Ransomware

Grupo cibercriminoso Interlock reivindica ataque a governo de Minnesota

O grupo cibercriminoso Interlock assumiu a responsabilidade por um ataque de ransomware que ocorreu em abril de 2026, afetando o governo local do Condado de Winona, em Minnesota. Em 9 de abril, o condado anunciou que havia retirado seus sistemas do ar após detectar a invasão, alertando os residentes sobre possíveis atrasos nos serviços. Interlock afirmou ter roubado mais de 2 milhões de arquivos e publicou amostras de documentos supostamente extraídos. Até o momento, o condado não confirmou a alegação e não se sabe se um resgate foi pago ou como a rede foi comprometida. Este foi o segundo ataque de ransomware ao Condado de Winona em 2026, sendo que em janeiro o condado já havia declarado estado de emergência devido a um ataque anterior. O grupo Interlock, que começou a reivindicar ataques em 2024, já foi responsável por 16 incidentes em 2026, incluindo ataques a instituições educacionais e organizações sem fins lucrativos. Os ataques de ransomware a entidades governamentais nos EUA têm se tornado cada vez mais frequentes, resultando em sérios riscos de perda de dados e interrupção de serviços essenciais.

Ataques de ransomware no setor de saúde aumentam em 2026

No primeiro trimestre de 2026, foram registrados 120 ataques de ransomware em hospitais e provedores de saúde, além de 81 ataques a empresas do setor, como fabricantes de dispositivos médicos e provedores de tecnologia. Embora os ataques a provedores de saúde tenham diminuído em 15% em relação ao trimestre anterior, os ataques a empresas de saúde aumentaram 35%, refletindo a lucratividade contínua para os hackers. Um ataque significativo ocorreu no University of Mississippi Medical Center, que resultou na paralisação de clínicas por um mês. Dados sensíveis de 131.700 pessoas foram comprometidos em um ataque ao Nippon Medical School Musashi Kosugi Hospital no Japão, e 92.000 pessoas foram notificadas sobre um ataque ao Hospital Caribbean Medical Center em Porto Rico. Os grupos de ransomware mais ativos foram Qilin e The Gentlemen, com Qilin liderando em ataques confirmados. O relatório destaca a necessidade urgente de medidas de segurança robustas no setor de saúde, que continua sendo um alvo atrativo para cibercriminosos.

Sandhills Medical Foundation confirma vazamento de dados de 169 mil pessoas

A Sandhills Medical Foundation, uma rede de clínicas médicas na Carolina do Sul, confirmou um vazamento de dados que afetou 169.017 pessoas em maio de 2025. O incidente comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, identificações fiscais, documentos de identidade emitidos pelo governo, dados financeiros, informações de saúde e datas de nascimento. A situação começou em 8 de maio, quando a instituição relatou interrupções em seus sistemas devido a um problema técnico relacionado a um fornecedor. Posteriormente, o grupo de ransomware chamado Inc reivindicou a responsabilidade pelo ataque em 30 de maio. Embora a Sandhills tenha afirmado que não pagou o resgate, não forneceu detalhes sobre como os atacantes conseguiram acessar sua rede. Como medida de apoio, a instituição está oferecendo 12 meses de monitoramento de crédito gratuito e assistência contra fraudes aos afetados. O grupo Inc, que surgiu em julho de 2023, já foi responsável por 361 ataques de ransomware, sendo 22 deles direcionados a provedores de saúde. O ataque à Sandhills é considerado o maior em termos de registros comprometidos até agora.

Grupo cibercriminoso DragonForce assume ataque a agência do governo dos EUA

O grupo cibercriminoso DragonForce reivindicou a responsabilidade por um vazamento de dados ocorrido em março de 2026 na MassDevelopment, a Agência de Financiamento do Desenvolvimento de Massachusetts. O ataque comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, números de carteira de motorista e dados de contas financeiras, totalizando 1,56 TB de dados roubados. Embora a MassDevelopment tenha reconhecido problemas de conectividade em seus sistemas, não confirmou a reivindicação do DragonForce e não ofereceu monitoramento de crédito ou proteção contra roubo de identidade aos afetados. Este é o segundo incidente de segurança envolvendo a agência em dois anos, após um ataque anterior em 2024 que também resultou em vazamento de dados. O DragonForce, que opera um modelo de ransomware como serviço, já reivindicou 158 ataques em 2026, sendo este o primeiro contra uma entidade governamental nos EUA. A situação destaca a crescente ameaça de ataques de ransomware a organizações públicas, com 18 incidentes confirmados em entidades governamentais dos EUA até agora neste ano.

Ransomware VECT 2.0 pode destruir arquivos em vez de criptografá-los

Pesquisadores alertam sobre uma falha crítica no ransomware VECT 2.0, que pode levar à destruição permanente de arquivos maiores ao invés de criptografá-los. O problema reside na forma como o VECT lida com os nonces de criptografia, onde cada novo nonce sobrescreve o anterior, resultando na perda de partes significativas dos arquivos. Após o processamento, apenas 25% do arquivo é recuperável, enquanto os outros 75% se tornam irrecuperáveis. Isso é especialmente preocupante para empresas, pois muitos arquivos valiosos, como discos de máquinas virtuais e bancos de dados, geralmente excedem 128 KB, o que os classifica como ‘grandes arquivos’ para o ransomware. Além disso, os operadores do VECT, que se associaram ao grupo TeamPCP, têm como objetivo explorar vítimas de ataques de cadeia de suprimentos, o que aumenta o potencial de danos. A falha de manuseio de nonces é comum em todas as variantes do VECT, afetando sistemas Windows, Linux e ESXi, o que amplia o alcance do problema. A Check Point destaca que a situação pode ser catastrófica para a maioria das organizações, pois a perda de dados críticos pode ocorrer sem possibilidade de recuperação.

Grupo de ransomware Rhysida ataca STELIA Aerospace na América do Norte

O grupo de ransomware Rhysida atacou a STELIA Aerospace North America Inc., exigindo um resgate de 27 bitcoins (aproximadamente R$ 2,07 milhões) em troca de 10 TB de dados. A empresa, subsidiária da Airbus Atlantic, confirmou a detecção do ataque e ativou seus protocolos de defesa cibernética, isolando os sistemas afetados. A STELIA assegurou que o incidente está restrito ao seu ambiente de TI e não afeta a rede mais ampla da Airbus Atlantic. Documentos, incluindo informações de identidade e planos de benefícios de funcionários, foram divulgados pelo grupo, que também listou clientes importantes como Lockheed Martin e Boeing, sugerindo que dados desses parceiros podem ter sido comprometidos. Desde sua origem em maio de 2023, Rhysida já registrou 266 ataques, com uma média de resgate de aproximadamente R$ 5,4 milhões. Este é o segundo ataque confirmado em 2026, após um incidente com a Elabs AG na Alemanha. O Canadá tem sido um alvo frequente para ataques de ransomware, com 133 alegações em 2026, sendo 26 delas direcionadas a fabricantes, como a STELIA.

