Ransomware

A SmarterTools confirmou que sua rede foi invadida pelo grupo de ransomware Warlock (também conhecido como Storm-2603) ao explorar uma instância do SmarterMail que não estava atualizada. O incidente ocorreu em 29 de janeiro de 2026, quando um servidor de e-mail, que não recebeu as atualizações necessárias, foi comprometido. A empresa tinha cerca de 30 servidores com SmarterMail, mas um deles, configurado por um funcionário, não estava sendo monitorado. Embora a SmarterTools tenha garantido que a violação não afetou seu site ou dados de clientes, cerca de 12 servidores Windows e um centro de dados secundário foram impactados. O grupo Warlock utilizou vulnerabilidades conhecidas, como CVE-2026-23760 e CVE-2026-24423, para obter acesso não autorizado e implantar ransomware. A CISA confirmou que essas falhas estavam sendo ativamente exploradas em ataques de ransomware. A SmarterTools recomenda que os usuários atualizem para a versão mais recente do SmarterMail para garantir proteção adequada.

O relatório Red Report 2026 da Picus Labs revela uma mudança significativa nas estratégias de ataque cibernético, onde o foco não está mais em ataques destrutivos, como ransomware, mas sim em acessos prolongados e invisíveis. Embora o ransomware continue a ser uma ameaça, a pesquisa indica que a criptografia de dados para causar impacto caiu 38% em um ano, com os atacantes agora preferindo a extorsão de dados como modelo principal de monetização. Isso permite que os sistemas permaneçam operacionais enquanto os atacantes exfiltram informações sensíveis e coletam credenciais. O relatório destaca que a extração de credenciais de armazenamentos de senhas é uma das táticas mais comuns, representando quase 25% dos ataques. Além disso, 80% das técnicas mais utilizadas pelos atacantes priorizam a evasão e a persistência, com malware se comportando como parasitas digitais, operando silenciosamente e evitando detecções. A evolução do malware, que agora é capaz de evitar ambientes de análise, reflete uma lógica mais sofisticada dos atacantes, que se adaptam rapidamente às defesas. Apesar das expectativas em torno da inteligência artificial, os dados mostram que as técnicas tradicionais ainda dominam, com pouca inovação significativa no uso de IA para ataques.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova família de ransomware chamada Reynolds, que incorpora um componente de ‘bring your own vulnerable driver’ (BYOVD) para evadir defesas. O BYOVD é uma técnica que explora drivers legítimos, mas vulneráveis, para escalar privilégios e desativar soluções de Detecção e Resposta de Endpoint (EDR), permitindo que atividades maliciosas passem despercebidas. Neste caso, o ransomware inclui um driver vulnerável da NsecSoft, que é utilizado para encerrar processos de programas de segurança como Avast e Symantec. Essa abordagem não é nova, tendo sido observada em ataques anteriores, como o Ryuk em 2020. Além disso, a campanha Reynolds também utilizou um loader suspeito semanas antes do ransomware ser implantado, e um programa de acesso remoto foi instalado um dia após a infecção. A técnica BYOVD é popular entre atacantes devido à sua eficácia e ao uso de arquivos legítimos, que não levantam suspeitas. O aumento da atividade de ransomware, com 4.737 ataques registrados em 2025, destaca a necessidade de vigilância constante e atualização das defesas de segurança.

O início de 2026 foi marcado por um aumento significativo nos ataques de ransomware, totalizando 711 incidentes em janeiro, um número que, embora ligeiramente inferior ao de dezembro de 2025, representa um aumento de 33% em relação ao mesmo mês do ano anterior. Os setores mais afetados incluem finanças e tecnologia, com aumentos de 24% e 12%, respectivamente. O Reino Unido registrou um aumento alarmante de 83% nos ataques, enquanto os Estados Unidos e a Alemanha observaram uma diminuição. Um novo grupo de ransomware, 0APT, reivindicou mais de 80 vítimas, mas muitas de suas alegações não foram verificadas. Entre os ataques confirmados, 34 foram direcionados a empresas, 10 a entidades governamentais e 6 ao setor de saúde. O grupo Qilin liderou em ataques confirmados, seguido por Clop e Akira. O total de dados roubados ultrapassou 104 TB. O setor de saúde viu uma queda de 27% nos ataques, mas o número de ataques confirmados aumentou. A situação exige atenção especial dos profissionais de cibersegurança, especialmente em setores críticos como finanças e saúde.

A SmarterTools confirmou na semana passada que a gangue de ransomware Warlock invadiu sua rede após comprometer um sistema de e-mail, embora não tenha afetado aplicações comerciais ou dados de contas. O incidente ocorreu em 29 de janeiro, quando uma máquina virtual (VM) do SmarterMail, configurada por um funcionário, foi explorada. A empresa tinha cerca de 30 servidores/VMs com SmarterMail, mas uma delas não estava atualizada, permitindo que os atacantes acessassem a rede. Apesar de a SmarterTools garantir que os dados dos clientes não foram diretamente impactados, 12 servidores Windows na rede de escritório da empresa e um centro de dados secundário foram comprometidos. Os atacantes se moveram lateralmente pela rede usando o Active Directory e ferramentas específicas do Windows. A vulnerabilidade explorada foi a CVE-2026-23760, que permite a redefinição de senhas de administrador. Embora os operadores de ransomware tenham tentado criptografar os sistemas, produtos de segurança da Sentinel One impediram a execução da criptografia, e os dados foram restaurados a partir de backups. A empresa recomenda que os administradores atualizem para a versão Build 9511 ou posterior para corrigir as falhas recentes.

Pesquisadores em cibersegurança alertaram sobre uma campanha massiva que tem como alvo ambientes nativos de nuvem, estabelecendo infraestrutura maliciosa para exploração subsequente. Observada em 25 de dezembro de 2025, a atividade, descrita como ‘dirigida por worms’, explorou APIs Docker expostas, clusters Kubernetes, painéis Ray e servidores Redis, além da vulnerabilidade React2Shell (CVE-2025-55182, pontuação CVSS: 10.0). A campanha foi atribuída ao grupo de ameaças conhecido como TeamPCP, ativo desde pelo menos novembro de 2025. O objetivo da operação é construir uma infraestrutura de proxy distribuído e escalável, comprometendo servidores para exfiltração de dados, implantação de ransomware e mineração de criptomoedas. O TeamPCP utiliza técnicas de ataque já conhecidas, aproveitando vulnerabilidades e configurações inadequadas para criar um ecossistema criminoso autossustentável. A exploração bem-sucedida permite a implantação de cargas úteis adicionais, como scripts em shell e Python, que buscam novos alvos. Os ataques são principalmente direcionados a ambientes da Amazon Web Services (AWS) e Microsoft Azure, afetando organizações que operam essa infraestrutura, tornando-as vítimas colaterais. A campanha PCPcat exemplifica um ciclo completo de exploração e monetização, destacando a necessidade de vigilância e mitigação em ambientes de nuvem.

