Ransomware

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma vulnerabilidade crítica no kernel do Linux, identificada como CVE-2024-1086. Essa falha, que se localiza no componente netfilter, permite que atacantes que já tenham acesso inicial a um sistema Linux elevem seus privilégios a nível root, concedendo controle total sobre a máquina comprometida. A vulnerabilidade é classificada como ‘use-after-free’, uma condição que ocorre quando um programa continua a usar um ponteiro de memória após a memória ter sido liberada, possibilitando a execução de código arbitrário. A exploração dessa falha tem sido utilizada em campanhas de ransomware, permitindo que operadores de ransomware criptografem arquivos em sistemas inteiros e realizem operações de exfiltração de dados. A CISA recomenda que todas as organizações realizem um inventário de seus sistemas Linux, priorizem a aplicação de patches e implementem controles compensatórios onde a correção imediata não for viável. A gravidade da situação exige atenção imediata de administradores de rede e defensores de sistemas, especialmente em ambientes empresariais e de infraestrutura crítica que dependem de sistemas baseados em Linux.

O grupo de ransomware Akira anunciou em 29 de outubro de 2025 que conseguiu invadir os sistemas do Apache OpenOffice, exfiltrando 23 gigabytes de dados corporativos sensíveis. Conhecido por suas táticas de dupla extorsão, o grupo ameaçou divulgar as informações caso um resgate não fosse pago. O Apache OpenOffice, uma ferramenta de produtividade de código aberto amplamente utilizada, não teve seus servidores de download comprometidos, garantindo a segurança das instalações dos usuários até o momento. Os dados supostamente roubados incluem registros pessoais de funcionários, como endereços, números de telefone, datas de nascimento, além de informações financeiras e documentos confidenciais internos. A Apache Software Foundation ainda não confirmou a violação, levantando dúvidas sobre a autenticidade dos dados. O incidente destaca os riscos crescentes enfrentados por organizações de software de código aberto, que frequentemente operam com recursos limitados de cibersegurança. A situação é um alerta para a necessidade de maior investimento em segurança cibernética para proteger infraestruturas digitais críticas.

O Berkeley Research Group (BRG) notificou 6.083 indivíduos sobre uma violação de dados ocorrida em fevereiro de 2025, que comprometeu informações sensíveis, incluindo números de Seguro Social, dados financeiros, informações médicas e identificações emitidas pelo governo. A violação foi resultado de um ataque de ransomware perpetrado pelo grupo Chaos, que exigiu um resgate não divulgado. O ataque ocorreu entre 28 de fevereiro e 2 de março de 2025, quando um ator não autorizado acessou brevemente os sistemas da BRG. O Departamento de Justiça dos EUA confirmou que a violação afetou sobreviventes de abusos sexuais por clérigos católicos. Para mitigar os danos, a BRG está oferecendo 24 meses de monitoramento de identidade gratuito através da Kroll. O grupo Chaos, ativo desde 2021, utiliza táticas de download automático e phishing, aplicando um esquema de dupla extorsão, onde exige pagamento tanto para destruir dados roubados quanto para restaurar sistemas infectados. Até agora, foram registrados 400 ataques de ransomware nos EUA em 2025, comprometendo 15,3 milhões de registros.

A OB-GYN Associates, uma clínica de saúde feminina em Reno, Nevada, confirmou que notificou 62.238 pessoas sobre um vazamento de dados ocorrido em agosto de 2025. O incidente comprometeu informações sensíveis, incluindo nomes, números de Seguro Social, números de carteira de motorista, informações médicas, números de contas bancárias e números de roteamento. O grupo de ransomware Inc reivindicou a responsabilidade pelo ataque em 27 de agosto de 2025, embora a clínica não tenha verificado essa alegação. O ataque foi detectado em 7 de agosto de 2025, e a investigação concluiu que um terceiro não autorizado acessou a rede da clínica, adquirindo informações pessoais dos pacientes. A clínica está oferecendo 12 meses de monitoramento de crédito gratuito para as vítimas. Este ataque é um dos maiores registrados em provedores de saúde neste ano, refletindo uma tendência alarmante de ataques de ransomware no setor de saúde dos EUA, que já contabilizou 71 ataques confirmados em 2025, comprometendo 7,6 milhões de registros. O grupo Inc, ativo desde julho de 2023, já reivindicou 129 ataques confirmados, com 49 deles direcionados a provedores de saúde.

O AdaptixC2, um framework de código aberto para comando e controle (C2), está sendo utilizado por um número crescente de atores de ameaças, incluindo grupos de ransomware ligados à Rússia. Desenvolvido inicialmente por um usuário do GitHub conhecido como ‘RalfHacker’, o AdaptixC2 é projetado para testes de penetração e oferece uma variedade de recursos, como comunicações criptografadas, execução de comandos e gerenciamento de credenciais. Desde sua liberação pública em agosto de 2024, o framework tem sido adotado por grupos de hackers, incluindo operações de ransomware como Fog e Akira. A Palo Alto Networks caracterizou o AdaptixC2 como um framework modular que permite controle abrangente de máquinas comprometidas. Apesar de ser uma ferramenta ética, sua popularidade entre cibercriminosos levanta preocupações. A empresa Silent Push iniciou uma investigação após a descrição de RalfHacker como ‘MalDev’, encontrando conexões com o submundo criminoso da Rússia. Embora não se saiba se RalfHacker está diretamente envolvido em atividades maliciosas, a utilização crescente do AdaptixC2 por atores de ameaças russos é um sinal de alerta significativo.

Nos primeiros nove meses de 2025, foram registrados 180 ataques cibernéticos no setor educacional, um aumento de 6% em relação ao mesmo período de 2024. Apesar desse crescimento, os últimos dois trimestres de 2025 mostraram uma diminuição significativa nos ataques, marcando a primeira queda desde o início do ano. Até agora, 63 ataques foram confirmados, resultando em 227.214 registros de dados comprometidos. Os ataques frequentemente causaram interrupções nas atividades escolares, com um impacto médio de 2,6 TB de dados roubados por ataque. Os grupos de ransomware mais ativos incluem Qilin, Fog e Interlock, sendo este último responsável pela maioria dos ataques confirmados. Os Estados Unidos lideram em número de ataques, seguidos pelo Reino Unido e França, que viu um aumento significativo nos incidentes. As demandas de resgate variam, com uma média de $444.400, e alguns casos extremos chegando a $1,5 milhão. A situação exige atenção especial dos líderes de segurança, especialmente em relação à proteção de dados e conformidade com a LGPD.