Grupo VECT 2.0 Malware que destrói dados em vez de sequestrá-los

O grupo de cibercriminosos conhecido como VECT 2.0 tem gerado preocupações entre especialistas em segurança cibernética, pois seu malware atua mais como um destruidor de dados do que como um ransomware tradicional. De acordo com a análise da Check Point Research, a implementação de criptografia do VECT apresenta uma falha crítica que resulta na destruição permanente de arquivos grandes, impossibilitando a recuperação mesmo para aqueles que pagam o resgate. O malware, que se apresenta como ransomware, destrói arquivos com mais de 131KB, descartando as chaves de descriptografia durante o processo. Isso significa que, mesmo que as vítimas optem por pagar, não há como recuperar os dados. O VECT 2.0, que opera sob um modelo de ransomware como serviço (RaaS), cobra uma taxa de entrada de $250 para novos afiliados, com isenção para candidatos de países da Comunidade dos Estados Independentes (CEI). Além disso, o grupo estabeleceu parcerias com o BreachForums e o TeamPCP, ampliando sua capacidade de ataque. A análise também revela que o VECT utiliza um algoritmo de criptografia fraco e apresenta falhas de design que comprometem sua eficácia. A situação exige que as empresas priorizem a resiliência, com backups offline e procedimentos de recuperação testados, em vez de depender de negociações com os atacantes.

Rodenburg Law Firm confirma vazamento de dados de mais de 81 mil pessoas

A Rodenburg Law Firm, um escritório de advocacia especializado em recuperação de dívidas, notificou 81.307 pessoas sobre um vazamento de dados ocorrido em 26 de agosto de 2025. O incidente comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, datas de nascimento, números de cartões de pagamento, condições médicas e informações de tratamento. O grupo cibercriminoso Akira reivindicou a responsabilidade pelo ataque, afirmando ter roubado 144 GB de dados, incluindo informações de funcionários e arquivos legais confidenciais. A Rodenburg não confirmou a reivindicação do grupo e não se sabe como os atacantes conseguiram acessar seus sistemas. A empresa está oferecendo 12 meses de monitoramento de crédito gratuito aos afetados. Este incidente é considerado o maior vazamento de dados em um escritório de advocacia nos EUA até o momento, com implicações significativas para a segurança de dados e a privacidade dos clientes. O ataque destaca a vulnerabilidade de escritórios de advocacia a ataques de ransomware, que podem comprometer dados sensíveis e causar interrupções operacionais significativas.

Novas Ameaças de Malware e Vulnerabilidades em Cibersegurança

Recentemente, o cenário de cibersegurança tem sido marcado pelo retorno de técnicas antigas e a introdução de novas ameaças. Um malware chamado fast16, desenvolvido antes do famoso Stuxnet, foi identificado como uma ameaça que pode manipular softwares de cálculos de alta precisão, potencialmente causando falhas em sistemas críticos. Além disso, o grupo UNC6692 tem utilizado engenharia social para implantar um malware personalizado chamado Snow, visando roubar dados sensíveis. Outro incidente relevante envolve a descoberta do backdoor FIRESTARTER, que comprometeu um dispositivo da Cisco em uma agência federal dos EUA. No setor energético, o malware Lotus Wiper foi utilizado em ataques na Venezuela, destruindo sistemas essenciais. O grupo de ransomware The Gentlemen tem se destacado por suas operações, enquanto a Bitwarden CLI foi comprometida em um ataque de cadeia de suprimentos, afetando desenvolvedores. A lista de vulnerabilidades críticas, incluindo CVEs relevantes, continua a crescer, exigindo atenção imediata das organizações para mitigar riscos.

CISA adiciona novas vulnerabilidades críticas ao catálogo de ameaças

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu quatro novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando o software SimpleHelp, o servidor Samsung MagicINFO 9 e os roteadores D-Link DIR-823X. As falhas, que apresentam pontuações CVSS variando de 7.2 a 9.9, permitem que atacantes escalem privilégios, executem comandos arbitrários e realizem uploads de arquivos maliciosos. A vulnerabilidade CVE-2024-57726, por exemplo, permite que técnicos com baixos privilégios criem chaves de API com permissões excessivas, enquanto a CVE-2024-57728 possibilita o upload de arquivos em locais não autorizados, potencialmente executando código malicioso. Além disso, a CVE-2024-7399 no Samsung MagicINFO 9 Server e a CVE-2025-29635 nos roteadores D-Link também foram identificadas como vetores de ataque ativos, com ligações a campanhas de ransomware e botnets, como a Mirai. A CISA recomenda que as agências federais apliquem correções ou descontinuem o uso dos dispositivos afetados até 8 de maio de 2026 para mitigar os riscos.

Ataques de ransomware Trigona usam ferramenta personalizada para roubo de dados

Recentemente, ataques de ransomware Trigona têm utilizado uma ferramenta personalizada chamada ‘uploader_client.exe’ para exfiltração de dados em ambientes comprometidos. Essa ferramenta, que se conecta a um servidor com endereço fixo, foi projetada para operar de forma mais eficiente e rápida, permitindo até cinco conexões simultâneas por arquivo e rotacionando conexões TCP após 2GB de tráfego, a fim de evitar a detecção. Além disso, ela permite a exfiltração seletiva de tipos de arquivos, excluindo mídias de baixo valor. Os ataques, que começaram em outubro de 2022, exigem pagamentos em criptomoeda Monero e, apesar de uma interrupção temporária em outubro de 2023 por ativistas cibernéticos ucranianos, os operadores do ransomware parecem ter retomado suas atividades. A Symantec, que analisou esses ataques, observou que os invasores instalam ferramentas como HRSword para desativar produtos de segurança e utilizam programas como AnyDesk para acesso remoto. A empresa também disponibilizou indicadores de comprometimento (IoCs) para auxiliar na detecção e bloqueio dessas ameaças.

Ataques a senhas como a engenharia social compromete a segurança

Um estudo da Forrester estima que cada redefinição de senha custa cerca de $70, o que torna esse processo um dos pedidos mais comuns ao suporte técnico. Muitas organizações implementaram ferramentas de redefinição de senha autônoma (SSPR) para aliviar essa carga, mas ainda assim, as equipes de suporte lidam com um número significativo de solicitações. Os ataques de engenharia social, como o ocorrido com a Marks & Spencer em abril de 2025, demonstram como a redefinição de senha pode ser um alvo fácil para atacantes. Neste caso, os invasores se passaram por um funcionário da empresa e conseguiram redefinir uma senha, obtendo credenciais legítimas e acessando o Active Directory. A partir daí, eles extraíram dados sensíveis e implantaram ransomware, resultando em perdas significativas. Para mitigar esses riscos, recomenda-se a adoção de práticas como a verificação rigorosa da identidade do usuário, o uso de credenciais temporárias seguras e o monitoramento das atividades de redefinição de senha. Ferramentas como o Specops Secure Service Desk podem ajudar a fortalecer esse processo, garantindo que a verificação de identidade não dependa apenas de informações que podem ser facilmente obtidas ou adivinhadas.

