Ransomware

O grupo de ransomware Qilin reivindicou a responsabilidade por uma violação de dados ocorrida em setembro de 2025 nas escolas públicas do Condado de Mecklenburg, na Virgínia. O incidente foi notificado aos pais em 2 de setembro, levando a uma interrupção significativa nas atividades escolares, com professores utilizando métodos tradicionais de ensino devido à falta de acesso à internet. Qilin afirma ter roubado 305 GB de dados, incluindo relatórios financeiros, orçamentos e registros médicos de crianças, e publicou amostras desses documentos em seu site de vazamento. O superintendente das escolas, Scott Worner, confirmou a autoria do ataque, mas ressaltou que a verificação do que foi comprometido depende da conclusão da investigação pelas autoridades e pela seguradora da escola. O grupo tem um histórico de ataques a instituições educacionais, tendo realizado 103 ataques confirmados em 2025 até o momento. Worner alertou outras escolas sobre a inevitabilidade de ataques cibernéticos, enfatizando a importância de manter a cobertura de cibersegurança atualizada. O ataque destaca a vulnerabilidade do setor educacional, que frequentemente enfrenta dificuldades em relatar violações de dados e pode sofrer interrupções significativas em suas operações diárias.

O Programa de Educação Médica de Fort Wayne (FWMEP) notificou 29.485 pessoas sobre um vazamento de dados ocorrido em dezembro de 2024, que comprometeu informações pessoais de funcionários e seus dependentes. Os dados vazados incluem números de Seguro Social, identificações emitidas pelo estado, datas de nascimento, números de contas bancárias, informações de cartões de crédito e dados de saúde pessoal, como histórico médico e informações de faturamento. O grupo de ransomware Inc reivindicou a responsabilidade pelo ataque, alegando ter roubado 66 GB de dados do FWMEP. A investigação revelou que a atividade suspeita foi detectada entre 12 e 17 de dezembro de 2024. O FWMEP está oferecendo monitoramento de crédito gratuito e proteção contra roubo de identidade aos afetados, com prazo para inscrição até 2 de janeiro de 2026. O grupo Inc, ativo desde julho de 2023, já realizou 128 ataques confirmados, afetando diversos setores, incluindo educação e saúde. O aumento de ataques de ransomware em instituições educacionais nos EUA, com 83 incidentes registrados em 2024, destaca a gravidade da situação e a necessidade de medidas de segurança mais robustas.

O cenário de cibersegurança continua a evoluir rapidamente, com novos ataques e vulnerabilidades emergindo semanalmente. Um dos principais destaques é a exploração de uma falha zero-day na Oracle E-Business Suite, identificada como CVE-2025-61882, que permite que atacantes não autenticados comprometam o sistema e realizem roubo de dados. O grupo de ransomware Cl0p está por trás dessa exploração, utilizando múltiplas vulnerabilidades para atacar diversas vítimas.

Além disso, um ator de estado-nação chinês, conhecido como Phantom Taurus, tem direcionado suas operações de espionagem cibernética a entidades governamentais e militares na África, Oriente Médio e Ásia, utilizando ferramentas sofisticadas para comprometer sistemas de alto valor. No Brasil, uma nova variante de malware chamada SORVEPOTEL tem se espalhado via WhatsApp, utilizando mensagens de phishing para infectar usuários e propagar-se rapidamente entre contatos.

Um estudo recente da Veeam revelou que a eficácia do pagamento de resgates em ataques de ransomware está em declínio. Em 2024, apenas 32% das empresas que pagaram resgates conseguiram recuperar seus dados, uma queda significativa em relação aos 54% de 2023. Por outro lado, o número de organizações que conseguiram recuperar suas informações sem pagar o resgate mais que dobrou, passando de 14% para 30%. O aumento da frequência e da gravidade dos ataques de ransomware tem gerado perdas financeiras significativas, com custos de inatividade que podem chegar a £1 milhão por hora. Além disso, a pesquisa destaca que 63% das empresas não conseguem se recuperar de crises devido à falta de infraestrutura alternativa. O governo do Reino Unido também planeja proibir pagamentos de resgates por organizações do setor público e de infraestrutura crítica. A Veeam recomenda que as empresas invistam em sistemas de backup robustos e alternativas de infraestrutura para evitar a necessidade de pagar resgates, uma vez que os atacantes são considerados uma opção não confiável para a recuperação de dados.

A firma de contabilidade Sheheen, Hancock & Godwin confirmou que notificou mais de 34.000 pessoas sobre um vazamento de dados ocorrido em abril de 2025. As informações comprometidas incluem números de Seguro Social, documentos de identificação emitidos pelo governo, dados financeiros, datas de nascimento, informações médicas e de seguro saúde. A maioria das vítimas está localizada na Carolina do Sul, onde a empresa está baseada. O grupo de ransomware Lynx reivindicou a responsabilidade pelo ataque, alegando ter roubado 10 GB de dados e exigindo um pagamento em resgate até 25 de abril de 2025, sob a ameaça de publicar os dados roubados. Até o momento, a Sheheen, Hancock & Godwin não confirmou se pagou o resgate e não ofereceu monitoramento de crédito ou proteção contra roubo de identidade para as vítimas. Este incidente destaca a crescente ameaça de ataques de ransomware, especialmente no setor financeiro, que já registrou 26 ataques confirmados em 2025, comprometendo mais de 204.000 registros. Apesar de uma diminuição no número de ataques em relação ao ano anterior, a situação ainda é preocupante, exigindo atenção contínua das empresas para proteger seus dados e sistemas.

Em setembro de 2025, a Jaguar Land Rover sofreu um ataque cibernético severo que resultou em interrupções significativas em suas operações e produção. O governo do Reino Unido anunciou um empréstimo de £1,5 bilhões (aproximadamente R$ 10,7 bilhões) para ajudar a empresa a retomar suas atividades. O Secretário de Negócios, Peter Kyle, destacou que o ataque não apenas impactou a Jaguar, mas também afetou o setor automotivo britânico, que é vital para a economia local, empregando cerca de 154.000 pessoas. O grupo Scattered Lapsus$ Hunters reivindicou a autoria do ataque, que pode ter sido facilitado por uma vulnerabilidade explorada anteriormente pela gangue HellCat. A Jaguar Land Rover ficou quase um mês sem operar, resultando em perdas estimadas de £50 milhões (cerca de R$ 360 milhões) por semana. As autoridades britânicas já prenderam três membros da gangue envolvida, e a investigação continua para entender melhor as circunstâncias do ataque e suas consequências. O governo pode considerar um novo empréstimo para evitar a falência de fornecedores da Jaguar Land Rover, que são essenciais para a cadeia de produção.