O grupo de ransomware Devman reivindicou um ataque cibernético ao Family Health West, um hospital e rede de clínicas médicas no Colorado, que resultou na paralisação de todos os sistemas eletrônicos da instituição. Embora a Family Health West tenha afirmado que não há evidências de perda ou criptografia de dados, o Devman alegou ter roubado 120 GB de informações e exigiu um resgate de $700.000, ameaçando divulgar os dados se a quantia não for paga em quatro dias. Este ataque marca a primeira vez que o Devman ataca uma empresa de saúde e também é seu primeiro alvo nos Estados Unidos. O grupo, que opera um modelo de ransomware como serviço, já atacou 41 organizações, com um resgate médio de $4,4 milhões. Em 2025, foram registrados 71 ataques de ransomware em instituições de saúde dos EUA, comprometendo mais de 7,5 milhões de registros. Os ataques a hospitais podem colocar em risco a saúde e a segurança dos pacientes, levando a interrupções nos serviços e à necessidade de recorrer a métodos manuais de atendimento.

Um estudo da Coveware revelou que apenas 23% das empresas vítimas de ataques de ransomware pagaram os resgates exigidos no terceiro trimestre de 2025, a menor taxa já registrada. Essa queda reflete uma mudança significativa na postura das organizações, que estão investindo mais em defesas contra ataques cibernéticos em vez de ceder às exigências dos criminosos. A média dos valores pagos também caiu drasticamente, com uma redução de 66% em relação ao trimestre anterior, totalizando US$ 376 mil. A evolução dos ataques de ransomware, que agora frequentemente incluem a exfiltração de dados, tem levado as empresas a reconsiderarem suas estratégias de pagamento. Especialistas apontam que cada pagamento evitado limita os recursos dos cibercriminosos, dificultando suas operações. Além disso, a conscientização sobre os riscos e a pressão regulatória têm contribuído para essa resistência crescente. As empresas estão adotando medidas de segurança mais robustas, como autenticação multifator e treinamento de funcionários, para prevenir ataques. A tendência é que os grupos de ransomware se tornem mais seletivos em seus alvos, focando em grandes corporações que possam pagar resgates elevados, enquanto tentam adaptar suas táticas para se manterem lucrativos.

O ator de ameaças conhecido como zeta88 está promovendo um novo programa de ransomware como serviço (RaaS) chamado Gentlemen’s, que visa ambientes empresariais em sistemas operacionais Windows, Linux e ESXi. Este RaaS se destaca por sua arquitetura modular e compatível com múltiplas plataformas, utilizando linguagens como Go e C para otimização de desempenho. O ransomware implementa chaves efêmeras por arquivo, dificultando a recuperação de dados e aumentando a complexidade da descriptografia. Além disso, o malware possui recursos avançados de segurança operacional, como modos de execução silenciosa e técnicas anti-forense para evitar detecções. O modelo econômico do programa permite que afiliados recebam 90% dos pagamentos de resgate, enquanto os operadores retêm apenas 10%, refletindo uma tendência crescente em operações de ransomware. A operação exclui alvos na Rússia e em países da CEI, focando em empresas da América do Norte, Europa e APAC. Para se proteger contra essa ameaça emergente, as organizações devem priorizar a implementação de soluções de EDR, segmentação de rede e fortalecimento da infraestrutura de backup.

O uso de inteligência artificial (IA) no cibercrime está crescendo rapidamente, com 80% dos ataques de ransomware em 2023-2024 utilizando essa tecnologia. Ferramentas como GhostGPT e AkiraBot estão permitindo que cibercriminosos criem códigos maliciosos, elaborem e-mails de phishing e contornem CAPTCHAs. A evolução dos ataques DDoS, especialmente os de camada de aplicação, se torna mais complexa, pois a IA pode mimetizar o comportamento humano, dificultando a identificação de bots. A proteção tradicional, baseada em CAPTCHAs, já não é eficaz. Em resposta, a filtragem baseada em intenção surge como uma alternativa, avaliando o comportamento do usuário em vez de tentar distinguir humanos de máquinas. As empresas precisam investir em plataformas de mitigação de DDoS que suportem essa nova abordagem e implementar monitoramento em múltiplas camadas para detectar anomalias. A falta de soluções adequadas entre os provedores de segurança gerencia um risco significativo, especialmente para grandes empresas, que podem sofrer danos reputacionais e financeiros severos em caso de ataques bem-sucedidos.

O grupo de ransomware Qilin reivindicou a responsabilidade por uma violação de dados que afetou a MedImpact Healthcare, uma gestora de benefícios farmacêuticos, no início de outubro de 2025. Em um comunicado, a MedImpact confirmou a detecção de ransomware em seus sistemas e informou que está trabalhando para restaurar os sistemas afetados em um novo ambiente seguro. Embora a empresa não tenha especificado quais dados foram comprometidos, Qilin alegou ter roubado 160 GB de informações, incluindo documentos de sua subsidiária Elixir Solutions. A MedImpact não confirmou a veracidade da alegação do grupo. O ataque é parte de uma tendência crescente de ataques de ransomware no setor de saúde dos EUA, que já registrou 12 incidentes confirmados em 2025, comprometendo cerca de 5,5 milhões de registros. O grupo Qilin, ativo desde 2022, é conhecido por sua abordagem de ransomware como serviço, onde afiliados pagam para usar seu malware. Este incidente destaca a vulnerabilidade das empresas de saúde e a necessidade de medidas robustas de cibersegurança.

O grupo de ransomware Akira assumiu a responsabilidade por uma violação de dados na BK Technologies, fabricante de dispositivos de comunicação sem fio, ocorrida em 20 de setembro de 2025. A empresa confirmou que um acesso não autorizado a seus sistemas foi realizado, resultando no roubo de 25 GB de dados, incluindo informações de funcionários, documentos contábeis e contratos confidenciais. Embora a Akira tenha listado a BK Technologies em seu site de vazamento de dados, a empresa ainda não confirmou a extensão dos dados comprometidos ou se pagará um resgate. O relatório da SEC indica que, após o incidente, alguns sistemas não críticos sofreram interrupções menores, mas a empresa acredita que o acesso não autorizado foi contido. Akira, que surgiu em março de 2023, já reivindicou 559 ataques de ransomware, afetando diversos setores, incluindo manufatura e saúde. O aumento de ataques a fabricantes nos EUA, como evidenciado por 50 incidentes confirmados em 2025, destaca a crescente ameaça de ransomware, que pode causar interrupções significativas nas operações e riscos de conformidade, especialmente em relação à LGPD no Brasil.

