde. Anubis afirma ter roubado 293 GB de dados, incluindo imagens íntimas de cirurgias, e publicou amostras em seu site de vazamento. Embora o Singing River Health System tenha notificado os afetados e oferecido monitoramento de crédito gratuito, não confirmou a reivindicação do grupo. Este não é o primeiro ataque de ransomware enfrentado pela instituição, que já havia sido alvo de um incidente em agosto de 2023, afetando mais de 895 mil pessoas. O grupo Anubis, ativo desde 2024, opera sob um modelo de ransomware como serviço, permitindo que afiliados utilizem sua infraestrutura para realizar ataques. O aumento de ataques de ransomware no setor de saúde nos EUA, com 143 incidentes confirmados em 2025, levanta preocupações sobre a segurança de dados e a continuidade dos serviços de saúde.

Aumento de ataques de ransomware em maio de 2026

Os ataques de ransomware registraram um aumento de 3% de abril para maio de 2026, totalizando 661 incidentes em maio, com destaque para o setor educacional, que viu um crescimento de 54% nos ataques. O setor de alimentos e bebidas também teve um aumento significativo de 80%. Em contraste, os provedores de saúde e empresas de utilidades experimentaram quedas de 21% e 29%, respectivamente. Entre os ataques confirmados, 35 foram direcionados a empresas, 7 a entidades governamentais e 5 a instituições educacionais. Os grupos de ransomware mais ativos foram Qilin, The Gentlemen e DragonForce, com Qilin liderando em ataques confirmados. Nos Estados Unidos, foram registrados 272 ataques, o maior número entre os países analisados. O ataque mais notável no setor de saúde foi contra a Central Medical Services of Westrock, que teve dados comprometidos e foi reivindicado pelo grupo INC. O cenário atual indica uma necessidade crescente de vigilância e proteção, especialmente em setores vulneráveis como educação e alimentos.

Hospital em Iowa confirma vazamento de dados de mais de 24 mil pessoas

O Clarinda Regional Health Center, localizado em Iowa, confirmou que notificou 24.341 pessoas sobre um vazamento de dados ocorrido em outubro de 2025. As informações comprometidas incluem números de Seguro Social, dados médicos, informações de seguros de saúde, números de contas financeiras, números de identificação de contribuinte, datas de nascimento e números de carteira de motorista. O grupo de ransomware LockBit reivindicou a responsabilidade pelo ataque em 11 de dezembro de 2025, e o hospital detectou a violação em 15 de dezembro de 2025. Embora o LockBit tenha listado o hospital em seu site de vazamento de dados, o Clarinda Regional Health Center não confirmou a reivindicação. A instituição está oferecendo um ano de monitoramento de crédito gratuito para as vítimas do vazamento. O LockBit, um grupo criminoso cibernético baseado na Rússia, tem se tornado cada vez mais ativo, com 156 ataques registrados em 2026 até o momento, incluindo ataques a prestadores de serviços de saúde. Os ataques de ransomware representam uma ameaça significativa para o setor de saúde, pois podem comprometer dados sensíveis e interromper serviços críticos, colocando em risco a saúde e a segurança dos pacientes.

Risco cibernético na saúde em 2026 O que os dados revelam

O cenário de cibersegurança na área da saúde em 2026 é marcado por um aumento significativo nas violações de dados e ataques cibernéticos, com 275 milhões de registros comprometidos apenas em 2024, mais que o dobro do ano anterior. Os dados indicam que 88% das perdas materiais são atribuídas a engenharia social, como phishing e comprometimento de e-mails empresariais, além de lacunas nos backups e governança de dados. As demandas de extorsão também cresceram, chegando a até US$ 4 milhões em alguns casos, o que representa um risco não apenas financeiro, mas também clínico, dado o impacto na assistência ao paciente.

Grupo criminoso utiliza ransomware com suporte de IA para ataques

Um novo toolkit de ransomware, desenvolvido com o auxílio de inteligência artificial, está sendo utilizado por atores de ameaças para automatizar a descoberta de Active Directory e evadir soluções de detecção de endpoint (EDR). O desenvolvimento das ferramentas e dos payloads contou com a assistência de agentes de IA, que participaram em várias etapas, desde a codificação inicial até a análise e revisão. Testes realizados em ambientes virtuais mostraram que o malware conseguia contornar ferramentas de EDR de grandes fornecedores como Sophos, CrowdStrike e Microsoft. Os pesquisadores da Sophos identificaram atividades suspeitas em um sistema de um cliente, onde arquivos maliciosos foram encontrados, sugerindo um foco em evadir a detecção. O toolkit inclui perfis do Cobalt Strike, um mecanismo de comando e controle baseado em Telegram e scripts em Python para injeção de código malicioso em executáveis legítimos. Embora a pesquisa tenha sido impulsionada por IA, a Sophos afirma que o fluxo de trabalho é totalmente conduzido por humanos. A modularidade do framework permite a geração de payloads personalizados, que são testados contra mais de 70 técnicas de evasão, apresentando uma taxa de sucesso crescente em contornar soluções de segurança. A utilização de IA nesse contexto acelera a implementação de técnicas de ataque, representando um risco significativo para organizações em todo o mundo.

Grupo de ransomware Genesis ataca IMA Diligence e compromete dados pessoais

A IMA Diligence Services notificou 525.306 pessoas sobre uma violação de dados ocorrida em dezembro de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados de saúde, informações financeiras e documentos de identidade. O grupo de cibercriminosos Genesis reivindicou a responsabilidade pelo ataque em janeiro de 2026, alegando ter roubado 700 GB de dados da empresa. A IMA Diligence não confirmou a reivindicação do Genesis e não se sabe como a rede foi comprometida ou se um resgate foi pago. A empresa ofereceu 12 meses de monitoramento de crédito gratuito para as vítimas da violação. O ataque à IMA Diligence é o maior registrado em 2025 no setor financeiro dos EUA, com mais de 2 milhões de registros pessoais comprometidos em 70 ataques confirmados. Genesis, que começou a operar em outubro de 2025, já reivindicou 76 ataques de ransomware, sendo este o primeiro contra uma empresa financeira. O impacto de tais ataques pode resultar em perda de dados permanentes e riscos aumentados de fraudes para os clientes.

Incidente de segurança afeta mais de 80 mil na Tulane University

Um vazamento de dados na Tulane University, que ocorreu após uma vulnerabilidade zero-day no aplicativo Oracle E-Business Suite, afetou 80.867 pessoas. O grupo de ransomware Clop assumiu a responsabilidade pelo ataque, que se seguiu a um incidente de ransomware em agosto de 2025. Os dados comprometidos incluem números de Seguro Social, informações bancárias e de depósito direto. A universidade informou que, ao descobrir a vulnerabilidade, imediatamente iniciou uma investigação, notificou as autoridades e aplicou os patches fornecidos pela Oracle. Além da Tulane, outras instituições de ensino superior, como Harvard e a Universidade da Pensilvânia, também confirmaram vazamentos de dados relacionados a essa vulnerabilidade. O ataque à Tulane é considerado o terceiro maior incidente de ransomware no setor educacional dos EUA em 2025, com mais de 4 milhões de registros afetados em 54 ataques confirmados ao longo do ano. A universidade está oferecendo acesso gratuito ao serviço de proteção contra roubo de identidade Experian IdentityWorksSM para os afetados.