Em 2025, os pesquisadores da Comparitech registraram 5.186 ataques de ransomware, um aumento de 36% em relação ao mesmo período do ano anterior. No terceiro trimestre, houve 1.517 ataques, com um crescimento de 6% em relação ao segundo trimestre. Embora os ataques a entidades governamentais e empresas de saúde tenham diminuído, os negócios, especialmente na indústria de manufatura, foram os mais atingidos, com um aumento de 11% nos ataques. Os grupos de ransomware mais ativos foram Qilin, Akira e INC, com Qilin liderando em ataques confirmados. O setor de saúde registrou 78 ataques, uma queda de 14%, enquanto o setor educacional manteve números semelhantes. O valor médio do resgate foi de $3,57 milhões, com o maior resgate exigido sendo de $15 milhões. Os ataques a fornecedores de tecnologia de terceiros também causaram grandes interrupções, destacando a necessidade de uma vigilância contínua e de medidas de segurança robustas. A crescente complexidade e o impacto dos ataques ressaltam a importância de uma resposta rápida e eficaz por parte das organizações.

O Google Mandiant e o Google Threat Intelligence Group (GTIG) estão monitorando uma nova atividade maliciosa possivelmente ligada ao grupo de cibercriminosos Cl0p, conhecido por suas motivações financeiras. Desde o dia 29 de setembro de 2025, executivos de diversas organizações têm recebido e-mails de extorsão, nos quais os criminosos alegam ter roubado dados sensíveis do Oracle E-Business Suite. Genevieve Stark, do GTIG, afirmou que a investigação ainda está em estágios iniciais e que as alegações do grupo não foram confirmadas. Charles Carmakal, CTO da Mandiant, descreveu a operação como uma “campanha de e-mail de alto volume” originada de contas comprometidas, algumas das quais estão ligadas ao grupo FIN11, que já atuava em ataques de ransomware desde 2020. Os e-mails maliciosos incluem informações de contato que foram verificadas como estando listadas no site de vazamento de dados do Cl0p, sugerindo uma associação com o grupo. Embora o Google não tenha evidências concretas para confirmar essas ligações, a similaridade nas táticas utilizadas em ataques anteriores do Cl0p levanta preocupações. A forma como os atacantes obtêm acesso inicial ainda não está clara, mas acredita-se que eles tenham comprometido e-mails de usuários e abusado da função de redefinição de senha do Oracle E-Business Suite. O grupo Cl0p é conhecido por explorar falhas em várias plataformas, comprometendo milhares de organizações nos últimos anos.

O cenário de cibersegurança se torna cada vez mais complexo, com ataques direcionados a diversas tecnologias, desde carros conectados até servidores em nuvem. Recentemente, observou-se um aumento significativo em tentativas de exploração da vulnerabilidade crítica CVE-2024-3400, que afeta firewalls PAN-OS, permitindo que atacantes não autenticados executem códigos maliciosos. Além disso, uma campanha sofisticada tem como alvo servidores Microsoft SQL mal gerenciados, utilizando o framework XiebroC2 para estabelecer acesso persistente. Por outro lado, a inteligência artificial está sendo utilizada para bloquear ataques de ransomware em tempo real, com o Google Drive implementando detecções automáticas que interrompem a sincronização de arquivos durante tentativas de ataque. Outro ponto crítico é a atuação do grupo UNC6040, que realiza campanhas de phishing por voz (vishing) para comprometer instâncias do Salesforce, manipulando usuários para autorizar aplicativos maliciosos. As implicações para a segurança de dados e conformidade com a LGPD são significativas, exigindo atenção redobrada das organizações.

A Motility Software Solutions, empresa de software para concessionárias de automóveis, notificou 766.670 pessoas sobre um vazamento de dados ocorrido em agosto de 2025. O incidente, atribuído ao grupo de ransomware PEAR, comprometeu informações sensíveis, incluindo números de Seguro Social, endereços de e-mail e números de carteira de motorista. O grupo PEAR reivindicou a responsabilidade pelo ataque, alegando ter roubado 4,3 TB de dados, e publicou imagens de documentos supostamente obtidos durante o ataque. Embora a Motility tenha detectado atividade suspeita em seus servidores em 19 de agosto de 2025 e tomado medidas para isolar o incidente, não está claro se a empresa pagou um resgate ou como os atacantes conseguiram acessar sua rede. A Motility está oferecendo 12 meses de monitoramento de crédito gratuito para as vítimas. O grupo PEAR, que se destacou por focar em roubo de dados sem criptografá-los, já reivindicou outros ataques, aumentando a preocupação com a segurança cibernética em empresas de tecnologia nos EUA.

O jornalista Joe Tidy, correspondente da seção de cibersegurança da BBC, recebeu uma proposta inusitada de um hacker que se identificou como Syn. Ele ofereceu 15% dos lucros de um resgate obtido em um ataque de ransomware à BBC, caso Tidy liberasse o acesso à sua conta corporativa. O caso destaca uma vulnerabilidade pouco discutida: a utilização de agentes internos para facilitar invasões. A comunicação ocorreu via Signal, um aplicativo de mensagens seguras, e foi precedida por um incidente em que um funcionário de TI no Brasil vendeu seu login a cibercriminosos, resultando em uma invasão que custou R$ 500 milhões à empresa. Tidy, que apenas buscava entender o golpe, foi alvo de tentativas de login e notificações de autenticação de dois fatores, uma técnica conhecida como MFA bombing. Após relatar o incidente à equipe de segurança da BBC, ele teve seus acessos revogados. Os hackers, que já atacaram mais de 300 vítimas, tentaram convencer Tidy de que não seriam descobertos, mas acabaram desistindo após dias sem resposta. O caso evidencia a necessidade de discutir as ameaças internas nas organizações, que podem ser tão perigosas quanto as externas.

A Trend Micro identificou uma nova variante do ransomware LockBit, chamada LockBit 5.0, que se mostra significativamente mais perigosa do que suas versões anteriores. Lançado em setembro de 2025, o LockBit 5.0 apresenta uma interface aprimorada e capacidades furtivas inovadoras, além de uma encriptação mais rápida. Os pesquisadores observaram que o ransomware agora possui versões para Windows, Linux e ESXi, o que representa uma escalada crítica nas suas capacidades, especialmente na virtualização VMWare. O novo vírus permite que os atacantes escolham quais pastas encriptar ou ignorar e oferece modos de operação como “invisível” e “verbal”. Além disso, o LockBit 5.0 utiliza técnicas de evasão, como a substituição de APIs, dificultando a detecção pelo Windows. O grupo responsável pelo ransomware também implementou um sistema de suporte via chat para negociação de resgates, complicando ainda mais a recuperação dos dados para as vítimas. A nova versão mantém a geolocalização para evitar ataques em regiões onde a língua russa é detectada, o que demonstra uma evolução nas táticas do grupo criminoso. Com a continuidade das operações do LockBit, mesmo após ações de autoridades em 2024, a ameaça se torna cada vez mais relevante para empresas em todo o mundo, incluindo o Brasil.

