Ransomware

O Instituto de Educação Culinária (ICE) notificou 33.342 pessoas sobre um vazamento de dados ocorrido em abril de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, datas de nascimento e números de registro de estrangeiros nos EUA. O grupo de ransomware Payouts King reivindicou a responsabilidade pelo ataque, alegando ter roubado 1,5 TB de dados. Embora o ICE tenha confirmado a violação, não há informações sobre o pagamento de resgates ou como os atacantes conseguiram acessar a rede da instituição. O ICE está oferecendo monitoramento de crédito gratuito para as vítimas afetadas. Este incidente é parte de uma tendência crescente de ataques de ransomware em instituições educacionais nos EUA, com 34 ataques confirmados em 2025, comprometendo mais de 183 mil registros. O ataque ao ICE é o terceiro maior em termos de registros comprometidos, atrás de incidentes em distritos escolares que notificaram mais de 46 mil e 35 mil pessoas, respectivamente. O ICE, fundado em 1975, possui campi em Nova York e Los Angeles.

Três grupos de ransomware, DragonForce, LockBit e Qilin, anunciaram uma nova aliança estratégica, destacando mudanças significativas no cenário de ameaças cibernéticas. Essa coalizão visa compartilhar técnicas, recursos e infraestrutura, aumentando a eficácia dos ataques. A parceria surge após o retorno do LockBit, que busca restaurar sua reputação após uma operação de repressão em 2024 que resultou na prisão de membros e na perda de infraestrutura. O grupo Qilin, que se tornou o mais ativo nos últimos meses, focou principalmente em organizações da América do Norte, com mais de 200 vítimas apenas no terceiro trimestre de 2025. A nova versão do LockBit, a 5.0, é capaz de atacar sistemas Windows, Linux e ESXi, o que pode aumentar o risco para setores críticos. Além disso, a aliança pode levar a um aumento nos ataques a infraestruturas críticas, ampliando a ameaça a setores antes considerados de baixo risco. O relatório também aponta um aumento nos ataques em países como Egito, Tailândia e Colômbia, sugerindo que os cibercriminosos estão se expandindo para evitar a repressão das autoridades. Com 1.429 incidentes de ransomware registrados no terceiro trimestre de 2025, a situação exige atenção redobrada das empresas, especialmente aquelas em setores vulneráveis.

Um ataque cibernético ao Discord, ocorrido em 20 de setembro, expôs dados pessoais e financeiros de usuários, incluindo nomes, e-mails e informações de pagamento. O incidente foi facilitado por uma falha em uma empresa terceirizada de suporte ao consumidor, possivelmente o Zendesk. Os hackers acessaram a fila de tickets de suporte, revelando detalhes sensíveis, como os últimos dígitos de cartões de crédito e até documentos como carteiras de motorista e passaportes. O Discord notificou os usuários afetados e revogou o acesso da empresa de suporte após identificar a vulnerabilidade. Embora o ataque tenha sido classificado como ransomware, com um pedido de resgate, a plataforma garantiu que dados completos de pagamento e senhas não foram comprometidos. O grupo hacker Scattered Lapsus$ Hunters inicialmente assumiu a responsabilidade, mas depois alegou que outros grupos estavam envolvidos. A investigação interna do Discord está em andamento para entender melhor a extensão do ataque e suas implicações.

Hackers estão explorando rapidamente bancos de dados expostos na nuvem e em SaaS utilizando técnicas “sem malware”, abusando de comandos legítimos e configurações inadequadas. As operações automatizadas evoluíram para campanhas de dupla extorsão, com MySQL e PostgreSQL sendo as plataformas mais visadas. Os ataques resultam na criação de notas de resgate em novas tabelas de banco de dados, pressionando as vítimas com ameaças de vazamento ou venda de dados roubados.

O grupo de ransomware Qilin reivindicou a responsabilidade por um ataque cibernético que resultou em uma violação de dados na Asahi Group Holdings, uma importante cervejaria japonesa. O incidente, que foi divulgado pela primeira vez em 29 de setembro de 2025, levou a empresa a suspender pedidos, remessas e serviços ao cliente. A Qilin afirma ter roubado 27 GB de arquivos, incluindo documentos financeiros, orçamentos, contratos e dados pessoais de funcionários. Embora a Asahi esteja investigando a extensão da violação, ainda não confirmou a veracidade das alegações da Qilin nem se pagará um resgate. O grupo Qilin, baseado na Rússia, é conhecido por suas táticas de phishing e opera um modelo de ransomware como serviço, permitindo que afiliados utilizem seu malware para realizar ataques. Este ataque é parte de uma tendência crescente de ataques de ransomware direcionados a fabricantes, que podem causar interrupções significativas nas operações e comprometer dados sensíveis. A Asahi, que possui marcas de cerveja globais, está enfrentando dificuldades operacionais devido a este incidente, que destaca a vulnerabilidade do setor a ataques cibernéticos.

Grupos de ransomware têm utilizado ferramentas de acesso remoto (RATs) legítimas, como AnyDesk e UltraViewer, para estabelecer pontos de acesso furtivos e evitar detecções. Ao abusar de versões gratuitas ou empresariais dessas ferramentas, os atacantes conseguem contornar controles de segurança tradicionais, aproveitando assinaturas digitais confiáveis e canais criptografados para manter a persistência e movimentar-se lateralmente na rede.

Após o acesso inicial, geralmente por meio de força bruta em RDP ou reutilização de credenciais, os operadores exploram serviços RAT pré-instalados. Técnicas como ‘sequestro’ de serviços e instalação silenciosa são comuns, permitindo que os atacantes evitem alertas de segurança. Uma vez que os serviços RAT estão ativos, eles escalam privilégios e manipulam políticas de segurança do Windows para excluir diretórios RAT de varreduras de antivírus.

O ransomware Yurei, identificado pela CYFIRMA em setembro de 2025, apresenta uma nova ameaça para ambientes Windows, utilizando técnicas sofisticadas de criptografia e anti-forense. Escrito em Go, o Yurei adiciona a extensão .Yurei a cada arquivo criptografado, utilizando uma chave/nonce única gerada pelo algoritmo ChaCha20. Antes de iniciar a criptografia, o malware executa comandos PowerShell para eliminar cópias de sombra e backups, dificultando a recuperação de dados. O Yurei se propaga furtivamente por drives removíveis e compartilhamentos SMB, copiando-se como WindowsUpdate.exe e System32_Backup.exe. Após a criptografia, uma nota de resgate é gerada, exigindo pagamento para a recuperação dos arquivos, com ameaças de divulgação de dados caso as exigências não sejam atendidas. A análise revela semelhanças com o projeto de ransomware Prince, mas com melhorias significativas em stealth e eficiência. Para mitigar os impactos do Yurei, as organizações devem implementar políticas de backup imutáveis, regras de EDR para detectar cabeçalhos de arquivos suspeitos e estabelecer planos de contenção rápidos.

