Ransomware

Aleksei Olegovich Volkov, um cidadão russo de 26 anos, foi condenado a 6,75 anos de prisão nos Estados Unidos por sua participação em grupos de cibercrime, incluindo a gangue de ransomware Yanluowang. Ele facilitou ataques que resultaram em perdas reais superiores a 9 milhões de dólares e perdas pretendidas que ultrapassam 24 milhões de dólares. Volkov atuava como um ‘broker de acesso inicial’, obtendo acesso não autorizado a redes de empresas e vendendo esse acesso a outros criminosos. Os ataques geralmente envolviam a instalação de malware que criptografava os dados das vítimas, levando-as a pagar resgates em criptomoedas. Além de sua pena, Volkov concordou em pagar restituição às vítimas e a devolver ferramentas utilizadas nos crimes. O artigo também menciona a acusação de um terceiro negociador de ransomware ligado ao grupo BlackCat, que ajudou a extorquir pagamentos de pelo menos 10 vítimas, resultando na apreensão de quase 9,2 milhões de dólares em criptomoedas. A DigitalMint, onde o negociador trabalhava, repudiou as ações ilegais de seus ex-funcionários.

A Humana, uma das maiores seguradoras de saúde dos EUA, confirmou que notificou um número não divulgado de pessoas sobre uma violação de dados ocorrida em agosto de 2025. Os dados comprometidos incluem números de Seguro Social, informações de faturamento médico, datas de serviço, nomes de prestadores, números de identificação da Humana, números de contas de pacientes e informações de seguro de saúde. A subsidiária da Humana, Centerwell, também começou a emitir notificações sobre a violação. O procurador-geral do Texas relatou que 4.618 pessoas no estado foram notificadas. A violação foi atribuída a um grupo de cibercriminosos chamado Clop, que reivindicou a responsabilidade pelo ataque. A Humana ofereceu aos afetados 24 meses de monitoramento de crédito gratuito e serviços de restauração de identidade. O ataque foi causado por uma vulnerabilidade de software de um fornecedor, e a Humana não confirmou se pagou um resgate. O grupo Clop é conhecido por explorar vulnerabilidades de software e já realizou 456 ataques em 2025, com 119 deles relacionados a uma vulnerabilidade da Oracle. A situação destaca a crescente ameaça de ransomware no setor de saúde, que já afetou mais de 196 milhões de pessoas nos EUA.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam uma vulnerabilidade de alta severidade, identificada como CVE-2026-20131, no Cisco Secure Firewall Management Center (FMC) até o dia 22 de março. A Cisco divulgou um boletim de segurança no dia 4 de março, alertando os administradores de sistemas sobre a necessidade de aplicar as atualizações de segurança imediatamente, uma vez que não existem soluções alternativas disponíveis. A falha permite que um atacante remoto não autenticado execute código Java arbitrário como root em dispositivos afetados, devido à deserialização insegura de um fluxo de bytes Java fornecido pelo usuário. A situação se agrava com a confirmação de que a vulnerabilidade está sendo ativamente explorada por grupos de ransomware, como o Interlock, que a utilizam desde o final de janeiro. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), destacando seu uso em campanhas de ransomware. Embora a ordem da CISA se aplique a agências federais, recomendações semelhantes são válidas para empresas privadas e governos estaduais e locais, dada a gravidade da situação.

Um homem da Carolina do Norte foi condenado por extorquir a Brightly Software, uma empresa de tecnologia baseada em Washington, D.C., enquanto ainda trabalhava como analista de dados. Cameron Curry, de 27 anos, aproveitou seu acesso a informações sensíveis da empresa para roubar documentos e ameaçar vazar dados pessoais de funcionários, exigindo um resgate de 2,5 milhões de dólares. Após o término de seu contrato em dezembro de 2023, ele enviou mais de 60 e-mails de extorsão, incluindo informações pessoais identificáveis (PII) de funcionários, como nomes e endereços. A Brightly pagou 7.540 dólares em Bitcoin para evitar a divulgação dos dados. O FBI prendeu Curry em janeiro de 2024, e ele enfrenta até 12 anos de prisão. Este incidente destaca a vulnerabilidade das empresas a ataques internos e a importância de proteger informações sensíveis, especialmente em um cenário de crescente criminalidade cibernética. Além disso, a Brightly já havia notificado seus clientes sobre um vazamento de dados anterior, afetando quase 3 milhões de usuários, o que levanta preocupações sobre a segurança de dados na era digital.

Uma nova análise sobre ferramentas de detecção e resposta em endpoints (EDR) revelou que 54 delas utilizam a técnica conhecida como ’traga seu próprio driver vulnerável’ (BYOVD), explorando um total de 34 drivers vulneráveis. Esses programas, comumente usados em intrusões de ransomware, permitem que os atacantes neutralizem softwares de segurança antes de implantar malware de criptografia de arquivos. A pesquisa da ESET destaca que grupos de ransomware frequentemente produzem novas versões de seus criptografadores, tornando a detecção um desafio, já que esses malwares são intrinsecamente barulhentos. Os EDR killers atuam como componentes externos que desativam controles de segurança, facilitando a execução do ransomware. A maioria dessas ferramentas se aproveita de drivers legítimos, mas vulneráveis, para obter privilégios elevados e desativar processos de segurança. A análise também identificou ferramentas baseadas em scripts e utilitários anti-rootkits que podem interferir no funcionamento normal dos produtos de segurança. Para mitigar esses riscos, é essencial que as organizações implementem defesas em camadas e estratégias de detecção para monitorar e responder proativamente a essas ameaças.

O grupo de cibercriminosos conhecido como Inc reivindicou a responsabilidade pelo ataque à Namibia Airports Company (NAC), ocorrido em 6 de março de 2026. A NAC confirmou um incidente de segurança que afetou seus sistemas de TI, resultando em acesso não autorizado à infraestrutura de rede e contas administrativas. Embora a NAC tenha declarado que os serviços foram restaurados e a interrupção operacional foi limitada, a Inc alegou ter roubado cerca de 500 GB de dados. Até o momento, não há confirmação sobre o pagamento de resgate ou detalhes sobre como o ataque foi realizado. O grupo Inc, que surgiu em julho de 2023, é conhecido por suas táticas de ransomware, incluindo phishing direcionado e exploração de vulnerabilidades conhecidas. Este ataque marca a quinta vez que a Inc ataca uma empresa do setor de aviação, com um histórico de 694 ataques de ransomware, dos quais 173 foram confirmados. O impacto de tais ataques pode ser significativo, causando atrasos no transporte, interrupções em serviços de reservas e pagamentos, além de aumentar o risco de fraudes para os viajantes. A NAC é responsável pela operação de oito grandes aeroportos na Namíbia, e a segurança cibernética nesse setor é crucial para a continuidade das operações.