Um ataque de ransomware afetou gravemente os sistemas da BridgePay Network Solutions, um importante provedor de soluções de pagamento nos Estados Unidos. O incidente, que começou na sexta-feira, resultou em uma interrupção generalizada dos serviços de processamento de cartões, impactando comerciantes em todo o país. A BridgePay confirmou que a causa da interrupção foi um ataque cibernético e que não houve comprometimento de dados de cartões de pagamento, pois os arquivos acessados estavam criptografados. A empresa está colaborando com a polícia federal, incluindo o FBI, e equipes externas de forense e recuperação para investigar o incidente. Os comerciantes afetados relataram que estavam limitados a aceitar apenas pagamentos em dinheiro devido à falha nos sistemas de processamento de cartões. A BridgePay ainda não forneceu uma estimativa para a recuperação total, mas enfatizou que o processo está sendo conduzido de maneira segura e responsável. Este incidente destaca a crescente onda de ataques de ransomware direcionados à infraestrutura de pagamento, que pode rapidamente interromper o comércio no mundo real.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração de uma vulnerabilidade crítica, identificada como CVE-2026-24423, no SmarterMail, um servidor de e-mail e plataforma de colaboração autogerida. Essa falha permite a execução remota de código sem autenticação, afetando versões anteriores à build 9511 do software. O SmarterMail, amplamente utilizado por provedores de serviços gerenciados (MSPs) e pequenas e médias empresas, possui cerca de 15 milhões de usuários em 120 países. A vulnerabilidade foi descoberta por pesquisadores de segurança e corrigida pela SmarterTools em 15 de janeiro. A CISA incluiu a CVE-2026-24423 em seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), destacando que a exploração pode permitir que atacantes direcionem a instância do SmarterMail para servidores HTTP maliciosos, resultando na execução de comandos indesejados. Além disso, foi identificada uma outra falha de bypass de autenticação, que permite a redefinição de senhas de administrador sem verificação. A CISA recomenda que as entidades federais apliquem as atualizações de segurança ou interrompam o uso do produto até 26 de fevereiro de 2026.

O segundo Relatório Internacional de Segurança da IA revela que, embora agentes de inteligência artificial ainda não consigam conduzir ciberataques de forma autônoma, eles têm se tornado ferramentas valiosas para cibercriminosos. O estudo, liderado pelo cientista da computação Yoshua Bengio, analisou a evolução da IA em relação ao ano anterior, destacando sua capacidade de automatizar ataques e identificar vulnerabilidades em softwares. Um exemplo alarmante é o uso da ferramenta Claude Code AI por espiões chineses para automatizar ataques em empresas e órgãos governamentais. Os cibercriminosos utilizam a IA para escanear softwares em busca de falhas e para desenvolver códigos maliciosos, como evidenciado pelo uso da HexStrike AI em ataques a dispositivos Citrix NetScaler. Apesar de os agentes de IA ainda precisarem de intervenção humana para realizar ataques complexos, a evolução contínua da tecnologia levanta preocupações sobre a possibilidade de que, em breve, esses sistemas possam operar de forma independente. O relatório sugere que a preparação para essa eventualidade é crucial, especialmente considerando o aumento da automação em ciberataques.

O Brasil enfrenta uma nova ameaça cibernética com o surgimento do ransomware Vect, que começou a operar em janeiro de 2026. Este malware, desenvolvido em C++ e sem reaproveitamento de códigos antigos, é parte do modelo Ransomware-as-a-Service (RaaS), permitindo que hackers aluguem suas capacidades por R$ 1.300 em criptomoeda Monero. O Vect se destaca por sua sofisticação técnica, utilizando o algoritmo de encriptação AEAD ChaCha20-Poly1305, que é significativamente mais rápido que o AES-256-GCM. Ele é capaz de afetar sistemas operacionais como Windows e Linux, além de ambientes de virtualização VMware ESXi.

A Jefferson Blount St. Claire Mental Health Authority, localizada em Birmingham, Alabama, notificou 30.434 pessoas sobre um vazamento de dados ocorrido em novembro de 2025. O incidente comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados de seguros de saúde, datas de nascimento e informações médicas, como registros de pacientes e prescrições. O grupo de ransomware Medusa reivindicou a responsabilidade pelo ataque, exigindo um resgate de $200.000 para não divulgar 168,6 GB de dados roubados. A investigação revelou que o acesso não autorizado ocorreu em 25 de novembro de 2025, mas a JBS não confirmou se pagou o resgate ou como a violação ocorreu. O ataque destaca a vulnerabilidade do setor de saúde a ataques cibernéticos, com mais de 8,9 milhões de pessoas afetadas por incidentes semelhantes em 2025. A falta de medidas de proteção, como monitoramento de crédito para as vítimas, levanta preocupações sobre a segurança dos dados e a privacidade dos pacientes.

O governo italiano anunciou a prevenção de uma série de ciberataques, supostamente de origem russa, que visavam as Olimpíadas de Inverno de 2026, em Milano Cortina. O Ministro das Relações Exteriores, Antonio Tajani, informou que os ataques afetaram cerca de 120 alvos, incluindo escritórios do ministério das Relações Exteriores dos EUA e consulados em várias cidades, além da Universidade La Sapienza, em Roma. A universidade, uma das maiores da Europa, foi alvo de um ataque que parece ter sido um ransomware, levando à suspensão de seus sistemas para garantir a segurança dos dados. O grupo hacker pro-russo NoName057(16) reivindicou a responsabilidade pelos ataques, alegando que eram uma retaliação à política pró-Ucrânia da Itália. Apesar da gravidade da situação, o governo italiano afirmou que não houve interrupções significativas nos serviços. A situação destaca a crescente preocupação com a segurança cibernética em eventos internacionais e a necessidade de vigilância constante contra ameaças cibernéticas, especialmente em contextos de tensões geopolíticas.

A Universidade La Sapienza, em Roma, foi alvo de um ciberataque que afetou seus sistemas de TI, resultando em interrupções operacionais significativas. A instituição, que é a maior da Europa em número de alunos, com mais de 112.500 matriculados, anunciou o incidente em uma postagem nas redes sociais, informando que sua infraestrutura de TI foi comprometida. Como medida de precaução, a universidade decidiu desligar imediatamente seus sistemas de rede para garantir a integridade dos dados. Embora detalhes sobre o tipo de ataque e os responsáveis não tenham sido amplamente divulgados, informações da imprensa italiana sugerem que se trata de um ataque de ransomware, possivelmente realizado por um grupo pro-Rússia chamado Femwar02, que resultou na criptografia de dados. A universidade está colaborando com o CSIRT italiano e especialistas da Agenzia per la Cybersicurezza Nazionale para restaurar os sistemas a partir de backups que, segundo relatos, não foram afetados. Enquanto isso, pontos de informação temporários foram estabelecidos para ajudar alunos e funcionários durante a recuperação. A situação alerta para a necessidade de vigilância contra ataques de phishing, uma vez que dados roubados podem ser vendidos ou divulgados na internet.