Pesquisadores em cibersegurança analisaram a evolução do malware XWorm, que se tornou uma ferramenta versátil para diversas ações maliciosas em sistemas comprometidos. Com um design modular, XWorm é composto por um cliente central e plugins especializados que executam ações específicas, como roubo de dados, keylogging e operações de ransomware. Desde sua primeira observação em 2022, o malware, associado ao ator de ameaças EvilCoder, tem se espalhado principalmente por e-mails de phishing e sites fraudulentos. Recentemente, novas variantes, como o XWorm 6.0, foram identificadas, oferecendo funcionalidades adicionais e utilizando arquivos JavaScript maliciosos para injetar o malware em processos legítimos do Windows. A modularidade do XWorm permite que comandos sejam enviados de servidores externos, facilitando ações como ataques DDoS e manipulação de arquivos. Apesar de um aparente abandono por parte de seu desenvolvedor original, o malware continua a ser distribuído e atualizado, destacando a necessidade de medidas de segurança robustas para enfrentar essas ameaças em constante evolução.

O grupo de ransomware Cl0p está explorando uma vulnerabilidade crítica zero-day na Oracle E-Business Suite, identificada como CVE-2025-61882. Essa falha, localizada no componente de Integração do Business Intelligence Publisher, permite a execução remota de código sem autenticação, com uma pontuação máxima de 9.8 no CVSS, possibilitando a total comprometimento do sistema. A vulnerabilidade afeta versões amplamente utilizadas da Oracle EBS, entre 12.2.3 e 12.2.14, que são essenciais para operações empresariais como gestão de pedidos e finanças. A Oracle já lançou atualizações de segurança, mas as organizações precisam aplicar primeiro o Critical Patch Update de outubro de 2023. O Cl0p, ativo desde 2019, tem um histórico de exploração de zero-days e, nesta campanha, está focado na exfiltração de dados em vez da criptografia. As empresas devem realizar um inventário imediato dos endpoints expostos, confirmar a instalação das atualizações e monitorar logs e tráfego de rede para sinais de comprometimento. A situação é crítica, e a falta de ação pode resultar em sérias interrupções operacionais e vazamentos de dados.

A CrowdStrike atribuiu com confiança moderada a exploração de uma vulnerabilidade crítica no Oracle E-Business Suite ao grupo de ameaças conhecido como Graceful Spider (ou Cl0p). A falha, identificada como CVE-2025-61882, possui um escore CVSS de 9.8 e permite a execução remota de código sem autenticação. O primeiro registro de exploração ocorreu em 9 de agosto de 2025. A vulnerabilidade facilita ataques que podem levar à exfiltração de dados, com um canal no Telegram insinuando a colaboração entre diferentes grupos de ameaças. A exploração envolve uma série de requisições HTTP que permitem a execução de um template XSLT malicioso, resultando em conexões de saída para a infraestrutura controlada pelos atacantes. A CISA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas exploradas, alertando agências federais para aplicar correções até 27 de outubro de 2025. A CrowdStrike e a WatchTowr Labs destacam a complexidade do ataque, que combina múltiplas falhas para alcançar a execução remota de código pré-autenticada. O alerta é claro: empresas que utilizam o Oracle EBS devem agir rapidamente para mitigar riscos.

A Microsoft identificou um grupo de cibercriminosos, denominado Storm-1175, como responsável pela exploração de uma vulnerabilidade crítica no software Fortra GoAnywhere, que permitiu a implantação do ransomware Medusa. A falha, classificada como CVE-2025-10035, possui um escore CVSS de 10.0 e é um bug de desserialização que pode resultar em injeção de comandos sem necessidade de autenticação. A vulnerabilidade foi corrigida nas versões 7.8.4 e 7.6.3 do software. Desde 11 de setembro de 2025, o grupo tem explorado aplicações expostas ao público para obter acesso inicial, com indícios de exploração ativa desde pelo menos 10 de setembro. A exploração bem-sucedida dessa vulnerabilidade pode permitir que os atacantes realizem descobertas de sistema e usuário, mantenham acesso a longo prazo e implantem ferramentas adicionais para movimentação lateral e malware. A cadeia de ataque inclui a instalação de ferramentas de monitoramento remoto, como SimpleHelp e MeshAgent, e a criação de arquivos .jsp nos diretórios do GoAnywhere MFT. A Microsoft também observou o uso de Rclone para exfiltração de dados em pelo menos um ambiente afetado. A situação levanta preocupações sobre a transparência da Fortra em relação à segurança de seus produtos.

O grupo de ransomware Qilin reivindicou a responsabilidade por uma violação de dados ocorrida em setembro de 2025 nas escolas públicas do Condado de Mecklenburg, na Virgínia. O incidente foi notificado aos pais em 2 de setembro, levando a uma interrupção significativa nas atividades escolares, com professores utilizando métodos tradicionais de ensino devido à falta de acesso à internet. Qilin afirma ter roubado 305 GB de dados, incluindo relatórios financeiros, orçamentos e registros médicos de crianças, e publicou amostras desses documentos em seu site de vazamento. O superintendente das escolas, Scott Worner, confirmou a autoria do ataque, mas ressaltou que a verificação do que foi comprometido depende da conclusão da investigação pelas autoridades e pela seguradora da escola. O grupo tem um histórico de ataques a instituições educacionais, tendo realizado 103 ataques confirmados em 2025 até o momento. Worner alertou outras escolas sobre a inevitabilidade de ataques cibernéticos, enfatizando a importância de manter a cobertura de cibersegurança atualizada. O ataque destaca a vulnerabilidade do setor educacional, que frequentemente enfrenta dificuldades em relatar violações de dados e pode sofrer interrupções significativas em suas operações diárias.

O Programa de Educação Médica de Fort Wayne (FWMEP) notificou 29.485 pessoas sobre um vazamento de dados ocorrido em dezembro de 2024, que comprometeu informações pessoais de funcionários e seus dependentes. Os dados vazados incluem números de Seguro Social, identificações emitidas pelo estado, datas de nascimento, números de contas bancárias, informações de cartões de crédito e dados de saúde pessoal, como histórico médico e informações de faturamento. O grupo de ransomware Inc reivindicou a responsabilidade pelo ataque, alegando ter roubado 66 GB de dados do FWMEP. A investigação revelou que a atividade suspeita foi detectada entre 12 e 17 de dezembro de 2024. O FWMEP está oferecendo monitoramento de crédito gratuito e proteção contra roubo de identidade aos afetados, com prazo para inscrição até 2 de janeiro de 2026. O grupo Inc, ativo desde julho de 2023, já realizou 128 ataques confirmados, afetando diversos setores, incluindo educação e saúde. O aumento de ataques de ransomware em instituições educacionais nos EUA, com 83 incidentes registrados em 2024, destaca a gravidade da situação e a necessidade de medidas de segurança mais robustas.