O boletim ThreatsDay desta semana destaca uma série de ameaças emergentes em cibersegurança, com foco em operações de Ransomware-as-a-Service (RaaS) e campanhas de phishing. O grupo ‘The Gentlemen’ utiliza uma vulnerabilidade crítica (CVE-2024-55591) em dispositivos FortiGate para realizar ataques, mantendo um banco de dados com 14.700 dispositivos comprometidos. Além disso, falhas no BMC FootPrints podem permitir execução remota de código, enquanto o malware SnappyClient, entregue pelo Hijack Loader, é projetado para roubo de dados e evasão de segurança. Outra técnica emergente, chamada CursorJack, explora links profundos para execução de comandos maliciosos. A campanha de phishing via Microsoft Teams tem aumentado, com atacantes se passando por equipes de TI para obter acesso remoto. A situação é preocupante, pois a exploração de falhas conhecidas em plataformas amplamente utilizadas, como Citrix, e o uso de engenharia social em ferramentas de comunicação, revelam a necessidade urgente de medidas de segurança mais robustas.

O grupo cibercriminoso Medusa reivindicou um ataque de malware ao Condado de Passaic, em Nova Jersey, ocorrido em março de 2026. Em um comunicado, as autoridades do condado informaram que o ataque afetou seus sistemas de TI e linhas telefônicas. Medusa exigiu um resgate de $800.000, com prazo até o final do mês, e publicou imagens de documentos que alegam ter sido roubados dos servidores do governo local. Embora o Condado de Passaic tenha reconhecido a ocorrência de um incidente de segurança, não confirmou a responsabilidade do grupo. A investigação está em andamento para determinar a natureza e a extensão do acesso não autorizado aos dados. Medusa, que opera um esquema de ransomware como serviço, já reivindicou outros ataques em 2026, incluindo instituições educacionais e governamentais. Os ataques de ransomware a entidades governamentais nos EUA têm se tornado mais frequentes, resultando em riscos significativos, como perda de dados e interrupção de serviços essenciais. O Condado de Passaic abriga cerca de 524.000 pessoas e está localizado na área metropolitana de Nova York.

A Amazon Threat Intelligence alertou sobre uma campanha ativa de ransomware chamada Interlock, que está explorando uma falha crítica de segurança no Cisco Secure Firewall Management Center (FMC) Software, identificada como CVE-2026-20131, com uma pontuação CVSS de 10.0. Essa vulnerabilidade permite que atacantes remotos não autenticados contornem a autenticação e executem código Java arbitrário como root em dispositivos afetados. A falha foi explorada como um zero-day desde 26 de janeiro de 2026, antes de ser divulgada publicamente pela Cisco. A campanha de Interlock utiliza uma cadeia de ataque complexa, que inclui scripts de reconhecimento em PowerShell, trojans de acesso remoto personalizados e técnicas de evasão. A Amazon compartilhou suas descobertas com a Cisco para ajudar a proteger os clientes. Diante da exploração ativa da falha, os usuários são aconselhados a aplicar patches imediatamente e realizar avaliações de segurança. A Cisco atualizou seu aviso sobre a vulnerabilidade, recomendando a atualização para uma versão corrigida do software.

O grupo de ransomware Genesis reivindicou a responsabilidade por um ataque cibernético à National Association on Drug Abuse Programs (NADAP) ocorrido em 10 de janeiro de 2026. A NADAP, uma organização sem fins lucrativos que oferece serviços de saúde e emprego a comunidades carentes em Nova York, notificou sobre a violação de dados em 13 de fevereiro de 2026, após detectar atividades suspeitas em sua rede. Os dados comprometidos incluem números de Seguro Social, datas de nascimento, informações médicas e financeiras. Genesis alegou ter roubado 2 TB de dados e justificou o ataque, embora a NADAP não tenha confirmado a reivindicação do grupo. Até o momento, não se sabe se um resgate foi pago ou como a violação ocorreu. Este incidente é parte de uma tendência crescente de ataques de ransomware nos EUA, com 27 ataques confirmados em 2026 até agora, em comparação com 662 em 2025. A NADAP, que já ajudou mais de 35.000 nova-iorquinos anualmente, não ofereceu monitoramento de crédito ou proteção contra roubo de identidade para as vítimas da violação.

O grupo de ransomware LockBit reivindicou um ataque cibernético ao Alcorn School District, no Mississippi, ocorrido no início de março. Em 1º de março, o distrito anunciou a desativação de sua rede devido a atividades suspeitas que estavam causando interrupções em seus sistemas. LockBit, que é conhecido por suas táticas de sequestro de dados e extorsão, listou o Alcorn Schools em seu site de vazamento de dados e exigiu um pagamento de resgate em um prazo de duas semanas. O distrito escolar não confirmou a reivindicação do grupo, e não há informações sobre como os atacantes conseguiram acessar a rede ou se um resgate foi pago. O LockBit, que opera desde 2019 e é baseado na Rússia, já atacou diversas instituições, incluindo escolas, e em 2026, registrou 72 ataques de ransomware, com oito confirmados. Os ataques de ransomware em instituições educacionais podem causar não apenas a perda de dados, mas também interrupções significativas nas operações diárias, afetando a comunicação, a gestão de notas e a segurança dos dados dos alunos. O Alcorn School District atende cerca de 3.800 alunos em várias escolas na região.

O grupo de ransomware Medusa reivindicou a responsabilidade pelo ataque cibernético ao Centro Médico da Universidade do Mississippi (UMMC), ocorrido entre 19 de fevereiro e 2 de março de 2026. O ataque resultou no fechamento das clínicas e no cancelamento de consultas, afetando gravemente o atendimento ao paciente, que teve que ser realizado com registros manuais e em centros de comando improvisados. A UMMC perdeu acesso a linhas telefônicas, e-mails e registros de pacientes, levando à transferência de alguns pacientes para outras instituições. Medusa exigiu um resgate de $800.000 em troca da restauração dos sistemas e da não divulgação de dados supostamente roubados, que foram demonstrados em seu site de vazamento de dados. Embora a UMMC tenha retomado suas operações normais após nove dias, a extensão dos dados comprometidos e se o resgate foi pago permanecem desconhecidos. O grupo Medusa, ativo desde 2019, já realizou 154 ataques confirmados, sendo 33 direcionados a prestadores de serviços de saúde, comprometendo cerca de 3,7 milhões de registros pessoais. Os ataques de ransomware a instituições de saúde nos EUA têm se tornado cada vez mais frequentes e disruptivos, colocando em risco a segurança e a privacidade dos pacientes.