Indústria de Aceitação Notifica 79 mil sobre Violação de Dados

A Industrial Acceptance Corporation (IAC) confirmou que notificou 79.216 pessoas sobre uma violação de dados ocorrida em fevereiro de 2025, que comprometeu nomes, números de Seguro Social e números de carteira de motorista. O ataque foi atribuído ao grupo de ransomware conhecido como Inc, que, embora não tenha listado a IAC em seu site de vazamento de dados, foi responsável por 783 ataques de ransomware até o momento. Em março de 2025, outro grupo chamado Akira reivindicou um ataque à IAC, alegando ter roubado 60 GB de dados, mas a IAC não confirmou essa alegação. A empresa tomou medidas imediatas, desconectando seus sistemas para restaurar operações de forma segura. Para os afetados, a IAC está oferecendo 12 meses de monitoramento de crédito através da Cyberscout. O ataque destaca a crescente ameaça de ransomware, que não apenas rouba dados, mas também bloqueia sistemas até que um resgate seja pago. Em 2025, foram registrados 69 ataques confirmados a empresas financeiras nos EUA, comprometendo 1,5 milhão de registros pessoais. A situação ressalta a necessidade de vigilância contínua e medidas de segurança robustas para proteger informações sensíveis.

Vazamento de dados em Sandstone, Minnesota, expõe informações pessoais

A cidade de Sandstone, Minnesota, notificou seus residentes sobre um vazamento de dados ocorrido em abril de 2026, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados financeiros e datas de nascimento. O grupo criminoso Qilin, uma gangue de ransomware de destaque, assumiu a responsabilidade pelo ataque em 4 de maio de 2026, embora a cidade não tenha confirmado essa alegação. O incidente foi descoberto em 8 de abril, quando a cidade percebeu interrupções em seus sistemas de computação, levando à conclusão de que se tratava de um ataque de ransomware. A cidade está oferecendo monitoramento de crédito gratuito para as vítimas do vazamento, mas não divulgou quantas pessoas foram afetadas ou se um resgate foi pago. O grupo Qilin, baseado na Rússia, é conhecido por atacar organizações através de e-mails de phishing e já reivindicou 557 ataques de ransomware em 2026, com um número crescente de alvos governamentais nos EUA. Os ataques de ransomware em entidades governamentais podem resultar em roubo de dados e paralisação de sistemas, afetando serviços essenciais e expondo dados pessoais a riscos de fraude.

Microsoft testa isolamento automático de endpoints comprometidos

A Microsoft está testando uma nova funcionalidade no Defender for Endpoint que isola automaticamente endpoints comprometidos, visando impedir que atacantes se movam lateralmente pela rede. Disponível em modo de pré-visualização, essa capacidade faz parte da interrupção automática de ataques, uma característica que busca conter incidentes de segurança e limitar seu impacto, permitindo que as equipes de segurança tenham mais tempo para remediação. Quando um dispositivo é suspeito de estar comprometido, ele é desconectado da rede, mas mantém a conectividade com o serviço Microsoft Defender for Endpoint, que continua a monitorar o dispositivo. A funcionalidade de isolamento automático é aplicável apenas a estações de trabalho gerenciadas pelo Defender for Endpoint. Além disso, a Microsoft anunciou que os dispositivos podem ser liberados do isolamento a qualquer momento após a investigação do incidente. A empresa também está testando suporte para isolamento de dispositivos Linux e bloqueio automático de tráfego para endpoints não descobertos, além de permitir agendamento de varreduras antivírus em sistemas Linux. Essas inovações visam fortalecer a segurança das redes corporativas e proteger dados sensíveis contra exfiltração e propagação de ransomware.

Hackers abandonam senhas roubadas com ataques impulsionados por IA

Um novo relatório da Verizon revela que a exploração de vulnerabilidades de software superou o uso de senhas roubadas como principal método de invasão de redes corporativas. Em 2025, 31% das violações de dados foram atribuídas a falhas de software, enquanto as credenciais roubadas caíram para 13%. A inteligência artificial (IA) está acelerando a descoberta e a exploração dessas vulnerabilidades, reduzindo o tempo que as empresas têm para aplicar correções de meses para horas. Apesar do aumento do risco, apenas 26% das vulnerabilidades críticas foram totalmente remediadas, com um tempo médio de aplicação de patches de 43 dias. Além disso, ataques de ransomware foram identificados em 48% das violações, embora o pagamento de resgates tenha diminuído. O uso de dispositivos móveis como vetor de ataque também cresceu, com golpes por SMS e chamadas de voz superando os tradicionais e-mails de phishing. A crescente adoção de ferramentas de IA no ambiente de trabalho, muitas vezes acessadas por contas não autorizadas, representa um novo risco, contribuindo para vazamentos de dados. O relatório destaca a necessidade urgente de as organizações melhorarem suas práticas de segurança e se adaptarem à velocidade das ameaças modernas.

Autoridades desmantelam VPN criminosa usada em ataques cibernéticos

Autoridades da Europa e América do Norte anunciaram a desarticulação de um serviço de rede privada virtual (VPN) chamado First VPN, utilizado por criminosos para ocultar a origem de ataques de ransomware, roubo de dados e ataques de negação de serviço. A operação, liderada pela França e Países Baixos, contou com a colaboração de diversas nações desde dezembro de 2021, incluindo o Brasil. O First VPN oferecia serviços voltados para atividades ilícitas, permitindo pagamentos anônimos e uma infraestrutura oculta para que os usuários pudessem esconder suas identidades durante atividades criminosas. Entre os dias 19 e 20 de maio, as autoridades realizaram ações simultâneas, como a apreensão de 33 servidores e a prisão do administrador do serviço na Ucrânia. O First VPN operava desde 2014 e tinha servidores de saída em 27 países, incluindo os Estados Unidos. Estima-se que pelo menos 25 grupos de ransomware, como o Avaddon, tenham utilizado a infraestrutura do First VPN para realizar suas atividades. O serviço aceitava pagamentos em criptomoedas e oferecia suporte técnico através de plataformas de mensagens criptografadas. Essa operação destaca a crescente colaboração internacional no combate ao cibercrime e a importância de medidas de segurança robustas para proteger dados sensíveis.