As escolas públicas de North Stonington, em Connecticut, notificaram alunos e funcionários sobre um vazamento de dados ocorrido em setembro de 2025, que comprometeu informações pessoais sensíveis. Os dados afetados incluem nomes, datas de nascimento, endereços, números de identificação de alunos, informações de saúde, registros acadêmicos e muito mais. Para os funcionários, os registros de emprego e arquivos pessoais também foram expostos, incluindo números de Seguro Social e informações de folha de pagamento. O grupo de ransomware Interlock reivindicou a responsabilidade pelo ataque, alegando ter roubado 3 TB de dados do distrito escolar. Embora a escola tenha detectado o incidente em 18 de setembro de 2025, ainda não se sabe quantas pessoas foram afetadas ou se um resgate foi pago. O distrito está oferecendo monitoramento de crédito gratuito para os afetados, com prazo de inscrição de 90 dias. Este incidente destaca a crescente ameaça de ataques de ransomware no setor educacional, que já registrou 39 ataques confirmados em 2025, afetando operações diárias e expondo dados sensíveis.

O grupo de ransomware conhecido como Qilin, também chamado de Agenda, Gold Feather e Water Galura, tem se mostrado extremamente ativo, reivindicando mais de 40 vítimas por mês desde o início de 2025, exceto em janeiro. Em junho, o número de casos postados em seu site de vazamento de dados atingiu 100. A operação de ransomware como serviço (RaaS) é responsável por 84 vítimas em agosto e setembro. Os ataques têm como alvo principalmente os setores de manufatura, serviços profissionais e científicos, e comércio atacadista, afetando países como EUA, Canadá, Reino Unido, França e Alemanha. Os atacantes utilizam credenciais administrativas vazadas para obter acesso inicial, seguido de conexões RDP e reconhecimento do sistema. Ferramentas como Mimikatz e Cyberduck são empregadas para coletar credenciais e transferir dados. O ransomware Qilin, por sua vez, criptografa arquivos e apaga cópias de sombra do Windows. Além disso, uma variante do ransomware para Linux foi descoberta, demonstrando a capacidade de afetar sistemas Windows e Linux simultaneamente. Os ataques também exploram ferramentas legítimas para contornar barreiras de segurança, destacando a necessidade de vigilância constante e medidas de mitigação eficazes.

O grupo de ransomware Agenda, também conhecido como Qilin, lançou uma nova variante que utiliza um ransomware baseado em Linux, capaz de operar em sistemas Windows. Essa abordagem representa uma escalada significativa nas operações de ataque multi-plataforma do grupo. Os atacantes empregaram ferramentas legítimas de TI, como Splashtop Remote e WinSCP, para entregar um payload Linux, contornando sistemas de segurança centrados em Windows. A campanha se aproveita de ferramentas de gerenciamento remoto e de transferência de arquivos para implantar ransomware em ambientes híbridos de forma discreta. Além disso, o grupo realizou uma coleta direcionada de credenciais contra a infraestrutura de backup da Veeam, desativando a recuperação e roubando tokens de backup antes de implantar o ransomware. A variante híbrida demonstrou consciência do hipervisor, detectando ambientes VMware ESXi e Nutanix AHV, e utilizou técnicas de Bring Your Own Vulnerable Driver (BYOVD) para neutralizar ferramentas de antivírus. Com mais de 700 organizações comprometidas em 62 países, incluindo setores críticos como manufatura, finanças e saúde, especialistas alertam as empresas a reforçarem os controles de acesso e monitorarem o uso de credenciais. A Trend Vision One™ já detecta e bloqueia os indicadores de comprometimento identificados.

O grupo de ransomware Qilin, baseado na Rússia, alcançou um marco alarmante ao reivindicar seu 700º ataque em 2025, superando o total de vítimas do ano anterior do grupo RansomHub. Desde sua aparição em 2022, Qilin ganhou notoriedade em 2023 e, em 2024, registrou 179 vítimas, número que quadruplicou neste ano. O modelo de negócios Ransomware-as-a-Service (RaaS) tem impulsionado sua atividade, especialmente após o desaparecimento do RansomHub, que levou seus afiliados a se unirem ao Qilin. Os principais alvos incluem setores críticos como manufatura, finanças, varejo, saúde e agências governamentais, onde a criptografia de sistemas e o roubo de dados podem causar grandes interrupções. Até agora, Qilin já comprometeu 788.377 registros e roubou 116 TB de dados. Os Estados Unidos são o país mais afetado, seguido por França, Canadá e Coreia do Sul. O aumento de ataques no setor educacional, com um crescimento de 420% em relação ao ano anterior, é particularmente preocupante, assim como os ataques a entidades governamentais, que subiram 344%. O impacto financeiro e a conformidade com a LGPD são preocupações significativas para as organizações brasileiras.

O grupo de ransomware Genesis reivindicou ataques a nove empresas nos Estados Unidos, incluindo Healthy Living Market & Café e River City Eye Care, que já relataram vazamentos de dados. O ataque a Healthy Living, ocorrido em setembro de 2025, comprometeu informações sensíveis como nomes, números de Seguro Social, dados de depósitos diretos e registros médicos. Já o ataque a River City Eye Care expôs nomes, números de telefone, datas de nascimento e informações de identificação de alguns pacientes. Genesis afirma ter roubado 400 GB de dados da Healthy Living e 200 GB da River City Eye. Embora as empresas não tenham confirmado as alegações do grupo, a situação destaca a crescente ameaça de ransomware nos EUA, com 381 ataques confirmados em 2025 até agora, afetando mais de 15,2 milhões de registros. O valor médio do resgate exigido é de aproximadamente $984,600. A falta de ofertas de monitoramento de crédito ou proteção contra roubo de identidade para as vítimas é uma preocupação adicional. O aumento de ataques de ransomware, especialmente em setores críticos como saúde e alimentação, levanta questões sobre a segurança cibernética e a proteção de dados pessoais.

Um novo e sofisticado kit de ferramentas de ransomware, chamado Monolock, foi identificado em fóruns da dark web, gerando preocupação nas comunidades de cibersegurança. Este ransomware é projetado para campanhas de ataque rápidas e automatizadas, apresentando capacidades técnicas avançadas. O Monolock oferece um pacote completo para operações de ransomware, incluindo módulos para automação de comando e controle, escalonamento de privilégios e técnicas de evasão persistente. Além disso, possui ferramentas para deletar cópias de sombra em sistemas-alvo, dificultando estratégias comuns de recuperação de desastres. O kit também conta com recursos anti-análise que evitam a execução em ambientes de segurança. Os operadores do Monolock estão recrutando afiliados com experiência em implantação de malware, oferecendo um programa de afiliados que inclui taxas de registro e uma divisão de lucros. A emergência do Monolock se alinha com a tendência de ransomware como serviço (RaaS), permitindo que grupos criminosos menores tenham acesso a ferramentas avançadas. Especialistas em segurança recomendam que as organizações monitorem indicadores de comprometimento relacionados ao Monolock e mantenham backups offline para se protegerem contra essa nova ameaça.