No final de semana, a Hudson River Housing revelou um vazamento de dados ocorrido em março de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, números de carteira de motorista e datas de nascimento. A organização, que atua na área de habitação acessível em Poughkeepsie, NY, não divulgou o número total de pessoas notificadas sobre o incidente. O grupo de ransomware Rhysida assumiu a responsabilidade pelo ataque em junho de 2025, exigindo um resgate de 7 bitcoins, equivalente a aproximadamente $744.000 na época. Embora a Hudson River Housing tenha alertado sobre o acesso não autorizado à sua rede em 28 de abril de 2025, a confirmação do vazamento só ocorreu em março de 2026. A organização está oferecendo monitoramento de crédito gratuito para as vítimas do vazamento. O grupo Rhysida, que opera como um serviço de ransomware, já reivindicou 265 ataques, afetando mais de 5,6 milhões de pessoas. Este incidente destaca a crescente ameaça de ataques de ransomware, que podem causar danos significativos a organizações, especialmente aquelas que lidam com dados sensíveis.

A JBS Brasil, uma das maiores produtoras de carne do mundo, foi alvo de um novo ataque cibernético, desta vez pelo grupo de ransomware Coinbasecartel, que afirma ter roubado 3 terabytes de dados corporativos. O ataque foi anunciado em um fórum clandestino, mas detalhes sobre a natureza dos dados e a vulnerabilidade explorada não foram divulgados. Este incidente é um lembrete da crescente vulnerabilidade da JBS, que já havia enfrentado um ataque significativo em 2021, quando foi forçada a pagar R$ 57 milhões em resgate ao grupo REvil. O Coinbasecartel é conhecido por sua abordagem agressiva em negociações e por focar em informações estratégicas e financeiras de alto valor. Até o momento, a JBS não se pronunciou oficialmente sobre o ataque, o que levanta preocupações sobre a situação atual e possíveis negociações em andamento. O aumento de 50% nos ataques de ransomware, conforme relatado recentemente, destaca a necessidade de as empresas reforçarem suas medidas de segurança cibernética.

A Insightin Health, uma agência de marketing na área da saúde, confirmou um vazamento de dados que afetou 142.727 pessoas em setembro de 2025. Os dados comprometidos incluem informações sensíveis como datas de nascimento, IDs de seguro de saúde e números de contratos. O ataque foi atribuído ao grupo cibercriminoso Medusa, que explorou uma vulnerabilidade em um aplicativo de terceiros para acessar os dados. Medusa exigiu um resgate de US$ 500.000 pela recuperação de 378 GB de dados roubados e listou a Insightin em seu site de vazamento. Embora a Insightin tenha notificado os afetados e oferecido serviços gratuitos de monitoramento de crédito, não está claro se a empresa pagou o resgate ou como a violação ocorreu. Este incidente é um dos maiores vazamentos no setor de saúde dos EUA, destacando a crescente ameaça de ataques de ransomware a empresas que lidam com dados pessoais. A Insightin Health, localizada em Baltimore, MD, é um exemplo de como o setor de saúde se tornou um alvo preferencial para hackers devido à quantidade de dados sensíveis que gerencia.

No último fim de semana, a gangue de ransomware Genesis adicionou a cidade de Hart, Michigan, ao seu site de vazamento de dados, alegando ter roubado 300 GB de informações. A cidade recebeu um ultimato de menos de seis dias para atender às exigências de resgate antes que os dados sejam divulgados publicamente. Em uma reunião pública realizada em 24 de fevereiro de 2026, a cidade confirmou a descoberta de um possível incidente de segurança e informou que as senhas de todos os usuários foram redefinidas. A cidade está colaborando com especialistas em cibersegurança para investigar o acesso não autorizado a uma parte limitada de sua rede. Embora a investigação esteja em andamento, a cidade enfatizou que a segurança de seus sistemas é uma prioridade e que medidas adicionais de monitoramento foram implementadas. Os residentes e funcionários foram alertados a ficarem atentos a possíveis campanhas de phishing. Genesis, que começou a operar em outubro de 2025, utiliza táticas de dupla extorsão, criptografando sistemas e roubando dados, exigindo resgates tanto para a chave de descriptografia quanto para a exclusão dos dados roubados. Este ataque à cidade de Hart é o segundo confirmado em 2026, seguindo um aumento significativo de ataques a entidades governamentais nos Estados Unidos, com seis incidentes confirmados até agora neste ano.

O grupo de cibercriminosos conhecido como Velvet Tempest, também identificado como DEV-0504, tem utilizado a técnica ClickFix e utilitários legítimos do Windows para implantar o malware DonutLoader e o backdoor CastleRAT. Pesquisadores da MalBeacon monitoraram as atividades do grupo em um ambiente simulado de uma organização sem fins lucrativos nos EUA, onde foram observadas ações como reconhecimento do Active Directory e coleta de credenciais armazenadas no Chrome. A invasão inicial ocorreu através de uma campanha de malvertising que direcionou as vítimas a inserir um comando ofuscado no diálogo de execução do Windows. Este comando ativou uma cadeia de comandos que buscou os primeiros carregadores de malware. Embora o Velvet Tempest seja conhecido por ataques de dupla extorsão, nesta intrusão específica não foi implantado o ransomware Termite, que já afetou vítimas de alto perfil. A técnica ClickFix tem sido adotada por outros grupos de ransomware, evidenciando uma tendência crescente de uso de engenharia social em ataques cibernéticos.

O escritório do xerife do condado de Warren, Kentucky, confirmou um vazamento de dados ocorrido em dezembro de 2025, que comprometeu informações sensíveis, como números de Seguro Social, números de carteira de motorista e IDs de seguro de saúde. O grupo cibercriminoso RansomHouse reivindicou a responsabilidade pelo ataque, alegando ter roubado 743 GB de dados, incluindo licenças de armas e materiais investigativos que demonstram abuso de autoridade por parte de oficiais. O xerife não confirmou a alegação do grupo e não se sabe se um resgate foi pago. O ataque foi detectado em 20 de dezembro de 2025, quando atividades suspeitas foram identificadas na rede do escritório. O aviso enviado às vítimas não ofereceu monitoramento de crédito ou seguro contra roubo de identidade, práticas comuns após vazamentos desse tipo. RansomHouse, que opera um esquema de ransomware como serviço, já realizou 51 ataques em 2025, afetando entidades governamentais, incluindo o Supremo Tribunal Administrativo da Bulgária e o Conselho de Artes da Suécia. O aumento de ataques de ransomware a entidades governamentais nos EUA, com 85 incidentes confirmados em 2025, destaca a gravidade da situação.