Código gerado por IA supera modelos manuais de remediação 75 das empresas admitem falhas

Um estudo da Checkmarx revelou que 75% das organizações reconhecem que frequentemente enviam código vulnerável, uma prática que se tornou comum no setor. A pesquisa destaca que, enquanto em 2018 o tempo médio para explorar uma vulnerabilidade era de 840 dias, atualmente esse prazo caiu para menos de dois dias, e pode chegar a apenas um minuto em um futuro próximo. Essa situação é alarmante, especialmente para setores críticos como a saúde, que já enfrenta um aumento nos ataques de ransomware e pressão regulatória. Além disso, a utilização de aplicativos ‘vibe-coded’, que são desenvolvidos inteiramente por meio de interações com IA, tem exacerbado a exposição a falhas de segurança, resultando em mais de 5.000 aplicativos que expõem dados corporativos e pessoais na web. O cenário atual exige uma revisão urgente das práticas de segurança cibernética das empresas, uma vez que a velocidade de exploração de vulnerabilidades está aumentando rapidamente.

Grupo Everest assume violação de dados no Frost Bank

A Sefas, desenvolvedora de software, notificou 191.848 texanos sobre uma violação de dados ocorrida em dezembro de 2025 no Frost Bank, um de seus clientes. Os dados comprometidos incluem números de Seguro Social, números de identificação fiscal, números de contas e datas de nascimento. O grupo cibercriminoso Everest reivindicou a responsabilidade pela violação em 20 de abril de 2026, alegando ter roubado 250.000 números de Seguro Social do Frost Bank e 3,4 milhões de registros do Citizens Bank no mesmo dia. Embora a Sefas tenha confirmado a atividade não autorizada em seu servidor SFTP, nem Frost Bank nem Citizens Bank reconheceram publicamente as alegações do Everest. A Sefas está oferecendo 12 meses de monitoramento de crédito aos afetados. Desde o início de 2025, 68 ataques de ransomware foram registrados contra instituições financeiras nos EUA, com apenas nove confirmados. Os ataques de ransomware podem causar perda de dados e exigir resgates para a recuperação dos sistemas. O grupo Everest, ativo desde 2020, já atacou diversas organizações, incluindo a NASA e o governo brasileiro.

Serviço de VPN First VPN desativado em operação internacional

O serviço de rede privada virtual (VPN) conhecido como ‘First VPN’, utilizado em ataques de ransomware e roubo de dados, foi desativado em uma operação conjunta de aplicação da lei internacional. Autoridades apreenderam dezenas de servidores do First VPN em 27 países, prenderam o administrador e realizaram uma busca domiciliar na Ucrânia. O serviço era promovido em fóruns de cibercrime como uma VPN focada na privacidade, que não registrava dados dos usuários e ignorava solicitações de informações por parte das autoridades. Embora as VPNs sejam usadas legitimamente para proteger a privacidade, contornar censura e permitir trabalho remoto seguro, criminosos também as utilizam para ocultar sua localização. A Europol informou que o nome do serviço foi mencionado em quase todas as investigações de cibercrime que apoiou. A investigação começou em dezembro de 2021 e envolveu a infiltração na infraestrutura da VPN, onde foram coletados dados de usuários e conexões utilizadas em ataques. A operação resultou na apreensão de 33 servidores e na identificação de usuários da plataforma, embora não tenha sido especificado se ações legais serão tomadas contra eles.

Ataques Cibernéticos A Nova Realidade das Ameaças Digitais

Nesta semana, o cenário de cibersegurança revela uma crescente preocupação com ataques que exploram elementos considerados confiáveis, como atualizações e aplicativos. O evento Pwn2Own Berlin 2026 destacou a descoberta de 47 vulnerabilidades zero-day em produtos amplamente utilizados, resultando em prêmios significativos para pesquisadores de segurança. Além disso, o NCSC do Reino Unido alertou sobre os riscos associados ao uso de inteligência artificial em ambientes corporativos, enfatizando a necessidade de controles de segurança rigorosos. No âmbito internacional, o governo polonês recomendou que seus oficiais deixassem de usar o Signal, devido a ataques de engenharia social, e a polícia holandesa lançou uma campanha para identificar suspeitos de fraudes. O ransomware Gunra também está em ascensão na Coreia do Sul, enquanto a vulnerabilidade no Composer, um gerenciador de dependências PHP, exige atualizações urgentes. Por fim, campanhas de intrusão baseadas em IA estão se intensificando na América Latina, destacando a evolução das táticas de ataque. Esses eventos sublinham a necessidade de vigilância constante e atualização das práticas de segurança.

Cardinal Services notifica vazamento de dados de 142 mil pessoas

A Cardinal Services, Inc. iniciou notificações de violação de dados para 142.323 pessoas após dois incidentes de cibersegurança em 2025, um em junho e outro em agosto. O grupo de ransomware Rhysida reivindicou o primeiro ataque, exigindo um resgate de $940.000, enquanto o segundo ataque foi atribuído ao grupo INC. A empresa tomou medidas imediatas ao descobrir acessos não autorizados em seus sistemas, envolvendo profissionais externos de cibersegurança para investigar e mitigar os danos. Embora os detalhes sobre os dados afetados não sejam claros, a oferta de acesso gratuito ao Epiq Privacy Solutions ID sugere que informações sensíveis, como números de Seguro Social, podem ter sido comprometidas. O grupo Rhysida também adicionou a Cardinal a seu site de vazamento de dados, apresentando provas que incluem capturas de tela de documentos sensíveis. Em setembro, o grupo INC também reivindicou a violação, alegando que 140 GB de dados foram roubados. Até agora, a Cardinal não confirmou as reivindicações de resgate ou se algum pagamento foi feito. Este incidente destaca a crescente ameaça de ataques de ransomware nos Estados Unidos, com 755 ataques confirmados em 2025, afetando mais de 44,6 milhões de registros.

Microsoft desmantela operação de malware como serviço global

A Microsoft anunciou a interrupção de uma operação de malware-signing-as-a-service (MSaaS) que utilizava seu sistema Artifact Signing para distribuir códigos maliciosos, incluindo ransomware. A operação, atribuída ao grupo Fox Tempest, comprometeu milhares de máquinas em todo o mundo desde maio de 2025. A Microsoft, através da operação codinome OpFauxSign, tomou medidas drásticas, como a apreensão do site signspace[.]cloud e a desativação de centenas de máquinas virtuais associadas. O esquema permitia que cibercriminosos disfarçassem malware como software legítimo, utilizando certificados de assinatura fraudulentos válidos por apenas 72 horas. Entre os malwares distribuídos estão o ransomware Rhysida e outras famílias como Oyster e Lumma Stealer. A operação também revelou conexões com grupos de ransomware conhecidos, como INC e BlackByte, que atacaram setores críticos como saúde e finanças em países como EUA, França, Índia e China. A Microsoft destacou que a capacidade de fazer software malicioso parecer legítimo é uma ameaça significativa à segurança cibernética, tornando essencial a interrupção dessa prática.