Pesquisadores da Sophos identificaram uma nova tática utilizada por operadores de ransomware, que consiste em abusar de máquinas virtuais (VMs) fornecidas pela ISPsystem, uma empresa legítima de gerenciamento de infraestrutura virtual. Durante a investigação de incidentes recentes relacionados ao ransomware ‘WantToCry’, foi observado que os atacantes utilizavam VMs Windows com nomes de host idênticos, indicando o uso de templates padrão do VMmanager da ISPsystem. Essa prática foi encontrada em várias infraestruturas de grupos de ransomware conhecidos, como LockBit e Conti. A ISPsystem, que oferece uma plataforma de gerenciamento de virtualização, não parece estar ciente do uso indevido de seus templates, que reutilizam nomes de host e identificadores de sistema, facilitando a operação de cibercriminosos. A maioria das VMs maliciosas foi hospedada por provedores com má reputação, o que complica a atribuição de responsabilidades e torna a remoção rápida dessas infraestruturas improvável. A Sophos destaca que quatro nomes de host da ISPsystem representam mais de 95% das VMs expostas à internet associadas a atividades cibercriminosas.

A Conpet, operadora nacional de oleodutos da Romênia, sofreu um ciberataque que afetou seus sistemas corporativos e derrubou seu site na terça-feira. A empresa, que gerencia quase 4.000 quilômetros de rede de oleodutos, informou que, apesar da interrupção em sua infraestrutura de TI, suas operações de transporte de petróleo e derivados não foram comprometidas. A Conpet está investigando o incidente com a ajuda das autoridades de cibersegurança do país e notificou a Diretoria de Investigação do Crime Organizado e do Terrorismo (DIICOT), apresentando uma queixa criminal. O grupo de ransomware Qilin reivindicou a responsabilidade pelo ataque, alegando ter roubado cerca de 1TB de documentos e vazado informações internas, incluindo dados financeiros e cópias de passaportes. Este ataque segue uma série de incidentes cibernéticos que afetaram outras entidades romenas, como a Autoridade de Águas da Romênia e o Complexo Energético Oltenia, evidenciando um aumento nas ameaças cibernéticas no país.

Nesta semana, diversos pequenos sinais indicam mudanças nas táticas de ataque cibernético. Pesquisadores observaram intrusões que começam em locais comuns, como fluxos de trabalho de desenvolvedores e ferramentas remotas, tornando a entrada menos visível e o impacto mais escalável. O grupo APT36, alinhado ao Paquistão, expandiu suas operações para o ecossistema de startups da Índia, utilizando e-mails de spear-phishing com arquivos ISO maliciosos para implantar o Crimson RAT, permitindo vigilância e exfiltração de dados. Além disso, o grupo ShadowSyndicate tem utilizado uma infraestrutura compartilhada para realizar uma variedade de atividades maliciosas, enquanto a CISA identificou 59 CVEs exploradas em ataques de ransomware, incluindo vulnerabilidades da Microsoft e Fortinet. Por outro lado, a operação Rublevka Team tem se destacado na drenagem de criptomoedas, gerando mais de $10 milhões através de campanhas de engenharia social. Essas tendências mostram como os ataques estão se tornando mais sofisticados e organizados, exigindo atenção redobrada das empresas.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) confirmou que grupos de ransomware começaram a explorar uma vulnerabilidade crítica no VMware ESXi, identificada como CVE-2025-22225. Esta falha, que permite a escrita arbitrária no kernel e a fuga do ambiente de sandbox, foi corrigida pela Broadcom em março de 2025, juntamente com outras vulnerabilidades. A exploração dessa falha é particularmente preocupante, pois pode ser encadeada com outras vulnerabilidades para comprometer sistemas virtuais. A CISA já havia classificado essa vulnerabilidade como um zero-day e alertou agências federais para que tomassem medidas de segurança até 25 de março de 2025. Relatórios indicam que atores de ameaças que falam chinês estão utilizando essas falhas em ataques sofisticados desde fevereiro de 2024. A CISA também destacou que a exploração de vulnerabilidades do VMware é comum entre grupos de ransomware, devido à ampla utilização desses produtos em sistemas empresariais que armazenam dados sensíveis. O alerta é um chamado à ação para que as organizações revisem suas defesas e apliquem as correções necessárias para evitar possíveis ataques.

O grupo de ransomware Lynx reivindicou um ataque cibernético à Lakelands Public Health, em Ontário, Canadá, que ocorreu em 29 de janeiro de 2026. O incidente afetou sistemas internos, incluindo linhas telefônicas, e a organização confirmou a descoberta de um problema de cibersegurança em 3 de fevereiro. Lynx alegou ter acessado e roubado dados confidenciais da instituição, publicando amostras de documentos em seu site de vazamento de dados. No entanto, a Lakelands Public Health não confirmou a autenticidade das alegações e não forneceu detalhes sobre a natureza dos dados comprometidos, se um resgate foi pago ou como a rede foi invadida. A organização está colaborando com autoridades e especialistas em cibersegurança para mitigar o impacto do ataque. Este incidente é parte de um aumento de 31% nos ataques de ransomware em organizações canadenses em 2025, com Lynx sendo responsável por 49 ataques confirmados desde sua formação em julho de 2024. O ataque à Lakelands Public Health é o primeiro incidente confirmado em 2026, destacando a crescente ameaça de ransomware, especialmente em setores críticos como a saúde pública.

A Neurological Associates of Washington, localizada nos arredores de Seattle, confirmou que notificou 13.500 residentes do estado sobre um vazamento de dados ocorrido em dezembro de 2025. O ataque, reivindicado pelo grupo cibercriminoso DragonForce, comprometeu informações sensíveis, incluindo números de Seguro Social, códigos de deficiência, dados médicos e datas de nascimento. O grupo afirmou ter roubado 1,4 TB de dados da clínica e publicou amostras dos documentos supostamente furtados em seu site de vazamento. Embora a clínica tenha reconhecido DragonForce como o atacante, a autenticidade dos dados não pôde ser verificada. A clínica informou que seu servidor, que armazenava registros médicos de 2019 a 2025, foi atacado e criptografado, resultando no roubo de dados de um de seus computadores. Para mitigar os impactos, a Neurological Associates de Washington está oferecendo 12 meses de monitoramento de crédito gratuito aos afetados. O grupo DragonForce, que opera um modelo de ransomware como serviço, já reivindicou 51 ataques confirmados, afetando mais de 7,6 milhões de registros pessoais, incluindo ataques a provedores de saúde. Os ataques de ransomware em instituições de saúde nos EUA têm se tornado cada vez mais frequentes, comprometendo a segurança e a privacidade dos pacientes.