O grupo de ransomware Qilin reivindicou a responsabilidade por um ataque cibernético ao Lakehaven Water & Sewer District, em Washington, ocorrido em 3 de setembro de 2025. O ataque resultou em uma interrupção significativa no sistema de pagamento de contas do distrito. Em 25 de setembro, Qilin publicou amostras de documentos internos supostamente roubados, mas o Lakehaven não confirmou a veracidade da reivindicação. A investigação sobre o incidente está em andamento, e o distrito informou que não haverá interrupções nos serviços de água e esgoto, apesar das dificuldades no processamento de pagamentos. Qilin, que opera um modelo de ransomware como serviço, já atacou 134 organizações, incluindo 28 entidades governamentais em 2025. Os ataques de ransomware a serviços públicos nos EUA têm se intensificado, com 63 incidentes confirmados até agora neste ano. O impacto desses ataques pode incluir roubo de dados e paralisação de sistemas, colocando em risco a segurança dos clientes e a continuidade dos serviços. O Lakehaven atende cerca de 112.000 pessoas na região.

O GoAnywhere MFT, uma solução popular de transferência de arquivos gerenciada, apresenta uma vulnerabilidade crítica, identificada como CVE-2025-10035, que permite a injeção de comandos através do servlet de licença. Essa falha foi classificada com a severidade máxima de 10/10 e está sendo explorada ativamente por atacantes, conforme evidências credíveis encontradas pelos pesquisadores da WatchTowr Labs. A exploração da vulnerabilidade começou antes da divulgação pública, com registros de ataques datando de 10 de setembro de 2025, oito dias antes do aviso oficial da Fortra, empresa responsável pelo GoAnywhere. Para mitigar os riscos, os usuários são aconselhados a atualizar para a versão corrigida mais recente (7.8.4) ou a versão de Sustentação (7.6.3). Aqueles que não puderem aplicar o patch devem isolar o sistema do GoAnywhere da internet pública. A falha é especialmente preocupante, pois no início de 2023, um ataque semelhante resultou no roubo de dados de várias organizações, com o grupo de ransomware Cl0p reivindicando a responsabilidade. Portanto, a urgência em aplicar as correções é crítica para evitar possíveis brechas de segurança e vazamentos de dados.

O ransomware Akira está explorando a vulnerabilidade CVE-2024-40766 para acessar dispositivos VPN SSL da SonicWall, mesmo em contas que utilizam autenticação multifator (MFA). Pesquisadores de segurança, como os da Arctic Wolf Labs, relataram um aumento nos logins maliciosos em instâncias da SonicWall SSL VPN, sugerindo que os atacantes conseguiram comprometer as sementes de senhas de uso único (OTP), permitindo que contornassem as proteções de MFA. Apesar de a SonicWall ter lançado patches e recomendado a redefinição de credenciais, os ataques continuam a ocorrer. O Google identificou um grupo de ameaças, denominado UNC6148, que está utilizando credenciais e sementes de OTP roubadas em campanhas de ataque direcionadas a dispositivos SonicWall SMA 100, que estão fora de suporte. Isso levanta preocupações significativas sobre a eficácia das medidas de segurança implementadas, uma vez que os atacantes estão conseguindo autenticar-se em contas protegidas por MFA. A situação destaca a necessidade de vigilância contínua e de ações proativas para proteger as infraestruturas de TI contra essas ameaças emergentes.

A KNP Logistics, uma empresa britânica com 158 anos de história, faliu em junho de 2025 após ser vítima de um ataque de ransomware. O grupo Akira conseguiu acessar o sistema da empresa através de uma senha fraca de um funcionário que não utilizava autenticação em dois fatores. Os hackers apagaram todos os backups e sistemas de recuperação, exigindo um resgate de £5 milhões (cerca de R$ 35,6 milhões) para restaurar os dados. A KNP, que operava 500 caminhões e empregava 700 pessoas, não tinha recursos para pagar o resgate e, em poucas semanas, encerrou suas atividades, deixando os funcionários desempregados. Este incidente destaca a vulnerabilidade das empresas, mesmo as mais estabelecidas, a ataques cibernéticos, e a importância de implementar medidas de segurança robustas, como senhas fortes e autenticação multifatorial. Além disso, a falência da KNP Logistics ilustra o impacto devastador que um ataque cibernético pode ter não apenas na saúde financeira de uma empresa, mas também na comunidade que depende de seus serviços.

Um estudo da empresa de cibersegurança Resecurity revelou evidências de colaboração entre três grupos de cibercrime de língua inglesa: LAPSUS$, Scattered Spider e ShinyHunters. Esses grupos formam um ecossistema de crime cibernético adaptável, que tem como alvo corporações da Fortune 100 e agências governamentais entre 2023 e 2025. Em agosto de 2025, eles uniram forças em um canal do Telegram para coordenar ameaças e oferecer um novo serviço de ransomware chamado ‘shinysp1d3r’. A pesquisa indica que Scattered Spider fornece acesso inicial aos alvos, enquanto LAPSUS$ participa de campanhas coordenadas, incluindo ataques a ambientes da Salesforce e Snowflake. Os ataques recentes demonstraram táticas semelhantes entre os grupos, como engenharia social avançada e técnicas de SIM swapping. Entre as vítimas estão grandes companhias aéreas e marcas de luxo, com impactos financeiros significativos. Além disso, há preocupações sobre a violação de sistemas de aplicação da lei, o que representa uma escalada nas ações contra os grupos. Apesar de anunciarem sua ‘aposentadoria’, a Resecurity acredita que eles continuam a operar de forma discreta, exigindo atenção contínua das empresas em relação a essas ameaças emergentes.