Microsoft desmantela operação de assinatura de malware como serviço

A Microsoft anunciou a interrupção de uma operação de malware-signing-as-a-service (MSaaS) que explorava seu serviço de assinatura de artefatos para gerar certificados de assinatura de código fraudulentos, utilizados por gangues de ransomware e outros cibercriminosos. O grupo, identificado como Fox Tempest, criou mais de 1.000 certificados e centenas de assinaturas na plataforma Azure Artifact Signing, permitindo que malware fosse assinado digitalmente e reconhecido como software legítimo. A operação foi desmantelada em maio de 2026, com a ajuda de parceiros da indústria, e resultou na revogação de mais de mil certificados. A Microsoft também bloqueou o domínio signspace[.]cloud, utilizado para a operação, e tomou medidas contra a infraestrutura que suportava a plataforma criminosa. O malware assinado foi associado a diversas campanhas de ransomware, incluindo Rhysida e BlackByte, e permitiu que os atacantes disfarçassem software malicioso como aplicativos legítimos, como Microsoft Teams e AnyDesk. A operação gerou milhões de dólares em lucros e utilizou identidades roubadas para obter os certificados de assinatura.

Grupo cibercriminoso SafePay reivindica ataque a comissão de Harrison County

O grupo cibercriminoso SafePay reivindicou um ataque cibernético ocorrido em 23 de abril de 2026, que afetou os sistemas da Comissão do Condado de Harrison, na Virgínia Ocidental. O ataque resultou na interrupção do atendimento ao público no dia seguinte, quando cidadãos tentaram pagar seus impostos sobre propriedade. Embora a maioria dos sistemas tenha sido restaurada mais de uma semana depois, alguns ainda estavam fora do ar em 6 de maio. SafePay, que utiliza um esquema de extorsão dupla, exigiu um pagamento em resgate em troca da recuperação dos dados e da exclusão das informações roubadas. A Comissão do Condado não confirmou a reivindicação do grupo, e detalhes sobre a quantidade de dados comprometidos ou o valor do resgate permanecem desconhecidos. SafePay é um grupo de ransomware que começou a operar em 2024 e já reivindicou 479 ataques, com 68 confirmados. Em 2026, o grupo já reivindicou 56 ataques, sendo seis confirmados. Este incidente destaca a crescente ameaça de ataques de ransomware a entidades governamentais nos EUA, que podem comprometer dados sensíveis e interromper serviços essenciais.

Grupo cibercriminoso DragonForce ataca empresa de saúde nos EUA

O grupo cibercriminoso conhecido como DragonForce reivindicou um ataque cibernético à AdvancedHealth, uma empresa que opera centenas de clínicas médicas no Tennessee. Em abril, a Columbia Surgical Partners, uma das clínicas, notificou pacientes sobre uma violação de dados em sua empresa-mãe, a Advanced Diagnostic Imaging. Em 14 de maio, DragonForce anunciou em seu site de vazamento que havia roubado 390 GB de dados da AdvancedHealth, incluindo 2,3 milhões de linhas de dados de pacientes, acordos com parceiros, arquivos de gestão, folha de pagamento e recursos humanos. O grupo ameaçou divulgar 1.000 linhas de dados por dia até que sua demanda de resgate fosse atendida. A AdvancedHealth não comentou sobre a violação e não confirmou a reivindicação do DragonForce. O ataque de ransomware afetou o acesso da Columbia Surgical Partners a registros médicos eletrônicos. DragonForce, que opera um modelo de ransomware como serviço, já reivindicou 167 ataques em 2026, com 14 confirmados. O impacto de ataques de ransomware no setor de saúde é significativo, podendo comprometer a segurança e a privacidade dos pacientes, além de causar interrupções nos serviços médicos.

Fluke Corporation confirma vazamento de dados de mais de 18 mil pessoas

A Fluke Corporation anunciou que notificou 18.517 pessoas sobre um vazamento de dados ocorrido entre agosto e outubro de 2025, que comprometeu números de Seguro Social, datas de nascimento e informações sobre deficiência. O incidente foi causado por uma vulnerabilidade em um aplicativo de terceiros utilizado pela empresa e foi explorado pelo grupo de ransomware Clop, conhecido por atacar software empresarial. O ataque durou dois meses, de 10 de agosto a 7 de outubro de 2025, e foi descoberto pela Fluke em 29 de setembro. A empresa não confirmou se pagou um resgate, mas está oferecendo 24 meses de monitoramento de crédito e seguro contra roubo de identidade aos afetados. O grupo Clop é responsável por uma série de ataques de ransomware, tendo reivindicado 458 ataques em 2025, afetando principalmente organizações que utilizam software vulnerável. O impacto desses ataques pode incluir interrupções significativas nas operações de negócios, além de riscos de fraude para os indivíduos cujos dados foram comprometidos.

Foxconn, fornecedora da Apple, sofre ataque e perde 8 TB de dados

A Foxconn, uma das principais fornecedoras de eletrônicos do mundo e fabricante de chips para a Apple, confirmou que suas operações na América do Norte foram alvo de um ataque de ransomware. O incidente, que ocorreu no dia 1º de maio, comprometeu servidores e sistemas operacionais em fábricas localizadas no México e nos Estados Unidos, resultando em uma interrupção temporária das atividades. Os invasores conseguiram acessar documentos internos da empresa e roubaram 8 TB de dados, que incluem informações sobre projetos de clientes como Dell, Google, Apple e NVIDIA. A extensão do vazamento ainda está sendo investigada, e a Foxconn afirmou que já acionou seus protocolos de segurança e iniciou o processo de restauração dos sistemas afetados. Este não é o primeiro ataque que a Foxconn enfrenta; em dezembro de 2020, a instalação mexicana já havia sido atacada, resultando em um roubo de dados e exigência de resgate em bitcoins. O ataque atual destaca a crescente preocupação com a segurança cibernética em grandes corporações, especialmente aquelas que lidam com informações sensíveis de clientes.

Clínica de Denver confirma vazamento de dados de 113 mil pacientes

A Western Orthopaedics, localizada em Denver, Colorado, notificou 113.330 pessoas sobre um vazamento de dados ocorrido em setembro de 2025. O incidente comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados financeiros, informações de seguro de saúde e registros médicos. A clínica tomou conhecimento do ataque em outubro, após um terceiro não autorizado acessar sua rede e roubar dados. O grupo de ransomware PEAR reivindicou a responsabilidade pelo ataque, alegando ter roubado 1,7 TB de dados, que foram publicados em seu site de vazamento no final de setembro. A Western Orthopaedics está oferecendo monitoramento de crédito e proteção contra roubo de identidade aos afetados. Este incidente destaca a crescente ameaça de ataques cibernéticos no setor de saúde, que já registrou 139 ataques confirmados em 2025, comprometendo mais de 12 milhões de registros pessoais. O grupo PEAR, que se especializa em roubo de dados sem criptografia, já foi responsável por 82 ataques, incluindo vários a prestadores de serviços de saúde.