Nova operação de ransomware Kyber ataca sistemas Windows e VMware ESXi

Uma nova operação de ransomware chamada Kyber está atacando sistemas Windows e endpoints VMware ESXi, com uma variante utilizando criptografia pós-quântica Kyber1024. A empresa de cibersegurança Rapid7 analisou duas variantes do Kyber em março de 2026, ambas implantadas na mesma rede, sendo uma focada em VMware ESXi e a outra em servidores de arquivos Windows. A variante ESXi é projetada para ambientes VMware, permitindo a criptografia de datastores e a desfiguração de interfaces de gerenciamento. Por outro lado, a variante Windows, escrita em Rust, possui uma funcionalidade experimental para atacar máquinas virtuais Hyper-V. Embora a variante Linux do ransomware afirme usar criptografia pós-quântica, na prática, utiliza ChaCha8 e RSA-4096 para a criptografia de arquivos. Já a variante Windows realmente implementa Kyber1024, mas apenas para proteger chaves simétricas, enquanto a criptografia de dados é realizada pelo AES-CTR. Ambas as variantes visam eliminar caminhos de recuperação de dados, como a exclusão de cópias de sombra e a desativação de serviços de backup. Até o momento, apenas uma vítima foi identificada, um grande contratante de defesa e serviços de TI dos EUA.

Mercado Anônimo Russo RAMP Um Alvo para Cibercriminosos

O RAMP (Russian Anonymous Marketplace) foi um fórum de cibercrime que operou de 2021 até sua apreensão pelo FBI em janeiro de 2026. Com mais de 7.700 usuários registrados, o fórum facilitava a venda de acessos a redes corporativas, malware e dados roubados, destacando-se pela sua acessibilidade tanto na rede Tor quanto na clearnet. O acesso a redes corporativas era o foco principal, com 333 threads oferecendo pontos de entrada, sendo o RDP (Remote Desktop Protocol) o tipo mais comum. Os Estados Unidos foram o principal alvo, representando 40% das listagens. O fórum também promovia programas de ransomware como serviço (RaaS), com divisões de lucros que chegaram a 90% para os afiliados. A atividade no fórum aumentou 348% em um ano, indicando uma resiliência após ações de law enforcement. O aumento das listagens de acesso VPN reflete uma mudança nas táticas de ataque, especialmente após a divulgação de vulnerabilidades críticas em produtos populares como Cisco e Fortinet. O RAMP exemplifica a crescente complexidade e a interconexão do cibercrime global, exigindo atenção redobrada das organizações, especialmente em setores críticos como governo, finanças e tecnologia.

Grupo de ransomware Qilin ataca governo de Rusk County, Wisconsin

O grupo de ransomware Qilin reivindicou a responsabilidade por um ataque cibernético ocorrido em março de 2026 contra o governo local de Rusk County, Wisconsin. Os oficiais do condado relataram um ‘incidente de cibersegurança’ no início de março, que ainda está sob investigação. A confirmação do ataque foi feita pelo Qilin em seu site de vazamento de dados em 21 de abril de 2026, embora o condado não tenha reconhecido oficialmente a reivindicação. O grupo Qilin, baseado na Rússia, é conhecido por suas táticas de phishing e opera um modelo de ransomware como serviço, permitindo que afiliados utilizem seu malware para realizar ataques. Até agora, em 2026, o Qilin já reivindicou 411 ataques, sendo que 27 organizações confirmaram as invasões. O ataque a Rusk County é o quarto contra entidades governamentais neste ano, destacando uma tendência preocupante de ataques a governos nos EUA. Esses incidentes podem resultar em roubo de dados e paralisação de sistemas, obrigando as autoridades a pagar resgates para restaurar o funcionamento normal. O caso de Rusk County se junta a outros ataques recentes, como os ocorridos em Tulsa, Oklahoma, e Seal Beach, Califórnia.

Grupo de ransomware The Gentlemen utiliza malware SystemBC em ataques

O grupo de ransomware conhecido como The Gentlemen, que opera sob o modelo de ransomware-as-a-service (RaaS), está utilizando um malware proxy chamado SystemBC para expandir suas operações. De acordo com a pesquisa da Check Point, o servidor de comando e controle (C2) associado ao SystemBC revelou uma botnet com mais de 1.570 vítimas em todo o mundo. O SystemBC estabelece túneis de rede SOCKS5 e pode baixar e executar malware adicional, complicando a defesa das vítimas. Desde sua aparição em julho de 2025, The Gentlemen já reivindicou mais de 320 vítimas em seu site de vazamento de dados, utilizando um modelo de dupla extorsão. As táticas do grupo incluem o uso de objetos de política de grupo (GPOs) para comprometer domínios inteiros e a desativação de ferramentas de segurança como o Windows Defender. A pesquisa também destaca que a velocidade dos ataques está aumentando, com a maioria das tentativas ocorrendo durante a noite e nos fins de semana, visando maximizar o impacto antes que as defesas possam reagir. O cenário atual de ransomware é caracterizado por uma evolução para operações mais disciplinadas e especializadas, com um aumento significativo nos ataques a pequenas e médias empresas e setores críticos.

Hospital Caribbean Medical Center sofre ataque cibernético em 2026

O Hospital Caribbean Medical Center, localizado em Porto Rico, registrou uma violação de dados que afetou 92.000 registros no portal de violações do Departamento de Saúde e Serviços Humanos dos EUA. O ataque, reivindicado pelo grupo de ransomware The Gentlemen, ocorreu em fevereiro de 2026. Em março, o hospital confirmou que conseguiu conter o ataque, que impactou parte de seus sistemas de informação. A detecção precoce permitiu a implementação de medidas de contenção com o apoio de especialistas em cibersegurança. Embora o hospital tenha notificado as autoridades competentes e esteja colaborando na análise técnica do incidente, não confirmou se um resgate foi exigido ou pago. Este ataque é o quarto confirmado contra provedores de saúde, destacando a crescente ameaça de ransomware no setor. Em 2026, já foram registrados 27 ataques confirmados a instituições de saúde em todo o mundo, com o Hospital Caribbean Medical Center sendo o segundo maior em termos de registros afetados. A situação ressalta a necessidade urgente de medidas de segurança robustas para proteger dados sensíveis na área da saúde.

Incidente de cibersegurança compromete dados de 160 mil pacientes nos EUA

A Southern Illinois Dermatology confirmou que notificou 160.312 pessoas sobre uma violação de dados ocorrida em novembro de 2025, que comprometeu informações sensíveis, incluindo números de Seguro Social, números de telefone, endereços de e-mail e registros médicos. O incidente foi classificado como um ‘incidente de cibersegurança’, onde um grupo criminoso chamado Insomnia reivindicou a responsabilidade pelo ataque, alegando ter acessado e roubado dados dos pacientes. O grupo publicou amostras de documentos supostamente roubados em seu site de vazamento de dados, e notificou a clínica sobre o ataque em 28 de novembro de 2025, possivelmente exigindo um resgate. A clínica não confirmou a reivindicação do grupo e não se sabe como a violação ocorreu, nem se um resgate foi pago. Este ataque é um dos maiores registrados, com 135 ataques de ransomware em provedores de saúde dos EUA em 2025, comprometendo mais de 11,9 milhões de registros pessoais e médicos. A Southern Illinois Dermatology opera 13 clínicas em várias cidades do estado, e a situação destaca a crescente ameaça de ataques cibernéticos no setor de saúde.