O avanço da inteligência artificial generativa tem transformado o cibercrime em uma economia paralela que movimenta anualmente cerca de US$ 10 trilhões, segundo Tania Cosentino, ex-presidente da Microsoft Brasil. Durante sua apresentação no CRM Zummit 2025, Cosentino destacou que a combinação de novas tecnologias, como a migração para a nuvem e o trabalho remoto, ampliou a superfície de ataque, tornando as empresas mais vulneráveis. Os hackers utilizam IA para aumentar a velocidade e a sofisticação de seus ataques, resultando em ameaças complexas, como ransomware e ataques a cadeias de suprimento. O tempo de resposta dos atacantes é alarmante, com a média de apenas 1 hora e 12 minutos para se mover lateralmente dentro de uma rede após o acesso inicial. O Brasil é um dos países mais atacados, especialmente em ransomware, devido à percepção de que os resgates são frequentemente pagos. Além disso, a falta de profissionais qualificados em cibersegurança e a disparidade entre regiões do país agravam a situação. A segurança cibernética não é apenas uma questão técnica, mas também um diferencial competitivo, pois 69% dos consumidores evitam empresas percebidas como inseguras.

Os ataques ClickFix, que envolvem a interação do usuário com scripts maliciosos no navegador, estão se tornando uma fonte crescente de violações de segurança. Esses ataques geralmente solicitam que os usuários resolvam um problema, como um CAPTCHA, mas na verdade induzem a execução de comandos maliciosos ao copiar código da página para o dispositivo do usuário. Grupos de ransomware, como o Interlock, têm utilizado essas táticas, que já estão ligadas a várias violações de dados em instituições como Kettering Health e Texas Tech University.

O Grupo Volkswagen confirmou que está investigando alegações do grupo de ransomware 8Base, que afirma ter roubado e vazado dados sensíveis da montadora alemã. Embora a empresa assegure que sua infraestrutura de TI principal permanece segura, a natureza vaga da resposta gerou preocupações sobre uma possível violação de dados de terceiros. O grupo 8Base, conhecido por suas táticas de extorsão dupla, alegou ter exfiltrado arquivos confidenciais em 23 de setembro de 2024, ameaçando divulgar os dados até 26 de setembro. Embora o prazo inicial tenha passado sem vazamentos, 8Base listou as informações roubadas em sua plataforma na dark web. Os dados comprometidos incluem faturas, documentos contábeis, arquivos pessoais de funcionários e contratos de trabalho. Se confirmada, essa violação pode expor informações financeiras e pessoais sensíveis em operações globais da Volkswagen, afetando marcas renomadas como Audi e Porsche. Especialistas em cibersegurança destacam a necessidade urgente de aprimorar a gestão de riscos de terceiros, uma vez que ataques modernos frequentemente exploram vulnerabilidades em parceiros da cadeia de suprimentos.

O relatório Digital Defense Report 2025 da Microsoft revela que a motivação financeira continua a dominar o cenário global de ameaças cibernéticas, com 52% dos ataques analisados relacionados a extorsão e ransomware. O documento, assinado pelo Chief Information Security Officer da Microsoft, Igor Tsyganskiy, destaca que 80% dos incidentes investigados estavam ligados ao roubo de dados, evidenciando que os cibercriminosos priorizam o lucro em vez da espionagem. A pesquisa também enfatiza o uso crescente de inteligência artificial (IA) em ciberataques, permitindo que até mesmo atores de baixo nível escalem operações maliciosas. A Microsoft processa mais de 100 trilhões de sinais de segurança diariamente, bloqueando cerca de 4,5 milhões de tentativas de malware e analisando 5 bilhões de e-mails para detectar phishing. A automação e a IA mudaram drasticamente a dinâmica dos ataques, com criminosos utilizando modelos de aprendizado de máquina para descobrir vulnerabilidades rapidamente e gerar malware polimórfico. O relatório também menciona o aumento das ameaças de atores estatais, especialmente da China, Irã, Rússia e Coreia do Norte, que estão explorando vulnerabilidades recém-divulgadas com rapidez. A Microsoft recomenda que as organizações integrem a segurança em suas estratégias de negócios e adotem modelos de defesa impulsionados por IA para enfrentar essas ameaças.

A Microsoft anunciou a revogação de mais de 200 certificados utilizados pelo grupo de cibercriminosos conhecido como Vanilla Tempest, que assina fraudulentamente binários maliciosos em ataques de ransomware. Esses certificados foram empregados em arquivos de instalação falsos do Microsoft Teams para entregar o backdoor Oyster e, por fim, implantar o ransomware Rhysida. A atividade foi detectada no final de setembro de 2025, e a Microsoft já atualizou suas soluções de segurança para sinalizar as assinaturas associadas a esses arquivos maliciosos. O grupo Vanilla Tempest, que opera desde julho de 2022, é conhecido por distribuir diversas variantes de ransomware, incluindo BlackCat e Quantum Locker. O backdoor Oyster é frequentemente disseminado por meio de instaladores trojanizados de softwares populares, utilizando domínios maliciosos que imitam sites legítimos. A Microsoft alerta que os usuários são frequentemente direcionados a esses sites por meio de técnicas de SEO, que manipulam resultados de busca. Para se proteger, é recomendado baixar softwares apenas de fontes verificadas e evitar clicar em links suspeitos.

A Capita, uma das maiores empresas de terceirização e serviços digitais do Reino Unido, foi multada em £14 milhões (cerca de R$ 90 milhões) pela Information Commissioner’s Office (ICO) devido a falhas de segurança que resultaram em um vazamento de dados. O incidente, ocorrido em 2023, comprometeu informações pessoais de mais de 6 milhões de pessoas, incluindo nomes, datas de nascimento, endereços e dados financeiros, como números de cartões e CVVs. A ICO destacou que a Capita não implementou medidas de segurança adequadas para prevenir a escalada de privilégios e o movimento lateral não autorizado em suas redes. Além disso, a resposta da empresa a alertas de segurança foi considerada ineficaz. Embora a Capita tenha inicialmente afirmado que não havia evidências de comprometimento de dados, posteriormente foi revelado que informações de funcionários, clientes e parceiros foram expostas. A multa representa uma redução significativa em relação à penalidade inicial proposta de £45 milhões, refletindo um acordo voluntário com o regulador. O caso ressalta a necessidade urgente de que todas as organizações adotem medidas proativas para proteger os dados pessoais sob sua responsabilidade.