Cibersegurança Vulnerabilidades e Ameaças Emergentes em 2026

O cenário de cibersegurança continua alarmante, com uma série de vulnerabilidades e ataques sendo reportados. A Palo Alto Networks divulgou correções para uma falha crítica (CVE-2026-0300) no serviço User-ID Authentication Portal do PAN-OS, que permite a execução de código arbitrário por atacantes não autenticados. Além disso, uma empresa de tecnologia de defesa expôs dados sensíveis devido a falhas de autorização em suas APIs. Em outra frente, a Meta lançou o Incognito Chat, prometendo privacidade nas interações com IA. O relatório também destaca campanhas de phishing patrocinadas por estados, como a Operation GriefLure, que visa setores estratégicos no Vietnã e nas Filipinas, e a Operation HumanitarianBait, que utiliza temas de ajuda humanitária para enganar usuários. A nova técnica GhostLock permite que usuários com acesso limitado bloqueiem arquivos, causando interrupções semelhantes a ataques de ransomware. O artigo enfatiza a necessidade urgente de ações corretivas e vigilância contínua para mitigar esses riscos.

Foxconn retoma operações após ataque cibernético em fábricas da América do Norte

A Foxconn, maior fabricante de eletrônicos do mundo, anunciou que algumas de suas fábricas na América do Norte estão retomando as operações normais após um ataque cibernético. O incidente foi confirmado por um porta-voz da empresa, que relatou que a equipe de cibersegurança ativou imediatamente um mecanismo de resposta e implementou medidas operacionais para garantir a continuidade da produção. O grupo de ransomware Nitrogen reivindicou a responsabilidade pelo ataque, alegando ter roubado 8 TB de dados, incluindo documentos confidenciais de grandes clientes como Apple, Intel e Google. Este não é o primeiro ataque do tipo que a Foxconn enfrenta; a empresa já foi alvo de outras gangues de ransomware, como LockBit e DoppelPaymer, nos últimos anos. A situação destaca a crescente ameaça de ataques cibernéticos a grandes corporações e a importância de medidas robustas de segurança cibernética para proteger informações sensíveis e garantir a continuidade dos negócios.

Da phishing ao impacto Por que MSPs devem repensar segurança e recuperação

Os ataques cibernéticos modernos estão cada vez mais sofisticados, visando contornar defesas, interromper operações e atrasar a recuperação após uma violação. Um webinar ao vivo, promovido pela BleepingComputer, abordará a necessidade de as organizações repensarem suas estratégias de segurança e recuperação, especialmente diante da evolução rápida de ameaças como phishing impulsionado por IA, ransomware e comprometimento de e-mails corporativos. Os atacantes utilizam infraestrutura confiável e serviços em nuvem legítimos para acessar ambientes empresariais, tornando a detecção e contenção de incidentes um desafio. O webinar destacará a importância de combinar controles de segurança robustos com estratégias de backup e recuperação, essenciais para a resiliência cibernética moderna. A falta de estratégias de recuperação eficazes pode resultar em longos períodos de inatividade e custos elevados após a identificação de incidentes. Os participantes aprenderão sobre as falhas comuns nas estratégias de segurança e a importância do planejamento de recuperação e backup em SaaS. Essa discussão é crucial para que as organizações não apenas se defendam contra ataques, mas também se recuperem rapidamente.

Multa de 963,900 para South Staffordshire Water por ciberataque

O Escritório do Comissário de Informação do Reino Unido multou a South Staffordshire Water Plc e sua controladora em £963,900 (cerca de R$ 6,3 milhões) devido a um ciberataque que expôs os dados pessoais de 663,887 clientes e funcionários. A empresa, que fornece 330 milhões de litros de água potável diariamente para 1,6 milhão de consumidores, sofreu o ataque que comprometeu suas operações de TI em 2022. Embora a gangue de ransomware Cl0p tenha inicialmente reivindicado a responsabilidade, a investigação do ICO confirmou a autenticidade dos dados vazados, que incluíam nomes completos, endereços, e informações bancárias. O ataque, que começou em setembro de 2020, foi facilitado por um ataque de phishing que permitiu a instalação de malware em seus sistemas, permanecendo indetectado por 20 meses. O ICO identificou falhas significativas na segurança da empresa, como controles insuficientes para prevenir a escalada de privilégios e o uso de software obsoleto. A multa foi reduzida em 40% devido à cooperação da empresa durante a investigação.

American Lending Center confirma violação de dados em julho de 2025

O American Lending Center (ALC), um credor de pequenas empresas da Califórnia, notificou 123.158 pessoas sobre uma violação de dados ocorrida em julho de 2025, resultante de um ataque de ransomware. A empresa revelou que o invasor comprometeu sua rede interna, executou o ataque e acessou arquivos que podem conter informações pessoais sensíveis, como nomes, números de Seguro Social e datas de nascimento. Até o momento, não se sabe como os atacantes conseguiram acessar a rede da ALC ou se um resgate foi pago. Para mitigar os danos, a ALC está oferecendo monitoramento de crédito gratuito e um seguro contra roubo de identidade de até 1 milhão de dólares através da IDX. Em 2025, foram registrados 67 ataques de ransomware em empresas financeiras dos EUA, afetando cerca de 1,4 milhão de pessoas. O ataque à ALC foi o terceiro maior em termos de registros comprometidos, atrás de incidentes em outras empresas financeiras. Os ataques de ransomware têm se tornado uma preocupação crescente, pois não apenas roubam dados, mas também podem paralisar sistemas, exigindo resgates para a restauração. A ALC gerencia ativos de 3,1 bilhões de dólares e financiou 110 projetos em todos os estados dos EUA.

Instructure chega a acordo após ataque cibernético ao Canvas

A Instructure, empresa americana de tecnologia educacional e responsável pela plataforma Canvas, anunciou que chegou a um acordo com um grupo de cibercriminosos após uma violação de sua rede. O ataque resultou na ameaça de vazamento de dados de aproximadamente 9.000 instituições de ensino, incluindo escolas e universidades. A empresa revelou que decidiu pagar um resgate para evitar a divulgação das informações roubadas, que incluíam 275 milhões de registros, como nomes de usuários, endereços de e-mail e informações de matrícula. A Instructure afirmou que os dados foram devolvidos e que a destruição digital das informações foi confirmada. Além disso, a empresa está colaborando com especialistas para melhorar sua segurança cibernética e realizar uma análise forense do incidente. O ataque, atribuído ao grupo ShinyHunters, explorou uma vulnerabilidade relacionada a tickets de suporte na versão Free-for-Teacher do Canvas. Após a violação, a Instructure suspendeu temporariamente as contas dessa versão e implementou medidas de segurança adicionais. O incidente destaca a necessidade de vigilância constante contra ataques cibernéticos, especialmente em ambientes educacionais, onde dados sensíveis estão em risco.

Grupo de ransomware Genesis ataca clínica de saúde no Canadá

O grupo de ransomware Genesis reivindicou um ataque cibernético à CarePoint Health, uma clínica médica em Ontário, que resultou em um vazamento de dados em março de 2026. A clínica confirmou que informações sensíveis, como nomes, dados médicos, endereços e números de telefone, foram comprometidas. Genesis alegou ter roubado 70 GB de dados médicos, operacionais e financeiros da CarePoint, publicando a reivindicação em seu site de vazamento de dados. Até o momento, a CarePoint não confirmou oficialmente a alegação do grupo e não se sabe quantas pessoas foram afetadas ou se um resgate foi pago. O ataque à CarePoint é o primeiro incidente confirmado de 2026 para o grupo, que já atacou outras quatro organizações de saúde desde seu início em 2025. Os ataques de ransomware têm se tornado uma preocupação crescente no Canadá, com sete incidentes confirmados em 2026 até agora, destacando o risco significativo que essas ameaças representam para a segurança de dados e a continuidade dos serviços de saúde.

