Ucrânia

Porta-voz do Anonymous Wild Hornets critica enxames de drones

O porta-voz do grupo Anonymous Wild Hornets descreveu os enxames de drones como ‘uma lenda divertida e um mecanismo de fraude’ enquanto defende a importância das impressoras 3D na guerra moderna. A empresa, que fabrica drones na Ucrânia, está expandindo seu uso de impressão 3D para reduzir custos e aumentar a produção. Utilizando impressoras de mesa FDM, como as da Bambu Lab e Elegoo, a Wild Hornets consegue produzir componentes plásticos de drones em grande volume, o que permite uma rápida iteração de design em resposta às táticas do inimigo. Além disso, a fabricação interna abrange também baterias e controladores de voo, diminuindo a dependência de fornecedores externos. Apesar do crescente interesse em inteligência artificial para drones, a empresa alerta que a implementação dessa tecnologia pode aumentar significativamente os custos. O porta-voz também expressou ceticismo sobre a viabilidade dos enxames de drones, afirmando que, por enquanto, eles não representam uma ameaça real. A Wild Hornets, que começou como uma iniciativa voluntária, agora produz cerca de 100 drones por dia e planeja focar em pesquisa e desenvolvimento após o término do conflito.

Grupo APT russo Gamaredon intensifica ataques cibernéticos à Ucrânia

O grupo russo de ameaças persistentes avançadas (APT) Gamaredon tem ampliado seu arsenal de malware e intensificado suas campanhas de spear-phishing contra a Ucrânia ao longo de 2025. A empresa de cibersegurança ESET identificou 35 campanhas distintas, com foco em instituições governamentais e militares ucranianas. O objetivo principal do grupo é a exfiltração de informações sensíveis que possam ser utilizadas para apoiar os interesses russos na guerra em curso. As campanhas utilizam anexos maliciosos e técnicas de HTML smuggling para implantar downloaders HTA, que, por sua vez, instalam outros malwares, como o PteroSand. Além disso, o grupo explorou uma vulnerabilidade no WinRAR (CVE-2025-8088) para garantir a persistência do malware. Gamaredon também introduziu novas ferramentas PowerShell e aumentou sua dependência de serviços de terceiros para ocultar sua infraestrutura. Apesar de uma pausa operacional em janeiro, o grupo continuou a desenvolver e atualizar suas ferramentas, utilizando serviços legítimos para exfiltração de dados. A evolução das táticas do Gamaredon destaca a necessidade de vigilância contínua e atualização das defesas cibernéticas, especialmente em um cenário de conflito ativo.

Serviço de Segurança da Ucrânia revela campanha de espionagem cibernética russa

O Serviço de Segurança da Ucrânia (SSU), em colaboração com o FBI, desvendou uma campanha de ciberespionagem de longa duração, atribuída a serviços de inteligência russos, que visava invadir contas de mensagens de oficiais do governo, militares, políticos e ativistas na Ucrânia, Europa e EUA. Os ataques cibernéticos sistemáticos tinham como objetivo roubar informações sensíveis, incluindo dados militares, políticos e econômicos. Os atacantes utilizavam mensagens SMS que se disfarçavam como suporte das plataformas de mensagens, induzindo os usuários a revelarem suas credenciais. O SSU alertou que as vítimas incluíam não apenas organizações e figuras públicas, mas também contas pessoais de cidadãos ucranianos. Embora a campanha não tenha sido atribuída a um grupo específico de hackers, ataques semelhantes direcionados a usuários do Signal e WhatsApp foram associados a grupos de ameaças russas. Para mitigar esses riscos, recomenda-se revisar periodicamente as sessões ativas dos aplicativos de mensagens, habilitar a autenticação de dois fatores e evitar interações com mensagens suspeitas. O FBI também identificou uma campanha de phishing em aplicativos de mensagens comerciais, visando alvos de alto valor para obter chaves de recuperação. Além disso, o CERT-UA atribuiu uma campanha de spear-phishing a um ator de ameaça alinhado à Bielorrússia, que utilizou contas comprometidas para disseminar um ladrão de informações chamado OYSTERBLUES.