O cenário de cibersegurança continua a evoluir rapidamente, com novos ataques e vulnerabilidades emergindo semanalmente. Um dos principais destaques é a exploração de uma falha zero-day na Oracle E-Business Suite, identificada como CVE-2025-61882, que permite que atacantes não autenticados comprometam o sistema e realizem roubo de dados. O grupo de ransomware Cl0p está por trás dessa exploração, utilizando múltiplas vulnerabilidades para atacar diversas vítimas.

Além disso, um ator de estado-nação chinês, conhecido como Phantom Taurus, tem direcionado suas operações de espionagem cibernética a entidades governamentais e militares na África, Oriente Médio e Ásia, utilizando ferramentas sofisticadas para comprometer sistemas de alto valor. No Brasil, uma nova variante de malware chamada SORVEPOTEL tem se espalhado via WhatsApp, utilizando mensagens de phishing para infectar usuários e propagar-se rapidamente entre contatos.

Um estudo recente da Veeam revelou que a eficácia do pagamento de resgates em ataques de ransomware está em declínio. Em 2024, apenas 32% das empresas que pagaram resgates conseguiram recuperar seus dados, uma queda significativa em relação aos 54% de 2023. Por outro lado, o número de organizações que conseguiram recuperar suas informações sem pagar o resgate mais que dobrou, passando de 14% para 30%. O aumento da frequência e da gravidade dos ataques de ransomware tem gerado perdas financeiras significativas, com custos de inatividade que podem chegar a £1 milhão por hora. Além disso, a pesquisa destaca que 63% das empresas não conseguem se recuperar de crises devido à falta de infraestrutura alternativa. O governo do Reino Unido também planeja proibir pagamentos de resgates por organizações do setor público e de infraestrutura crítica. A Veeam recomenda que as empresas invistam em sistemas de backup robustos e alternativas de infraestrutura para evitar a necessidade de pagar resgates, uma vez que os atacantes são considerados uma opção não confiável para a recuperação de dados.

A firma de contabilidade Sheheen, Hancock & Godwin confirmou que notificou mais de 34.000 pessoas sobre um vazamento de dados ocorrido em abril de 2025. As informações comprometidas incluem números de Seguro Social, documentos de identificação emitidos pelo governo, dados financeiros, datas de nascimento, informações médicas e de seguro saúde. A maioria das vítimas está localizada na Carolina do Sul, onde a empresa está baseada. O grupo de ransomware Lynx reivindicou a responsabilidade pelo ataque, alegando ter roubado 10 GB de dados e exigindo um pagamento em resgate até 25 de abril de 2025, sob a ameaça de publicar os dados roubados. Até o momento, a Sheheen, Hancock & Godwin não confirmou se pagou o resgate e não ofereceu monitoramento de crédito ou proteção contra roubo de identidade para as vítimas. Este incidente destaca a crescente ameaça de ataques de ransomware, especialmente no setor financeiro, que já registrou 26 ataques confirmados em 2025, comprometendo mais de 204.000 registros. Apesar de uma diminuição no número de ataques em relação ao ano anterior, a situação ainda é preocupante, exigindo atenção contínua das empresas para proteger seus dados e sistemas.

Em setembro de 2025, a Jaguar Land Rover sofreu um ataque cibernético severo que resultou em interrupções significativas em suas operações e produção. O governo do Reino Unido anunciou um empréstimo de £1,5 bilhões (aproximadamente R$ 10,7 bilhões) para ajudar a empresa a retomar suas atividades. O Secretário de Negócios, Peter Kyle, destacou que o ataque não apenas impactou a Jaguar, mas também afetou o setor automotivo britânico, que é vital para a economia local, empregando cerca de 154.000 pessoas. O grupo Scattered Lapsus$ Hunters reivindicou a autoria do ataque, que pode ter sido facilitado por uma vulnerabilidade explorada anteriormente pela gangue HellCat. A Jaguar Land Rover ficou quase um mês sem operar, resultando em perdas estimadas de £50 milhões (cerca de R$ 360 milhões) por semana. As autoridades britânicas já prenderam três membros da gangue envolvida, e a investigação continua para entender melhor as circunstâncias do ataque e suas consequências. O governo pode considerar um novo empréstimo para evitar a falência de fornecedores da Jaguar Land Rover, que são essenciais para a cadeia de produção.

Em 2025, os pesquisadores da Comparitech registraram 5.186 ataques de ransomware, um aumento de 36% em relação ao mesmo período do ano anterior. No terceiro trimestre, houve 1.517 ataques, com um crescimento de 6% em relação ao segundo trimestre. Embora os ataques a entidades governamentais e empresas de saúde tenham diminuído, os negócios, especialmente na indústria de manufatura, foram os mais atingidos, com um aumento de 11% nos ataques. Os grupos de ransomware mais ativos foram Qilin, Akira e INC, com Qilin liderando em ataques confirmados. O setor de saúde registrou 78 ataques, uma queda de 14%, enquanto o setor educacional manteve números semelhantes. O valor médio do resgate foi de $3,57 milhões, com o maior resgate exigido sendo de $15 milhões. Os ataques a fornecedores de tecnologia de terceiros também causaram grandes interrupções, destacando a necessidade de uma vigilância contínua e de medidas de segurança robustas. A crescente complexidade e o impacto dos ataques ressaltam a importância de uma resposta rápida e eficaz por parte das organizações.

O Google Mandiant e o Google Threat Intelligence Group (GTIG) estão monitorando uma nova atividade maliciosa possivelmente ligada ao grupo de cibercriminosos Cl0p, conhecido por suas motivações financeiras. Desde o dia 29 de setembro de 2025, executivos de diversas organizações têm recebido e-mails de extorsão, nos quais os criminosos alegam ter roubado dados sensíveis do Oracle E-Business Suite. Genevieve Stark, do GTIG, afirmou que a investigação ainda está em estágios iniciais e que as alegações do grupo não foram confirmadas. Charles Carmakal, CTO da Mandiant, descreveu a operação como uma “campanha de e-mail de alto volume” originada de contas comprometidas, algumas das quais estão ligadas ao grupo FIN11, que já atuava em ataques de ransomware desde 2020. Os e-mails maliciosos incluem informações de contato que foram verificadas como estando listadas no site de vazamento de dados do Cl0p, sugerindo uma associação com o grupo. Embora o Google não tenha evidências concretas para confirmar essas ligações, a similaridade nas táticas utilizadas em ataques anteriores do Cl0p levanta preocupações. A forma como os atacantes obtêm acesso inicial ainda não está clara, mas acredita-se que eles tenham comprometido e-mails de usuários e abusado da função de redefinição de senha do Oracle E-Business Suite. O grupo Cl0p é conhecido por explorar falhas em várias plataformas, comprometendo milhares de organizações nos últimos anos.