Ator de ameaças explora falha crítica do cPanel para implantar backdoor

Um ator de ameaças identificado como Mr_Rot13 está explorando uma vulnerabilidade crítica no cPanel, conhecida como CVE-2026-41940, que permite a bypass de autenticação e controle remoto do painel de controle. Após a divulgação pública da falha, mais de 2.000 IPs de atacantes em todo o mundo, incluindo Brasil, foram identificados realizando ataques automatizados. A exploração envolve o uso de um script que baixa um infector baseado em Go, que implantam uma chave SSH para acesso persistente e um shell PHP para execução remota de comandos. O shell é utilizado para injetar código JavaScript que redireciona usuários para uma página de login falsa, coletando credenciais que são enviadas para um sistema controlado pelo atacante. O backdoor, denominado Filemanager, é capaz de infectar sistemas Windows, macOS e Linux, e coleta informações sensíveis do host comprometido. A operação parece ter sido realizada de forma discreta por anos, com baixa taxa de detecção em produtos de segurança. A situação exige atenção urgente das empresas que utilizam cPanel e WHM.

Da phishing ao impacto Por que MSPs devem repensar segurança e recuperação

Os ataques cibernéticos modernos evoluíram, combinando técnicas como phishing gerado por IA, comprometimento de e-mails corporativos, ransomware e abuso de SaaS para acessar ambientes empresariais e interromper operações. O webinar ‘Da phishing ao impacto: Por que MSPs devem repensar segurança e recuperação’, promovido pela BleepingComputer, abordará a necessidade de as organizações não se basearem apenas na prevenção, mas também em estratégias de backup e recuperação, que se tornaram essenciais para a resiliência cibernética. Os atacantes estão cada vez mais utilizando infraestruturas confiáveis e plataformas SaaS legítimas para contornar defesas tradicionais, e muitas vezes as organizações têm dificuldade em conter ataques antes que ocorram interrupções operacionais ou perda de dados. O evento discutirá como as equipes de TI e os provedores de serviços gerenciados (MSPs) podem mitigar o impacto de ataques modernos, fortalecendo tanto a postura de segurança quanto a prontidão para recuperação. Serão abordados tópicos como a evolução do phishing impulsionado por IA, a importância de backups de SaaS e a necessidade de um plano de continuidade de negócios (BCDR) como camadas críticas de resiliência cibernética.

Falhas de Segurança em Sistemas de Nuvem e Malware Emergente

O cenário de cibersegurança continua a ser alarmante, com novas vulnerabilidades sendo exploradas ativamente. Recentemente, a Ivanti alertou sobre a exploração de uma falha crítica (CVE-2026-6973) em seu Endpoint Manager Mobile, permitindo que usuários autenticados executem código remotamente. Além disso, uma vulnerabilidade zero-day em firewalls da Palo Alto Networks (CVE-2026-0300) também está sendo explorada, afetando cerca de 263 mil hosts expostos na Internet.

Outro destaque é o surgimento do Quasar Linux RAT, um trojan modular que transforma sistemas Linux em pontos de entrada para ataques em cadeia, utilizando uma rede P2P para comunicação entre sistemas comprometidos. A campanha PCPJack, que substitui o malware TeamPCP, visa roubar credenciais de serviços em nuvem, propagando-se lateralmente em redes.

Grupo de ransomware Lynx ataca escola católica no Reino Unido

No final de semana, o grupo de ransomware Lynx reivindicou um ataque ocorrido em março de 2026 na St Anne’s Catholic School, em Southampton, Reino Unido. O grupo afirma ter roubado informações confidenciais, dados financeiros e contratos da instituição. Em um comunicado enviado aos pais no dia 22 de março, a escola confirmou o ataque e permaneceu fechada por quatro dias, reabrindo em 27 de março. O diretor, Julian Waterfield, afirmou que não há evidências de que dados tenham sido comprometidos, ressaltando que o impacto foi a perda temporária de controle sobre a rede da escola. O Lynx, que opera sob um modelo de Ransomware-as-a-Service (RaaS), realiza ataques em duas etapas: primeiro, criptografa os sistemas e exige um resgate, e segundo, mantém os dados roubados como moeda de troca. Até o momento, a St Anne’s não confirmou as alegações do Lynx sobre o roubo de dados ou se um resgate foi pago. Este é o primeiro ataque confirmado a uma instituição educacional pelo grupo, que tem como alvo principal organizações governamentais e empresas. Até agora, em 2026, foram registrados 120 ataques de ransomware no Reino Unido, com seis confirmados pelas vítimas.

Usuários de smartphones ignoram riscos de segurança básicos

Um estudo recente revelou que a maioria dos usuários de smartphones confia nas ferramentas de segurança integradas em seus dispositivos, ignorando a necessidade de proteção adicional. Apenas 18% dos entrevistados pagam por software antivírus de terceiros, enquanto 14% não possuem nenhuma ferramenta de cibersegurança instalada. A pesquisa, realizada com mais de 1.000 adultos americanos, mostra que a adoção de antivírus pagos em dispositivos móveis caiu 10% nos últimos anos, enquanto no desktop, o uso de soluções pagas cresceu. Os usuários acreditam que as funcionalidades de segurança já disponíveis em seus smartphones são suficientes, o que pode ser um erro, dado o aumento das ameaças cibernéticas, como ataques de ransomware. Embora a maioria dos usuários combine diferentes abordagens de segurança, muitos ainda estão desinformados sobre as proteções que possuem. Marcas estabelecidas como McAfee e Norton continuam a dominar o mercado de antivírus pagos, enquanto soluções menos conhecidas enfrentam dificuldades para ganhar a confiança dos consumidores.

Ransomware destrói arquivos e inviabiliza resgate

Uma nova variante de ransomware, chamada VECT 2.0, está causando problemas não apenas para suas vítimas, mas também para os próprios hackers que a utilizam. Identificado pela Check Point Research, esse malware, que opera no modelo ransomware-as-a-service, apresenta uma falha crítica em seu código que resulta na destruição permanente de arquivos ao invés de apenas bloqueá-los para cobrança de resgate. O VECT 2.0 foi lançado em um fórum cibercriminoso russo em 2025 e, ao encriptar arquivos maiores que 128 KB, sobrescreve códigos de desencriptação, tornando impossível a recuperação dos dados. Essa falha não só prejudica as vítimas, mas também os cibercriminosos que dependem do pagamento do resgate para lucrar. A pesquisa revelou que o código contém erros amadores, como funções de evasão de segurança que não estão ativadas e ferramentas que não funcionam. Apesar da ineficiência técnica, o VECT 2.0 tem um alcance significativo, pois está associado ao BreachForums, uma das maiores comunidades de hackers da internet, que oferece acesso gratuito ao kit de ferramentas do ransomware. Essa situação levanta preocupações sobre a evolução dos ataques cibernéticos e suas consequências para a segurança digital.