O grupo de ransomware Qilin, conhecido por seu modelo de ransomware como serviço (RaaS), intensificou suas operações globais utilizando provedores de hospedagem à prova de balas (BPH) para ocultar suas atividades. De acordo com a Resecurity, a infraestrutura do Qilin abrange várias jurisdições, incluindo Rússia, Hong Kong, Chipre e Emirados Árabes Unidos, permitindo que o grupo evite a aplicação da lei e mantenha suas operações a longo prazo. Recentemente, o Qilin atacou o Asahi Group Holdings, a maior fabricante de bebidas do Japão, paralisando a produção em 30 fábricas. O grupo, que surgiu em meados de 2022, utiliza um modelo avançado de RaaS, onde seus afiliados executam ataques e retêm 80-85% do resgate. A infraestrutura do Qilin é sustentada por provedores de BPH que operam sem identificação de clientes, permitindo que dados roubados e servidores de comando e controle sejam hospedados de forma anônima. Até outubro de 2025, o Qilin já havia reivindicado mais de 50 novas vítimas, incluindo agências governamentais e cooperativas elétricas nos EUA. A dependência de redes BPH fantasmas demonstra como a infraestrutura de hospedagem anonimizada permite que grupos de ransomware prosperem fora do alcance da lei internacional.

Nos primeiros nove meses de 2025, pesquisadores da Comparitech registraram 276 ataques a organizações governamentais, um aumento de 41% em relação ao mesmo período de 2024. Desses, 147 ataques foram confirmados, com uma expectativa de que esse número cresça à medida que mais incidentes sejam verificados. Apesar do aumento geral, o número de ataques de ransomware a agências governamentais tem diminuído a cada trimestre desde o primeiro trimestre de 2025. No entanto, as empresas de serviços públicos não experimentaram essa mesma queda, com 10 ataques confirmados, sendo cinco deles nos últimos três meses. O ataque ao Lakehaven Water & Sewer District em setembro, reivindicado pelo grupo Qilin, exemplifica o impacto que esses incidentes podem ter nos serviços essenciais. Os ataques a organizações governamentais são frequentemente amplamente divulgados, o que aumenta a notoriedade dos grupos atacantes. O relatório também destaca que o grupo Qilin foi responsável pelo maior número de ataques confirmados, com 19 incidentes, e que os Estados Unidos lideram em termos de ataques, seguidos por Brasil e Canadá. O impacto financeiro médio das demandas de resgate foi de aproximadamente $1,95 milhão, com um aumento significativo nas exigências em alguns casos.

As autoridades do Condado de Grand Traverse, em Michigan, confirmaram a notificação de 782 pessoas sobre uma violação de dados ocorrida em junho de 2024, que comprometeu seus nomes e números de Seguro Social. O condado detectou atividades não autorizadas em sua rede e uma investigação forense digital de terceiros revelou que informações pessoais estavam em locais da rede que foram comprometidos. Notavelmente, a notificação aos afetados ocorreu mais de 15 meses após a violação, enquanto o tempo médio de notificação após uma violação de dados é de cerca de 4 meses. Até o momento, nenhum grupo de ransomware reivindicou a responsabilidade pelo ataque. O condado está oferecendo 12 meses de monitoramento de crédito gratuito através da Cyberscout para as vítimas, com um prazo de 90 dias para inscrição. Em 2024, pesquisadores registraram 95 ataques de ransomware confirmados a entidades governamentais nos EUA, comprometendo mais de 2,5 milhões de registros. Esses ataques podem não apenas roubar dados, mas também bloquear sistemas, exigindo resgates para a recuperação. O Condado de Grand Traverse, que abriga quase 100 mil pessoas, é o mais populoso do norte de Michigan.

A Microsoft anunciou a interrupção de uma campanha sofisticada de ciberataques liderada pelo grupo Vanilla Tempest, também conhecido como VICE SPIDER e Vice Society. A ação envolveu a revogação de mais de 200 certificados de assinatura de código obtidos fraudulentamente. A campanha, que começou em setembro de 2025, utilizou arquivos de instalação falsificados do Microsoft Teams para implantar um backdoor chamado Oyster e, posteriormente, o ransomware Rhysida. Os atacantes criaram sites que se passavam por portais oficiais de download do Teams, utilizando técnicas de SEO para atrair vítimas. Após a execução do instalador falso, o backdoor Oyster permitia acesso persistente aos sistemas comprometidos. A Microsoft agiu rapidamente para revogar os certificados, invalidando as chaves usadas nos arquivos de instalação e atualizando o Microsoft Defender para detectar as ameaças associadas. A ação ressalta a importância da gestão robusta de certificados e do compartilhamento de inteligência em tempo real, ajudando a proteger clientes globalmente e a estabelecer um precedente para a colaboração entre autoridades certificadoras e a comunidade de cibersegurança.

O grupo de ransomware Interlock reivindicou um ataque cibernético às escolas públicas de Kearney, em Nebraska, ocorrido na última sexta-feira. O ataque resultou no roubo de 354 GB de dados, incluindo informações pessoais e financeiras de alunos e seus familiares. Embora a escola tenha restaurado seus sistemas até segunda-feira, a veracidade das alegações do grupo não foi confirmada. A diretora de comunicações da escola, Tori Stofferson, afirmou que a investigação ainda está em andamento e que não houve solicitação de resgate. O superintendente, Dr. Jason Mundorf, mencionou que servidores de câmeras e de telefonia foram comprometidos, mas não se sabe se dados pessoais foram acessados. O Interlock é um grupo que começou a operar em outubro de 2024 e já reivindicou 32 ataques confirmados, sendo 11 direcionados a instituições educacionais. Os ataques de ransomware têm se tornado comuns nas escolas dos EUA, com 38 incidentes confirmados em 2025, comprometendo 184 mil registros. O impacto desses ataques pode ser severo, afetando operações diárias e expondo dados sensíveis a fraudes.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou a vulnerabilidade CVE-2025-6264 ao seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), alertando que operadores de ransomware estão explorando uma falha de permissões padrão no Velociraptor, uma ferramenta de forense de endpoints da Rapid7. Essa vulnerabilidade permite a execução de comandos arbitrários e a possível tomada de controle do endpoint, desde que o atacante já tenha acesso suficiente para coletar artefatos. A falha está relacionada a configurações de permissões incorretas, que podem ser utilizadas em estágios de movimento lateral em ataques de ransomware, onde os operadores convertem acessos limitados em controle total. A CISA recomenda que as organizações remedeiem a vulnerabilidade até 4 de novembro de 2025, aplicando as mitig ações do fornecedor e seguindo as diretrizes de BOD 22-01 para serviços em nuvem. A exploração ativa dessa vulnerabilidade foi observada em várias campanhas de ransomware, elevando a urgência para defensores do setor público e privado. As equipes de segurança devem verificar as permissões de implantação do Velociraptor, reforçar credenciais e aumentar a telemetria para detectar usos anômalos.

Um grande fabricante sofreu um ataque de ransomware devastador após a obtenção de credenciais VPN roubadas. O grupo cibercriminoso Ignoble Scorpius utilizou um ataque de phishing por voz para enganar um funcionário, que forneceu suas informações de login em um site falso. Com essas credenciais, os atacantes conseguiram acesso à rede e rapidamente elevaram seus privilégios, realizando um ataque DCSync para coletar credenciais administrativas adicionais.