Grupo GREYVIBE realiza ataques cibernéticos contra a Ucrânia

O grupo de ciberespionagem GREYVIBE, atribuído a atores de língua russa, tem realizado ataques persistentes contra a Ucrânia e entidades relacionadas desde agosto de 2025. De acordo com a WithSecure, a atividade do grupo está alinhada com os interesses do Estado russo, especialmente no contexto da guerra em curso entre Rússia e Ucrânia. GREYVIBE utiliza uma variedade de vetores de ataque, incluindo e-mails de spear-phishing, páginas falsas de captcha e sites fraudulentos de clubes adultos ucranianos para disseminar malware. Os alvos incluem organizações militares, governamentais e civis. O grupo também se destaca por utilizar inteligência artificial generativa para aprimorar suas operações, o que indica um nível de sofisticação moderado, embora com falhas de segurança operacional. As campanhas observadas incluem o uso de ferramentas como PhantomMail e PhantomRelay, que permitem acesso remoto e coleta de dados sensíveis. A conexão do GREYVIBE com o ecossistema de cibercrime russo sugere que seus membros podem ser ex-cibercriminosos, complicando a atribuição de suas atividades. A utilização de IA, embora traga vantagens, também introduziu falhas no design do malware, indicando que o grupo pode não ser totalmente estatal. Essa situação representa um desafio significativo para a segurança cibernética, especialmente para países como o Brasil, que podem ser afetados por táticas semelhantes.

Grupo de ameaças GreyVibe utiliza IA para ciberespionagem

O grupo de ameaças cibernéticas, identificado como GreyVibe, vinculado à Rússia, tem utilizado iscas geradas por inteligência artificial e um conjunto diversificado de ferramentas de malware para atacar entidades nos setores militar, governamental, civil e empresarial. A campanha de ciberespionagem, que está ativa desde pelo menos agosto de 2025, foca em organizações ucranianas ou relacionadas à Ucrânia. A pesquisa da empresa de cibersegurança WithSecure revelou que GreyVibe emprega várias cadeias de ataque, incluindo e-mails de spear-phishing com arquivos maliciosos, páginas falsas que imitam serviços populares e sites de namoro falsos que distribuem spyware. A utilização de ferramentas de IA, como ChatGPT, para criar conteúdo realista e detalhado para as iscas é um aspecto notável da operação. Embora a atividade do GreyVibe seja consistente com operações de estado-nação, a falta de sofisticação e disciplina operacional sugere que o grupo pode incluir atores cibercriminosos. As organizações podem se proteger utilizando os indicadores de compromisso (IoCs) fornecidos pela WithSecure.

Polícia Cibernética da Ucrânia identifica jovem por malware infostealer

A polícia cibernética da Ucrânia, em colaboração com autoridades dos EUA, identificou um homem de 18 anos de Odesa como suspeito de operar um malware infostealer que visava usuários de uma loja online na Califórnia. Entre 2024 e 2025, o suspeito utilizou malware para infectar dispositivos e roubar sessões de navegador e credenciais de contas. Os infostealers são conhecidos por coletar dados sensíveis, como senhas e informações de pagamento, que são enviados a cibercriminosos para roubo de contas e fraudes. Os ataques afetaram 28 mil contas de clientes, resultando em 5.800 compras não autorizadas que totalizaram cerca de 721 mil dólares. A operação causou perdas diretas de 250 mil dólares. A polícia informou que o suspeito gerenciava a infraestrutura online usada para processar e vender os dados roubados, além de realizar transações em criptomoedas com cúmplices. Embora as buscas tenham sido realizadas e dispositivos confiscados, ainda não houve prisão, indicando que as investigações continuam. O caso destaca a crescente ameaça de malware e a importância de medidas de segurança robustas para proteger dados sensíveis.