Um estudo da VulnCheck revelou que, embora milhares de falhas de segurança sejam registradas anualmente, apenas 1% delas é explorado por hackers, resultando em danos significativos. Em 2025, foram identificadas 48 mil vulnerabilidades, mas apenas algumas foram alvo de ciberataques, com destaque para o React2Shell, que permitiu a violação de sistemas de segurança em plataformas online. Além disso, vulnerabilidades no Microsoft SharePoint e no SAP NetWeaver também foram frequentemente exploradas. A pesquisa indicou que 56,4% das falhas estão relacionadas a ataques de ransomware, um dado alarmante para a segurança digital. O uso crescente de inteligência artificial (IA) para gerar códigos maliciosos tem contribuído para um aumento de 16,5% nos exploits em comparação ao ano anterior, tornando os ataques mais rápidos e eficazes. A situação exige atenção redobrada das empresas, especialmente em um cenário onde a maioria das falhas ainda é considerada de dia zero, aumentando o risco antes que correções sejam implementadas.

Evgenii Ptitsyn, um cidadão russo de 43 anos, se declarou culpado por um esquema de fraude eletrônica relacionado à operação de ransomware Phobos, que afetou centenas de vítimas em todo o mundo. O Phobos, uma operação de ransomware como serviço (RaaS) ligada à família Crysis, foi responsável por mais de 39 milhões de dólares em pagamentos de resgate de mais de 1.000 entidades públicas e privadas. Ptitsyn foi extraditado da Coreia do Sul em novembro de 2024 e acusado de supervisionar a venda e distribuição do ransomware. Os afiliados do Phobos invadiam redes de alvos, incluindo escolas e hospitais, utilizando credenciais roubadas, criptografando dados sensíveis e exigindo pagamento sob ameaça de vazamento. A operação Aether, coordenada pela Europol, resultou em detenções e apreensões de equipamentos relacionados ao Phobos, destacando a colaboração internacional no combate a esse tipo de crime cibernético. Ptitsyn enfrenta até 20 anos de prisão e sua sentença está marcada para 15 de julho de 2025.

O Conselho das Crianças de San Francisco confirmou um vazamento de dados ocorrido em 3 de agosto de 2025, afetando 12.655 pessoas. Os dados comprometidos incluem nomes e números de Seguro Social, mas não está claro se pertencem a crianças. Duas semanas após o incidente, o grupo criminoso SafePay reivindicou a responsabilidade pelo ataque em seu site de vazamento de dados, exigindo um pagamento de resgate em 24 horas para excluir as informações roubadas. O Conselho não confirmou se pagou o resgate e está oferecendo 12 meses de monitoramento de crédito gratuito e um seguro contra roubo de identidade de até US$ 1 milhão para as vítimas. SafePay, um grupo de ransomware ativo desde 2024, utiliza um esquema de dupla extorsão, onde exige pagamento tanto para restaurar sistemas quanto para deletar dados roubados. Em 2025, o grupo foi responsável por 374 ataques, afetando cerca de 17 milhões de pessoas. O aumento de ataques de ransomware nos EUA, com 653 incidentes confirmados em 2025, destaca a vulnerabilidade de organizações sem fins lucrativos e serviços sociais, como o Conselho das Crianças de San Francisco.

O Huntress Tactical Response Team investigou um alerta de força bruta em um servidor RDP exposto à internet, que inicialmente parecia ser um incidente comum. Ao analisar os logs de eventos do Windows, a equipe descobriu que um único login bem-sucedido levou a um comportamento incomum de busca por credenciais, revelando uma infraestrutura geograficamente distribuída e um serviço VPN suspeito, indicando a presença de um ecossistema de ransomware como serviço.

O Centro Médico da Universidade de Mississippi (UMMC) anunciou que retomou suas operações normais após um ataque de ransomware que durou nove dias, bloqueando o acesso a registros médicos eletrônicos e desativando muitos de seus sistemas de TI. O ataque forçou a instituição a cancelar procedimentos ambulatoriais e consultas de imagem, embora os serviços hospitalares continuassem a ser prestados. A UMMC confirmou que conseguiu restaurar o acesso aos registros dos pacientes e reabriu suas clínicas, que agora funcionam em horários estendidos para acomodar os pacientes. Embora nenhum grupo de ransomware tenha reivindicado a responsabilidade pelo ataque, a UMMC está em contato com os atacantes e trabalhando com o FBI e a CISA para investigar o incidente. A UMMC é um dos maiores empregadores do Mississippi, com mais de 10.000 funcionários e uma infraestrutura crítica que inclui o único programa de transplante de órgãos e medula óssea do estado. O ataque destaca a crescente ameaça de ransomware a instituições de saúde, que são alvos atraentes devido à sensibilidade dos dados que gerenciam.

A empresa multinacional holandesa AkzoNobel, especializada em tintas e revestimentos, confirmou uma violação de segurança em um de seus sites nos Estados Unidos, após um vazamento de dados pelo grupo de ransomware Anubis. Segundo um porta-voz da empresa, a intrusão foi contida e o impacto foi considerado limitado. A Anubis afirma ter roubado 170 GB de dados, incluindo 170 mil arquivos, que contêm informações sensíveis como acordos confidenciais, e-mails, números de telefone e documentos técnicos internos. A AkzoNobel está colaborando com as autoridades competentes e notificando as partes afetadas. O grupo Anubis, que opera como um serviço de ransomware, tem se tornado mais ativo desde seu lançamento em dezembro de 2024, e recentemente adicionou uma ferramenta que apaga arquivos das vítimas, dificultando a recuperação. Este incidente destaca a crescente sofisticação das ameaças cibernéticas e a necessidade de vigilância constante por parte das empresas.

Recentemente, pesquisadores da Huntress identificaram uma nova campanha de ciberataque onde criminosos se passam por suporte técnico para implantar o framework de comando e controle (C2) Havoc, visando a exfiltração de dados ou ataques de ransomware. A intrusão foi observada em cinco organizações parceiras, onde os atacantes utilizaram e-mails de spam como iscas, seguidos de ligações telefônicas que ativaram um complexo pipeline de entrega de malware.

Em uma das organizações, os atacantes conseguiram se mover lateralmente para nove endpoints em apenas 11 horas, utilizando uma combinação de payloads personalizados do Havoc e ferramentas legítimas de gerenciamento remoto (RMM) para garantir persistência. A técnica de engenharia social, que inclui a criação de páginas falsas que imitam serviços da Microsoft, foi fundamental para o sucesso do ataque, permitindo que os criminosos coletassem credenciais dos usuários.