O grupo de ameaças persistentes avançadas (APT) russo conhecido como COLDRIVER, também chamado de Callisto, Star Blizzard e UNC4057, está por trás de uma nova onda de ataques do tipo ClickFix, que visa entregar duas novas famílias de malware, BAITSWITCH e SIMPLEFIX. Detectada pelo Zscaler ThreatLabz, a campanha multiestágio utiliza BAITSWITCH como um downloader que, por sua vez, instala o backdoor PowerShell SIMPLEFIX. Os ataques têm como alvo uma variedade de setores, especialmente organizações não governamentais e defensores dos direitos humanos, refletindo a estratégia do grupo de focar em membros da sociedade civil conectados à Rússia. A técnica ClickFix, que envolve enganar usuários para executar comandos maliciosos sob a aparência de completar verificações CAPTCHA, continua a ser uma via de infecção eficaz. Além disso, a Kaspersky relatou uma nova campanha de phishing focada em empresas russas, realizada pelo grupo BO Team, que utiliza arquivos RAR protegidos por senha para distribuir backdoors. Outro grupo, Bearlyfy, tem se destacado por ataques de ransomware, inicialmente visando pequenas empresas antes de escalar para alvos maiores. Esses desenvolvimentos ressaltam a crescente sofisticação e a diversidade das ameaças cibernéticas direcionadas à Rússia e seus aliados.

A nova versão 5.0 do ransomware LockBit representa um avanço significativo em suas operações de ransomware como serviço (RaaS). Pela primeira vez, o LockBit oferece binários totalmente suportados para Windows, diversas distribuições Linux e hipervisores VMware ESXi, permitindo que atacantes comprometam simultaneamente endpoints, servidores e hosts de virtualização. Essa capacidade de ataque multiplataforma reduz drasticamente o tempo de impacto, afetando tanto as camadas de produção quanto de virtualização. Após a desarticulação da infraestrutura do LockBit em fevereiro de 2024, seus afiliados rapidamente migraram para novos canais de comando e controle, demonstrando resiliência e inovação. A versão 5.0 introduz técnicas avançadas de evasão e criptografia, como execução em memória e rotinas de criptografia paralela, dificultando a resposta a incidentes e a recuperação baseada em backups. Para se proteger contra essa ameaça, as organizações devem adotar uma estratégia de defesa em profundidade, que inclua segmentação de rede, controles de acesso, proteção de endpoints e servidores, segurança de hipervisores e rigor na recuperação de dados.

Na última quarta-feira (25), a Agência Nacional de Crimes do Reino Unido (NCA) prendeu um homem de aproximadamente 40 anos, suspeito de estar envolvido na invasão aos sistemas da Collins Aerospace, que ocorreu na semana anterior. O ataque, identificado como ransomware, causou o cancelamento e atraso de voos em diversos aeroportos europeus, incluindo os de Bruxelas, Berlim, Cork, Dublin e Heathrow. O software MUSE, utilizado para unificar check-in e marcação de bagagens, foi diretamente afetado, resultando em perturbações significativas nas operações aéreas. O delegado-chefe Paul Foster destacou que, embora a prisão seja um passo positivo, a investigação ainda está em estágios iniciais e o cibercrime continua a ser uma ameaça global. Até o momento, não foram encontradas ligações com grupos hackers conhecidos. O homem foi liberado sob fiança condicional enquanto as investigações prosseguem.

As autoridades de Union County, Ohio, confirmaram um incidente de cibersegurança que afetou 45.487 pessoas devido a uma violação de dados ocorrida entre 6 e 18 de maio de 2025. O ataque, classificado como um sequestro de dados (ransomware), resultou no comprometimento de informações sensíveis, incluindo números de Seguro Social, dados de cartões de pagamento, informações financeiras, impressões digitais, dados médicos e números de identificação emitidos pelo estado, como carteiras de motorista e passaportes. Embora o grupo responsável pelo ataque ainda não tenha se manifestado publicamente, a investigação revelou que os criminosos acessaram a rede do condado durante um período de 12 dias. Union County está oferecendo monitoramento de identidade gratuito e um seguro contra roubo de identidade de até US$ 1 milhão para as vítimas afetadas, com prazo para inscrição até 31 de dezembro de 2025. Este incidente é um dos maiores vazamentos de dados de 2025, destacando a crescente ameaça de ataques de ransomware a entidades governamentais nos Estados Unidos, que já registraram 61 ataques confirmados até o momento, comprometendo mais de 431.000 registros.

O Volvo Group anunciou um vazamento de dados resultante de um ataque de ransomware direcionado à Miljödata, seu fornecedor de software de recursos humanos. O ataque, que criptografou sistemas críticos e interrompeu os serviços de gestão de RH, foi detectado em 23 de agosto, quando alertas de tráfego de rede irregular levaram a uma investigação. A análise forense realizada até 2 de setembro confirmou que os atacantes conseguiram exfiltrar arquivos contendo nomes e números de Seguro Social de funcionários da operação norte-americana da Volvo. Embora a infraestrutura de TI da Volvo não tenha sido comprometida, o incidente levanta preocupações sobre a segurança de fornecedores terceirizados. Para mitigar os riscos de roubo de identidade, a Volvo está oferecendo um serviço de proteção à identidade aos funcionários afetados. A empresa também está revisando seus procedimentos de gestão de fornecedores, implementando avaliações de risco mais rigorosas e atualizando contratos para reforçar a segurança. Este incidente destaca a crescente vulnerabilidade de ecossistemas de terceiros a ataques cibernéticos.

O ransomware BQTLOCK, identificado recentemente, opera sob o modelo Ransomware-as-a-Service (RaaS) desde julho de 2025. Associado ao grupo hacktivista pro-Palestina Liwaa Mohammed, o malware utiliza uma metodologia de dupla extorsão, exigindo pagamentos que variam de 13 a 40 XMR (aproximadamente R$ 18.000 a R$ 54.000). Os atacantes impõem um prazo de 48 horas para que as vítimas entrem em contato, com a ameaça de dobrar o valor do resgate se não houver resposta. Após sete dias, as chaves de descriptografia são excluídas permanentemente, e os dados roubados são vendidos em um site controlado pelos criminosos.

O grupo de ransomware Qilin adicionou a cidade de Waxhaw, na Carolina do Norte, ao seu site de vazamento de dados após alegadamente roubar 619 GB de informações. Em um comunicado emitido em 14 de setembro de 2025, a cidade confirmou que sofreu um ataque cibernético na madrugada de 12 de setembro, que causou ‘irregularidades’ nos sistemas, mas garantiu que os serviços de emergência permaneceram operacionais. Embora a cidade tenha reconhecido que os criminosos conseguiram acessar alguns servidores, não houve confirmação de que dados pessoais foram comprometidos. O Qilin, que opera desde agosto de 2022 e já reivindicou 130 ataques confirmados, utiliza e-mails de phishing para disseminar seu ransomware. Este ataque é parte de uma onda crescente de ataques a organizações governamentais nos EUA, com 61 incidentes confirmados em 2025, destacando a vulnerabilidade do setor público a tais ameaças. A cidade de Waxhaw, que abriga cerca de 21.700 habitantes, continua suas operações normais, embora alguns serviços possam ser afetados.