O cenário de cibersegurança se torna cada vez mais complexo, com ataques direcionados a diversas tecnologias, desde carros conectados até servidores em nuvem. Recentemente, observou-se um aumento significativo em tentativas de exploração da vulnerabilidade crítica CVE-2024-3400, que afeta firewalls PAN-OS, permitindo que atacantes não autenticados executem códigos maliciosos. Além disso, uma campanha sofisticada tem como alvo servidores Microsoft SQL mal gerenciados, utilizando o framework XiebroC2 para estabelecer acesso persistente. Por outro lado, a inteligência artificial está sendo utilizada para bloquear ataques de ransomware em tempo real, com o Google Drive implementando detecções automáticas que interrompem a sincronização de arquivos durante tentativas de ataque. Outro ponto crítico é a atuação do grupo UNC6040, que realiza campanhas de phishing por voz (vishing) para comprometer instâncias do Salesforce, manipulando usuários para autorizar aplicativos maliciosos. As implicações para a segurança de dados e conformidade com a LGPD são significativas, exigindo atenção redobrada das organizações.

A Motility Software Solutions, empresa de software para concessionárias de automóveis, notificou 766.670 pessoas sobre um vazamento de dados ocorrido em agosto de 2025. O incidente, atribuído ao grupo de ransomware PEAR, comprometeu informações sensíveis, incluindo números de Seguro Social, endereços de e-mail e números de carteira de motorista. O grupo PEAR reivindicou a responsabilidade pelo ataque, alegando ter roubado 4,3 TB de dados, e publicou imagens de documentos supostamente obtidos durante o ataque. Embora a Motility tenha detectado atividade suspeita em seus servidores em 19 de agosto de 2025 e tomado medidas para isolar o incidente, não está claro se a empresa pagou um resgate ou como os atacantes conseguiram acessar sua rede. A Motility está oferecendo 12 meses de monitoramento de crédito gratuito para as vítimas. O grupo PEAR, que se destacou por focar em roubo de dados sem criptografá-los, já reivindicou outros ataques, aumentando a preocupação com a segurança cibernética em empresas de tecnologia nos EUA.

O jornalista Joe Tidy, correspondente da seção de cibersegurança da BBC, recebeu uma proposta inusitada de um hacker que se identificou como Syn. Ele ofereceu 15% dos lucros de um resgate obtido em um ataque de ransomware à BBC, caso Tidy liberasse o acesso à sua conta corporativa. O caso destaca uma vulnerabilidade pouco discutida: a utilização de agentes internos para facilitar invasões. A comunicação ocorreu via Signal, um aplicativo de mensagens seguras, e foi precedida por um incidente em que um funcionário de TI no Brasil vendeu seu login a cibercriminosos, resultando em uma invasão que custou R$ 500 milhões à empresa. Tidy, que apenas buscava entender o golpe, foi alvo de tentativas de login e notificações de autenticação de dois fatores, uma técnica conhecida como MFA bombing. Após relatar o incidente à equipe de segurança da BBC, ele teve seus acessos revogados. Os hackers, que já atacaram mais de 300 vítimas, tentaram convencer Tidy de que não seriam descobertos, mas acabaram desistindo após dias sem resposta. O caso evidencia a necessidade de discutir as ameaças internas nas organizações, que podem ser tão perigosas quanto as externas.

A Trend Micro identificou uma nova variante do ransomware LockBit, chamada LockBit 5.0, que se mostra significativamente mais perigosa do que suas versões anteriores. Lançado em setembro de 2025, o LockBit 5.0 apresenta uma interface aprimorada e capacidades furtivas inovadoras, além de uma encriptação mais rápida. Os pesquisadores observaram que o ransomware agora possui versões para Windows, Linux e ESXi, o que representa uma escalada crítica nas suas capacidades, especialmente na virtualização VMWare. O novo vírus permite que os atacantes escolham quais pastas encriptar ou ignorar e oferece modos de operação como “invisível” e “verbal”. Além disso, o LockBit 5.0 utiliza técnicas de evasão, como a substituição de APIs, dificultando a detecção pelo Windows. O grupo responsável pelo ransomware também implementou um sistema de suporte via chat para negociação de resgates, complicando ainda mais a recuperação dos dados para as vítimas. A nova versão mantém a geolocalização para evitar ataques em regiões onde a língua russa é detectada, o que demonstra uma evolução nas táticas do grupo criminoso. Com a continuidade das operações do LockBit, mesmo após ações de autoridades em 2024, a ameaça se torna cada vez mais relevante para empresas em todo o mundo, incluindo o Brasil.

O grupo de ransomware Qilin reivindicou a responsabilidade por um ataque cibernético ao Lakehaven Water & Sewer District, em Washington, ocorrido em 3 de setembro de 2025. O ataque resultou em uma interrupção significativa no sistema de pagamento de contas do distrito. Em 25 de setembro, Qilin publicou amostras de documentos internos supostamente roubados, mas o Lakehaven não confirmou a veracidade da reivindicação. A investigação sobre o incidente está em andamento, e o distrito informou que não haverá interrupções nos serviços de água e esgoto, apesar das dificuldades no processamento de pagamentos. Qilin, que opera um modelo de ransomware como serviço, já atacou 134 organizações, incluindo 28 entidades governamentais em 2025. Os ataques de ransomware a serviços públicos nos EUA têm se intensificado, com 63 incidentes confirmados até agora neste ano. O impacto desses ataques pode incluir roubo de dados e paralisação de sistemas, colocando em risco a segurança dos clientes e a continuidade dos serviços. O Lakehaven atende cerca de 112.000 pessoas na região.