Um recente relatório da Chainalysis revelou um aumento de 50% nos ataques de ransomware em comparação ao ano anterior, enquanto o número de vítimas que pagaram resgates caiu para 28%, o menor índice já registrado. Essa queda na taxa de pagamentos reflete uma tendência de quatro anos, onde em 2024, 62,8% das vítimas pagaram, e em 2022, esse número foi ainda maior, atingindo 78,9%. Apesar da diminuição no número de pagamentos, o valor médio dos resgates aumentou drasticamente, passando de US$ 12.738 para US$ 59.556, um aumento de 368%. Os Estados Unidos, Canadá, Alemanha e Reino Unido foram identificados como os países mais visados. A análise sugere que a melhoria nas respostas a incidentes e a crescente regulamentação contra ataques são fatores que contribuíram para a queda na taxa de pagamentos, embora o valor dos resgates tenha aumentado, indicando que algumas vítimas estão dispostas a pagar quantias maiores para recuperar seus dados sequestrados.

Em fevereiro de 2026, os ataques de ransomware globalmente se mantiveram elevados, com 685 incidentes registrados, uma leve queda em relação aos 718 de janeiro. O setor de saúde viu um aumento de 30% nos ataques, subindo de 37 para 48, enquanto o setor de transporte teve um crescimento ainda maior, com um aumento de 39%, passando de 23 para 32 ataques. Os fabricantes, embora ainda sejam alvos significativos com 120 ataques, estão experimentando uma diminuição nas ocorrências. O grupo de ransomware Qilin continua sendo o mais ativo, com 104 ataques, seguido pelo grupo The Gentlemen, que registrou 84. Este último ganhou notoriedade, especialmente por seus ataques a instituições educacionais no Brasil, incluindo a Universidade Federal de Sergipe e a Centro Universitário Filadélfia. No total, mais de 89,5 TB de dados foram roubados em fevereiro, com os Estados Unidos liderando em número de ataques, seguidos pelo Canadá e Brasil. O aumento nos ataques a setores críticos, como saúde e transporte, destaca a necessidade urgente de medidas de segurança robustas e vigilância contínua.

A Universidade do Havai (UH) confirmou que um ataque de ransomware comprometeu os dados de aproximadamente 1,2 milhão de indivíduos, após uma violação na Divisão de Epidemiologia do seu Centro de Câncer em agosto de 2025. O ataque resultou no roubo de informações pessoais, incluindo números de Seguro Social (SSNs) e dados de registro de veículos. Em 23 de fevereiro, a universidade notificou mais de 87 mil participantes do Estudo Multiétnico (MEC) realizado entre 1993 e 1996, além de outros 900 mil indivíduos cujos e-mails foram encontrados. A UH informou que não houve impacto nas operações clínicas ou registros de alunos. O ataque causou danos significativos, atrasando os esforços de restauração e investigação. A universidade admitiu ter pago aos atacantes para obter uma ferramenta de descriptografia e garantir a destruição segura das informações roubadas. O diretor do UH Cancer Center expressou arrependimento pelo incidente e reafirmou o compromisso com a transparência e a proteção dos dados de pesquisa. Este incidente segue um padrão crescente de ataques de ransomware, que têm se tornado mais sofisticados e impactantes.

O grupo de ransomware Rhysida reivindicou a responsabilidade por um ataque cibernético ao governo local de Southold, Nova York, ocorrido em novembro de 2025. O ataque, anunciado em 24 de novembro, afetou diversos sistemas da cidade, incluindo e-mails, folha de pagamento e coleta de impostos, resultando em um período de inatividade de duas semanas para a restauração dos serviços. Rhysida exigiu um resgate de 10 bitcoins, equivalente a aproximadamente $661,400, e ameaçou vender os dados comprometidos caso o pagamento não fosse realizado em sete dias. O supervisor de Southold, Al Krupski, afirmou que a cidade não tem intenção de pagar o resgate. Desde o incidente, a cidade investiu $500,000 em melhorias de segurança. Rhysida, que opera como um serviço de ransomware, já foi responsável por 21 ataques confirmados em 2025, afetando principalmente entidades governamentais. Os ataques de ransomware têm se tornado uma preocupação crescente nos EUA, com 84 incidentes confirmados em 2025, comprometendo cerca de 639,000 registros pessoais. O caso de Southold destaca a vulnerabilidade das administrações locais a ataques cibernéticos e a necessidade de investimentos em segurança da informação.

O serviço Claude está enfrentando uma interrupção significativa, com erros elevados relatados em todas as plataformas. O incidente foi identificado em 2 de março de 2026 e está afetando usuários de forma ampla, sem restrições a um único aplicativo ou região. A primeira notificação de investigação foi emitida às 11:49 UTC, seguida por uma atualização às 12:06 UTC, indicando que a equipe ainda está analisando a situação. Os usuários podem experimentar falhas em solicitações, timeouts ou respostas inconsistentes ao tentar acessar Claude por meio da web, dispositivos móveis ou API. Até o momento, não há uma estimativa de tempo para resolução, mas a equipe está trabalhando ativamente para solucionar o problema. Além disso, o Red Report 2026 destaca uma queda de 38% na criptografia de ransomware, indicando que as ameaças estão se tornando mais sofisticadas, utilizando matemática para detectar ambientes de sandbox e se esconder em plena vista. O relatório analisa 1,1 milhão de amostras maliciosas para identificar as principais técnicas utilizadas pelos atacantes.

A Madison Square Garden Family of Companies confirmou que notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em agosto de 2025, que comprometeu nomes e números de Seguro Social. O ataque foi realizado por um grupo de ransomware chamado Clop, que explorou uma vulnerabilidade zero-day no software Oracle E-Business Suite, gerenciado por um fornecedor terceirizado. Embora a Clop tenha reivindicado a responsabilidade pelo ataque, a MSG não confirmou essa alegação. A empresa está oferecendo um ano de monitoramento de crédito gratuito para as vítimas afetadas. Em 2025, o grupo Clop foi responsável por 456 ataques de ransomware, afetando cerca de 3,75 milhões de registros pessoais. A violação na MSG é um exemplo do crescente problema de segurança cibernética, especialmente em relação a vulnerabilidades em softwares amplamente utilizados, como o da Oracle. Além disso, o aumento de ataques de ransomware nos EUA, com 646 incidentes confirmados em 2025, destaca a necessidade urgente de medidas de segurança mais robustas.