Os invasores se moveram lateralmente pela rede, utilizando ferramentas como Advanced IP Scanner para mapear servidores valiosos e instalaram um Trojan de acesso remoto para garantir acesso contínuo. Eles comprometeram um segundo controlador de domínio, extraindo mais de 400 GB de dados sensíveis antes de implantar o ransomware BlackSuit, que criptografou centenas de máquinas virtuais, paralisando as operações da empresa.

O grupo de hackers Crimson Collective anunciou, no último sábado (11), que invadiu os servidores da Nintendo, alegando ter acessado arquivos confidenciais, incluindo materiais de produção e dados de desenvolvedores. A gigante japonesa, conhecida por sua rigorosa proteção de informações, não se pronunciou sobre o incidente, o que levanta dúvidas sobre a veracidade da alegação. O Crimson Collective também foi responsável por um ataque recente à Red Hat, onde roubaram cerca de 570 GB de dados e tentaram extorquir a empresa. A Red Hat optou por admitir o vazamento e colaborar com as autoridades, enquanto a Nintendo pode não se manifestar a menos que dados de clientes ou funcionários tenham sido comprometidos, o que exigiria uma divulgação legal. Se confirmada, a invasão pode indicar a prática de ransomware, uma técnica crescente em ataques cibernéticos, especialmente na indústria de jogos, que já enfrentou incidentes semelhantes, como os ataques à Rockstar e à Insomniac Games nos últimos anos. A situação destaca a vulnerabilidade das empresas de tecnologia e a necessidade de medidas de segurança robustas para proteger dados sensíveis.

No final de semana, o grupo de ransomware Obscura reivindicou um ataque cibernético ocorrido em setembro de 2025 contra Michigan City, Indiana. Em 9 de outubro de 2025, autoridades da cidade confirmaram que um ataque comprometeu dados municipais e interrompeu o acesso online e telefônico dos funcionários. Obscura afirmou ter roubado 450 GB de dados e que o prazo para pagamento do resgate já havia expirado. Embora a cidade não tenha confirmado a reivindicação do grupo, a situação está sob investigação policial, limitando as informações disponíveis ao público. O ataque é o primeiro reconhecido por Obscura, que também alegou ter atacado uma entidade governamental na Alemanha e uma loja de suprimentos na Irlanda. Os ataques de ransomware em entidades governamentais dos EUA têm aumentado, com 64 incidentes confirmados em 2025 até agora. Esses ataques podem resultar em perda de dados, interrupções em serviços essenciais e riscos de fraude para os cidadãos. A cidade de Michigan City, que abriga mais de 32.000 pessoas, está focada em restaurar seus sistemas de forma segura.

No final de semana, a SimonMed Imaging confirmou que 1.275.669 pessoas foram afetadas por uma violação de dados em janeiro de 2025, atribuída ao grupo de ransomware Medusa, que exigiu um resgate de US$ 1 milhão. Este incidente se torna a segunda maior violação de dados do ano no setor de saúde e a sexta em todos os setores. A SimonMed foi alertada por um de seus fornecedores sobre um incidente de segurança em 27 de janeiro, e, após uma revisão, identificou atividades suspeitas em sua rede no dia seguinte. Os dados comprometidos incluem informações pessoais e médicas, como nomes, endereços, números de registro médico e informações de seguro de saúde. Medusa reivindicou a responsabilidade pelo ataque e listou a SimonMed em seu site, exigindo o resgate. Até agora, 140 ataques confirmados do grupo resultaram na violação de mais de 4,5 milhões de registros, com um foco crescente em organizações de saúde. Em 2025, já foram registrados 65 ataques a provedores de saúde nos EUA, totalizando mais de 7,5 milhões de registros comprometidos. O ataque à SimonMed é o maior até agora, superando outros incidentes significativos no setor de saúde.

O cenário de cibersegurança continua a se deteriorar, com ataques cada vez mais sofisticados e coordenados. Um dos principais incidentes recentes envolve a exploração de uma falha crítica no Oracle E-Business Suite, afetando diversas organizações desde agosto de 2025. A falha, identificada como CVE-2025-61882, possui uma pontuação CVSS de 9.8 e foi utilizada por grupos como o Cl0p para exfiltrar dados sensíveis. Além disso, o grupo Storm-1175 explorou uma vulnerabilidade no GoAnywhere MFT, resultando em ataques em setores variados, como transporte e educação.

Pesquisadores de cibersegurança revelaram um novo backdoor baseado em Rust chamado ChaosBot, que permite a operadores realizar reconhecimento e executar comandos arbitrários em sistemas comprometidos. O malware foi detectado pela primeira vez em setembro de 2025 em um ambiente de serviços financeiros. Os atacantes utilizaram credenciais comprometidas de uma conta do Active Directory e do Cisco VPN para implantar o ChaosBot, que se comunica via Discord, utilizando perfis como ‘chaos_00019’ para emitir comandos. O malware também pode ser distribuído através de mensagens de phishing que contêm arquivos de atalho maliciosos. Uma vez instalado, o ChaosBot realiza reconhecimento do sistema e estabelece um proxy reverso para manter acesso persistente. Além disso, uma variante do ransomware Chaos, escrita em C++, foi identificada, introduzindo capacidades destrutivas que excluem arquivos em vez de criptografá-los, além de manipular o conteúdo da área de transferência para fraudes financeiras. Essa combinação de extorsão destrutiva e roubo financeiro torna o Chaos uma ameaça multifacetada e agressiva.

Recentemente, o grupo de ameaças Storm-2603, associado a ataques de ransomware, tem utilizado o Velociraptor, uma ferramenta de resposta a incidentes de código aberto, para comprometer sistemas. Os atacantes exploraram vulnerabilidades do SharePoint, conhecidas como ToolShell, para obter acesso inicial e implantar uma versão desatualizada do Velociraptor, que possui uma vulnerabilidade de escalonamento de privilégios (CVE-2025-6264). Durante os ataques, que ocorreram em agosto de 2025, os invasores tentaram criar contas de administrador de domínio e se mover lateralmente dentro da rede comprometida, utilizando ferramentas como Smbexec para executar programas remotamente. Além disso, modificaram objetos de política de grupo do Active Directory e desativaram a proteção em tempo real para evitar detecções. Este é o primeiro caso em que o Storm-2603 foi vinculado ao uso do ransomware Babuk, além dos já conhecidos Warlock e LockBit. A análise sugere que o grupo possui características de atores patrocinados por estados-nação, devido à sua organização e práticas de desenvolvimento sofisticadas. As implicações para a segurança cibernética são significativas, especialmente considerando a possibilidade de que esses métodos possam ser replicados em ambientes corporativos no Brasil.