O GoAnywhere MFT, uma solução popular de transferência de arquivos gerenciada, apresenta uma vulnerabilidade crítica, identificada como CVE-2025-10035, que permite a injeção de comandos através do servlet de licença. Essa falha foi classificada com a severidade máxima de 10/10 e está sendo explorada ativamente por atacantes, conforme evidências credíveis encontradas pelos pesquisadores da WatchTowr Labs. A exploração da vulnerabilidade começou antes da divulgação pública, com registros de ataques datando de 10 de setembro de 2025, oito dias antes do aviso oficial da Fortra, empresa responsável pelo GoAnywhere. Para mitigar os riscos, os usuários são aconselhados a atualizar para a versão corrigida mais recente (7.8.4) ou a versão de Sustentação (7.6.3). Aqueles que não puderem aplicar o patch devem isolar o sistema do GoAnywhere da internet pública. A falha é especialmente preocupante, pois no início de 2023, um ataque semelhante resultou no roubo de dados de várias organizações, com o grupo de ransomware Cl0p reivindicando a responsabilidade. Portanto, a urgência em aplicar as correções é crítica para evitar possíveis brechas de segurança e vazamentos de dados.

O ransomware Akira está explorando a vulnerabilidade CVE-2024-40766 para acessar dispositivos VPN SSL da SonicWall, mesmo em contas que utilizam autenticação multifator (MFA). Pesquisadores de segurança, como os da Arctic Wolf Labs, relataram um aumento nos logins maliciosos em instâncias da SonicWall SSL VPN, sugerindo que os atacantes conseguiram comprometer as sementes de senhas de uso único (OTP), permitindo que contornassem as proteções de MFA. Apesar de a SonicWall ter lançado patches e recomendado a redefinição de credenciais, os ataques continuam a ocorrer. O Google identificou um grupo de ameaças, denominado UNC6148, que está utilizando credenciais e sementes de OTP roubadas em campanhas de ataque direcionadas a dispositivos SonicWall SMA 100, que estão fora de suporte. Isso levanta preocupações significativas sobre a eficácia das medidas de segurança implementadas, uma vez que os atacantes estão conseguindo autenticar-se em contas protegidas por MFA. A situação destaca a necessidade de vigilância contínua e de ações proativas para proteger as infraestruturas de TI contra essas ameaças emergentes.

A KNP Logistics, uma empresa britânica com 158 anos de história, faliu em junho de 2025 após ser vítima de um ataque de ransomware. O grupo Akira conseguiu acessar o sistema da empresa através de uma senha fraca de um funcionário que não utilizava autenticação em dois fatores. Os hackers apagaram todos os backups e sistemas de recuperação, exigindo um resgate de £5 milhões (cerca de R$ 35,6 milhões) para restaurar os dados. A KNP, que operava 500 caminhões e empregava 700 pessoas, não tinha recursos para pagar o resgate e, em poucas semanas, encerrou suas atividades, deixando os funcionários desempregados. Este incidente destaca a vulnerabilidade das empresas, mesmo as mais estabelecidas, a ataques cibernéticos, e a importância de implementar medidas de segurança robustas, como senhas fortes e autenticação multifatorial. Além disso, a falência da KNP Logistics ilustra o impacto devastador que um ataque cibernético pode ter não apenas na saúde financeira de uma empresa, mas também na comunidade que depende de seus serviços.

Um estudo da empresa de cibersegurança Resecurity revelou evidências de colaboração entre três grupos de cibercrime de língua inglesa: LAPSUS$, Scattered Spider e ShinyHunters. Esses grupos formam um ecossistema de crime cibernético adaptável, que tem como alvo corporações da Fortune 100 e agências governamentais entre 2023 e 2025. Em agosto de 2025, eles uniram forças em um canal do Telegram para coordenar ameaças e oferecer um novo serviço de ransomware chamado ‘shinysp1d3r’. A pesquisa indica que Scattered Spider fornece acesso inicial aos alvos, enquanto LAPSUS$ participa de campanhas coordenadas, incluindo ataques a ambientes da Salesforce e Snowflake. Os ataques recentes demonstraram táticas semelhantes entre os grupos, como engenharia social avançada e técnicas de SIM swapping. Entre as vítimas estão grandes companhias aéreas e marcas de luxo, com impactos financeiros significativos. Além disso, há preocupações sobre a violação de sistemas de aplicação da lei, o que representa uma escalada nas ações contra os grupos. Apesar de anunciarem sua ‘aposentadoria’, a Resecurity acredita que eles continuam a operar de forma discreta, exigindo atenção contínua das empresas em relação a essas ameaças emergentes.

O grupo de ameaças persistentes avançadas (APT) russo conhecido como COLDRIVER, também chamado de Callisto, Star Blizzard e UNC4057, está por trás de uma nova onda de ataques do tipo ClickFix, que visa entregar duas novas famílias de malware, BAITSWITCH e SIMPLEFIX. Detectada pelo Zscaler ThreatLabz, a campanha multiestágio utiliza BAITSWITCH como um downloader que, por sua vez, instala o backdoor PowerShell SIMPLEFIX. Os ataques têm como alvo uma variedade de setores, especialmente organizações não governamentais e defensores dos direitos humanos, refletindo a estratégia do grupo de focar em membros da sociedade civil conectados à Rússia. A técnica ClickFix, que envolve enganar usuários para executar comandos maliciosos sob a aparência de completar verificações CAPTCHA, continua a ser uma via de infecção eficaz. Além disso, a Kaspersky relatou uma nova campanha de phishing focada em empresas russas, realizada pelo grupo BO Team, que utiliza arquivos RAR protegidos por senha para distribuir backdoors. Outro grupo, Bearlyfy, tem se destacado por ataques de ransomware, inicialmente visando pequenas empresas antes de escalar para alvos maiores. Esses desenvolvimentos ressaltam a crescente sofisticação e a diversidade das ameaças cibernéticas direcionadas à Rússia e seus aliados.

A nova versão 5.0 do ransomware LockBit representa um avanço significativo em suas operações de ransomware como serviço (RaaS). Pela primeira vez, o LockBit oferece binários totalmente suportados para Windows, diversas distribuições Linux e hipervisores VMware ESXi, permitindo que atacantes comprometam simultaneamente endpoints, servidores e hosts de virtualização. Essa capacidade de ataque multiplataforma reduz drasticamente o tempo de impacto, afetando tanto as camadas de produção quanto de virtualização. Após a desarticulação da infraestrutura do LockBit em fevereiro de 2024, seus afiliados rapidamente migraram para novos canais de comando e controle, demonstrando resiliência e inovação. A versão 5.0 introduz técnicas avançadas de evasão e criptografia, como execução em memória e rotinas de criptografia paralela, dificultando a resposta a incidentes e a recuperação baseada em backups. Para se proteger contra essa ameaça, as organizações devem adotar uma estratégia de defesa em profundidade, que inclua segmentação de rede, controles de acesso, proteção de endpoints e servidores, segurança de hipervisores e rigor na recuperação de dados.