O Madison Elementary School District 38, localizado em Phoenix, Arizona, notificou cerca de 35 mil pessoas sobre uma violação de dados resultante de um ataque de ransomware realizado pelo grupo Interlock em abril de 2025. O ataque, que ocorreu em 7 de abril, foi facilitado por engenharia social, onde um funcionário da escola foi enganado. Embora a escola não tenha especificado quais dados foram comprometidos, a oferta de serviços de proteção de identidade sugere que informações sensíveis, como números de Seguro Social e dados financeiros, podem estar envolvidas. O grupo Interlock, ativo desde outubro de 2024, já realizou 29 ataques confirmados, sendo nove deles em instituições educacionais nos EUA. O ataque à Madison é o segundo maior em termos de registros afetados, com mais de 150 mil registros comprometidos em ataques confirmados no setor educacional dos EUA em 2025. A escola contratou a Arete para investigar a extensão da violação, que custou mais de 21 mil dólares. Até o momento, não está claro se um resgate foi exigido ou pago.

O grupo de ransomware Rhysida reivindicou a responsabilidade por um incidente de segurança cibernética que afetou a Administração de Trânsito de Maryland (MTA) em agosto de 2025. O ataque resultou em acesso não autorizado aos sistemas da MTA, causando a perda de dados e interrupções nos serviços de paratransito. Rhysida exigiu um resgate de 30 bitcoins, equivalente a aproximadamente 3,4 milhões de dólares, e publicou imagens de documentos supostamente roubados, incluindo cartões de Seguro Social e passaportes. A MTA confirmou a perda de dados, mas não divulgou detalhes específicos devido à sensibilidade da investigação em andamento. Até o momento, não está claro quantas pessoas foram afetadas ou se o resgate será pago. Rhysida, que opera um modelo de ransomware como serviço, já realizou 91 ataques confirmados desde sua fundação em 2023, comprometendo cerca de 5,5 milhões de registros. Este incidente destaca a crescente ameaça de ataques de ransomware a entidades governamentais nos Estados Unidos, com 59 ataques confirmados em 2025, afetando mais de 386 mil registros.

As autoridades do Reino Unido prenderam um homem suspeito de ser o responsável por um ataque de ransomware que afetou operações em aeroportos europeus, incluindo o Heathrow, em Londres. A prisão ocorreu na terça-feira, em West Sussex, e o suspeito foi liberado sob fiança enquanto a investigação prossegue. O ataque, que atingiu os sistemas de manuseio de bagagens e check-in da Collins Aerospace, causou atrasos e cancelamentos de voos em aeroportos como Heathrow, Bruxelas, Dublin e Berlim. A empresa, que fornece software para várias companhias aéreas, teve que recorrer a processos manuais, resultando em grandes transtornos para os passageiros. O ataque foi confirmado como um caso de ransomware, onde arquivos críticos foram criptografados e um pagamento em criptomoeda foi exigido para a recuperação. A situação destaca a crescente vulnerabilidade do setor de aviação a ataques cibernéticos, com um aumento de 600% nos ataques contra entidades do setor no último ano. Especialistas pedem uma maior colaboração entre aeroportos, reguladores e fornecedores de software para mitigar riscos futuros.

O caso da KNP Logistics Group, que operou por 158 anos, ilustra a fragilidade da segurança cibernética em empresas, mesmo as mais estabelecidas. Em junho de 2025, a empresa foi alvo do grupo de ransomware Akira, que acessou seus sistemas ao adivinhar uma senha fraca de um funcionário. A falta de autenticação multifatorial (MFA) permitiu que os hackers se infiltrassem facilmente, criptografando dados críticos e destruindo backups, resultando em uma demanda de resgate de £5 milhões. Apesar de ter seguro contra ataques cibernéticos e conformidade com normas de TI, a KNP não conseguiu se recuperar e acabou entrando em administração, resultando na demissão de 700 funcionários. O incidente destaca a importância de políticas de senhas robustas e da implementação de MFA, além de um plano de recuperação de desastres eficaz. Com 19.000 empresas no Reino Unido atacadas por ransomware no último ano, a situação é alarmante e exige atenção urgente das organizações para evitar consequências devastadoras.

Recentemente, a Marks & Spencer (M&S), uma grande varejista do Reino Unido, sofreu um ataque de ransomware que paralisou seus sistemas internos e impediu que funcionários acessassem arquivos críticos. Este incidente destaca as falhas nas estratégias de backup das empresas, que poderiam ter evitado a criptografia ou exclusão de dados se os backups estivessem isolados. A HyperBUNKER, uma startup de Zagreb, propõe uma solução inovadora com seu cofre offline baseado em tecnologia de diodo, que cria um canal unidirecional para backups, mantendo-os desconectados de redes externas. Embora essa abordagem tenha se mostrado eficaz em ambientes militares e nucleares, sua implementação em empresas comuns levanta questões sobre custo e praticidade. A HyperBUNKER afirma que sua tecnologia evita vulnerabilidades associadas a protocolos de rede, mas a eficácia depende de manuseio cuidadoso e locais seguros. Apesar das promessas, a adoção de soluções de armazenamento offline pode ser vista como um ônus financeiro adicional para empresas que já utilizam múltiplas soluções de backup. As empresas devem avaliar se os custos e riscos de roubo físico superam os benefícios de proteção oferecidos por essa nova tecnologia.

O Zloader, também conhecido como Terdot, DELoader ou Silent Night, ressurgiu como um sofisticado trojan de acesso inicial, fornecendo aos operadores de ransomware uma forma discreta de invadir redes corporativas após quase dois anos de inatividade. Originado do código do trojan bancário Zeus em 2015, as novas versões 2.11.6.0 e 2.13.7.0 apresentam camadas de ofuscação aprimoradas e medidas anti-análise robustas, além de protocolos de rede refinados para evitar sistemas de detecção modernos.

Um ciberataque afetou o sistema de check-in e etiquetagem de bagagens em vários aeroportos da Europa, incluindo Alemanha, Irlanda, Países Baixos e Reino Unido, desde a última sexta-feira (19). O ataque comprometeu o software MUSE, da Collins Aerospace, que é amplamente utilizado para gerenciar o check-in de passageiros. Como resultado, muitos voos foram atrasados ou cancelados, e passageiros enfrentaram longas filas e dificuldades no atendimento. No Aeroporto de Bruxelas, por exemplo, o check-in foi realizado manualmente, com informações anotadas à mão. Embora não haja evidências de que dados pessoais dos passageiros tenham sido roubados, as investigações estão em andamento. A Agência de Cibersegurança da União Europeia sugere que o ataque pode ter sido um ransomware, possivelmente ligado a hackers financiados por estados estrangeiros. Profissionais de cibersegurança alertam que a infraestrutura aeroportuária está cada vez mais vulnerável a tais ataques, o que levanta preocupações sobre a segurança de sistemas críticos de transporte. O impacto do incidente se estendeu até a manhã de segunda-feira (22), afetando a operação de diversos aeroportos europeus.