Negociador de ransomware se declara culpado por ataques nos EUA

Angelo Martino, um negociador de ransomware de 41 anos, se declarou culpado por realizar ataques de ransomware contra empresas nos Estados Unidos em 2023. Ele colaborou com o grupo criminoso BlackCat, fornecendo informações confidenciais sobre as posições de negociação de cinco vítimas, sem o conhecimento ou consentimento delas. Essas informações incluíam limites de apólices de seguro e estratégias internas, o que resultou em resgates mais altos. Martino foi compensado financeiramente por essas informações. Além disso, ele admitiu ter trabalhado com outros dois respondentes a incidentes para implantar o ransomware BlackCat em várias vítimas entre abril e novembro de 2023, extorquindo uma delas em aproximadamente 1,2 milhão de dólares em Bitcoin. As autoridades confiscam 10 milhões de dólares em ativos de Martino, incluindo criptomoedas e veículos. Ele enfrenta uma pena máxima de 20 anos de prisão e está programado para ser sentenciado em julho de 2026. O caso destaca a traição de confiança em um setor que deveria proteger as vítimas de ataques cibernéticos.

Ex-funcionário da DigitalMint se declara culpado por ataques de ransomware

Angelo Martino, ex-funcionário da DigitalMint, admitiu sua culpa em ataques de ransomware BlackCat (ALPHV) direcionados a empresas dos EUA em 2023. Juntamente com outros dois negociadores de resgates, Martino foi acusado de conspiração para interferir no comércio interestadual por extorsão e danos intencionais a computadores protegidos. Durante seu trabalho como negociador, ele compartilhou informações confidenciais sobre as vítimas com os operadores do ransomware, facilitando a extorsão de valores elevados. Entre abril de 2023 e abril de 2025, Martino e seus cúmplices exigiram pagamentos de resgate, ameaçando vazar dados antes de criptografar os sistemas das vítimas. O impacto financeiro foi significativo, com uma empresa de serviços financeiros pagando mais de 25 milhões de dólares e uma organização sem fins lucrativos mais de 26 milhões. A operação BlackCat, associada a mais de 60 violações, arrecadou pelo menos 300 milhões de dólares em pagamentos de resgate até setembro de 2023. A DigitalMint condenou as ações de seus ex-funcionários e os demitiu assim que as irregularidades foram descobertas.

CISA adiciona novas vulnerabilidades críticas ao catálogo KEV

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu recentemente oito novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), destacando três falhas críticas que afetam o Cisco Catalyst SD-WAN Manager. Entre as vulnerabilidades, a CVE-2025-32975 se destaca com um escore CVSS de 10.0, permitindo que atacantes se façam passar por usuários legítimos sem credenciais válidas. Outras falhas incluem a CVE-2023-27351, que permite a bypass de autenticação no PaperCut NG/MF, e a CVE-2024-27199, que possibilita ações administrativas limitadas no JetBrains TeamCity. A CISA recomenda que as agências do governo federal dos EUA abordem as vulnerabilidades da Cisco até 23 de abril de 2026, e as demais até 4 de maio de 2026. A exploração ativa dessas falhas foi observada, com grupos de ameaças conhecidos, como Lace Tempest, utilizando-as em ataques de ransomware. A situação é crítica, pois as falhas podem comprometer a segurança de sistemas amplamente utilizados, exigindo atenção imediata das organizações para evitar possíveis incidentes de segurança.

Botnet de malware proxy SystemBC atinge mais de 1.570 empresas

Uma botnet de malware proxy chamada SystemBC, composta por mais de 1.570 hosts, foi descoberta após investigações relacionadas a um ataque de ransomware conhecido como Gentlemen. Este ransomware, que surgiu em meados de 2025, utiliza um serviço de ransomware como serviço (RaaS) e é capaz de criptografar sistemas Windows, Linux, NAS e BSD, além de hipervisores ESXi. A Check Point, responsável pela investigação, identificou que a maioria das vítimas está localizada nos Estados Unidos, Reino Unido, Alemanha, Austrália e Romênia, com um foco claro em ambientes corporativos.

Grupo cibercriminoso Blackwater ataca hospital nos EUA

O grupo de cibercriminosos Blackwater reivindicou a responsabilidade por um incidente de cibersegurança ocorrido no Minidoka Memorial Hospital, em Rupert, Idaho, durante o fim de semana da Páscoa de 2026. O ataque, que ocorreu no dia 17 de abril, resultou na interrupção de diversos serviços hospitalares, incluindo a imagem médica. Blackwater afirmou ter roubado 577 GB de dados do hospital e exigiu um pagamento de resgate em uma semana, embora o hospital não tenha confirmado publicamente a reivindicação. Em uma postagem no Facebook, o Minidoka Memorial Hospital reconheceu a ocorrência de um incidente cibernético que afetou temporariamente alguns sistemas, mas garantiu que os serviços de emergência seriam restaurados até a meia-noite do dia 19 de abril. Este ataque é parte de uma tendência crescente de ataques de ransomware a instituições de saúde nos EUA, com nove incidentes confirmados em 2026 até o momento. Blackwater, que surgiu em março de 2026, é um novo grupo de ransomware que combina a criptografia de sistemas com o roubo de dados, exigindo resgates para a devolução das informações. O aumento desses ataques levanta preocupações sobre a segurança cibernética em hospitais e a proteção de dados sensíveis dos pacientes.

Ransomware Payouts King usa QEMU como backdoor reverso

O ransomware Payouts King tem utilizado o emulador QEMU como uma backdoor reversa SSH para executar máquinas virtuais ocultas em sistemas comprometidos, contornando a segurança de endpoints. O QEMU, uma ferramenta de virtualização de código aberto, permite que atacantes executem cargas maliciosas e armazenem arquivos dentro de máquinas virtuais, que não são escaneadas pelas soluções de segurança do host. Pesquisadores da Sophos documentaram duas campanhas, uma delas associada ao grupo de ameaças GOLD ENCOUNTER, que utiliza tarefas agendadas para lançar VMs QEMU disfarçadas. A primeira campanha, STAC4713, foi observada em novembro de 2025, enquanto a segunda, STAC3725, explora a vulnerabilidade CitrixBleed 2 (CVE-2025-5777) para obter acesso inicial. Os atacantes têm usado VPNs expostas e engenharia social para infiltrar-se em redes, além de empregar técnicas de ofuscação e mecanismos anti-análise para evitar detecções. O esquema de criptografia do Payouts King combina AES-256 e RSA-4096, e as notas de resgate direcionam as vítimas a sites de vazamento na dark web. A Sophos recomenda que as organizações verifiquem instalações não autorizadas do QEMU e monitorem atividades suspeitas relacionadas a SSH.