Na última quarta-feira (25), a Agência Nacional de Crimes do Reino Unido (NCA) prendeu um homem de aproximadamente 40 anos, suspeito de estar envolvido na invasão aos sistemas da Collins Aerospace, que ocorreu na semana anterior. O ataque, identificado como ransomware, causou o cancelamento e atraso de voos em diversos aeroportos europeus, incluindo os de Bruxelas, Berlim, Cork, Dublin e Heathrow. O software MUSE, utilizado para unificar check-in e marcação de bagagens, foi diretamente afetado, resultando em perturbações significativas nas operações aéreas. O delegado-chefe Paul Foster destacou que, embora a prisão seja um passo positivo, a investigação ainda está em estágios iniciais e o cibercrime continua a ser uma ameaça global. Até o momento, não foram encontradas ligações com grupos hackers conhecidos. O homem foi liberado sob fiança condicional enquanto as investigações prosseguem.

As autoridades de Union County, Ohio, confirmaram um incidente de cibersegurança que afetou 45.487 pessoas devido a uma violação de dados ocorrida entre 6 e 18 de maio de 2025. O ataque, classificado como um sequestro de dados (ransomware), resultou no comprometimento de informações sensíveis, incluindo números de Seguro Social, dados de cartões de pagamento, informações financeiras, impressões digitais, dados médicos e números de identificação emitidos pelo estado, como carteiras de motorista e passaportes. Embora o grupo responsável pelo ataque ainda não tenha se manifestado publicamente, a investigação revelou que os criminosos acessaram a rede do condado durante um período de 12 dias. Union County está oferecendo monitoramento de identidade gratuito e um seguro contra roubo de identidade de até US$ 1 milhão para as vítimas afetadas, com prazo para inscrição até 31 de dezembro de 2025. Este incidente é um dos maiores vazamentos de dados de 2025, destacando a crescente ameaça de ataques de ransomware a entidades governamentais nos Estados Unidos, que já registraram 61 ataques confirmados até o momento, comprometendo mais de 431.000 registros.

O Volvo Group anunciou um vazamento de dados resultante de um ataque de ransomware direcionado à Miljödata, seu fornecedor de software de recursos humanos. O ataque, que criptografou sistemas críticos e interrompeu os serviços de gestão de RH, foi detectado em 23 de agosto, quando alertas de tráfego de rede irregular levaram a uma investigação. A análise forense realizada até 2 de setembro confirmou que os atacantes conseguiram exfiltrar arquivos contendo nomes e números de Seguro Social de funcionários da operação norte-americana da Volvo. Embora a infraestrutura de TI da Volvo não tenha sido comprometida, o incidente levanta preocupações sobre a segurança de fornecedores terceirizados. Para mitigar os riscos de roubo de identidade, a Volvo está oferecendo um serviço de proteção à identidade aos funcionários afetados. A empresa também está revisando seus procedimentos de gestão de fornecedores, implementando avaliações de risco mais rigorosas e atualizando contratos para reforçar a segurança. Este incidente destaca a crescente vulnerabilidade de ecossistemas de terceiros a ataques cibernéticos.

O ransomware BQTLOCK, identificado recentemente, opera sob o modelo Ransomware-as-a-Service (RaaS) desde julho de 2025. Associado ao grupo hacktivista pro-Palestina Liwaa Mohammed, o malware utiliza uma metodologia de dupla extorsão, exigindo pagamentos que variam de 13 a 40 XMR (aproximadamente R$ 18.000 a R$ 54.000). Os atacantes impõem um prazo de 48 horas para que as vítimas entrem em contato, com a ameaça de dobrar o valor do resgate se não houver resposta. Após sete dias, as chaves de descriptografia são excluídas permanentemente, e os dados roubados são vendidos em um site controlado pelos criminosos.

O grupo de ransomware Qilin adicionou a cidade de Waxhaw, na Carolina do Norte, ao seu site de vazamento de dados após alegadamente roubar 619 GB de informações. Em um comunicado emitido em 14 de setembro de 2025, a cidade confirmou que sofreu um ataque cibernético na madrugada de 12 de setembro, que causou ‘irregularidades’ nos sistemas, mas garantiu que os serviços de emergência permaneceram operacionais. Embora a cidade tenha reconhecido que os criminosos conseguiram acessar alguns servidores, não houve confirmação de que dados pessoais foram comprometidos. O Qilin, que opera desde agosto de 2022 e já reivindicou 130 ataques confirmados, utiliza e-mails de phishing para disseminar seu ransomware. Este ataque é parte de uma onda crescente de ataques a organizações governamentais nos EUA, com 61 incidentes confirmados em 2025, destacando a vulnerabilidade do setor público a tais ameaças. A cidade de Waxhaw, que abriga cerca de 21.700 habitantes, continua suas operações normais, embora alguns serviços possam ser afetados.

O Madison Elementary School District 38, localizado em Phoenix, Arizona, notificou cerca de 35 mil pessoas sobre uma violação de dados resultante de um ataque de ransomware realizado pelo grupo Interlock em abril de 2025. O ataque, que ocorreu em 7 de abril, foi facilitado por engenharia social, onde um funcionário da escola foi enganado. Embora a escola não tenha especificado quais dados foram comprometidos, a oferta de serviços de proteção de identidade sugere que informações sensíveis, como números de Seguro Social e dados financeiros, podem estar envolvidas. O grupo Interlock, ativo desde outubro de 2024, já realizou 29 ataques confirmados, sendo nove deles em instituições educacionais nos EUA. O ataque à Madison é o segundo maior em termos de registros afetados, com mais de 150 mil registros comprometidos em ataques confirmados no setor educacional dos EUA em 2025. A escola contratou a Arete para investigar a extensão da violação, que custou mais de 21 mil dólares. Até o momento, não está claro se um resgate foi exigido ou pago.

O grupo de ransomware Rhysida reivindicou a responsabilidade por um incidente de segurança cibernética que afetou a Administração de Trânsito de Maryland (MTA) em agosto de 2025. O ataque resultou em acesso não autorizado aos sistemas da MTA, causando a perda de dados e interrupções nos serviços de paratransito. Rhysida exigiu um resgate de 30 bitcoins, equivalente a aproximadamente 3,4 milhões de dólares, e publicou imagens de documentos supostamente roubados, incluindo cartões de Seguro Social e passaportes. A MTA confirmou a perda de dados, mas não divulgou detalhes específicos devido à sensibilidade da investigação em andamento. Até o momento, não está claro quantas pessoas foram afetadas ou se o resgate será pago. Rhysida, que opera um modelo de ransomware como serviço, já realizou 91 ataques confirmados desde sua fundação em 2023, comprometendo cerca de 5,5 milhões de registros. Este incidente destaca a crescente ameaça de ataques de ransomware a entidades governamentais nos Estados Unidos, com 59 ataques confirmados em 2025, afetando mais de 386 mil registros.