Polícia Ucraniana prende hackers que roubaram 610 mil contas do Roblox

A polícia da Ucrânia prendeu três indivíduos envolvidos em um esquema de hacking que comprometeu mais de 610 mil contas do jogo Roblox, resultando em um lucro de aproximadamente 225 mil dólares. As prisões ocorreram em Lviv, após a realização de dez buscas em locais relacionados aos suspeitos, onde foram apreendidos 35 mil dólares em dinheiro, 37 celulares, 11 computadores de mesa, sete laptops, cinco tablets e quatro pen drives. Embora a polícia não tenha especificado a plataforma de jogo inicialmente, o Escritório do Procurador Geral confirmou que as contas afetadas pertenciam ao Roblox. Os hackers, com idades entre 19 e 22 anos, utilizavam malware disfarçado de ferramenta de aprimoramento de jogos para roubar credenciais de login dos usuários. As contas roubadas eram categorizadas por valor e vendidas em um site russo e em comunidades online fechadas. Os acusados enfrentam penas de até 15 anos de prisão por roubo e interferência não autorizada em sistemas de TI. A investigação continua para identificar outros possíveis cúmplices e vítimas.

Campanha de phishing finge ser CERT-UA para distribuir malware na Ucrânia

O Computer Emergency Response Team da Ucrânia (CERT-UA) revelou uma nova campanha de phishing em que os atacantes se passaram pela própria agência para disseminar uma ferramenta de administração remota chamada AGEWHEEZE. Nos dias 26 e 27 de março de 2026, e-mails foram enviados a diversas organizações, incluindo instituições estatais e financeiras, com um arquivo ZIP protegido por senha, que supostamente continha um ‘software especializado’. O arquivo, intitulado ‘CERT_UA_protection_tool.zip’, na verdade, baixa um trojan de acesso remoto. O malware, desenvolvido em Go, se comunica com um servidor externo e permite uma série de operações maliciosas, como captura de tela e controle de processos. Embora a campanha tenha visado 1 milhão de caixas de entrada, o CERT-UA relatou que o impacto foi limitado, com poucos dispositivos infectados. A análise do site falso sugere que foi criado com ferramentas de inteligência artificial, e o grupo responsável, denominado Cyber Serp, afirma que não visa prejudicar cidadãos ucranianos. A situação destaca a crescente sofisticação das ameaças cibernéticas e a necessidade de vigilância contínua.

Grupo de hackers utiliza malware CANFAIL em ataques à Ucrânia

Um novo ator de ameaças, ainda não documentado, foi identificado em ataques direcionados a organizações ucranianas, utilizando um malware chamado CANFAIL. O Google Threat Intelligence Group (GTIG) sugere que esse grupo pode estar associado a serviços de inteligência russos e tem como alvos principais instituições de defesa, governo e energia na Ucrânia. Recentemente, o grupo ampliou seu foco para incluir organizações de aeroespacial, manufatura militar, e até mesmo empresas de pesquisa nuclear e química.

Ciberataques na Ucrânia Malware PLUGGYAPE e novas táticas russas

O Computer Emergency Response Team da Ucrânia (CERT-UA) revelou detalhes sobre uma série de ciberataques direcionados às suas forças de defesa, utilizando um malware chamado PLUGGYAPE entre outubro e dezembro de 2025. A atividade foi atribuída com média confiança a um grupo de hackers russo conhecido como Void Blizzard. Os ataques empregaram aplicativos de mensagens como Signal e WhatsApp, onde os invasores se disfarçaram de organizações de caridade para induzir as vítimas a clicarem em links maliciosos que levavam ao download de arquivos comprimidos protegidos por senha. Esses arquivos continham um executável criado com PyInstaller que, ao ser executado, implantava o PLUGGYAPE. Este malware, escrito em Python, estabelece comunicação com servidores remotos via WebSocket ou MQTT, permitindo que os operadores executem códigos arbitrários nas máquinas comprometidas. Além disso, os endereços de comando e controle (C2) são obtidos de serviços externos, o que aumenta a segurança operacional dos atacantes. O CERT-UA também destacou que a interação inicial com as vítimas está sendo realizada com contas legítimas e na língua ucraniana, demonstrando um conhecimento detalhado sobre os alvos. Essa situação evidencia a crescente utilização de mensageiros como vetores de entrega de ferramentas de ciberameaças, representando um risco significativo para a segurança cibernética na região.

Campanha de roubo de credenciais da APT28 mira usuários do UKR.net

O grupo de ameaças patrocinado pelo Estado russo, conhecido como APT28, está conduzindo uma campanha de roubo de credenciais direcionada a usuários do serviço de webmail e notícias UKR.net, popular na Ucrânia. Observada entre junho de 2024 e abril de 2025 pela Recorded Future, essa atividade se baseia em ataques anteriores que utilizavam malware e páginas de phishing. APT28, também conhecido como Fancy Bear, é associado ao GRU, a principal agência de inteligência militar da Rússia.