O grupo de ransomware Kawa4096, que surgiu em junho de 2025, rapidamente ganhou notoriedade ao atacar multinacionais em diversos setores, incluindo finanças, educação e serviços, nos Estados Unidos e Japão. Diferente de outros grupos que se concentram em setores específicos, Kawa4096 não demonstra preferência industrial, o que aumenta seu alcance e potencial de dano. O grupo utiliza um modelo de dupla extorsão, onde os dados das vítimas são não apenas criptografados, mas também ameaçados de divulgação caso o resgate não seja pago.

Recentemente, um novo vetor de ataque tem sido explorado por cibercriminosos, que abusam do Oracle Database Scheduler, um serviço que executa tarefas programadas em servidores de banco de dados Oracle. Os atacantes conseguiram obter acesso remoto ao sistema ao tentar logins repetidamente até conseguir autenticar-se com privilégios SYSDBA, permitindo controle total sobre as operações do banco de dados. Após a infiltração, utilizaram a capacidade do scheduler para executar trabalhos externos, como o processo extjobo.exe, que permite a execução remota de comandos com privilégios elevados. Isso possibilitou a execução de scripts de reconhecimento e o download de cargas úteis de sua infraestrutura de comando e controle (C2). Além disso, os atacantes implementaram túneis criptografados usando Ngrok para manter o acesso sem serem detectados, criando arquivos de configuração que expunham portas de desktop remoto. Durante o movimento lateral, eles escalaram privilégios e implantaram ransomware, que criptografou dados da empresa e deixou notas de resgate. Este incidente destaca a vulnerabilidade crítica do Oracle DBS Job Scheduler, especialmente quando combinado com separação de privilégios fraca e monitoramento insuficiente das atividades agendadas. Para mitigar esses riscos, é essencial que as empresas priorizem a segmentação de rede e monitorem atividades suspeitas no scheduler.

No final de agosto de 2025, o escritório do Procurador Geral da Pensilvânia (PA AG) anunciou que sofreu um ataque de ransomware em 11 de agosto, que impediu o acesso de funcionários a e-mails arquivados, arquivos e sistemas internos. O grupo de ransomware Inc reivindicou a responsabilidade pelo ataque em 20 de setembro, alegando ter roubado 5,7 TB de dados, incluindo documentos do escritório. A PA AG não confirmou a reivindicação, mas afirmou que se recusou a pagar o resgate e notificou indivíduos cujas informações podem ter sido comprometidas. O Procurador Geral, Dave Sunday, declarou que a situação testou a equipe, mas que estão comprometidos em proteger os cidadãos da Pensilvânia. O ataque é parte de uma tendência crescente de ataques de ransomware a entidades governamentais, com 58 ataques confirmados em 2025, sendo 11 apenas em agosto. O grupo Inc, ativo desde julho de 2023, utiliza técnicas como phishing direcionado e exploração de vulnerabilidades conhecidas para realizar seus ataques, afetando setores como saúde, educação e governo.

O cenário de cibersegurança está em constante evolução, com atacantes adaptando suas táticas rapidamente, muitas vezes em questão de horas. Um exemplo recente é a vulnerabilidade zero-day CVE-2025-10585 no navegador Chrome, que já está sendo explorada ativamente. Essa falha, relacionada ao motor V8 do JavaScript, é a sexta vulnerabilidade desse tipo descoberta em 2025. Além disso, um novo ferramenta de pen testing chamada Villager, que já alcançou 11.000 downloads, levanta preocupações sobre seu uso indevido por cibercriminosos. Pesquisadores também descobriram uma nova técnica de ataque chamada Phoenix, que explora falhas em módulos de memória DDR5. As prisões de membros do grupo Scattered Spider, envolvidos em ataques de ransomware, destacam a crescente atividade de grupos de hackers. Por fim, a colaboração entre grupos de hackers russos, como Turla e Gamaredon, para atacar a Ucrânia, evidencia a complexidade das ameaças atuais. Este artigo destaca a importância de se manter atualizado sobre as vulnerabilidades e as táticas dos atacantes para proteger as infraestruturas digitais.

O ransomware BlackLock, uma ameaça sofisticada que opera em múltiplas plataformas, foi identificado como um risco significativo para organizações que utilizam sistemas Windows, Linux e VMware ESXi. Desenvolvido na linguagem Go, BlackLock possui um design modular e um modelo de Ransomware-as-a-Service (RaaS), permitindo que seus operadores personalizem ataques de acordo com as necessidades. Desde sua primeira aparição em junho de 2024, o grupo por trás do ransomware, inicialmente chamado El Dorado, rebatizou-se como BlackLock em setembro do mesmo ano. O ransomware é capaz de criptografar arquivos em diferentes sistemas, utilizando rotinas avançadas de criptografia, como o algoritmo ChaCha20, e técnicas de troca de chaves como o ECDH para proteger os metadados. Após a criptografia, o BlackLock apaga cópias de sombra e limpa a lixeira para dificultar a recuperação dos dados. O grupo tem como alvo setores variados, incluindo instituições públicas, educação, transporte e manufatura, com operações registradas nos EUA, Coreia do Sul e Japão. Dada sua capacidade de afetar ambientes críticos, as equipes de segurança devem adotar estratégias rigorosas de backup e proteção de endpoints para mitigar os riscos associados a esse ransomware.

O SpamGPT é uma nova ferramenta de cibercrime que utiliza inteligência artificial para automatizar campanhas de phishing e ransomware, tornando esses ataques mais simples e eficientes. Desenvolvido para criminosos, o SpamGPT oferece uma interface semelhante a painéis de marketing legítimos, permitindo que até mesmo indivíduos com pouca experiência técnica possam criar, agendar e monitorar operações de spam em larga escala. A plataforma integra ferramentas de IA que geram conteúdo convincente para phishing, otimizam linhas de assunto e sugerem melhorias para os golpes, transformando o phishing em um processo acessível a criminosos de baixo nível.