As autoridades do Reino Unido prenderam um homem suspeito de ser o responsável por um ataque de ransomware que afetou operações em aeroportos europeus, incluindo o Heathrow, em Londres. A prisão ocorreu na terça-feira, em West Sussex, e o suspeito foi liberado sob fiança enquanto a investigação prossegue. O ataque, que atingiu os sistemas de manuseio de bagagens e check-in da Collins Aerospace, causou atrasos e cancelamentos de voos em aeroportos como Heathrow, Bruxelas, Dublin e Berlim. A empresa, que fornece software para várias companhias aéreas, teve que recorrer a processos manuais, resultando em grandes transtornos para os passageiros. O ataque foi confirmado como um caso de ransomware, onde arquivos críticos foram criptografados e um pagamento em criptomoeda foi exigido para a recuperação. A situação destaca a crescente vulnerabilidade do setor de aviação a ataques cibernéticos, com um aumento de 600% nos ataques contra entidades do setor no último ano. Especialistas pedem uma maior colaboração entre aeroportos, reguladores e fornecedores de software para mitigar riscos futuros.

O caso da KNP Logistics Group, que operou por 158 anos, ilustra a fragilidade da segurança cibernética em empresas, mesmo as mais estabelecidas. Em junho de 2025, a empresa foi alvo do grupo de ransomware Akira, que acessou seus sistemas ao adivinhar uma senha fraca de um funcionário. A falta de autenticação multifatorial (MFA) permitiu que os hackers se infiltrassem facilmente, criptografando dados críticos e destruindo backups, resultando em uma demanda de resgate de £5 milhões. Apesar de ter seguro contra ataques cibernéticos e conformidade com normas de TI, a KNP não conseguiu se recuperar e acabou entrando em administração, resultando na demissão de 700 funcionários. O incidente destaca a importância de políticas de senhas robustas e da implementação de MFA, além de um plano de recuperação de desastres eficaz. Com 19.000 empresas no Reino Unido atacadas por ransomware no último ano, a situação é alarmante e exige atenção urgente das organizações para evitar consequências devastadoras.

Recentemente, a Marks & Spencer (M&S), uma grande varejista do Reino Unido, sofreu um ataque de ransomware que paralisou seus sistemas internos e impediu que funcionários acessassem arquivos críticos. Este incidente destaca as falhas nas estratégias de backup das empresas, que poderiam ter evitado a criptografia ou exclusão de dados se os backups estivessem isolados. A HyperBUNKER, uma startup de Zagreb, propõe uma solução inovadora com seu cofre offline baseado em tecnologia de diodo, que cria um canal unidirecional para backups, mantendo-os desconectados de redes externas. Embora essa abordagem tenha se mostrado eficaz em ambientes militares e nucleares, sua implementação em empresas comuns levanta questões sobre custo e praticidade. A HyperBUNKER afirma que sua tecnologia evita vulnerabilidades associadas a protocolos de rede, mas a eficácia depende de manuseio cuidadoso e locais seguros. Apesar das promessas, a adoção de soluções de armazenamento offline pode ser vista como um ônus financeiro adicional para empresas que já utilizam múltiplas soluções de backup. As empresas devem avaliar se os custos e riscos de roubo físico superam os benefícios de proteção oferecidos por essa nova tecnologia.

O Zloader, também conhecido como Terdot, DELoader ou Silent Night, ressurgiu como um sofisticado trojan de acesso inicial, fornecendo aos operadores de ransomware uma forma discreta de invadir redes corporativas após quase dois anos de inatividade. Originado do código do trojan bancário Zeus em 2015, as novas versões 2.11.6.0 e 2.13.7.0 apresentam camadas de ofuscação aprimoradas e medidas anti-análise robustas, além de protocolos de rede refinados para evitar sistemas de detecção modernos.

Um ciberataque afetou o sistema de check-in e etiquetagem de bagagens em vários aeroportos da Europa, incluindo Alemanha, Irlanda, Países Baixos e Reino Unido, desde a última sexta-feira (19). O ataque comprometeu o software MUSE, da Collins Aerospace, que é amplamente utilizado para gerenciar o check-in de passageiros. Como resultado, muitos voos foram atrasados ou cancelados, e passageiros enfrentaram longas filas e dificuldades no atendimento. No Aeroporto de Bruxelas, por exemplo, o check-in foi realizado manualmente, com informações anotadas à mão. Embora não haja evidências de que dados pessoais dos passageiros tenham sido roubados, as investigações estão em andamento. A Agência de Cibersegurança da União Europeia sugere que o ataque pode ter sido um ransomware, possivelmente ligado a hackers financiados por estados estrangeiros. Profissionais de cibersegurança alertam que a infraestrutura aeroportuária está cada vez mais vulnerável a tais ataques, o que levanta preocupações sobre a segurança de sistemas críticos de transporte. O impacto do incidente se estendeu até a manhã de segunda-feira (22), afetando a operação de diversos aeroportos europeus.

O grupo de ransomware Kawa4096, que surgiu em junho de 2025, rapidamente ganhou notoriedade ao atacar multinacionais em diversos setores, incluindo finanças, educação e serviços, nos Estados Unidos e Japão. Diferente de outros grupos que se concentram em setores específicos, Kawa4096 não demonstra preferência industrial, o que aumenta seu alcance e potencial de dano. O grupo utiliza um modelo de dupla extorsão, onde os dados das vítimas são não apenas criptografados, mas também ameaçados de divulgação caso o resgate não seja pago.

Recentemente, um novo vetor de ataque tem sido explorado por cibercriminosos, que abusam do Oracle Database Scheduler, um serviço que executa tarefas programadas em servidores de banco de dados Oracle. Os atacantes conseguiram obter acesso remoto ao sistema ao tentar logins repetidamente até conseguir autenticar-se com privilégios SYSDBA, permitindo controle total sobre as operações do banco de dados. Após a infiltração, utilizaram a capacidade do scheduler para executar trabalhos externos, como o processo extjobo.exe, que permite a execução remota de comandos com privilégios elevados. Isso possibilitou a execução de scripts de reconhecimento e o download de cargas úteis de sua infraestrutura de comando e controle (C2). Além disso, os atacantes implementaram túneis criptografados usando Ngrok para manter o acesso sem serem detectados, criando arquivos de configuração que expunham portas de desktop remoto. Durante o movimento lateral, eles escalaram privilégios e implantaram ransomware, que criptografou dados da empresa e deixou notas de resgate. Este incidente destaca a vulnerabilidade crítica do Oracle DBS Job Scheduler, especialmente quando combinado com separação de privilégios fraca e monitoramento insuficiente das atividades agendadas. Para mitigar esses riscos, é essencial que as empresas priorizem a segmentação de rede e monitorem atividades suspeitas no scheduler.