A empresa de cibersegurança Huntress alertou sobre um comprometimento generalizado de dispositivos SonicWall SSL VPN, que permitiu o acesso a múltiplos ambientes de clientes. Os atacantes estão autenticando rapidamente em várias contas, sugerindo que possuem credenciais válidas, em vez de utilizar força bruta. Desde 4 de outubro de 2025, mais de 100 contas SonicWall em 16 clientes foram afetadas, com autenticações originadas do IP 202.155.8[.]73. Embora alguns atacantes tenham se desconectado rapidamente, outros realizaram atividades de varredura de rede e tentativas de acesso a contas locais do Windows. Este incidente segue a revelação de que arquivos de configuração de firewall armazenados em contas MySonicWall foram expostos de forma não autorizada, afetando todos os clientes que utilizam o serviço de backup em nuvem da SonicWall. A Huntress recomenda que as organizações redefinam suas credenciais e implementem autenticação multifator (MFA) para proteger suas contas administrativas e remotas. O aumento das atividades de ransomware, como a campanha Akira, que explora falhas conhecidas, destaca a importância de manter práticas de atualização de segurança rigorosas.

O grupo de ransomware Qilin reivindicou um ataque cibernético ao Uvalde Consolidated Independent School District, ocorrido entre 15 e 18 de setembro de 2025. Durante o ataque, as escolas do distrito foram fechadas devido à interrupção de serviços essenciais, como telefonia, ar-condicionado e câmeras de segurança. Embora o distrito tenha afirmado que não houve acesso não autorizado a dados sensíveis, Qilin alegou ter roubado informações pessoais de funcionários e alunos, além de dados financeiros. Para corroborar sua afirmação, o grupo publicou imagens de documentos que afirmam ter sido extraídos dos servidores do distrito. Até o momento, o Uvalde CISD não confirmou a veracidade das alegações do grupo. O Qilin é um grupo de ransomware que opera um modelo de ransomware como serviço, permitindo que afiliados utilizem seu malware para realizar ataques. Em 2025, foram confirmados 106 ataques atribuídos ao Qilin, com o grupo já tendo atacado diversas instituições educacionais nos Estados Unidos. Os ataques de ransomware têm se tornado cada vez mais comuns no setor educacional, com 34 incidentes confirmados em 2025, impactando operações diárias e colocando em risco a segurança de dados de alunos e funcionários.

Desde julho de 2025, operadores do ransomware Akira têm explorado dispositivos SonicWall SSL VPN, utilizando uma vulnerabilidade conhecida (CVE-2024-40766) que afeta versões do SonicOS. Essa falha, que foi divulgada e corrigida em agosto de 2024, permite acesso inadequado e tem sido utilizada para comprometer redes empresariais em diversos setores. A campanha inclui técnicas avançadas de coleta de credenciais e exfiltração de dados, com um ataque documentado em agosto de 2025 que resultou na transferência de aproximadamente 2 GB de dados sensíveis. Os atacantes utilizaram métodos sofisticados, como a técnica ‘UnPAC the hash’, para escalar privilégios dentro da rede. A Darktrace, empresa de segurança, conseguiu conter o ataque, mas a exploração contínua da vulnerabilidade destaca a importância de práticas de gerenciamento de patches atualizadas, especialmente para dispositivos que oferecem acesso remoto. O incidente ressalta a necessidade de vigilância constante e resposta rápida a ameaças cibernéticas, especialmente em um cenário onde a segurança de dados é crítica.

Em julho de 2025, Coös County Family Health Services confirmou que 40.185 pessoas tiveram seus dados comprometidos em um ataque cibernético. O grupo de ransomware Run Some Wares reivindicou a responsabilidade pelo ataque em agosto. A investigação revelou que, em 9 de julho, houve acesso não autorizado aos servidores, onde dados sensíveis, como datas de nascimento, informações de contato, números de Seguro Social e dados médicos, podem ter sido visualizados ou copiados. Embora Coös County não tenha confirmado a natureza do ataque, a organização está oferecendo monitoramento de crédito gratuito por 12 meses aos afetados. Este incidente se insere em um contexto mais amplo, onde o setor de saúde dos EUA já registrou 63 ataques confirmados em 2025, resultando em mais de 6,2 milhões de registros expostos. O ataque em Coös County é um exemplo claro do impacto devastador que os ataques de ransomware podem ter sobre instituições de saúde, tanto em termos de tempo de inatividade quanto na violação de dados. A situação é alarmante, especialmente considerando que o setor de saúde é um alvo frequente para esses tipos de ataques.

A Fortra divulgou os resultados de sua investigação sobre a vulnerabilidade CVE-2025-10035, uma falha crítica no GoAnywhere Managed File Transfer (MFT), que está sendo explorada ativamente desde pelo menos 11 de setembro de 2025. A investigação foi iniciada após um cliente relatar uma ‘potencial vulnerabilidade’, levando a Fortra a identificar atividades suspeitas relacionadas à falha. A empresa notificou clientes que tinham o console administrativo do GoAnywhere acessível na internet e também alertou as autoridades policiais. Um hotfix foi disponibilizado no dia seguinte, e versões completas com o patch foram lançadas em 15 de setembro. A Fortra destacou que o risco é limitado a clientes com o console administrativo exposto, mas admitiu que há relatos de atividades não autorizadas associadas à vulnerabilidade. A CVE-2025-10035 refere-se a uma vulnerabilidade de desserialização no License Servlet, que pode resultar em injeção de comandos sem autenticação. A Microsoft informou que um grupo de ameaças, identificado como Storm-1175, está explorando essa falha para implantar ransomware Medusa. A Fortra recomenda que os usuários restrinjam o acesso ao console administrativo pela internet e mantenham o software atualizado.

Pesquisadores de cibersegurança revelaram uma campanha ativa de malware chamada Stealit, que utiliza a funcionalidade Single Executable Application (SEA) do Node.js para distribuir seus payloads. De acordo com o Fortinet FortiGuard Labs, o malware é propagado por meio de instaladores falsos de jogos e aplicativos de VPN, frequentemente carregados em sites de compartilhamento de arquivos como Mediafire e Discord. A SEA permite que aplicações Node.js sejam empacotadas como executáveis independentes, facilitando a execução em sistemas sem o Node.js instalado.