Recentemente, atores de ameaças têm atraído usuários a executarem utilitários de jogos trojanizados, distribuídos por navegadores e plataformas de chat, com o objetivo de implantar um Trojan de Acesso Remoto (RAT). Segundo a equipe de Inteligência de Ameaças da Microsoft, um downloader malicioso utilizou um ambiente Java portátil para executar um arquivo JAR malicioso, denominado jd-gui.jar. O ataque se destaca pela utilização de PowerShell e binários de living-off-the-land (LOLBins) como cmstp.exe, permitindo uma execução furtiva.

A cidade de Carthage, Texas, confirmou um vazamento de dados que afetou 5.868 pessoas, incluindo informações sensíveis como números de Seguro Social, dados financeiros e informações médicas. O ataque, atribuído ao grupo de ransomware Rhysida, ocorreu em dezembro de 2024, mas os cidadãos só foram notificados em fevereiro de 2026. Rhysida, que opera como um serviço de ransomware, exige um resgate em bitcoin pela recuperação dos dados. A cidade não confirmou se pagou o resgate e não esclareceu como a violação ocorreu. O incidente destaca a vulnerabilidade das entidades governamentais a ataques cibernéticos, com um aumento significativo de ataques de ransomware nos EUA, onde 92 incidentes foram registrados em 2024. O impacto desses ataques pode ser devastador, resultando em perda de dados e interrupções em serviços essenciais. A situação em Carthage serve como um alerta para a necessidade de medidas robustas de segurança cibernética em governos locais.

O número de vítimas de ransomware que pagaram aos criminosos caiu para 28% no último ano, o menor índice já registrado, apesar do aumento significativo no número de ataques. A plataforma de inteligência em blockchain Chainalysis observou uma tendência de queda nos pagamentos nos últimos quatro anos. Em 2025, os pagamentos totais em ransomware chegaram a $820 milhões, com a expectativa de que esse valor ultrapasse $900 milhões à medida que mais eventos e pagamentos sejam atribuídos. Embora o número total de pagamentos tenha se mantido relativamente estável, o número de ataques de ransomware aumentou 50% em relação ao ano anterior. Em 2024, a taxa de pagamento foi de 62,8%, enquanto em 2022 foi de 78,9%. A análise também revelou que, apesar da queda no número de vítimas que pagam, o valor médio dos resgates aumentou 368%, passando de $12,738 em 2024 para $59,556 em 2025. Os Estados Unidos continuam sendo o país mais visado, seguidos por Canadá, Alemanha e Reino Unido. O relatório destaca que o cenário de ransomware está em adaptação, com grupos de extorsão se diversificando e aumentando a complexidade de seus ataques.

A evolução digital é inegável, mas a ascensão do cibercrime, especialmente com o ransomware, criou um ecossistema criminoso altamente profissional. Os adversários estão adotando uma estratégia chamada ‘Harvest Now, Decrypt Later’ (HNDL), acumulando dados criptografados para decifrá-los no futuro com computadores quânticos. A criptografia, essencial para a confiança digital, enfrenta uma ameaça iminente com o advento da computação quântica, que pode quebrar os esquemas matemáticos de proteção de dados atuais em minutos. Para mitigar essa ameaça, a migração para a Criptografia Pós-Quântica (PQC) é crucial. O processo de migração envolve cinco etapas: preparação, diagnóstico, planejamento, execução e monitoramento contínuo. Cada uma dessas fases deve ser cuidadosamente gerida por uma equipe de especialistas em criptografia e cibersegurança. Além disso, as organizações devem estar cientes dos desafios organizacionais, tecnológicos e de documentação que podem dificultar essa transição. A falta de urgência e a imaturidade das tecnologias PQC são obstáculos significativos que precisam ser superados para garantir a segurança dos dados a longo prazo.

Recentemente, diversas ameaças cibernéticas têm se intensificado, muitas vezes iniciando com interações comuns como anúncios ou convites de reuniões. Um destaque é a integração do assistente de IA Claude ao Kali Linux, que permite a execução de comandos em linguagem natural, facilitando o trabalho de hackers éticos. Além disso, o spyware ResidentBat, vinculado a autoridades bielorrussas, tem sido utilizado para monitorar jornalistas e a sociedade civil, acessando dados sensíveis como registros de chamadas e mensagens. Campanhas de phishing também estão em alta, com criminosos se passando por serviços de corretagem de criptomoedas, como a Bitpanda, para roubar informações pessoais. O relatório da CrowdStrike de 2026 revela que o tempo médio para um ataque cibernético se expandir de um acesso inicial para um movimento lateral caiu para 29 minutos, um aumento de 65% em relação ao ano anterior. Isso é impulsionado pelo uso de credenciais legítimas e pela adoção de tecnologias de IA por atacantes. Outro ponto crítico é a exploração de falhas em servidores Apache ActiveMQ, que têm sido utilizadas para implantar ransomware LockBit. Esses dados ressaltam a necessidade urgente de vigilância e atualização das defesas cibernéticas.

A UFP Technologies, fabricante americana de dispositivos médicos, revelou que um incidente de cibersegurança comprometeu seus sistemas de TI e dados. A empresa, que emprega 4.300 pessoas e gera uma receita anual de US$ 600 milhões, detectou atividades suspeitas em seus sistemas no dia 14 de fevereiro. Imediatamente, foram implementadas medidas de isolamento e remediação, além da contratação de consultores externos em cibersegurança para investigar o caso. Os resultados preliminares indicam que a ameaça foi removida, mas dados foram roubados de sistemas comprometidos. O ataque parece ter afetado funções críticas, como faturamento e rotulagem de entregas, e a destruição de dados sugere um ataque de ransomware ou wiper, embora a natureza exata do malware ainda não esteja clara. A UFP Technologies ainda não confirmou se informações pessoais foram exfiltradas, mas notificações serão enviadas se necessário. Apesar do incidente, a empresa afirma que seus sistemas principais permanecem operacionais e que o impacto nas operações ou finanças é considerado improvável.

Um relatório da empresa de cibersegurança ReliaQuest revela que o tempo médio para iniciar um ataque digital caiu para apenas 34 minutos em 2025, uma redução de 29% em relação ao ano anterior. O dado mais alarmante é que o tempo mínimo registrado para o início de um ataque foi de apenas quatro minutos, uma velocidade 85% maior do que em 2024. Essa aceleração nos ataques é atribuída ao uso crescente de ferramentas de inteligência artificial (IA) pelos cibercriminosos, que agora conseguem automatizar processos como reconhecimento de perfis em redes sociais e criação de roteiros mais convincentes para engenharia social. Grupos de ransomware são os principais usuários dessas tecnologias, com 80% deles utilizando IA para potencializar suas operações. Apesar desse cenário preocupante, especialistas em cibersegurança também podem se beneficiar da IA para detectar e mitigar ameaças rapidamente, adaptando informações às realidades específicas de suas organizações. O relatório destaca a importância de as empresas se prepararem para essa nova realidade, onde a velocidade e sofisticação dos ataques estão em constante evolução.