Do phishing ao colapso Por que MSPs devem repensar segurança e recuperação

Os ciberataques estão evoluindo rapidamente, superando as defesas de muitos provedores de serviços gerenciados (MSPs) e empresas. O phishing se destaca como um dos principais motores do cibercrime moderno. Em um webinar programado para 14 de maio de 2026, a BleepingComputer, em parceria com especialistas da Kaseya, discutirá a necessidade de uma abordagem integrada entre segurança e estratégias de recuperação. O evento abordará como ataques impulsionados por inteligência artificial, como phishing e ransomware, estão se tornando mais direcionados e difíceis de detectar, frequentemente burlando controles de segurança tradicionais. Mesmo quando as ameaças são identificadas, atrasos na resposta ou lacunas no planejamento de recuperação podem transformar um incidente contido em uma interrupção em larga escala. A Kaseya, conhecida por suas soluções de segurança e backup focadas em MSPs, enfatiza a importância de combinar prevenção, detecção e recuperação rápida para proteger melhor os ambientes dos clientes e garantir a continuidade dos negócios. O webinar também abordará como os atacantes exploram infraestruturas confiáveis e plataformas SaaS para contornar defesas, destacando a importância de backups e planejamento de recuperação de desastres (BCDR) para a resiliência cibernética.

Museu de Arte de Phoenix confirma violação de dados em 2025

O Museu de Arte de Phoenix, localizado no Arizona, confirmou que notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em dezembro de 2025, que comprometeu nomes e números de Seguro Social. A violação foi identificada em 8 de dezembro de 2025, após o museu detectar acessos não autorizados em seus sistemas. O grupo cibercriminoso Rhysida assumiu a responsabilidade pelo ataque em 12 de fevereiro de 2026, exigindo um resgate de 10 bitcoins, equivalente a aproximadamente 667 mil dólares na época. O museu não confirmou a reivindicação do Rhysida e não se sabe quantas pessoas foram afetadas ou como os atacantes conseguiram acessar a rede. Como resposta, o museu está oferecendo monitoramento de crédito gratuito e seguro contra roubo de identidade aos afetados. O Rhysida, que opera um modelo de ransomware como serviço, foi responsável por 92 ataques em 2025, afetando organizações sem fins lucrativos, incluindo o Welthungerhilfe na Alemanha e o Hudson River Housing em Nova York. Os ataques de ransomware nos EUA aumentaram significativamente, com 708 incidentes confirmados em 2025, comprometendo quase 46 milhões de registros pessoais.

Hospital nos EUA confirma vazamento de dados de 337 mil pessoas

O Cookeville Regional Medical Center (CRMC), localizado no Tennessee, confirmou que notificou 337.917 pessoas sobre um vazamento de dados ocorrido em julho de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados financeiros e informações médicas. O incidente foi resultado de um ataque de ransomware, que interrompeu os sistemas de computação do hospital. O grupo cibercriminoso Rhysida reivindicou a responsabilidade pelo ataque e exigiu um resgate de 10 bitcoins, equivalente a aproximadamente 1,15 milhão de dólares na época. A investigação forense revelou que um terceiro não autorizado acessou a rede do hospital entre 11 e 14 de julho de 2025. Em resposta ao incidente, o CRMC está oferecendo um ano de proteção contra roubo de identidade aos afetados. O ataque destaca a crescente ameaça de ransomware no setor de saúde dos EUA, onde 134 ataques foram confirmados em 2025, comprometendo 11,7 milhões de registros. O CRMC é o oitavo maior vazamento em termos de registros afetados, evidenciando a gravidade da situação e a necessidade de medidas de segurança robustas.

Cibersegurança no Transporte Desafios e Oportunidades para o Setor

O setor de transporte, especialmente o de caminhões, enfrenta crescentes ameaças cibernéticas, uma vez que esses veículos se tornaram redes móveis repletas de sistemas de comunicação e dispositivos conectados. Com a importância vital do transporte para a infraestrutura crítica da América do Norte, os cibercriminosos exploram a pressão sobre as empresas de logística para manter operações ininterruptas, utilizando táticas como ransomware e extorsão. Além disso, técnicas de roubo de carga têm se sofisticado, com criminosos se passando por corretores legítimos para desviar remessas valiosas. Em 2025, perdas de roubo de carga ultrapassaram US$ 725 milhões, evidenciando a gravidade do problema. Apesar dos desafios, práticas de higiene cibernética, como autenticação multifator e treinamento em engenharia social, podem mitigar riscos. No entanto, a maioria das empresas de transporte se classifica como pequenas, dificultando a adoção de padrões de segurança robustos. A National Motor Freight Traffic Association (NMFTA) tem promovido a conscientização e a educação em cibersegurança, organizando conferências e desenvolvendo recursos específicos para o setor. A colaboração entre profissionais de segurança é essencial para enfrentar as ameaças cibernéticas em evolução e proteger a infraestrutura de transporte.

Grupo de ransomware Anubis ataca hospital em Massachusetts

O grupo de ransomware Anubis reivindicou um ataque cibernético contra a Signature Healthcare, resultando em sérias interrupções no Brockton Hospital, em Massachusetts. Em um comunicado de 6 de abril de 2026, a Signature Healthcare informou que um incidente de segurança cibernética levou o hospital a adotar procedimentos de emergência, incluindo a desvio de ambulâncias e o cancelamento de consultas de quimioterapia. Anubis alegou ter roubado 2 TB de dados sensíveis de pacientes e deu um prazo de sete dias para que a instituição pagasse um resgate, caso contrário, os dados seriam divulgados. Embora a Signature Healthcare não tenha confirmado a reivindicação do grupo, a situação destaca a crescente ameaça de ataques de ransomware no setor de saúde, onde a proteção de dados é crucial. Até agora, em 2026, Anubis já reivindicou 27 ataques, com seis deles confirmados em organizações de saúde. Os ataques de ransomware podem comprometer a segurança e a privacidade dos pacientes, além de causar danos financeiros significativos às instituições afetadas.

Fornecedor de software de saúde na Holanda sofre ataque de ransomware

A ChipSoft, uma importante fornecedora de sistemas de Registro Eletrônico de Saúde (EHR) na Holanda, foi alvo de um ataque de ransomware que resultou na desativação de seu site e serviços digitais para pacientes e prestadores de saúde. O incidente foi confirmado por um memorando interno que alertou instituições de saúde sobre ‘possível acesso não autorizado’. A empresa recomendou que os operadores de centros de saúde desconectassem seus sistemas até que a situação fosse normalizada. O Z-CERT, equipe de resposta a emergências de cibersegurança na saúde, está colaborando com a ChipSoft e as instituições afetadas para avaliar o impacto e auxiliar na recuperação. Embora alguns sistemas voltados para pacientes estejam operando normalmente, relatos indicam que vários hospitais, como o Sint Jans Gasthuis e o Flevo Hospital, enfrentam interrupções. Ataques cibernéticos a provedores de TI na saúde podem ser extremamente prejudiciais, dado que essas empresas gerenciam grandes volumes de dados sensíveis. O incidente destaca a vulnerabilidade do setor de saúde a ataques cibernéticos, que podem ter consequências graves para a privacidade e a continuidade dos serviços.