No final de agosto de 2025, o escritório do Procurador Geral da Pensilvânia (PA AG) anunciou que sofreu um ataque de ransomware em 11 de agosto, que impediu o acesso de funcionários a e-mails arquivados, arquivos e sistemas internos. O grupo de ransomware Inc reivindicou a responsabilidade pelo ataque em 20 de setembro, alegando ter roubado 5,7 TB de dados, incluindo documentos do escritório. A PA AG não confirmou a reivindicação, mas afirmou que se recusou a pagar o resgate e notificou indivíduos cujas informações podem ter sido comprometidas. O Procurador Geral, Dave Sunday, declarou que a situação testou a equipe, mas que estão comprometidos em proteger os cidadãos da Pensilvânia. O ataque é parte de uma tendência crescente de ataques de ransomware a entidades governamentais, com 58 ataques confirmados em 2025, sendo 11 apenas em agosto. O grupo Inc, ativo desde julho de 2023, utiliza técnicas como phishing direcionado e exploração de vulnerabilidades conhecidas para realizar seus ataques, afetando setores como saúde, educação e governo.

O cenário de cibersegurança está em constante evolução, com atacantes adaptando suas táticas rapidamente, muitas vezes em questão de horas. Um exemplo recente é a vulnerabilidade zero-day CVE-2025-10585 no navegador Chrome, que já está sendo explorada ativamente. Essa falha, relacionada ao motor V8 do JavaScript, é a sexta vulnerabilidade desse tipo descoberta em 2025. Além disso, um novo ferramenta de pen testing chamada Villager, que já alcançou 11.000 downloads, levanta preocupações sobre seu uso indevido por cibercriminosos. Pesquisadores também descobriram uma nova técnica de ataque chamada Phoenix, que explora falhas em módulos de memória DDR5. As prisões de membros do grupo Scattered Spider, envolvidos em ataques de ransomware, destacam a crescente atividade de grupos de hackers. Por fim, a colaboração entre grupos de hackers russos, como Turla e Gamaredon, para atacar a Ucrânia, evidencia a complexidade das ameaças atuais. Este artigo destaca a importância de se manter atualizado sobre as vulnerabilidades e as táticas dos atacantes para proteger as infraestruturas digitais.

O ransomware BlackLock, uma ameaça sofisticada que opera em múltiplas plataformas, foi identificado como um risco significativo para organizações que utilizam sistemas Windows, Linux e VMware ESXi. Desenvolvido na linguagem Go, BlackLock possui um design modular e um modelo de Ransomware-as-a-Service (RaaS), permitindo que seus operadores personalizem ataques de acordo com as necessidades. Desde sua primeira aparição em junho de 2024, o grupo por trás do ransomware, inicialmente chamado El Dorado, rebatizou-se como BlackLock em setembro do mesmo ano. O ransomware é capaz de criptografar arquivos em diferentes sistemas, utilizando rotinas avançadas de criptografia, como o algoritmo ChaCha20, e técnicas de troca de chaves como o ECDH para proteger os metadados. Após a criptografia, o BlackLock apaga cópias de sombra e limpa a lixeira para dificultar a recuperação dos dados. O grupo tem como alvo setores variados, incluindo instituições públicas, educação, transporte e manufatura, com operações registradas nos EUA, Coreia do Sul e Japão. Dada sua capacidade de afetar ambientes críticos, as equipes de segurança devem adotar estratégias rigorosas de backup e proteção de endpoints para mitigar os riscos associados a esse ransomware.

O SpamGPT é uma nova ferramenta de cibercrime que utiliza inteligência artificial para automatizar campanhas de phishing e ransomware, tornando esses ataques mais simples e eficientes. Desenvolvido para criminosos, o SpamGPT oferece uma interface semelhante a painéis de marketing legítimos, permitindo que até mesmo indivíduos com pouca experiência técnica possam criar, agendar e monitorar operações de spam em larga escala. A plataforma integra ferramentas de IA que geram conteúdo convincente para phishing, otimizam linhas de assunto e sugerem melhorias para os golpes, transformando o phishing em um processo acessível a criminosos de baixo nível.

Em um recente encontro em São Paulo, Sandra Joyce, VP de Inteligência de Ameaças do Google, destacou que o Brasil se tornou um alvo atrativo para criminosos digitais devido ao seu ambiente financeiro em crescimento e à digitalização. O relatório M-Trends 2025 revelou que o setor financeiro foi o mais atacado globalmente em 2024, representando 17,4% dos incidentes. Os três principais tipos de ataques identificados no Brasil incluem ransomware, malware e golpes financeiros. O ransomware, que sequestra dados e exige resgates, afeta especialmente hospitais. Já o malware, como infostealers, rouba credenciais e informações pessoais, que são vendidas em mercados clandestinos. Além disso, fraudes financeiras relacionadas a bancos e criptomoedas estão em alta. Sandra enfatizou a importância de práticas de segurança, como autenticação multifator e atualizações rápidas de software, para mitigar riscos. O Google também está intensificando a segurança no Android, bloqueando aplicativos de desenvolvedores não confiáveis, uma medida crucial para proteger os usuários brasileiros, que são frequentemente alvos de aplicativos fraudulentos. A vigilância constante e a adoção de soluções de segurança modernas são essenciais para enfrentar essas ameaças.

Duas prisões foram realizadas no Reino Unido, incluindo a de Thalha Jubair, de 19 anos, acusado de participar de uma operação de ransomware que resultou em mais de 115 milhões de dólares em pagamentos de resgate. O grupo Scattered Spider, do qual Jubair faz parte, é responsável por pelo menos 120 invasões em redes de computadores em todo o mundo, afetando 47 entidades nos Estados Unidos, incluindo empresas Fortune 500 e sistemas de infraestrutura crítica. Os ataques foram caracterizados pelo uso de técnicas de engenharia social para obter acesso não autorizado e criptografar sistemas, exigindo resgates substanciais para restaurar a funcionalidade. As autoridades destacaram a colaboração internacional entre agências de segurança, incluindo o FBI e a National Crime Agency do Reino Unido, que resultou na apreensão de mais de 36 milhões de dólares em criptomoedas ligadas aos ataques. Se condenado, Jubair pode enfrentar até 95 anos de prisão. Este caso ressalta a crescente ameaça de cibercriminosos e a necessidade de uma resposta coordenada entre países para combater o crime cibernético.