Em um recente encontro em São Paulo, Sandra Joyce, VP de Inteligência de Ameaças do Google, destacou que o Brasil se tornou um alvo atrativo para criminosos digitais devido ao seu ambiente financeiro em crescimento e à digitalização. O relatório M-Trends 2025 revelou que o setor financeiro foi o mais atacado globalmente em 2024, representando 17,4% dos incidentes. Os três principais tipos de ataques identificados no Brasil incluem ransomware, malware e golpes financeiros. O ransomware, que sequestra dados e exige resgates, afeta especialmente hospitais. Já o malware, como infostealers, rouba credenciais e informações pessoais, que são vendidas em mercados clandestinos. Além disso, fraudes financeiras relacionadas a bancos e criptomoedas estão em alta. Sandra enfatizou a importância de práticas de segurança, como autenticação multifator e atualizações rápidas de software, para mitigar riscos. O Google também está intensificando a segurança no Android, bloqueando aplicativos de desenvolvedores não confiáveis, uma medida crucial para proteger os usuários brasileiros, que são frequentemente alvos de aplicativos fraudulentos. A vigilância constante e a adoção de soluções de segurança modernas são essenciais para enfrentar essas ameaças.

Duas prisões foram realizadas no Reino Unido, incluindo a de Thalha Jubair, de 19 anos, acusado de participar de uma operação de ransomware que resultou em mais de 115 milhões de dólares em pagamentos de resgate. O grupo Scattered Spider, do qual Jubair faz parte, é responsável por pelo menos 120 invasões em redes de computadores em todo o mundo, afetando 47 entidades nos Estados Unidos, incluindo empresas Fortune 500 e sistemas de infraestrutura crítica. Os ataques foram caracterizados pelo uso de técnicas de engenharia social para obter acesso não autorizado e criptografar sistemas, exigindo resgates substanciais para restaurar a funcionalidade. As autoridades destacaram a colaboração internacional entre agências de segurança, incluindo o FBI e a National Crime Agency do Reino Unido, que resultou na apreensão de mais de 36 milhões de dólares em criptomoedas ligadas aos ataques. Se condenado, Jubair pode enfrentar até 95 anos de prisão. Este caso ressalta a crescente ameaça de cibercriminosos e a necessidade de uma resposta coordenada entre países para combater o crime cibernético.

Duas prisões foram realizadas no Reino Unido em conexão com um ataque cibernético ao Transport for London (TfL) em agosto de 2024. Thalha Jubair, de 19 anos, e Owen Flowers, de 18, foram detidos pela National Crime Agency (NCA). Flowers já havia sido preso anteriormente, mas liberado sob fiança, e agora enfrenta novas acusações por ataques a empresas de saúde nos EUA. O ataque ao TfL causou grandes prejuízos financeiros e interrupções significativas, afetando a infraestrutura crítica do Reino Unido. Jubair, por sua vez, foi acusado de conspiração para fraudes cibernéticas e lavagem de dinheiro, com envolvimento em mais de 120 intrusões em redes e extorsão de 47 entidades nos EUA, resultando em pagamentos de resgate que totalizam mais de 115 milhões de dólares. As investigações revelaram que os hackers usaram técnicas de engenharia social para obter acesso não autorizado às redes, roubando e criptografando informações. O Departamento de Justiça dos EUA também apresentou queixas contra Jubair, que pode enfrentar até 95 anos de prisão se condenado. Este caso destaca o aumento das ameaças cibernéticas e a necessidade de vigilância constante por parte das autoridades e empresas.

A Medical Associates of Brevard, localizada em Melbourne, Flórida, confirmou um vazamento de dados que afetou 246.711 pessoas. O incidente, ocorrido em janeiro de 2025, expôs informações sensíveis, incluindo números de Seguro Social, dados de tratamento médico, informações de seguro saúde, dados financeiros, datas de nascimento e números de identificação emitidos pelo estado. O grupo de ransomware BianLian reivindicou a responsabilidade pelo ataque, alegando ter roubado dados contábeis, de recursos humanos, registros pessoais e de saúde, além de correspondências por e-mail. Embora a Medical Associates of Brevard tenha notificado os afetados e oferecido 12 meses de monitoramento de crédito gratuito, a empresa não confirmou se pagou um resgate ou como a rede foi comprometida. Este ataque é um dos maiores registrados em 2025, destacando a crescente ameaça de ransomware no setor de saúde, onde 37 ataques foram confirmados desde o início do ano. O incidente levanta preocupações sobre a segurança de dados em instituições de saúde, que frequentemente lidam com informações altamente sensíveis.

A inteligência artificial (IA) está transformando o cenário da cibersegurança, conforme destacado por Sandra Joyce, Vice-Presidente de Inteligência de Ameaças do Google, em um encontro em São Paulo. A IA não é apenas uma ferramenta de defesa, mas também uma arma poderosa nas mãos de atacantes. Grupos criminosos estão utilizando IA para aprimorar suas táticas, resultando em ataques de phishing mais sofisticados, deepfakes convincentes e fraudes por voz (vishing) cada vez mais realistas. O Google, por sua vez, está investindo em IA para fortalecer suas defesas, conseguindo reverter malware em minutos e detectar vulnerabilidades críticas antes que sejam exploradas. A crescente organização dos grupos de ransomware, que agora operam como verdadeiras empresas, também foi um ponto destacado, evidenciando a necessidade de uma resposta robusta por parte das organizações. Sandra enfatizou que a corrida entre atacantes e defensores está apenas começando, e que a IA será fundamental para garantir a segurança digital. Além disso, a IA promete criar novas oportunidades de trabalho no setor de segurança digital, exigindo que os profissionais se familiarizem com essa tecnologia.

O grupo de cibercrime ShinyHunters, conhecido por extorsões de dados em larga escala, ampliou suas táticas em 2025, incluindo phishing por voz habilitado por IA e compromissos na cadeia de suprimentos. Em colaboração com afiliados como Scattered Spider, o grupo está lançando campanhas sofisticadas de vishing contra plataformas de SSO em setores como varejo, aviação e telecomunicações, exfiltrando grandes conjuntos de dados de clientes e preparando o novo ransomware ‘shinysp1d3r’ para atacar ambientes VMware ESXi.

O grupo de ransomware Everest reivindicou a responsabilidade pelo roubo de aproximadamente 600.000 linhas de documentos internos da Bayerische Motoren Werke AG (BMW), um dos maiores incidentes de segurança no setor automotivo em 2025. Os arquivos comprometidos incluem relatórios de auditoria, especificações de engenharia, demonstrações financeiras e comunicações executivas confidenciais. A análise de especialistas em cibersegurança revelou que os atacantes obtiveram acesso inicial por meio de um ponto de acesso remoto (RDP) comprometido, utilizando credenciais fracas ou reutilizadas para se mover lateralmente na rede da BMW. A exfiltração dos dados foi automatizada, com arquivos criptografados enviados para um servidor de comando e controle. A situação é crítica, pois a divulgação dos documentos pode resultar em danos à reputação da BMW, além de riscos regulatórios e de propriedade intelectual. Especialistas recomendam a adoção de uma arquitetura de segurança de confiança zero, autenticação multifatorial rigorosa e avaliações de vulnerabilidade regulares. A BMW ainda não confirmou oficialmente o incidente, enquanto a pressão aumenta para proteger suas informações proprietárias.