A América Latina está enfrentando um aumento alarmante de ataques cibernéticos, tornando-se a região mais atacada do mundo, de acordo com dados da Check Point Research. Em 2025, a média de ataques semanais na região foi de 3.065, um crescimento de 26% em relação ao ano anterior. Essa escalada de incidentes fez com que a América Latina ultrapassasse a África em termos de riscos cibernéticos. Entre os tipos de ataques mais comuns, 76% das organizações afetadas relataram incidentes de extorsão por vazamento de dados, além de tentativas de execução remota de códigos maliciosos e violações de autenticação. Os ataques de ransomware, embora representem apenas 5% dos casos, ainda são uma preocupação significativa. Os países mais afetados incluem Paraguai, Peru, Brasil, México e Argentina, com a Jamaica também sendo mencionada devido à sua proximidade geográfica. Especialistas atribuem esse aumento à forte presença digital e às conexões comerciais internacionais na região, que atraem cibercriminosos em busca de vantagens financeiras.

A Alpine Ear, Nose & Throat (AENT) confirmou um vazamento de dados ocorrido em novembro de 2024, afetando 65.648 pessoas. As informações comprometidas incluem números de Seguro Social, dados de cartões de crédito, informações financeiras, médicas e de seguro saúde, além de dados demográficos e datas de nascimento. O grupo de ransomware BianLian reivindicou a responsabilidade pelo ataque, afirmando ter roubado dados financeiros e de pacientes da instituição. Embora a AENT tenha publicado um aviso preliminar em janeiro de 2025, os detalhes sobre o número de vítimas e os tipos de dados só foram revelados agora. A investigação forense da AENT indicou que houve acesso não autorizado aos sistemas. A empresa está oferecendo monitoramento de crédito gratuito para as vítimas até 30 de abril de 2026. O ataque destaca a crescente preocupação com a segurança cibernética no setor de saúde, onde ataques de ransomware têm se tornado cada vez mais comuns, comprometendo dados sensíveis e colocando em risco a privacidade e a segurança dos pacientes.

As Escolas Públicas de Portland, no Maine, confirmaram um vazamento de dados que afetou 12.128 pessoas, revelando informações pessoais sensíveis, como números de Seguro Social, dados financeiros, informações médicas e de seguro de saúde, além de documentos de identificação. O grupo cibercriminoso RansomHub assumiu a responsabilidade pelo ataque, que ocorreu em fevereiro de 2025, e alegou ter roubado 110 GB de dados da rede da escola. Embora a PPS tenha notificado os afetados, não confirmou se pagou um resgate ou como o ataque foi realizado. A investigação revelou que o acesso não autorizado à rede foi resultado de um ataque cibernético, e a PPS está oferecendo monitoramento de crédito gratuito e seguro contra roubo de identidade aos afetados. O RansomHub, ativo desde 2024, é conhecido por atacar instituições educacionais, tendo realizado 767 ataques de ransomware até março de 2025, afetando mais de 3,9 milhões de registros pessoais em escolas e universidades nos EUA.

Recentemente, mais de 200.000 servidores MongoDB foram identificados como mal configurados, com cerca de 3.000 deles expostos sem senhas. Esses servidores estão sendo alvo de ataques de extorsão, onde hackers apagaram dados e deixaram notas de resgate exigindo pagamentos em bitcoin. A pesquisa da Flare revelou que aproximadamente metade dos servidores expostos contém informações operacionais sensíveis. Além disso, muitos desses servidores estão rodando versões desatualizadas do MongoDB, que são vulneráveis a falhas conhecidas e desconhecidas, aumentando o risco de acesso persistente e negação de serviço (DoS). Os administradores de sistemas são aconselhados a verificar suas configurações e garantir que suas instâncias não estejam expostas à internet sem as devidas proteções, como senhas fortes e regras de firewall rigorosas. O cenário é alarmante, pois a maioria dos servidores vulneráveis pode ser facilmente acessada, e a falta de segurança pode resultar em perdas significativas de dados e financeiros.

Um ator de ameaças está atacando instâncias expostas do MongoDB em uma série de extorsões automatizadas, exigindo resgates baixos para restaurar os dados. O foco do atacante são bancos de dados inseguros, resultantes de configurações inadequadas que permitem acesso sem restrições. Até o momento, cerca de 1.400 servidores expostos foram comprometidos, com notas de resgate solicitando aproximadamente $500 em Bitcoin. Pesquisadores da empresa de cibersegurança Flare identificaram mais de 208.500 servidores MongoDB publicamente expostos, dos quais 3.100 podiam ser acessados sem autenticação. Quase metade (45,6%) desses servidores já havia sido comprometida, com dados apagados e notas de resgate deixadas. A análise das notas revelou que a maioria exigia um pagamento de 0.005 BTC em até 48 horas, sem garantias de que os atacantes realmente possuíam os dados ou forneceriam uma chave de descriptografia funcional. Flare recomenda que administradores do MongoDB evitem expor instâncias publicamente, utilizem autenticação forte e atualizem para as versões mais recentes do software. A situação é preocupante, pois muitos servidores expostos ainda estão vulneráveis a falhas conhecidas, o que pode levar a ataques adicionais.

O grupo de ransomware Rhysida reivindicou a responsabilidade por uma violação de dados ocorrida em novembro de 2025 no MACT Health Board, que atende a comunidades indígenas na Califórnia. A violação comprometeu informações pessoais de pacientes, incluindo números de Seguro Social, dados médicos, informações de seguro e resultados de testes. O ataque, que começou em 20 de novembro, causou interrupções significativas nos serviços das clínicas, afetando agendamentos e pedidos de prescrições. Embora os serviços telefônicos tenham sido restaurados em 1º de dezembro, alguns serviços de imagem ainda estavam indisponíveis até janeiro de 2026. Rhysida publicou uma demanda de resgate de oito bitcoins, equivalente a aproximadamente $662,000, e apresentou amostras de documentos que alegam ter sido roubados. O MACT não confirmou a autenticidade dos dados vazados e não divulgou quantos pacientes foram notificados. O grupo Rhysida, ativo desde maio de 2023, já foi responsável por 102 ataques confirmados, incluindo 24 em instituições de saúde, comprometendo mais de 3,83 milhões de registros. Este incidente destaca a crescente ameaça de ransomware no setor de saúde dos EUA, que pode colocar em risco a privacidade e a segurança dos pacientes.

Os fluxos ilegais de criptomoedas alcançaram um recorde de US$ 158 bilhões em 2025, marcando um aumento de 145% em relação aos US$ 64 bilhões de 2024. Segundo a TRM Labs, essa elevação ocorre apesar da participação de atividades ilícitas no volume total de transações em blockchain ter caído de 1,3% para 1,2%. O aumento é atribuído a uma intensificação das atividades relacionadas a sanções, especialmente por redes associadas à Rússia, e ao uso crescente de criptomoedas por estados-nação como Rússia, Irã e Venezuela. Além disso, a TRM Labs registrou perdas de US$ 2,87 bilhões em 150 incidentes de hacking, com o maior deles, um ataque à Bybit, resultando em perdas de US$ 1,46 bilhão. As fraudes também se mantiveram altas, com cerca de US$ 35 bilhões enviados a esquemas fraudulentos, sendo 62% desses relacionados a fraudes de investimento. O cenário de ransomware, embora elevado, mostra uma resistência crescente dos alvos em pagar resgates. A fragmentação do ecossistema de ransomware também aumentou, com 161 cepas ativas identificadas em 2025.