Ataques de ransomware continuam em alta no início de 2026

Nos primeiros três meses de 2026, os ataques de ransomware se mantiveram elevados, com 2.200 incidentes registrados, um aumento de 1,66% em relação ao último trimestre de 2025. Os setores de educação e saúde apresentaram quedas significativas, com reduções de 23% e 14%, respectivamente. No entanto, empresas do setor de saúde que não prestam cuidados diretos, como fabricantes de dispositivos médicos, viram um aumento de 35% nos ataques. Os setores de transporte, finanças, varejo, tecnologia e construção também registraram aumentos nos ataques, com o setor de manufatura permanecendo como um dos mais visados, representando 22% de todos os ataques. O valor médio do resgate subiu para $480.000, com o maior resgate exigido sendo de $3,1 milhões. Os EUA foram o país mais afetado, com 1.041 ataques, seguidos por Canadá e Reino Unido. As gangues de ransomware mais ativas foram Qilin e The Gentlemen, com 353 e 202 ataques, respectivamente. O artigo destaca a necessidade de vigilância contínua e ações proativas para mitigar esses riscos.

Grupo de cibercriminosos Lynx assume ataque a fabricante de implantes

O Procurador Geral de Indiana confirmou que a empresa TriMed notificou 81.203 pessoas sobre uma violação de dados ocorrida em setembro de 2025. O ataque comprometeu informações pessoais, incluindo números de registros médicos e datas de nascimento. O grupo de cibercriminosos Lynx reivindicou a responsabilidade pelo ataque em 2 de outubro de 2025, publicando amostras de documentos supostamente roubados do TriMed em seu site. A TriMed, que fabrica implantes ortopédicos e foi adquirida pela Henry Schein em abril de 2024, não confirmou a reivindicação do Lynx e não se sabe como os atacantes conseguiram acessar os dados. O ataque é parte de uma tendência crescente de ataques de ransomware direcionados a empresas de saúde nos EUA, que, em 2025, registraram 31 ataques confirmados, comprometendo mais de 7,2 milhões de registros. Os ataques de ransomware podem causar interrupções significativas nas operações comerciais, exigindo resgates para restaurar sistemas e proteger dados. A situação destaca a vulnerabilidade do setor de saúde e a necessidade de medidas de segurança robustas para proteger informações sensíveis.

Microsoft alerta sobre hackers da China usando novos zero-days para ransomware

Um novo relatório da Microsoft revelou que o grupo de hackers Storm-1175, baseado na China, está utilizando vulnerabilidades zero-day e n-day para lançar ataques de ransomware em organizações ao redor do mundo, com foco em setores como saúde, educação e finanças. O grupo tem demonstrado uma capacidade alarmante de transitar rapidamente de acesso inicial a compromissos completos de sistemas e exfiltração de dados, muitas vezes em menos de 24 horas. Até agora, foram identificadas mais de 16 vulnerabilidades exploradas, afetando produtos como Microsoft Exchange e Papercut. O Storm-1175 não é um ator patrocinado pelo estado, mas sim um coletivo que busca lucro, e suas operações têm se mostrado eficazes devido à sua velocidade e habilidade em identificar ativos expostos. Os especialistas alertam que a rapidez com que esses ataques são realizados oferece pouco tempo para que as defesas sejam implementadas, aumentando o risco para as organizações visadas.

Grupo Heart South confirma vazamento de dados de 46 mil pessoas

O Heart South Cardiovascular Group, um hospital localizado no Alabama, confirmou que notificou 46.666 pessoas sobre um vazamento de dados ocorrido em novembro de 2025. Este é o segundo incidente de segurança em dois anos para a instituição. Embora o hospital não tenha especificado quais dados foram comprometidos, o grupo cibercriminoso Rhysida reivindicou a responsabilidade pelo ataque, exigindo um resgate de seis bitcoins, equivalente a cerca de 630 mil dólares na época. Para corroborar sua reivindicação, Rhysida publicou amostras de documentos que supostamente foram roubados, incluindo escaneamentos de documentos de identidade e registros médicos. O Heart South, por sua vez, afirmou que não encontrou evidências de acesso não autorizado à sua rede, mas confirmou que uma quantidade limitada de dados foi postada na dark web. A instituição está oferecendo monitoramento de crédito gratuito e restauração de identidade para as vítimas do vazamento. O ataque de novembro de 2025 segue um incidente anterior em maio de 2024, que também resultou na exposição de dados pessoais de mais de 20 mil pessoas. Os ataques de ransomware, como os realizados pelo Rhysida, têm se tornado cada vez mais comuns no setor de saúde, com um número crescente de instituições sendo alvo de extorsões.

Grupo de cibercriminosos da China utiliza vulnerabilidades para ataques rápidos

Um grupo de cibercriminosos baseado na China, conhecido como Storm-1175, tem sido associado ao uso de vulnerabilidades zero-day e N-day para realizar ataques rápidos em sistemas expostos à internet. De acordo com a equipe de Inteligência de Ameaças da Microsoft, esses ataques têm impactado severamente organizações de saúde, educação, serviços profissionais e finanças na Austrália, Reino Unido e Estados Unidos. O grupo utiliza uma combinação de exploits, incluindo o OWASSRF, para obter acesso inicial e, após comprometer os sistemas, rapidamente exfiltra dados e implanta o ransomware Medusa. Desde 2023, Storm-1175 explorou mais de 16 vulnerabilidades conhecidas, algumas das quais foram utilizadas como zero-days antes de serem divulgadas publicamente. As táticas observadas incluem o uso de ferramentas legítimas para movimentação lateral e a modificação de políticas do Windows Firewall para facilitar a entrega de cargas maliciosas. A crescente utilização de ferramentas de gerenciamento remoto (RMM) por esses atacantes levanta preocupações sobre a segurança das infraestruturas de TI, pois permite que o tráfego malicioso se misture ao tráfego legítimo, dificultando a detecção.

Polícia Federal da Alemanha identifica líderes de ransomware GandCrab e REvil

A Polícia Federal da Alemanha (BKA) identificou dois cidadãos russos como líderes das operações de ransomware GandCrab e REvil entre 2019 e 2021. Daniil Maksimovich Shchukin, de 31 anos, e Anatoly Sergeevitsch Kravchuk, de 43 anos, foram apontados como responsáveis por pelo menos 130 casos de extorsão, especificamente direcionados a empresas na Alemanha. Os ataques resultaram em um pagamento total de aproximadamente 2,2 milhões de dólares em resgates, com danos financeiros estimados em mais de 40 milhões de dólares.

Grupo cibercriminoso Storm-1175 utiliza exploits em ataques rápidos

A Microsoft alertou sobre o grupo cibercriminoso Storm-1175, baseado na China, que tem se destacado por ataques rápidos e eficazes utilizando ransomware Medusa. Este grupo é conhecido por explorar vulnerabilidades de dia zero e dia n, conseguindo acesso às redes de suas vítimas em um curto espaço de tempo, frequentemente em menos de 24 horas após a descoberta das falhas. Recentemente, suas ações impactaram severamente setores críticos, como saúde, educação e finanças, em países como Austrália, Reino Unido e Estados Unidos.