Instituições Ucranianas Alvo de Campanha Destrutiva de Malware

Um relatório da ESET revelou um aumento alarmante nas operações cibernéticas destrutivas contra a infraestrutura ucraniana, atribuídas ao grupo Sandworm, alinhado à Rússia. A campanha, que ocorreu entre abril e setembro de 2025, utilizou novas famílias de malware wiper, ZEROLOT e Sting, projetadas para causar interrupções em setores críticos como energia, logística e agricultura. Esses malwares sobrescrevem arquivos de sistema e dados, tornando as máquinas infectadas completamente inoperáveis. Os ataques foram frequentemente realizados através de anexos de spearphishing disfarçados de documentos financeiros legítimos, explorando canais de comunicação confiáveis entre parceiros da cadeia de suprimentos. A análise da ESET sugere que o objetivo principal era desestabilizar as exportações de grãos e a logística energética da Ucrânia, coincidindo com eventos de escalada regional. Além disso, a ESET observou uma colaboração entre diferentes grupos APT russos, indicando uma evolução preocupante na estratégia cibernética da Rússia, que agora combina espionagem com sabotagem econômica. As campanhas de Sandworm foram detectadas e mitigadas pela ESET em sua base de clientes, destacando a necessidade de vigilância contínua e medidas de proteção em resposta a essas ameaças.

Grupo de malware finge ser ESET em ataques de phishing na Ucrânia

Um novo grupo de ameaças, identificado como InedibleOchotense, foi observado realizando ataques de phishing que se disfarçam como a empresa de cibersegurança ESET, visando entidades ucranianas. A campanha, detectada em maio de 2025, utiliza e-mails e mensagens no Signal para enviar links para um instalador trojanizado da ESET. O e-mail, escrito em ucraniano, contém um erro de tradução que sugere uma origem russa. O instalador malicioso não apenas entrega o ESET AV Remover legítimo, mas também uma variante de um backdoor chamado Kalambur, que utiliza a rede Tor para controle remoto. Além disso, o grupo Sandworm, associado à Rússia, continua a realizar ataques destrutivos na Ucrânia, utilizando malware de limpeza de dados. Outro ator, RomCom, também explorou uma vulnerabilidade do WinRAR para realizar campanhas de phishing, visando setores financeiros e de defesa na Europa e Canadá. Esses incidentes destacam a crescente complexidade e a interconexão das ameaças cibernéticas na região, com implicações diretas para a segurança de dados e operações de empresas que utilizam tecnologias amplamente adotadas, como as da ESET.

Ciberataques russos visam organizações na Ucrânia para roubo de dados

Organizações na Ucrânia estão sendo alvo de ataques cibernéticos de origem russa, com o objetivo de roubar dados sensíveis e manter acesso persistente a redes comprometidas. Um relatório da equipe de Threat Hunter da Symantec e Carbon Black revelou que os ataques focaram uma grande organização de serviços empresariais por dois meses e uma entidade governamental local por uma semana. Os invasores utilizaram táticas de Living-off-the-Land (LotL) e ferramentas de uso duplo, minimizando o uso de malware para evitar detecções. Acesso inicial foi obtido através da implantação de web shells em servidores expostos, explorando vulnerabilidades não corrigidas. Um dos web shells, chamado Localolive, foi associado a um grupo de hackers conhecido como Sandworm, que já havia sido utilizado em campanhas anteriores. Os atacantes realizaram diversas ações, incluindo a execução de comandos PowerShell para manipular configurações do sistema e realizar reconhecimento. Embora a quantidade de malware utilizado tenha sido limitada, a atividade maliciosa foi predominantemente realizada com ferramentas legítimas, demonstrando um conhecimento profundo das ferramentas nativas do Windows. Este cenário destaca a crescente complexidade e sofisticação dos ataques cibernéticos, especialmente em contextos geopolíticos tensos.