O aumento da sofisticação do cibercrime tem levado agências de segurança a intensificarem suas ações em nível global. Um novo estudo apresenta um conjunto de dados com 418 operações de aplicação da lei entre 2021 e 2025, coletadas pela Orange Cyberdefense. Os dados revelam que a extorsão, incluindo ransomware, é o crime mais abordado, seguido pela instalação de malware e invasões. As prisões representam 29% das ações, com um foco claro na responsabilização individual. Além disso, as operações de desmantelamento de plataformas ilícitas e a aplicação de sanções estão se tornando cada vez mais comuns, refletindo uma abordagem mais abrangente para combater o cibercrime. O estudo também destaca a liderança dos Estados Unidos, que participou de 45% das ações, enquanto países como Alemanha, Reino Unido e França também desempenham papéis significativos. A análise sugere que as motivações por trás do cibercrime estão se tornando mais complexas, misturando interesses financeiros, políticos e ideológicos, o que desafia as distinções tradicionais entre atividades criminosas e ideológicas.

A Marquis Software Solutions, provedora de serviços financeiros do Texas, atribuiu um ataque de ransomware que afetou seus sistemas e impactou dezenas de bancos e cooperativas de crédito nos EUA em agosto de 2025 a uma violação de segurança relatada pela SonicWall um mês depois. A empresa, que fornece ferramentas de análise de dados e marketing digital para mais de 700 instituições financeiras, esclareceu que os atacantes não exploraram uma falha em seu firewall, como se acreditava inicialmente. Em vez disso, eles usaram informações obtidas de arquivos de backup de configuração do firewall, que foram roubados após o acesso não autorizado ao portal online MySonicWall da SonicWall. A Marquis está avaliando suas opções em relação ao provedor de firewall, incluindo a possibilidade de buscar reembolso por despesas relacionadas ao incidente. A SonicWall, que revelou a violação em 17 de setembro, inicialmente informou que apenas 5% de seus clientes de firewall foram afetados, mas posteriormente confirmou que todos os clientes usando seu serviço de backup em nuvem estavam em risco. Investigações indicam que o ataque pode estar ligado a hackers patrocinados pelo estado.

O grupo de cibercriminosos conhecido como TA584 tem intensificado suas operações, utilizando o malware Tsundere Bot em conjunto com o trojan de acesso remoto XWorm para obter acesso a redes, potencialmente levando a ataques de ransomware. Desde 2020, pesquisadores da Proofpoint monitoram as atividades do TA584, que recentemente triplicou o volume de suas campanhas, expandindo seu foco além da América do Norte e Reino Unido para incluir países europeus e Austrália. O Tsundere Bot, documentado pela Kaspersky, é uma plataforma de malware como serviço que permite coleta de informações, exfiltração de dados e movimentação lateral na rede. O ataque começa com e-mails enviados de contas comprometidas, que direcionam os alvos a páginas CAPTCHA e ClickFix, onde são instruídos a executar um comando PowerShell que carrega o malware. O Tsundere Bot se comunica com servidores de comando e controle via WebSockets e possui mecanismos para evitar execução em sistemas de países da CEI. A expectativa é que o TA584 continue a diversificar seus alvos e métodos, aumentando a preocupação com a segurança cibernética em diversas regiões.

O FBI anunciou a apreensão do fórum de cibercrime RAMP, uma plataforma que promovia uma variedade de serviços de hacking e malware, incluindo operações de ransomware. O fórum, que operava tanto na rede Tor quanto na clearnet, exibia um aviso de apreensão que afirmava: ‘O Federal Bureau of Investigation apreendeu o RAMP’. Essa ação foi realizada em colaboração com o Escritório do Procurador dos Estados Unidos para o Sul da Flórida e a Seção de Crimes de Computador e Propriedade Intelectual do Departamento de Justiça. Com a apreensão, as autoridades agora têm acesso a dados significativos dos usuários do fórum, como endereços de e-mail, IPs e mensagens privadas, o que pode levar à identificação e prisão de cibercriminosos que não seguiram práticas adequadas de segurança operacional. O RAMP foi lançado em julho de 2021, após a proibição da promoção de ransomware em outros fóruns de hacking, e rapidamente se tornou um espaço para gangues de ransomware promoverem suas operações. O criador do fórum, conhecido como Orange, já havia sido identificado como Mikhail Matveev, um nacional russo que enfrenta acusações nos Estados Unidos por sua participação em várias operações de ransomware. A apreensão do RAMP representa um golpe significativo para o ecossistema de cibercrime, especialmente em um momento em que as autoridades estão intensificando a luta contra o ransomware.

A Nike está investigando um possível incidente de cibersegurança após o grupo de ransomware World Leaks vazar 1,4 TB de arquivos que supostamente foram roubados da empresa. O grupo afirma ter acessado quase 190 mil arquivos contendo dados corporativos sobre as operações da Nike. A empresa enfatizou a seriedade com que trata a privacidade e a segurança dos dados dos consumidores e está avaliando a situação. Antes da publicação deste artigo, a entrada da Nike no site de vazamentos do World Leaks foi removida, o que pode indicar que a empresa está em negociações ou que um resgate foi pago. No entanto, a Nike ainda não confirmou a alegação de roubo de dados. O World Leaks é considerado uma rebrand do Hunters International, que mudou seu foco de criptografia de arquivos para roubo de dados e extorsão. Este grupo já foi responsável por mais de 280 ataques a diversas organizações, incluindo o Serviço de Marshals dos EUA e a Tata Technologies. O incidente destaca a crescente ameaça de grupos de ransomware e a necessidade de vigilância constante na proteção de dados corporativos.

Em 2025, o setor de saúde enfrentou 445 ataques de ransomware a hospitais e clínicas, mantendo-se estável em relação a 2024. No entanto, os ataques a empresas do setor aumentaram em 25%, totalizando 191 incidentes. Embora os ataques a provedores de saúde tenham diminuído no início do ano, houve um aumento significativo de 50% no quarto trimestre. Os dados indicam que mais de 16,5 milhões de registros foram comprometidos, com uma média de demanda de resgate de $615.000, uma queda de 84% em relação ao ano anterior. Os Estados Unidos lideraram o número de ataques, seguidos por países como Austrália e Reino Unido. Os principais grupos de ransomware identificados foram Qilin, INC e Medusa. O impacto desses ataques é alarmante, especialmente considerando que muitos provedores de saúde dependem de terceiros para serviços essenciais, aumentando a vulnerabilidade. O ataque ao hospital belga AZ Monica em janeiro de 2026 destaca a continuidade dessa ameaça. A situação exige atenção redobrada das equipes de segurança da informação, especialmente no Brasil, onde a conformidade com a LGPD pode ser afetada.