Horizon Media confirma violação de dados em janeiro de 2026

A Horizon Media, uma das maiores agências de mídia independentes do mundo, confirmou que notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em 9 de janeiro de 2026. A violação comprometeu nomes e números de Seguro Social de indivíduos. Segundo a empresa, um ator não autorizado acessou seus sistemas através de um ’evento sofisticado de engenharia social’. No mesmo dia, o grupo de ransomware Chaos reivindicou a responsabilidade pelo ataque, ameaçando divulgar 3,2 TB de dados se suas exigências não fossem atendidas. A Horizon Media não confirmou se pagou o resgate ou quantas pessoas foram notificadas. A investigação interna da empresa foi concluída em 6 de abril de 2026, e a Horizon está oferecendo 24 meses de monitoramento de crédito gratuito para as vítimas. O grupo Chaos, ativo desde 2021, já reivindicou 51 ataques de ransomware, sendo 13 confirmados. Os ataques de ransomware em empresas de serviços, como a Horizon, podem resultar em roubo de dados e paralisação de sistemas, aumentando o risco de fraudes para clientes e funcionários.

Do phishing ao impacto Por que MSPs devem repensar segurança e recuperação

Os ciberataques estão evoluindo rapidamente, superando as defesas de muitos provedores de serviços gerenciados (MSPs). O phishing se tornou o principal motor do cibercrime moderno, com ataques cada vez mais sofisticados, utilizando iscas geradas por inteligência artificial e plataformas SaaS legítimas para contornar as defesas tradicionais. Em um webinar agendado para 14 de maio de 2026, especialistas da Kaseya discutirão como a combinação de prevenção, detecção e recuperação rápida é essencial para enfrentar essas ameaças. O evento abordará a importância de não tratar segurança e recuperação como silos separados, destacando que muitas organizações falham em planejar a recuperação após um ataque, resultando em interrupções operacionais e perda de dados. O webinar também enfatizará a necessidade de um plano de recuperação de desastres (BCDR) e backups adequados para fortalecer a resiliência cibernética. Os participantes aprenderão como os MSPs líderes estão adaptando suas estratégias para reduzir o tempo de inatividade e melhorar a recuperação após ataques, tornando-se crucial para a proteção de seus clientes.

Hackers iranianos disfarçam espionagem como ataque de ransomware

O grupo de hackers iranianos MuddyWater disfarçou suas operações como um ataque de ransomware Chaos, utilizando engenharia social via Microsoft Teams para obter acesso e estabelecer persistência em sistemas. O ataque envolveu roubo de credenciais, acesso remoto, exfiltração de dados e envio de e-mails de extorsão, mas a Rapid7 acredita que o componente de ransomware foi uma estratégia para ocultar a verdadeira operação de ciberespionagem e dificultar a atribuição do ataque. A análise sugere que o objetivo principal não era o ganho financeiro, mas sim a espionagem. A Rapid7 tem confiança moderada em atribuir o incidente ao MuddyWater, um grupo associado ao Ministério da Inteligência e Segurança do Irã, com base em sobreposição de infraestrutura e técnicas operacionais. O ataque começou com engenharia social no Microsoft Teams, onde os hackers iniciaram chats com funcionários, manipularam configurações de autenticação multifator e implantaram ferramentas de acesso remoto. Após comprometer contas, os atacantes utilizaram um loader de malware para implantar um backdoor disfarçado, que possui funcionalidades avançadas para execução de comandos e acesso persistente. Este incidente destaca a convergência entre atividades de intrusão patrocinadas por estados e técnicas criminosas.

Grupo iraniano MuddyWater realiza ataque de ransomware disfarçado

O grupo de hackers iraniano MuddyWater, também conhecido como Mango Sandstorm, foi responsabilizado por um ataque de ransomware que se caracteriza como uma operação de “falsa bandeira”. Observado pela Rapid7 no início de 2026, o ataque utilizou técnicas de engenharia social através do Microsoft Teams para iniciar a infecção. Embora inicialmente parecesse um ataque típico de ransomware-as-a-service (RaaS), as evidências sugerem que se tratou de um ataque direcionado, disfarçado de extorsão oportunista. Os atacantes utilizaram compartilhamento de tela interativo para coletar credenciais e manipular a autenticação multifatorial (MFA). Em vez de criptografar arquivos, o grupo optou pela exfiltração de dados e persistência a longo prazo usando ferramentas de gerenciamento remoto como DWAgent. O uso de ferramentas disponíveis no submundo do cibercrime, como CastleRAT e Tsundere, indica uma tentativa de dificultar a atribuição do ataque. O grupo Chaos, que opera sob um modelo de dupla extorsão, também foi mencionado, destacando a convergência entre atividades patrocinadas por estados e táticas de cibercrime. Este incidente ressalta a necessidade de atenção redobrada por parte das empresas, especialmente em setores críticos, devido ao potencial impacto na segurança e conformidade com a LGPD.

Queda de ataques de ransomware em abril de 2026

Em abril de 2026, os ataques de ransomware caíram 22%, totalizando 628 incidentes, o menor número em seis meses. Os ataques a entidades governamentais diminuíram significativamente, com apenas 19 ocorrências, menos da metade das 41 registradas em março. No entanto, o setor de saúde viu um aumento de 10%, passando de 41 para 45 ataques. Exemplos notáveis incluem o ataque à Signature Healthcare, que resultou em interrupções significativas, e à ChipSoft, que afetou a plataforma de registros eletrônicos de saúde na Holanda. O grupo de ransomware Qilin, responsável por 105 ataques, viu uma queda de 28% em suas reivindicações. No total, 125 TB de dados foram roubados em abril, com os EUA liderando em número de ataques. O setor de saúde continua sendo um alvo prioritário para hackers, refletindo uma tendência preocupante que exige atenção contínua das organizações de segurança cibernética.

Lituano é condenado a 8,5 anos por envolvimento em ransomware Karakurt

Deniss Zolotarjovs, um cidadão letão extraditado para os Estados Unidos, foi condenado a 8,5 anos de prisão por seu papel como negociador em casos de extorsão do grupo de ransomware Karakurt. Com 35 anos e residente em Moscou, Zolotarjovs foi preso na Geórgia em dezembro de 2023 e se declarou culpado em julho de 2025 por conspiração para cometer fraude eletrônica e lavagem de dinheiro. O Departamento de Justiça dos EUA revelou que ele ajudou a gangue a lucrar com ataques a mais de 54 empresas, resultando em perdas superiores a 56 milhões de dólares, incluindo 2,8 milhões em pagamentos de resgate. Zolotarjovs era responsável por reativar negociações com vítimas que haviam interrompido a comunicação, utilizando informações pessoais e de saúde roubadas para aumentar a pressão psicológica. Ele é o primeiro membro do Karakurt a ser processado e condenado nos EUA, o que pode abrir caminho para ações contra outros membros do grupo. O FBI o vinculou a pelo menos seis casos de extorsão entre agosto de 2021 e novembro de 2023, destacando a gravidade e a complexidade das operações de ransomware que afetam organizações americanas e, potencialmente, brasileiras.