Campanha de ciberataques iranianos mira Microsoft 365 em Israel e EAU

Um ator de ameaça vinculado ao Irã está por trás de uma campanha de password spraying direcionada a ambientes Microsoft 365 em Israel e nos Emirados Árabes Unidos (EAU), conforme relatado pela empresa de cibersegurança Check Point. A atividade, que ocorre em três ondas distintas, afetou mais de 300 organizações em Israel e mais de 25 nos EAU, com alvos que incluem entidades governamentais, empresas de tecnologia, transporte e energia. O password spraying é uma técnica de ataque que tenta usar uma única senha comum em múltiplos nomes de usuário, sendo uma abordagem mais eficaz para descobrir credenciais fracas sem acionar defesas de limitação de taxa. Além disso, o grupo de ransomware iraniano Pay2Key também voltou a atacar, visando uma organização de saúde nos EUA, utilizando técnicas avançadas de evasão e execução. A campanha de ransomware, que não resultou em exfiltração de dados, destaca a crescente integração de operações cibernéticas com objetivos políticos por parte do Irã. As organizações são aconselhadas a monitorar logs de acesso, aplicar controles de acesso condicionais e implementar autenticação multifator (MFA) para mitigar esses riscos.

Google Drive implementa proteção contra ataques de ransomware

O Google Drive lançou uma nova atualização de segurança que visa proteger os usuários contra ataques de ransomware, um tipo de malware que sequestra dados e exige resgate para liberá-los. De acordo com informações divulgadas no blog do Google Workspace, a nova ferramenta utiliza inteligência artificial (IA) para detectar softwares maliciosos que tentam criptografar arquivos armazenados na nuvem. Quando um ataque é identificado, a sincronização do Drive é automaticamente pausada, evitando que o malware se espalhe e contamine arquivos legítimos. Embora a restauração de arquivos afetados esteja disponível para todos os usuários, os alertas e a interrupção da sincronização são recursos exclusivos para assinantes dos planos pagos do Workspace Business e Enterprise. A atualização é especialmente relevante, pois o Google afirma que a nova função é capaz de detectar até 14 vezes mais ataques de ransomware em comparação com versões anteriores. Essa melhoria na segurança é crucial, considerando que os ataques de ransomware aumentaram 50% recentemente, embora os valores de resgate tenham caído para níveis históricos.

Grupo cibercriminoso Interlock ataca faculdade nos EUA com ransomware

No último fim de semana, o grupo cibercriminoso Interlock reivindicou um ataque de ransomware ocorrido em março de 2026 contra o Community College of Beaver County (CCBC), na Pensilvânia. Em 9 de março, a instituição anunciou que hackers criptografaram dados e exigiram pagamento de resgate para a recuperação. O ataque afetou o acesso a notas, históricos e informações financeiras, levando ao fechamento do campus até a segunda-feira seguinte e à suspensão das aulas presenciais até 30 de março. O Interlock afirmou ter roubado 780 GB de dados, incluindo informações pessoais e documentos financeiros, que foram posteriormente vazados. Embora a CCBC tenha reconhecido o incidente, não confirmou a reivindicação do grupo nem se pagou o resgate. O ataque é parte de uma tendência crescente de ataques de ransomware em instituições educacionais nos EUA, com sete incidentes confirmados em 2026 até o momento, afetando operações diárias e expondo dados sensíveis. A situação destaca a vulnerabilidade das instituições educacionais a ataques cibernéticos e a necessidade de medidas de segurança robustas.

Polícia Federal da Alemanha identifica líderes do ransomware REvil

O Escritório Federal de Polícia Criminal da Alemanha (BKA) revelou as identidades de dois indivíduos-chave associados ao extinto grupo de ransomware REvil, também conhecido como Sodinokibi. Daniil Maksimovich Shchukin, de 31 anos, e Anatoly Sergeevitsch Kravchuk, de 43 anos, ambos russos, são acusados de liderar uma das maiores operações de ransomware global, que resultou em 130 ataques na Alemanha, com pagamentos de resgate totalizando €1,9 milhão. O grupo, que atacou empresas de renome como JBS e Kaseya, exigia grandes quantias em troca da descriptografia e não divulgação de dados. O BKA destacou que os danos financeiros totais ultrapassaram €35,4 milhões. O REvil, que evoluiu do GandCrab, ficou offline em julho de 2021, mas ressurgiu brevemente antes de encerrar suas operações definitivamente. A Rússia também anunciou a prisão de membros do grupo, indicando um esforço global para combater o cibercrime. Shchukin, que se autodenominava UNKN, afirmou ter estado no negócio de ransomware desde 2007, revelando um passado difícil que contrasta com sua atual riqueza.

Grupo de ransomware Qilin usa técnica BYOVD para desativar segurança

Recentemente, os grupos de ransomware Qilin e Warlock têm utilizado a técnica conhecida como ‘bring your own vulnerable driver’ (BYOVD) para desativar ferramentas de segurança em sistemas comprometidos. A análise realizada pela Cisco Talos revelou que o Qilin emprega um DLL malicioso chamado ‘msimg32.dll’, que inicia uma cadeia de infecção em múltiplas etapas, visando desativar soluções de detecção e resposta em endpoints (EDR). Este DLL é capaz de encerrar mais de 300 drivers de EDR de diversos fornecedores.

Grupo de ransomware Qilin ameaça vazar dados do partido Die Linke

O grupo de ransomware Qilin comprometeu a rede do partido político alemão Die Linke, que é uma organização socialista democrática, e está ameaçando vazar dados sensíveis. Em 27 de março, um dia após a invasão, o partido revelou um incidente cibernético, mas não confirmou um vazamento de dados. A organização, que possui 123 mil membros e 64 representantes no Bundestag, afirmou que os atacantes visam publicar informações internas e dados pessoais de funcionários, embora a base de dados de membros não tenha sido afetada. O Die Linke identificou os atacantes como criminosos cibernéticos de língua russa, motivados tanto financeiramente quanto politicamente, e destacou que o ataque não parece ser acidental. Em 1º de abril, o Qilin reivindicou publicamente a responsabilidade pelo ataque, adicionando o partido à sua lista de vítimas sem divulgar amostras de dados. O partido notificou as autoridades alemãs e está colaborando com especialistas em TI para restaurar seus sistemas. O uso de ransomware é frequentemente associado a guerras híbridas e ataques a infraestruturas críticas, o que levanta preocupações sobre a segurança cibernética em contextos políticos.

Impacto Real do Ransomware em Diversos Setores

Em fevereiro de 2026, o Centro Médico da Universidade do Mississippi (UMMC) sofreu um ataque de ransomware que desativou seu sistema de registro eletrônico de saúde, afetando 35 clínicas e mais de 200 locais de telemedicina. O ataque resultou no cancelamento de tratamentos de quimioterapia e adiamentos de cirurgias não emergenciais, forçando a equipe médica a retornar a processos em papel. Este incidente é parte de uma tendência alarmante, com 93% das organizações de saúde nos EUA relatando pelo menos um ataque cibernético em 2025, e 72% afirmando que esses incidentes impactaram diretamente o atendimento ao paciente. Outros setores, como manufatura e finanças, também estão em risco, como evidenciado pelo ataque à BridgePay, que paralisou suas operações de processamento de pagamentos. A evolução do ransomware para táticas de dupla e tripla extorsão, onde dados sensíveis são exfiltrados antes da criptografia, torna as defesas tradicionais insuficientes. A plataforma D.AMO, desenvolvida pela Penta Security, oferece uma solução abrangente que combina criptografia, controle de acesso e recuperação de backup, visando neutralizar as ameaças de ransomware em todas as suas fases.