Em agosto de 2025, o grupo de ransomware Qilin se destacou como o operador mais ativo, atacando 104 organizações, quase o dobro do segundo colocado, Akira, que atingiu 56 vítimas. Este aumento contínuo de incidentes de ransomware, que totalizou 467 globalmente, reflete uma tendência preocupante no cenário de cibersegurança. Desde abril, Qilin já reivindicou 398 vítimas, representando 18,4% dos ataques registrados. A eficácia do grupo é atribuída a incentivos robustos para afiliados e operações de ransomware como serviço, utilizando técnicas avançadas de evasão, como execução sem arquivos e exploração de credenciais fracas de RDP e VPN.

O Goshen Medical Center, Inc. iniciou a notificação de 456.385 pessoas sobre uma violação de dados resultante de um ataque cibernético que começou em fevereiro de 2025. O grupo de ransomware BianLian reivindicou a responsabilidade pelo ataque em março. A violação foi detectada em 4 de março, quando a instituição percebeu atividades suspeitas em sua rede. A investigação revelou que arquivos contendo informações sensíveis, como nomes, endereços, datas de nascimento, números de Seguro Social, números de carteira de motorista e números de registros médicos, podem ter sido acessados sem autorização desde 15 de fevereiro. Após o ataque, BianLian publicou os dados do centro médico em seu site de vazamento, alegando ter roubado registros pessoais e dados financeiros. Este incidente se torna o terceiro maior ataque de ransomware a uma empresa de saúde nos EUA em 2025, destacando a crescente ameaça de ataques cibernéticos no setor de saúde. O Goshen Medical Center, fundado em 1979, atende cerca de 53.000 pacientes em mais de 35 locais na Carolina do Norte.

A gangue de ransomware Qilin reivindicou a responsabilidade por um ataque ao governo local de Spartanburg County, na Carolina do Sul, que ocorreu em 8 de agosto de 2025. O ataque comprometeu os sistemas do condado e afetou arquivos de integração de pessoal, contendo informações de funcionários. Segundo a Qilin, foram roubados 390 GB de dados, incluindo informações pessoais de residentes, como nomes, endereços, números de telefone e dados bancários. Este é o terceiro incidente de violação de dados do condado desde 2018. Embora a Qilin afirme que a recuperação dos serviços é impossível e que uma grande quantidade de dados foi exposta publicamente, os oficiais do condado não confirmaram a extensão da violação. O condado já enfrentou outras violações, incluindo uma em abril de 2023 que afetou 8.575 pessoas. A Qilin, que opera um modelo de ransomware como serviço, tem como alvo principalmente organizações governamentais e utiliza e-mails de phishing para disseminar seu malware. Este ataque destaca a crescente ameaça de ransomware a entidades governamentais nos EUA e a necessidade de medidas de segurança robustas.

Pesquisadores em cibersegurança descobriram um novo loader de malware chamado CountLoader, utilizado por gangues de ransomware russas para entregar ferramentas de pós-exploração, como Cobalt Strike e AdaptixC2, além de um trojan de acesso remoto conhecido como PureHVNC RAT. O CountLoader aparece em três versões: .NET, PowerShell e JavaScript, e tem sido empregado em campanhas de phishing direcionadas a indivíduos na Ucrânia, utilizando iscas em PDF que se passam pela Polícia Nacional da Ucrânia. A versão em PowerShell já havia sido identificada anteriormente pela Kaspersky, que a associou a iscas relacionadas ao DeepSeek. O malware é capaz de reconfigurar instâncias de navegação para forçar o tráfego através de um proxy controlado pelos atacantes, permitindo a manipulação de dados. A versão JavaScript é a mais robusta, oferecendo múltiplos métodos para download de arquivos e execução de binários maliciosos. CountLoader utiliza a pasta de Música da vítima como um local para armazenar o malware e é suportado por uma infraestrutura de mais de 20 domínios únicos. Recentemente, campanhas que distribuem o PureHVNC RAT têm utilizado táticas de engenharia social, como anúncios de emprego falsos, para enganar as vítimas. A interconexão entre grupos de ransomware russos sugere uma adaptação constante às condições do mercado e uma dependência de relações de confiança entre os operadores.

A SonicWall alertou seus clientes sobre a exposição de arquivos de backup de configuração de firewall em uma violação de segurança que afetou contas do MySonicWall. A empresa detectou atividades suspeitas direcionadas ao serviço de backup em nuvem, resultando no acesso não autorizado a arquivos de preferência de firewall de menos de 5% de seus clientes. Embora as credenciais dentro dos arquivos estivessem criptografadas, informações contidas neles poderiam facilitar a exploração dos firewalls. A SonicWall não registrou vazamentos online desses arquivos e afirmou que o incidente não foi um ataque de ransomware, mas uma série de ataques de força bruta. Os clientes afetados foram orientados a verificar se os backups em nuvem estão habilitados, revisar logs e implementar procedimentos de contenção, como limitar o acesso a serviços e redefinir senhas. Além disso, a SonicWall disponibilizou novos arquivos de preferência que incluem senhas aleatórias para usuários locais e chaves VPN IPSec randomizadas. O alerta surge em um contexto em que grupos de ransomware, como o Akira, continuam a explorar dispositivos SonicWall não corrigidos, aproveitando uma vulnerabilidade crítica conhecida (CVE-2024-40766).

O New York Blood Center Enterprises (NYBCe) confirmou que notificou 193.822 pessoas sobre um vazamento de dados ocorrido em janeiro de 2025. As informações comprometidas incluem números de Seguro Social, identificações emitidas pelo estado, dados bancários, informações de saúde e resultados de testes. Embora o incidente tenha sido investigado, não foi revelado qual grupo criminoso cibernético esteve envolvido ou se um resgate foi pago. O ataque ocorreu entre 20 e 26 de janeiro, quando uma parte não autorizada acessou a rede do NYBCe e obteve cópias de alguns arquivos. A organização, que atua na coleta de sangue e produtos relacionados, está oferecendo monitoramento de crédito e identidade gratuito aos afetados. Este incidente é um dos maiores ataques de ransomware de 2025, que já comprometeu 5,4 milhões de registros em 60 ataques confirmados a instituições de saúde nos EUA. O NYBCe assegura que suas operações continuam normalmente e que medidas de segurança estão sendo aprimoradas para evitar futuros incidentes.