Pesquisadores de segurança da SentinelLABS revelaram o MalTerminal, um novo malware que utiliza modelos de linguagem de grande escala (LLM) para gerar código de ransomware. Este executável para Windows, identificado após um ano de investigação, incorpora um endpoint da API de chat do OpenAI GPT-4, que foi descontinuado em novembro de 2023, indicando que o malware pode ter surgido entre o final de 2023 e o início de 2024. Os analistas desenvolveram regras YARA para detectar padrões de chaves de API exclusivas de provedores de LLM, encontrando mais de 7.000 amostras com mais de 6.000 chaves únicas. O MalTerminal se destaca como o primeiro exemplo conhecido de malware que gera lógica maliciosa dinamicamente em tempo de execução, emitindo um payload JSON estruturado para o endpoint GPT-4 e definindo seu papel como um especialista em cibersegurança. Embora não haja evidências de que o MalTerminal tenha sido implantado em ambientes reais, sua dependência de serviços comerciais de LLM e chaves de API válidas apresenta uma janela estreita para que os defensores aprimorem suas estratégias de detecção antes que arquiteturas mais resilientes sejam adotadas pelos adversários.

Um relatório recente do Google Threat Intelligence Group (GTIG) e da Mandiant revelou que dezenas de organizações podem ter sido impactadas pela exploração de uma falha de segurança zero-day no software Oracle E-Business Suite (EBS), identificada como CVE-2025-61882, com uma pontuação CVSS de 9.8. Desde 9 de agosto de 2025, a atividade maliciosa, associada ao grupo de ransomware Cl0p, utilizou múltiplas vulnerabilidades para invadir redes-alvo e exfiltrar dados sensíveis. A campanha de ataques começou em 29 de setembro de 2025, com um envio em massa de e-mails fraudulentos a executivos de empresas, alegando que suas aplicações Oracle EBS haviam sido comprometidas. Os atacantes exigiam resgates em troca de não vazamento das informações roubadas. A Oracle já lançou patches para corrigir a vulnerabilidade. Os ataques foram realizados utilizando técnicas como Server-Side Request Forgery (SSRF) e injeção de código, permitindo a execução remota de comandos. A complexidade e o investimento na campanha indicam um planejamento cuidadoso por parte dos atacantes, que podem estar associados ao grupo FIN11, conhecido por suas táticas de extorsão.

Pesquisadores da Cisco Talos confirmaram que operadores de ransomware estão explorando a ferramenta de resposta a incidentes e forense digital (DFIR) Velociraptor em ataques cibernéticos sofisticados. A atividade foi atribuída ao grupo de ameaças Storm-2603, suspeito de operar a partir da China, que ganhou notoriedade por explorar vulnerabilidades do SharePoint. Em agosto de 2025, o grupo lançou um ataque que utilizou várias variantes de ransomware, como Warlock, LockBit e Babuk, para criptografar máquinas virtuais VMware ESXi e servidores Windows.

A Strategic Retail Partners (SRP) confirmou que notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em fevereiro de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, identificações emitidas pelo estado e informações financeiras. O ataque foi reivindicado pelo grupo de ransomware Medusa, que alegou ter roubado 1,35 TB de dados e exigiu um resgate de 1,2 milhão de dólares. Após uma segunda invasão em março, Medusa exigiu um resgate adicional de 1 milhão de dólares, afirmando que a SRP não havia melhorado sua segurança. A empresa ofereceu 12 meses de monitoramento de crédito gratuito para as vítimas. O ataque à SRP é o primeiro do grupo direcionado a uma empresa de varejo, que já havia atacado outras organizações em setores diversos. A pesquisa da Comparitech registrou 17 ataques confirmados de ransomware a varejistas nos EUA em 2025, comprometendo mais de 110 mil registros. Os ataques de ransomware podem causar interrupções significativas nas operações comerciais, além de expor dados pessoais a riscos de fraude.

Nos primeiros nove meses de 2025, foram registrados 293 ataques de ransomware em hospitais e clínicas, além de 130 ataques a empresas do setor de saúde, como fabricantes de produtos médicos e provedores de tecnologia. Embora os ataques a prestadores de serviços de saúde tenham se mantido estáveis em relação a 2024, os ataques a empresas do setor aumentaram em 30%. O aumento da conscientização sobre a ameaça de ransomware, impulsionado por ataques de alto perfil, pode ter levado as organizações a melhorar suas defesas. Além disso, as empresas de saúde lidam com múltiplos prestadores, o que aumenta a vulnerabilidade a ataques. Os dados revelam que 7,4 milhões de registros foram comprometidos em ataques confirmados, com um pedido médio de resgate de cerca de $514.000. Os principais grupos de ransomware identificados foram INC, Qilin e SafePay. Os Estados Unidos lideram em número de ataques, seguidos por Austrália, Alemanha e Reino Unido. O relatório destaca a necessidade urgente de ações de segurança cibernética no setor, especialmente em relação a fornecedores terceirizados, que representam um novo vetor de ataque.

No terceiro trimestre de 2025, a atividade de ransomware atingiu níveis recordes, impulsionada pelo anúncio da plataforma RaaS (Ransomware as a Service) da Scattered Spider e o retorno do LockBit com a versão 5.0, que agora visa explicitamente a infraestrutura crítica. O número de sites ativos de vazamento de dados subiu para 81, com novos grupos emergindo em diversas regiões e setores, apesar do número total de organizações listadas permanecer estável em relação ao segundo trimestre. A Scattered Spider, conhecida por suas táticas de engenharia social, está se preparando para lançar sua plataforma ShinySp1d3r, prometendo uma integração eficiente de exfiltração de dados e criptografia de arquivos. Por outro lado, o LockBit 5.0 permite que seus afiliados ataquem infraestrutura crítica, refletindo uma mudança significativa em sua estratégia após ações de aplicação da lei. O setor de saúde e serviços técnicos viu um aumento nas exposições, enquanto setores como manufatura e construção enfrentaram quedas. A combinação de táticas de extorsão dupla e ataques a sistemas operacionais industriais representa uma ameaça crescente, exigindo que as organizações adotem medidas rigorosas de segurança, como segmentação de rede e monitoramento de sites de vazamento.

O Discord confirmou um vazamento de dados significativo após um ataque cibernético que comprometeu o ambiente de atendimento ao cliente da Zendesk, seu provedor de suporte terceirizado. Os atacantes, identificados como Scattered Lapsus$ Hunters (SLH), acessaram uma conta de agente de suporte e mantiveram o controle por 58 horas, durante as quais exfiltraram aproximadamente 1,5 terabytes de dados sensíveis. Embora os hackers tenham afirmado ter em mãos mais de 2 milhões de fotos de identificação, a investigação interna do Discord revelou que cerca de 70 mil imagens de identificação foram realmente expostas. Os dados roubados incluem nomes de usuários, endereços de e-mail, transcrições de mensagens de suporte e informações de pagamento limitadas. Após o incidente, o Discord revogou o acesso da Zendesk e notificou as autoridades competentes. O ataque destaca a vulnerabilidade das empresas em relação a ataques à cadeia de suprimentos, especialmente quando dependem de fornecedores com segurança menos robusta. O impacto total do vazamento ainda é incerto, mas o Discord se recusa a pagar o resgate exigido pelos atacantes e está monitorando a situação de perto.