O cenário do ransomware em 2025 passou por uma transformação significativa, deixando de ser um problema puramente tecnológico para se tornar uma campanha de extorsão sistemática. As operações de ransomware evoluíram para táticas que vão além da simples criptografia de arquivos, utilizando dados roubados, responsabilidade legal e pressão psicológica em larga escala. Após a desarticulação de grupos como LockBit e BlackSuit em 2024, o ecossistema de ransomware se fragmentou, tornando a atribuição e a interrupção mais difíceis. As campanhas atuais empregam uma variedade de táticas, incluindo extorsão dupla, onde os atacantes não apenas criptografam dados, mas também ameaçam divulgar informações sensíveis publicamente. Pequenas e médias empresas (PMEs) se tornaram alvos preferenciais, especialmente em regiões com alta regulamentação, onde as consequências legais de vazamentos de dados são severas. A pesquisa revela que mais de 90% das vítimas do ransomware SafePay eram PMEs, indicando uma estratégia deliberada de ataque. Além disso, os atacantes utilizam táticas psicológicas para manipular suas vítimas, como pressão temporal e medo de repercussões legais, tornando a extorsão mais eficaz. As organizações precisam repensar suas estratégias de defesa e resposta a incidentes para lidar com essa nova realidade.

A empresa de vestuário FullBeauty Brands confirmou um vazamento de dados ocorrido entre outubro e novembro de 2025, afetando pelo menos 1.191 pessoas. O incidente, atribuído ao grupo cibercriminoso Everest, resultou na exposição de nomes e números de Seguro Social. O ataque foi reconhecido pelo Everest, que divulgou os dados supostamente roubados após a empresa não atender ao prazo de resgate. A FullBeauty, por sua vez, não confirmou a reivindicação do grupo e não se sabe se um resgate foi pago. A empresa está oferecendo um ano de monitoramento de crédito e proteção contra roubo de identidade aos afetados. O grupo Everest, ativo desde 2020, já atacou diversas organizações, incluindo NASA e o governo brasileiro, e em 2025, reivindicou 15 ataques confirmados. Os ataques de ransomware em varejistas nos EUA aumentaram, com 23 incidentes registrados em 2025, comprometendo mais de 126 mil registros pessoais. O caso da FullBeauty destaca a vulnerabilidade das empresas de varejo a ataques cibernéticos, que podem resultar em perda de dados e interrupção das operações.

Pesquisadores do FortiGuard Labs, da Fortinet, identificaram uma nova campanha de phishing que distribui ransomwares e o trojan de acesso remoto Amnesia RAT, com foco principal na Rússia. Os cibercriminosos utilizam técnicas de engenharia social, disfarçando seus ataques como documentos rotineiros. O que torna essa ameaça particularmente avançada é o uso de serviços de nuvem, como GitHub e Dropbox, para entregar diferentes payloads maliciosos, o que complica a detecção e mitigação. Além disso, os hackers exploram uma ferramenta legítima chamada defendnot para desabilitar o Microsoft Defender, o antivírus padrão do Windows. O ataque envolve o envio de arquivos comprimidos que contêm documentos falsos e um atalho malicioso, que, ao ser executado, baixa o malware via PowerShell. O Amnesia RAT é capaz de roubar informações sensíveis, como dados de navegadores e carteiras de criptomoeda, enquanto o ransomware Hakuna Matata criptografa arquivos e exige resgate. Os pesquisadores alertam que essa campanha demonstra uma nova abordagem, onde os malwares não exploram vulnerabilidades de software, mas abusam de características nativas do Windows, o que torna a defesa ainda mais desafiadora.

A gangue de ransomware ShinyHunters reivindicou a responsabilidade por uma série de ataques de vishing que exploram contas de login único (SSO) em serviços como Google, Microsoft e Okta. Os cibercriminosos utilizam técnicas de engenharia social, se passando por suporte de TI para enganar funcionários e obter credenciais e códigos de autenticação de dois fatores. Uma vez dentro das contas, eles aproveitam o acesso SSO para invadir sistemas corporativos, comprometendo dados sensíveis. Os ataques são facilitados por kits de phishing que imitam sites legítimos em tempo real, adaptando-se às respostas das vítimas durante as chamadas. Embora a Google e a Microsoft tenham negado que seus produtos tenham sido afetados, os hackers afirmam ter utilizado dados de invasões anteriores para contatar funcionários. O uso de SSO, que conecta diversos aplicativos em um único login, aumenta o risco de compromissos em larga escala, especialmente em empresas que utilizam plataformas como Salesforce, Slack e Google Workspace. Este incidente destaca a necessidade urgente de fortalecer a segurança em torno de autenticações e credenciais corporativas.

O grupo de ransomware Rhysida reivindicou a responsabilidade por uma violação de dados ocorrida em novembro de 2025 na Cytek Biosciences, uma fabricante de produtos médicos localizada em Fremont, Califórnia. A violação afetou 331 pessoas, comprometendo informações pessoais sensíveis, incluindo números de Seguro Social, dados de saúde, informações financeiras, e credenciais de contas de funcionários. A Cytek não confirmou se pagou um resgate, e detalhes sobre como a rede foi invadida ainda não foram divulgados. Rhysida, que opera como um serviço de ransomware, já realizou 258 ataques desde sua fundação em 2023, com um histórico de demandas de resgate que podem ultrapassar US$ 3 milhões. Em 2025, ataques a empresas de saúde nos EUA resultaram no comprometimento de mais de 5,86 milhões de registros. A Cytek está oferecendo 24 meses de proteção contra roubo de identidade para as vítimas afetadas. Este incidente destaca a crescente ameaça de ransomware no setor de saúde, que pode comprometer a segurança e a privacidade dos pacientes.

Pesquisadores de segurança das equipes Carbon Black e Symantec relataram detalhes sobre o novo ransomware Osiris, que vem afetando países da Ásia desde novembro de 2025. Este ransomware, que é vendido como ransomware-as-a-service, utiliza um driver malicioso chamado POORTRY, projetado para desativar aplicativos de segurança nas máquinas das vítimas. Diferente de variantes anteriores, o Osiris não possui relação com o ransomware Locky, que surgiu em 2016. Os ataques são classificados como ’living-off-the-land’, extraindo dados através de buckets Wasabi e utilizando ferramentas como Mimikatz, Netscan, Netexec, MeshAgent e Rustdesk. O uso do driver POORTRY é um diferencial, pois ele é especificamente desenhado para elevar privilégios e fechar ferramentas de segurança, em vez de simplesmente entregar programas vulneráveis. No Brasil, o grupo Makop também tem realizado atividades semelhantes, visando sistemas remotos e utilizando drivers maliciosos. Para se proteger, especialistas recomendam monitorar ferramentas de uso duplo, restringir acessos a sistemas remotos, reforçar a autenticação em duas etapas e proibir aplicativos suspeitos.