Dois grupos de cibercriminosos afirmam ter invadido o Insight Hospital & Medical Center, em Chicago, resultando em um vazamento de dados ocorrido entre agosto e setembro de 2025. As informações comprometidas incluem números de Seguro Social, datas de nascimento, dados de identificação emitidos pelo estado, informações financeiras, dados sobre tratamentos e informações de seguros de saúde. O grupo de ransomware Termite alegou ter roubado 360 GB de dados, enquanto o LockBit afirmou ter extraído 200 GB. Ambos os grupos listaram o hospital em seus sites de vazamento de dados. O Insight Chicago não confirmou as alegações e não ofereceu monitoramento de crédito ou proteção contra roubo de identidade, práticas comuns após vazamentos desse tipo. Em 2025, foram registrados 122 ataques de ransomware em instituições de saúde nos EUA, destacando a crescente ameaça a esse setor. Os ataques podem comprometer sistemas críticos, colocando em risco a saúde e a privacidade dos pacientes, além de forçar hospitais a interromper serviços e recorrer a métodos manuais até a recuperação dos sistemas.

A Marquis Software Solutions entrou com um processo contra a SonicWall, alegando negligência grave e falsas representações que resultaram em um ataque de ransomware que afetou 74 bancos nos EUA. O ataque, ocorrido em 14 de agosto de 2025, comprometeu a rede da Marquis após a invasão de um firewall da SonicWall, resultando no roubo de informações pessoais sensíveis, como nomes, endereços e números de segurança social. A investigação revelou que os hackers exploraram dados de configuração extraídos da infraestrutura de backup em nuvem da SonicWall, e não uma falha não corrigida, como inicialmente se pensava. A SonicWall introduziu uma vulnerabilidade em seu serviço de backup em nuvem MySonicWall devido a uma alteração de código em fevereiro de 2025, permitindo acesso não autorizado a arquivos de backup de configuração do firewall. Embora a SonicWall tenha inicialmente estimado que apenas 5% de seus clientes foram afetados, foi posteriormente confirmado que todos os clientes estavam em risco. A Marquis agora busca compensação financeira e está enfrentando mais de 36 ações coletivas relacionadas ao ataque. Este caso destaca a importância da segurança cibernética e a responsabilidade dos fornecedores em proteger os dados de seus clientes.

O coletivo de cibercrime Scattered LAPSUS$ Hunters (SLH) está recrutando mulheres para realizar ataques de engenharia social, especificamente campanhas de vishing (voice phishing) direcionadas a help desks de TI. Segundo a empresa de inteligência de ameaças Dataminr, o grupo oferece entre US$ 500 e US$ 1.000 por chamada, além de fornecer roteiros pré-escritos para facilitar a execução dos ataques. Essa estratégia visa aumentar a taxa de sucesso nas tentativas de se passar por funcionários, uma vez que as vozes femininas podem ser menos suspeitas para os atendentes. O SLH, que inclui outros grupos como LAPSUS$ e Scattered Spider, é conhecido por suas táticas avançadas que burlam a autenticação multifator (MFA) através de técnicas como SIM swapping e MFA prompt bombing. Os ataques frequentemente envolvem a obtenção de acesso inicial por meio de chamadas para help desks, onde os criminosos convencem os atendentes a redefinir senhas ou instalar ferramentas de gerenciamento remoto. A empresa Palo Alto Networks também destacou que o SLH é habilidoso em explorar a psicologia humana, utilizando ferramentas legítimas para se misturar e evitar detecções. Diante desse cenário, as organizações devem treinar suas equipes de suporte para identificar scripts pré-escritos e reforçar políticas de verificação de identidade.

O Brasil se destacou em um relatório da Acronis, publicado em fevereiro de 2026, como um dos três países com maior incidência de ataques de ransomware globalmente, atrás apenas dos Estados Unidos e da Índia. O estudo revelou que mais de 7.600 vítimas foram registradas no país, com setores como manufatura, tecnologia e saúde sendo os mais afetados. Os hackers têm utilizado ferramentas legítimas da Microsoft e softwares de acesso remoto, como AnyDesk e TeamViewer, para realizar os ataques. Além disso, 52% dos incidentes foram iniciados por e-mails fraudulentos, evidenciando a crescente utilização de engenharia social para roubar informações sensíveis. O uso de inteligência artificial pelos cibercriminosos também foi destacado, permitindo uma negociação mais eficiente dos resgates. O aumento de 16% no volume médio de incidentes por organização em comparação ao ano anterior ressalta a urgência da situação, exigindo atenção redobrada das empresas brasileiras em relação à segurança cibernética.

Duas gangues de cibercriminosos afirmaram ter invadido a Resource Corporation of America (RCA), uma empresa de faturamento médico, e roubaram dados pessoais significativos, incluindo números de Seguro Social, informações de seguro de saúde, diagnósticos médicos e datas de nascimento. A RCA confirmou a violação de seus sistemas em dezembro de 2025, após detectar atividades suspeitas. As gangues Medusa e Qilin reivindicaram a responsabilidade pelo ataque, com Medusa exigindo um resgate de $800.000, enquanto Qilin não divulgou seu pedido. Medusa publicou amostras de documentos supostamente roubados e reiterou que os dados foram publicados após negociações de resgate fracassadas. O ataque ocorreu entre 9 e 17 de dezembro de 2025, comprometendo a segurança de dados de milhões de pessoas. A RCA não confirmou as reivindicações das gangues, e a Comparitech está aguardando um comentário da empresa. Este incidente destaca a crescente ameaça de ataques de ransomware no setor de saúde, que já registrou 30 ataques confirmados em 2025, afetando mais de 6 milhões de pessoas.

Hackers apoiados pelo Estado norte-coreano, associados ao grupo de ameaças Lazarus, estão atacando organizações de saúde nos Estados Unidos com extorsões utilizando o ransomware Medusa. Desde sua emergência em janeiro de 2021, o Medusa, que opera como um serviço de ransomware (RaaS), afetou mais de 300 organizações em setores críticos, com a gangue reivindicando pelo menos 80 novas vítimas até fevereiro de 2025. A Symantec, empresa de cibersegurança, relatou que um subgrupo do Lazarus, possivelmente Andariel/Stonefly, está agora utilizando o Medusa em ataques cibernéticos motivados financeiramente. Os ataques têm como alvo não apenas instituições de saúde, mas também organizações sem fins lucrativos, com um dos alvos sendo uma instituição educacional para crianças autistas. O valor do resgate pode chegar a 15 milhões de dólares, embora a média seja de cerca de 260 mil dólares. Os fundos obtidos são utilizados para apoiar operações de espionagem contra entidades nos setores de defesa, tecnologia e governo dos EUA, Taiwan e Coreia do Sul. A Symantec também forneceu indicadores de comprometimento (IoCs) que incluem dados de infraestrutura de rede e hashes do malware utilizado nos ataques.