Suffolk, Virginia, confirma violação de dados que afetou 157 mil pessoas

A cidade de Suffolk, na Virgínia, notificou 157.725 pessoas sobre uma violação de dados ocorrida em fevereiro de 2026, que comprometeu nomes, números de Seguro Social e informações financeiras. A violação foi atribuída a um ataque de ransomware, embora os investigadores tenham afirmado que o ataque foi interrompido antes que o ransomware pudesse ser implantado. No entanto, os cibercriminosos conseguiram roubar dados da rede da cidade. O grupo de cibercriminosos Cloak reivindicou a responsabilidade pelo ataque, alegando ter roubado 2,5 TB de arquivos. Até o momento, a cidade não confirmou a reivindicação do Cloak, e não está claro como os atacantes conseguiram acessar a rede ou se um resgate foi pago. A notificação enviada às vítimas não menciona a oferta de monitoramento de crédito ou proteção contra roubo de identidade. Este incidente é um dos 20 ataques de ransomware confirmados em entidades governamentais dos EUA em 2026, destacando a crescente ameaça de ataques cibernéticos a instituições públicas.

Cibersegurança Ameaças em Alta e Vulnerabilidades Críticas

Nesta semana, o cenário de cibersegurança se tornou ainda mais alarmante, com ataques sofisticados e vulnerabilidades críticas sendo exploradas ativamente. Um dos principais destaques é a falha crítica no cPanel e WebHost Manager (CVE-2026-41940), que permite a invasores contornar autenticações e assumir o controle remoto de painéis de controle, resultando em perdas significativas, como a exclusão de sites inteiros. Além disso, grupos de cibercrime, como Cordial Spider e Snarky Spider, estão utilizando vishing para roubo de dados e extorsão, explorando ambientes SaaS e comprometendo credenciais de funcionários através de páginas de phishing disfarçadas.

Falha crítica no cPanel é explorada em ataques de ransomware Sorry

Uma nova vulnerabilidade no cPanel, identificada como CVE-2026-41940, está sendo amplamente explorada em ataques de ransomware conhecidos como ‘Sorry’. Recentemente, uma atualização de emergência foi lançada para corrigir uma falha crítica de bypass de autenticação que permite que atacantes acessem painéis de controle. O cPanel e o WHM são painéis de controle de hospedagem web baseados em Linux, sendo o WHM responsável pelo controle do servidor e o cPanel pelo acesso ao backend do site. Desde o final de fevereiro, tentativas de exploração dessa falha têm sido registradas, e a Shadowserver reportou que pelo menos 44.000 endereços IP executando cPanel foram comprometidos. Os hackers estão utilizando um criptografador Linux baseado em Go para implementar o ransomware ‘Sorry’, que adiciona a extensão ‘.sorry’ a todos os arquivos criptografados. O ransomware utiliza o cifrador de fluxo ChaCha20 e a chave de criptografia é protegida por uma chave pública RSA-2048. Para reverter a criptografia, é necessário obter a chave privada correspondente. Os usuários do cPanel e WHM são aconselhados a instalar as atualizações de segurança imediatamente para proteger seus sites contra esses ataques e roubo de dados.

Profissionais de cibersegurança são condenados por ataques de ransomware

O Departamento de Justiça dos EUA anunciou a condenação de dois profissionais de cibersegurança, Ryan Goldberg e Kevin Martin, a quatro anos de prisão por sua participação em ataques de ransomware BlackCat em 2023. Ambos, junto com um terceiro cúmplice, Angelo Martino, foram acusados de extorquir vítimas em todo o país, utilizando suas habilidades em cibersegurança para facilitar os ataques. Os criminosos concordaram em pagar 20% dos resgates recebidos aos administradores do BlackCat em troca de acesso à plataforma de extorsão. Em um dos casos, conseguiram extorquir cerca de US$ 1,2 milhão em Bitcoin, que foi posteriormente lavado. O esquema de ransomware como serviço (RaaS) BlackCat já havia atacado mais de 1.000 vítimas globalmente. Martino, que também se declarou culpado, abusou de sua função como negociador para obter pagamentos maiores, revelando informações confidenciais sobre limites de apólices de seguro das vítimas. O caso destaca a grave ameaça que profissionais com conhecimento técnico podem representar quando desviam suas habilidades para atividades criminosas.

Ex-funcionários de empresas de cibersegurança são condenados por ransomware

Ryan Clifford Goldberg e Kevin Tyler Martin, ex-funcionários de empresas de resposta a incidentes de cibersegurança, foram condenados a quatro anos de prisão por envolvimento em ataques de ransomware BlackCat (ALPHV) contra empresas nos EUA. Ambos, junto com um terceiro cúmplice, Angelo Martino, atuaram como afiliados do ransomware entre maio e novembro de 2023, comprometendo redes de diversas vítimas, incluindo uma empresa farmacêutica em Maryland e um fabricante de dispositivos médicos em Tampa. Os criminosos exploraram seu conhecimento especializado em cibersegurança para extorquir empresas, exigindo resgates que variavam de $300.000 a $10 milhões. O caso destaca a crescente ameaça de ransomware e a necessidade de vigilância constante nas redes corporativas. O FBI já havia vinculado o grupo BlackCat a mais de 60 violações de segurança, coletando pelo menos $300 milhões em pagamentos de resgate até setembro de 2023. Este incidente ressalta a importância de uma postura proativa em cibersegurança e a necessidade de medidas rigorosas para proteger dados sensíveis.

Empresas do Reino Unido ignoram falhas antigas enquanto hackers atacam

Um recente relatório da SonicWall revela que empresas no Reino Unido continuam a operar com sistemas vulneráveis, muitos dos quais possuem falhas conhecidas há mais de uma década. Em 2025, foram registrados 67 milhões de tentativas de ataque, com uma única vulnerabilidade em câmeras IP da Hikvision representando cerca de 20% de todas as intrusões detectadas. Apesar de 80% dos líderes de TI afirmarem que conseguem identificar uma violação em até oito horas, a média real é de 181 dias, evidenciando a ineficácia na detecção de intrusões. Embora o volume de ransomware tenha caído 87%, o número de organizações comprometidas aumentou em 20%, indicando que os atacantes estão se tornando mais precisos em suas ações. As pequenas e médias empresas são as mais afetadas, com 88% das violações envolvendo ransomware. O uso crescente de ferramentas de inteligência artificial tem facilitado a execução de ataques, com bots realizando 36.000 varreduras por segundo. Para mitigar esses riscos, as organizações devem realizar um inventário de dispositivos conectados, priorizar a correção de vulnerabilidades conhecidas e implementar segmentação de rede.