Uma nova campanha de phishing multifásica foi identificada, visando usuários na Rússia com ransomware e um trojan de acesso remoto chamado Amnesia RAT. O ataque começa com documentos de aparência rotineira que utilizam engenharia social para enganar as vítimas. Esses documentos contêm scripts maliciosos que operam em segundo plano, enquanto distraem o usuário com tarefas falsas. A campanha se destaca pelo uso de serviços de nuvem públicos, como GitHub e Dropbox, para distribuir diferentes tipos de cargas úteis, dificultando a remoção. Além disso, um recurso chamado defendnot é utilizado para desativar o Microsoft Defender, permitindo que o malware opere sem ser detectado. O ataque utiliza arquivos de atalho maliciosos que, ao serem executados, baixam scripts adicionais que estabelecem um ponto de controle no sistema. O Amnesia RAT, uma das cargas finais, é capaz de roubar dados sensíveis e controlar remotamente o sistema, enquanto um ransomware derivado da família Hakuna Matata criptografa arquivos e altera endereços de carteiras de criptomoedas. A campanha evidencia como ataques modernos podem comprometer sistemas sem explorar vulnerabilidades de software, utilizando recursos nativos do Windows para desativar defesas e implantar ferramentas de vigilância e cargas destrutivas.

No final de 2025, a Under Armour, empresa de artigos esportivos, foi alvo de um ataque hacker que expôs dados de aproximadamente 72,2 milhões de contas de clientes. O incidente, supostamente liderado pela gangue de ransomware Everest, ocorreu em novembro e envolveu a tentativa de extorsão, onde os hackers exigiram um pagamento para não vazar os dados. Apesar das alegações da gangue, a Under Armour não confirmou nem desmentiu a invasão, mantendo-se em silêncio sobre o assunto. Os dados vazados incluem informações sensíveis como nomes, e-mails, datas de nascimento, gênero, localização e histórico de compras. A plataforma Have I Been Pwned? adicionou essas contas ao seu banco de dados, permitindo que usuários verifiquem se suas informações foram comprometidas. A situação é preocupante, pois 76% dos e-mails vazados já estavam presentes em brechas anteriores, o que pode aumentar o risco de ataques de phishing. Além disso, um processo judicial foi movido contra a empresa, sugerindo uma possível ação coletiva devido ao incidente.

Uma falha na segurança operacional possibilitou que pesquisadores recuperassem dados que o grupo de ransomware INC havia roubado de uma dúzia de organizações nos Estados Unidos. A investigação, conduzida pela empresa Cyber Centaurs, começou após um cliente detectar atividade de criptografia de ransomware em um servidor SQL. O ransomware, uma variante do RainINC, foi executado a partir do diretório PerfLogs, que normalmente é utilizado pelo Windows, mas que os atacantes começaram a usar para armazenar suas ferramentas. Durante a análise, os pesquisadores encontraram vestígios de uma ferramenta de backup legítima chamada Restic, embora esta não tenha sido utilizada na exfiltração de dados. A análise revelou que o grupo de ransomware poderia estar reutilizando a infraestrutura de backup em várias campanhas, o que levantou a hipótese de que dados roubados de outras organizações poderiam ainda estar disponíveis em forma criptografada. Para validar essa teoria, a equipe desenvolveu um processo de enumeração controlada que confirmou a presença de dados criptografados de 12 organizações diferentes em setores como saúde, manufatura e tecnologia. Após a recuperação, os dados foram descriptografados e as cópias preservadas, enquanto a Cyber Centaurs contatou as autoridades para validar a propriedade e orientar sobre os procedimentos adequados.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova família de ransomware chamada Osiris, que atacou um grande operador de franquias de serviços alimentícios no Sudeste Asiático em novembro de 2025. O ataque utilizou um driver malicioso denominado POORTRY, parte de uma técnica conhecida como ‘bring your own vulnerable driver’ (BYOVD), para desativar softwares de segurança. O Osiris é considerado uma nova cepa de ransomware, sem relação com uma variante anterior do mesmo nome. Os especialistas da Broadcom identificaram indícios que sugerem que os atacantes podem ter vínculos com o ransomware INC. O Osiris utiliza um esquema de criptografia híbrido e chaves únicas para cada arquivo, sendo capaz de interromper serviços e especificar quais pastas e extensões devem ser criptografadas. O ataque também envolveu a exfiltração de dados sensíveis para um bucket de armazenamento em nuvem Wasabi, utilizando ferramentas como Rclone e uma versão personalizada do software de desktop remoto Rustdesk. O uso do driver POORTRY, projetado para elevar privilégios e encerrar ferramentas de segurança, destaca a evolução das táticas de ransomware, que continuam a representar uma ameaça significativa para as empresas. Em 2025, foram registrados 4.737 ataques de ransomware, um aumento em relação ao ano anterior, evidenciando a persistência e a adaptação dos grupos de cibercrime.

O grupo de ransomware NightSpire atacou o hotel Hyatt Place Chelsea, em Nova York, e roubou 48,5 GB de dados sensíveis, que incluem recibos, registros de gastos e informações pessoais de funcionários e parceiros. Os hackers disponibilizaram esses dados em um site da dark web, onde oferecem amostras para potenciais compradores. Especialistas da Cybernews analisaram os arquivos e identificaram que as informações podem ser utilizadas para ataques de phishing, aumentando o risco de novos vazamentos de dados. A Hyatt Hotels Corporation, que opera mais de 1.350 hotéis globalmente, ainda não se pronunciou oficialmente sobre o incidente. A indústria hoteleira é frequentemente alvo de ciberataques, e a falta de informações claras sobre a extensão do ataque levanta preocupações sobre a segurança dos dados de clientes e parceiros. O impacto potencial desse vazamento pode ser significativo, considerando a natureza sensível das informações envolvidas e a possibilidade de acesso a sistemas internos da empresa.

Oleg Evgenievich Nefedov, suposto líder do grupo de ransomware Black Basta, foi incluído no alerta vermelho da Interpol durante uma operação conjunta entre autoridades policiais da Ucrânia e da Alemanha. Nefedov, um cidadão russo de 35 anos, é acusado de liderar um grupo que arrecadou ilegalmente centenas de milhões de dólares em criptomoedas, atacando mais de 500 empresas na América do Norte, Europa e Austrália desde 2022. Os membros do grupo são especializados em invasões técnicas e na extração de senhas, utilizando softwares específicos para realizar ciberataques e extorquir dinheiro das vítimas. Durante a operação, dois ucranianos foram identificados como suspeitos e tiveram suas residências vasculhadas, resultando na apreensão de dispositivos digitais e ativos em criptomoedas. Nefedov já havia sido preso em 2024 na Armênia, mas conseguiu escapar. Atualmente, seu paradeiro é desconhecido, embora se acredite que ele esteja na Rússia. O caso destaca a crescente ameaça de grupos de ransomware e a necessidade de uma resposta internacional coordenada para combater esses crimes cibernéticos.