O grupo de ransomware conhecido como Inc reivindicou um ataque cibernético à cidade de Cocoa, na Flórida, ocorrido em fevereiro de 2026. A cidade anunciou problemas técnicos em seus sistemas de TI e pagamentos de serviços públicos, que foram interrompidos. No site de vazamento de dados do grupo, Inc afirmou ter roubado arquivos dos servidores oficiais da cidade, apresentando imagens como prova. Até o momento, as autoridades de Cocoa não confirmaram a reivindicação e não se sabe quais dados foram comprometidos, nem se um resgate foi exigido ou pago. O grupo Inc, que surgiu em julho de 2023, é conhecido por atacar setores como saúde, educação e governo, utilizando técnicas de phishing direcionado e explorando vulnerabilidades conhecidas. Em 2025, o grupo foi responsável por 360 ataques de ransomware, com 68 confirmações de suas reivindicações. O ataque à Cocoa se insere em um contexto mais amplo de ataques a entidades governamentais nos EUA, que têm enfrentado desafios significativos com a segurança de seus sistemas, podendo resultar em perda de dados e interrupções nos serviços públicos.

Um ator de ameaças de língua russa, motivado financeiramente, comprometeu mais de 600 dispositivos FortiGate em 55 países, utilizando serviços comerciais de inteligência artificial generativa. A campanha, observada entre 11 de janeiro e 18 de fevereiro de 2026, não explorou vulnerabilidades conhecidas, mas sim portas de gerenciamento expostas e credenciais fracas com autenticação de fator único. O uso de ferramentas de IA permitiu que um ator com capacidades técnicas limitadas escalasse suas operações de ataque. Os atacantes conseguiram acessar ambientes do Active Directory, extrair bancos de dados de credenciais e até mesmo atacar a infraestrutura de backup, possivelmente preparando o terreno para um ataque de ransomware. A atividade incluiu a varredura sistemática de interfaces de gerenciamento FortiGate expostas à internet e tentativas de autenticação com credenciais comumente reutilizadas. A Amazon recomenda que as organizações garantam que as interfaces de gerenciamento não estejam expostas, mudem credenciais padrão e implementem autenticação multifatorial para acesso administrativo. Com a expectativa de que essa tendência continue em 2026, é crucial que as empresas adotem medidas defensivas robustas.

A North East Medical Services (NEMS) notificou 91.513 pacientes sobre uma violação de dados ocorrida em outubro de 2025, resultante de um ataque cibernético ao seu provedor de software terceirizado, UnitedLayer. O ataque, reivindicado pelo grupo de ransomware RansomHouse, foi detectado em 19 de outubro de 2025, quando a NEMS identificou acesso não autorizado a dados sensíveis, incluindo números de Seguro Social e informações médicas. Até o momento, a UnitedLayer não emitiu notificações sobre a violação, mas foi listada no site de vazamento de dados do RansomHouse. Este incidente é um dos maiores ataques a provedores de tecnologia nos EUA em 2025, destacando a vulnerabilidade de empresas que lidam com grandes volumes de dados. Em resposta, a NEMS está oferecendo monitoramento de crédito gratuito aos afetados. O RansomHouse, que opera sob um modelo de Ransomware-as-a-Service, já foi responsável por 15 ataques confirmados em 2025, afetando milhões de registros. A crescente incidência de ataques a provedores de software ressalta a necessidade de vigilância e proteção robusta contra ameaças cibernéticas.

A Catalyst RCM, uma empresa de faturamento médico, confirmou que notificou vítimas de uma violação de dados ocorrida em novembro de 2025, que comprometeu informações pessoais e médicas. Embora a Catalyst não tenha divulgado o número exato de notificações, um de seus clientes, a Vikor Scientific, informou que 139.964 pessoas foram afetadas, sugerindo que ambas as divulgações se referem ao mesmo incidente. Os dados comprometidos incluem nomes, informações de cartões de pagamento, tratamentos médicos, histórico médico, diagnósticos, informações de seguro de saúde e datas de nascimento.

A Advantest Corporation, uma líder global em equipamentos de teste para semicondutores, revelou que sua rede corporativa foi alvo de um ataque de ransomware, que pode ter comprometido dados de clientes e funcionários. A empresa, com sede em Tóquio e que emprega cerca de 7.600 pessoas, detectou atividades incomuns em seu ambiente de TI no dia 15 de fevereiro, levando à ativação de protocolos de resposta a incidentes, incluindo a contenção de sistemas afetados. Especialistas em cibersegurança foram contratados para ajudar na investigação e contenção da ameaça. Embora a empresa não tenha confirmado o roubo de dados até o momento, a situação pode evoluir à medida que a investigação avança. A Advantest se comprometeu a notificar diretamente qualquer pessoa impactada e fornecer orientações sobre medidas de proteção. O ataque ocorre em um contexto de aumento de ciberataques a empresas japonesas, incluindo casos notáveis como os de Nissan e Muji. A empresa continuará a atualizar o público sobre novos desenvolvimentos relacionados ao incidente.

Uma vulnerabilidade crítica, identificada como CVE-2026-1731, está sendo ativamente explorada por agentes maliciosos em produtos da BeyondTrust, como o Remote Support (RS) e o Privileged Remote Access (PRA). Com uma pontuação CVSS de 9.9, a falha permite que atacantes executem comandos do sistema operacional no contexto do usuário do site. Segundo um relatório da Palo Alto Networks, a exploração da vulnerabilidade tem sido utilizada para uma variedade de ações maliciosas, incluindo reconhecimento de rede, instalação de backdoors e ferramentas de gerenciamento remoto, além de roubo de dados. Os setores mais afetados incluem serviços financeiros, jurídicos, tecnologia, educação superior, varejo e saúde, com alvos localizados nos EUA, França, Alemanha, Austrália e Canadá. A falha é resultado de uma falha de sanitização em um script acessível via interface WebSocket, permitindo a injeção e execução de comandos shell arbitrários. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) atualizou seu catálogo de Vulnerabilidades Conhecidas para confirmar que a falha está sendo explorada em campanhas de ransomware. A relação entre CVE-2026-1731 e outra vulnerabilidade anterior destaca um problema recorrente de validação de entrada em diferentes caminhos de execução.