Ex-engenheiro é condenado por extorsão em ataque a servidores

Daniel Rhyne, um ex-engenheiro de infraestrutura, admitiu ter invadido a rede de sua empresa, uma indústria em Nova Jersey, e bloqueado o acesso de administradores a 254 servidores. Entre 9 e 25 de novembro, ele utilizou uma conta de administrador para agendar tarefas que deletaram contas de administradores de rede e alteraram senhas de 13 contas de domínio, além de 301 contas de usuários. Rhyne também programou a alteração de senhas de contas locais que afetariam 3.284 estações de trabalho e 254 servidores, além de desligar servidores aleatórios. Após a invasão, ele enviou um e-mail de extorsão aos colegas, exigindo um resgate de 20 bitcoins (aproximadamente R$ 750 mil) sob a ameaça de desligar 40 servidores diariamente. O ataque foi planejado com pesquisas na internet sobre como manipular logs do Windows e alterar senhas. Rhyne foi preso em agosto e enfrenta até 15 anos de prisão por suas ações. Este incidente destaca a vulnerabilidade das empresas a ataques internos e a necessidade de controles de segurança robustos.

Check City confirma vazamento de dados que afeta 322 mil pessoas

A Check City Partnership notificou 322.687 pessoas sobre um vazamento de dados ocorrido em março de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, documentos de identidade emitidos pelo governo, números de contas financeiras e dados de cartões de crédito. O grupo cibercriminoso Clop reivindicou a responsabilidade pelo ataque, publicando amostras de documentos supostamente roubados. Embora a Check City tenha reconhecido uma interrupção na rede em abril de 2025, não confirmou se pagou um resgate ou como os atacantes conseguiram acessar seu sistema. Para mitigar os danos, a empresa está oferecendo monitoramento de crédito gratuito e serviços de restauração de identidade aos afetados. O Clop, conhecido por explorar vulnerabilidades de software, já realizou 457 ataques de ransomware, sendo este o segundo maior ataque registrado por eles até agora. Em 2025, foram contabilizados 59 ataques confirmados a empresas financeiras nos EUA, comprometendo mais de 1,1 milhão de registros pessoais. O ataque à Check City destaca a crescente ameaça de ransomware no setor financeiro e a necessidade de vigilância contínua contra tais incidentes.

Loja de armas no Texas notifica vazamento de dados de 21 mil clientes

A loja de armas Mister Guns, localizada em Plano, Texas, está notificando 21.225 pessoas sobre um vazamento de dados ocorrido em novembro de 2025, após um ataque cibernético realizado pelo grupo de ransomware Securotrop. O ataque resultou na extração de 290 GB de dados sensíveis, incluindo números de seguridade social, datas de nascimento, números de carteira de motorista, licenças de porte de arma e passaportes. Embora a notificação da loja afirme que não há evidências de uso indevido das informações, não foram oferecidos serviços de monitoramento de crédito gratuitos, uma prática comum em casos de vazamento de dados. O grupo Securotrop, que opera sob um modelo de Ransomware-as-a-Service (RaaS), já adicionou a Mister Guns ao seu site de vazamento de dados, mas a loja não confirmou se um resgate foi exigido ou pago. Este incidente é o terceiro maior ataque de ransomware a um varejista nos EUA em 2025, destacando a crescente ameaça de ataques cibernéticos no setor de varejo, que já registrou 31 ataques confirmados este ano, afetando mais de 765 mil registros. A situação levanta preocupações sobre a segurança de dados e a necessidade de medidas de proteção mais robustas para evitar tais incidentes.

Grupo de ransomware Payouts King ataca UFP Technologies em 2026

O grupo de ransomware Payouts King reivindicou a responsabilidade por um ataque cibernético à UFP Technologies, ocorrido em fevereiro de 2026. A UFP, uma fabricante americana de dispositivos médicos, revelou o incidente em um comunicado à Comissão de Valores Mobiliários dos EUA, informando que um terceiro não autorizado acessou seus sistemas, resultando no roubo de arquivos e na interrupção de processos de faturamento e rotulagem. O grupo afirma ter roubado 620 GB de dados da empresa e listou a UFP em seu site de vazamento de dados. Até o momento, a UFP não confirmou a alegação do grupo, e detalhes sobre a natureza dos dados comprometidos, a forma como o ataque foi realizado, se um resgate foi pago ou o valor exigido permanecem desconhecidos. O Payouts King, que atua de forma independente e não como um serviço de ransomware, já reivindicou 56 ataques, com 12 confirmados por organizações-alvo. O grupo tem como foco fabricantes e empresas do setor de saúde, que lidam com grandes volumes de dados pessoais, tornando-se alvos atraentes para hackers. O impacto de tais ataques pode ser devastador, comprometendo a segurança e a privacidade de pacientes e clientes.

Aumento alarmante de ataques de ransomware em março de 2026

Em março de 2026, os ataques de ransomware atingiram um pico alarmante, totalizando 780 incidentes, um aumento de 13% em relação a fevereiro. O setor de utilidades foi o mais afetado, com um aumento de 630% nos ataques, destacando a vulnerabilidade da infraestrutura crítica. Os Estados Unidos foram o país mais visado, com 375 ataques, seguidos por França e Alemanha. Entre os ataques confirmados, 33 foram direcionados a empresas, 10 a entidades governamentais e 6 a instituições de saúde. Os grupos de ransomware mais ativos foram Qilin, Akira e The Gentlemen, com Qilin liderando com 140 ataques. Um total de 242 TB de dados foi roubado, evidenciando a gravidade da situação. O aumento significativo nos ataques a entidades governamentais e educacionais também é preocupante, refletindo uma tendência crescente de ataques a setores críticos. A situação exige atenção imediata das organizações para fortalecer suas defesas contra essas ameaças.

Google Drive lança detecção de ransomware com IA para usuários pagos

O Google anunciou que a funcionalidade de detecção de ransomware no Google Drive, impulsionada por inteligência artificial, está agora disponível para todos os usuários pagantes. Lançada inicialmente em versão beta em outubro de 2025, essa ferramenta pausa a sincronização de arquivos assim que um ataque de ransomware é detectado, alertando usuários e administradores de TI sobre a violação. Embora os arquivos no computador comprometido possam ser criptografados, os documentos armazenados no Google Drive permanecem protegidos e podem ser rapidamente restaurados após a resolução da infecção. O Google afirma que a nova versão do modelo de IA é capaz de detectar 14 vezes mais infecções em comparação com a versão beta, oferecendo uma proteção mais abrangente. A funcionalidade está ativada por padrão para todos os usuários de organizações com licenças de negócios, educação e empresas, enquanto a ferramenta de restauração de arquivos está disponível para todos os clientes do Google Workspace. Administradores têm a opção de desativar essa funcionalidade, se desejarem. A detecção de ransomware é uma resposta a um cenário crescente de ataques cibernéticos, refletindo a necessidade de soluções robustas de segurança em ambientes de armazenamento em nuvem.