Recentemente, um ataque de ransomware direcionado a uma empresa do setor financeiro da Fortune 100 utilizou uma nova variante de malware chamada PDFSider. Os atacantes empregaram engenharia social para se passar por trabalhadores de suporte técnico, induzindo funcionários a instalar a ferramenta Quick Assist da Microsoft. A Resecurity, empresa de cibersegurança, identificou o PDFSider como uma backdoor furtiva que permite acesso a longo prazo, com características associadas a técnicas de APT (Advanced Persistent Threat). O malware é distribuído por e-mails de spearphishing que contêm um arquivo ZIP com um executável legítimo e uma versão maliciosa de uma DLL necessária para o funcionamento do software. Ao ser executado, o malware carrega a DLL maliciosa, permitindo a execução de comandos no sistema. O PDFSider opera de forma discreta, utilizando criptografia avançada para proteger suas comunicações e mecanismos de anti-análise para evitar detecções. A Resecurity alerta que o PDFSider é mais próximo de um malware de espionagem do que de um ataque motivado financeiramente, destacando a crescente facilidade com que cibercriminosos exploram vulnerabilidades em softwares devido ao uso de IA na programação.

A gigante de tecnologia Ingram Micro revelou que um ataque de ransomware em julho de 2025 resultou em uma violação de dados que afetou mais de 42.000 indivíduos. A empresa, que é uma das maiores fornecedoras de serviços B2B e distribuidora de tecnologia do mundo, confirmou que documentos contendo informações pessoais, como números de Seguro Social, foram roubados. O incidente foi detectado em 3 de julho de 2025, quando a Ingram Micro iniciou uma investigação após a detecção de atividades não autorizadas em seus sistemas internos. Os arquivos afetados incluíam registros de emprego e de candidatos, contendo dados como nome, informações de contato, data de nascimento e números de identificação emitidos pelo governo. Além da violação de dados, o ataque causou uma grande interrupção nos sistemas internos e no site da empresa, obrigando os funcionários a trabalharem de casa. Embora a Ingram Micro ainda não tenha vinculado o ataque a um grupo específico, a gangue de ransomware SafePay reivindicou a responsabilidade pelo ataque, alegando ter roubado 3,5 TB de documentos. O grupo é conhecido por suas táticas de dupla extorsão, que envolvem roubo de documentos sensíveis antes de criptografar os sistemas das vítimas e ameaçar a divulgação dos arquivos se o resgate não for pago.

Feras Khalil Ahmad Albashiti, um homem de 40 anos da Jordânia, se declarou culpado por atuar como um ‘access broker’, vendendo acesso a redes de computadores de pelo menos 50 empresas. A extradição de Albashiti foi realizada pelo Departamento de Justiça dos EUA, após sua prisão na Geórgia em julho de 2024. Ele foi acusado de fraude envolvendo credenciais de acesso e sua sentença está marcada para 11 de maio de 2026, podendo enfrentar até 10 anos de prisão e multas que podem chegar a $250.000. A investigação começou em maio de 2023, quando agentes de segurança identificaram Albashiti em um fórum online que vendia malware. Ele foi preso após vender acesso a redes de empresas para um agente disfarçado em troca de criptomoedas. O papel de ‘initial access brokers’ é crucial no ecossistema do cibercrime, pois eles fornecem credenciais que permitem que outros criminosos realizem ataques, como roubo de dados e ransomware. Recentemente, a Microsoft alertou sobre um broker que está abusando de ferramentas do Windows para carregar malware, destacando a crescente ameaça que esses intermediários representam.

Autoridades de segurança da Ucrânia e da Alemanha identificaram dois ucranianos suspeitos de atuar no grupo de ransomware Black Basta, vinculado à Rússia. O líder do grupo, Oleg Evgenievich Nefedov, foi incluído na lista dos mais procurados da União Europeia e no Aviso Vermelho da INTERPOL. Os suspeitos eram especializados em hacking técnico e na extração de senhas, permitindo que o grupo invadisse redes corporativas e extorquisse dinheiro por meio de ransomware. As investigações resultaram em buscas nas residências dos acusados, onde foram apreendidos dispositivos digitais e ativos em criptomoedas. O Black Basta, que surgiu em abril de 2022, é responsável por ataques a mais de 500 empresas em várias regiões, acumulando centenas de milhões de dólares em pagamentos ilícitos. Apesar de uma aparente queda após vazamentos de informações internas, a possibilidade de rebranding e reemergência do grupo é alta, com suspeitas de que ex-membros possam ter migrado para outras operações de ransomware, como a CACTUS.

A equipe de pesquisa Unit 42, da Palo Alto Networks, alertou sobre as ameaças cibernéticas que podem afetar as Olimpíadas de Inverno de Milano Cortina, programadas para fevereiro de 2026. Os riscos incluem ataques à infraestrutura digital e Wi-Fi, como os que ocorreram em edições anteriores, além de ameaças de DDoS e ransomware. A concentração de pessoas e dados durante o evento torna-o um alvo atrativo para golpistas, que podem tentar extorquir organizações ou realizar espionagem cibernética. Os principais tipos de atacantes identificados são grupos motivados financeiramente, agências de espionagem estatais e hacktivistas. A interconexão de sistemas pode facilitar o acesso de hackers, que podem comprometer serviços essenciais como energia e transporte, impactando a confiança no evento. Além disso, a utilização de técnicas como phishing e engenharia social, potencializadas por IA e deepfakes, pode aumentar a eficácia dos ataques. A situação exige atenção redobrada das autoridades e organizadores para garantir a segurança do evento.

As autoridades da Ucrânia e da Alemanha confirmaram a identidade do líder do grupo de ransomware Black Basta, Oleg Evgenievich Nefedov, um cidadão russo de 35 anos, que agora figura na lista de procurados da Europol e da Interpol. A operação conjunta resultou na identificação de dois outros suspeitos que atuavam na fase inicial dos ataques, especializados em acessar redes-alvo e preparar o terreno para os ataques de ransomware. Os investigadores relataram que esses indivíduos eram responsáveis por quebrar senhas e obter credenciais de acesso de funcionários de empresas, o que lhes permitia invadir sistemas corporativos internos. Durante as investigações, foram apreendidos dispositivos de armazenamento digital e ativos em criptomoeda. O grupo Black Basta, que surgiu em abril de 2022, é responsável por pelo menos 600 incidentes de ransomware, afetando grandes organizações globalmente, incluindo a Rheinmetall, Hyundai e Ascension. A conexão de Nefedov com o grupo Conti, um sindicato de ransomware que se desfez em 2022, também foi destacada, indicando sua experiência e influência no cenário de cibercrime. As autoridades continuam a investigar e monitorar as atividades do grupo, que representa uma ameaça significativa para a segurança cibernética mundial.