Campanha de phishing PhantomCaptcha ataca organizações de ajuda à Ucrânia

Pesquisadores de cibersegurança revelaram uma campanha de spear-phishing chamada PhantomCaptcha, que visa organizações envolvidas em esforços de ajuda à Ucrânia. O ataque, ocorrido em 8 de outubro de 2025, afetou membros da Cruz Vermelha Internacional, do Conselho Norueguês para Refugiados, da UNICEF e administrações regionais ucranianas. Os e-mails de phishing se disfarçaram como comunicações do Escritório do Presidente da Ucrânia, contendo um PDF malicioso que redirecionava as vítimas para um site falso do Zoom. Ao clicar, os usuários eram induzidos a executar um comando PowerShell malicioso através de uma página falsa de verificação de navegador. O malware resultante, um trojan de acesso remoto (RAT) baseado em WebSocket, permite a execução de comandos remotos e exfiltração de dados. A infraestrutura do ataque foi registrada em março de 2025, demonstrando planejamento sofisticado. Embora não tenha sido atribuído a um grupo específico, a técnica utilizada tem semelhanças com ataques de grupos de hackers associados à Rússia. A campanha destaca a necessidade de vigilância contínua e medidas de segurança robustas para organizações que operam em contextos de crise.

Hackers russos usam inteligência artificial em ataques cibernéticos na Ucrânia

No primeiro semestre de 2025, hackers russos intensificaram o uso de inteligência artificial (IA) em ataques cibernéticos contra a Ucrânia, conforme relatado pelo Serviço Estatal de Comunicações Especiais e Proteção da Informação (SSSCIP). A agência registrou 3.018 incidentes cibernéticos, um aumento em relação aos 2.575 do segundo semestre de 2024. Os ataques incluem campanhas de phishing e o uso de malware gerado por IA, como o WRECKSTEEL, que visa a administração estatal e infraestrutura crítica. Além disso, grupos como UAC-0218 e UAC-0226 têm direcionado suas ações a forças de defesa e órgãos governamentais, utilizando táticas sofisticadas como arquivos RAR armadilhados e técnicas de engenharia social. O SSSCIP também observou a exploração de vulnerabilidades em softwares de webmail, permitindo ataques sem interação do usuário. A utilização de serviços legítimos como Dropbox e Google Drive para hospedar malware também tem crescido, evidenciando a adaptação dos atacantes às tecnologias disponíveis. O cenário de guerra híbrida se intensifica, com operações cibernéticas sincronizadas a ataques físicos no campo de batalha.

CERT-UA alerta sobre novos ataques cibernéticos na Ucrânia

O Computer Emergency Response Team da Ucrânia (CERT-UA) emitiu um alerta sobre novos ataques cibernéticos direcionados no país, utilizando um backdoor denominado CABINETRAT. A atividade, atribuída ao grupo de ameaças UAC-0245, foi detectada em setembro de 2025, após a descoberta de arquivos XLL, que são complementos do Microsoft Excel. Esses arquivos estão sendo distribuídos em arquivos ZIP pelo aplicativo de mensagens Signal, disfarçados como documentos relacionados à detenção de indivíduos na fronteira ucraniana.

Campanha de phishing usa SVGs para disseminar malware na Ucrânia

Uma nova campanha de phishing tem como alvo agências governamentais da Ucrânia, utilizando e-mails fraudulentos que imitam notificações da Polícia Nacional do país. Os ataques empregam arquivos SVG maliciosos que, ao serem abertos, iniciam o download de um arquivo ZIP protegido por senha, contendo um arquivo CHM. Esse arquivo, ao ser executado, ativa o CountLoader, que é usado para implantar o Amatera Stealer e o PureMiner, um minerador de criptomoedas. O Amatera Stealer coleta informações do sistema e dados de navegadores e aplicativos, enquanto o PureMiner opera de forma furtiva, utilizando técnicas de execução em memória. A campanha destaca a evolução das táticas de phishing, onde um simples arquivo SVG pode desencadear uma cadeia de infecções complexas. Além disso, a Fortinet observa que tanto o Amatera Stealer quanto o PureMiner são ameaças sem arquivo, o que dificulta a detecção por soluções tradicionais de segurança. Essa situação é um alerta para a crescente sofisticação dos ataques cibernéticos, especialmente em contextos de instabilidade política.