No dia 29 de janeiro de 2026, o Google anunciou a desarticulação da IPIDEA, uma das maiores redes de proxies residenciais do mundo, em colaboração com parceiros. A empresa tomou medidas legais para derrubar diversos domínios utilizados para controlar dispositivos e redirecionar tráfego. A IPIDEA, que afirmava ter mais de 6,1 milhões de endereços IP atualizados diariamente, foi usada por mais de 550 grupos de ameaças globais, incluindo cibercriminosos e grupos de espionagem. Os atacantes utilizavam essa infraestrutura para ocultar suas atividades maliciosas, infiltrando-se em ambientes corporativos. O malware que transforma dispositivos de consumidores em pontos de proxy estava disfarçado em aplicativos e jogos, especialmente em dispositivos Android. Além disso, a IPIDEA também oferecia aplicativos que prometiam recompensas financeiras aos usuários por permitir o uso de sua largura de banda não utilizada. O Google atualizou o Google Play Protect para alertar os usuários sobre aplicativos com código da IPIDEA, removendo automaticamente as ameaças em dispositivos Android certificados. Essa ação é crucial para mitigar os riscos associados a redes de proxies residenciais, que oferecem cobertura para atividades ilegais.

A SolarWinds divulgou atualizações de segurança para corrigir várias vulnerabilidades críticas em seu software Web Help Desk, incluindo quatro falhas que podem permitir a execução remota de código (RCE) e a bypass de autenticação. As vulnerabilidades, identificadas como CVE-2025-40536 a CVE-2025-40554, variam em severidade, com algumas apresentando pontuações CVSS de até 9.8, indicando um risco elevado. Entre as falhas, destacam-se a deserialização de dados não confiáveis, que pode permitir que atacantes não autenticados executem comandos no sistema alvo. A descoberta dessas vulnerabilidades foi creditada a especialistas de segurança, e a SolarWinds já lançou a versão WHD 2026.1 para mitigar os riscos. A empresa tem um histórico recente de correções de segurança, e a urgência em atualizar para a versão mais recente é enfatizada, dado que falhas anteriores foram exploradas ativamente. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) já havia incluído vulnerabilidades anteriores da SolarWinds em seu catálogo de Exploits Conhecidos, reforçando a necessidade de atenção imediata por parte dos usuários do software.

No final de dezembro, um ataque coordenado à rede elétrica da Polônia comprometeu múltiplos locais de recursos energéticos distribuídos (DER), incluindo instalações de cogeração e sistemas de energia solar e eólica. Apesar de danificar equipamentos operacionais de forma irreparável, o ataque não resultou em interrupções no fornecimento de energia, afetando apenas 5% da capacidade total do país. Pesquisadores da Dragos, empresa especializada em segurança de infraestrutura industrial, identificaram pelo menos 12 locais afetados, embora estimem que o número real seja próximo de 30. O ataque, atribuído com confiança moderada a um ator de ameaça russo conhecido como Electrum, destacou a vulnerabilidade dos sistemas de energia descentralizados, especialmente em períodos críticos como o inverno. Os atacantes demonstraram profundo conhecimento técnico, comprometendo equipamentos de comunicação e sistemas de controle, mas não conseguiram causar um apagão nacional. No entanto, a possibilidade de desestabilização da frequência do sistema permanece, o que poderia levar a falhas em cascata, como já ocorreu em outros incidentes. Este evento serve como um alerta sobre a segurança das infraestruturas críticas em um contexto global cada vez mais ameaçado.

O grupo de cibercriminosos conhecido como TA584 tem intensificado suas operações, utilizando o malware Tsundere Bot em conjunto com o trojan de acesso remoto XWorm para obter acesso a redes, potencialmente levando a ataques de ransomware. Desde 2020, pesquisadores da Proofpoint monitoram as atividades do TA584, que recentemente triplicou o volume de suas campanhas, expandindo seu foco além da América do Norte e Reino Unido para incluir países europeus e Austrália. O Tsundere Bot, documentado pela Kaspersky, é uma plataforma de malware como serviço que permite coleta de informações, exfiltração de dados e movimentação lateral na rede. O ataque começa com e-mails enviados de contas comprometidas, que direcionam os alvos a páginas CAPTCHA e ClickFix, onde são instruídos a executar um comando PowerShell que carrega o malware. O Tsundere Bot se comunica com servidores de comando e controle via WebSockets e possui mecanismos para evitar execução em sistemas de países da CEI. A expectativa é que o TA584 continue a diversificar seus alvos e métodos, aumentando a preocupação com a segurança cibernética em diversas regiões.

Na última quinta-feira (22), o Departamento Estadual de Investigações Criminais (Deic) de São Paulo desmantelou uma central de cobranças fraudulentas localizada na Avenida Brigadeiro Faria Lima, um dos principais centros financeiros da capital paulista. A operação resultou na prisão de quatro mulheres, que ocupavam cargos de gerência e supervisão, além de outros dez suspeitos que foram levados para depor. A investigação revelou que o grupo utilizava dados de vítimas, especialmente idosos e pessoas vulneráveis, para realizar cobranças de créditos inexistentes, ameaçando-as com bloqueios de CPF e benefícios. Os criminosos operavam de forma híbrida, realizando tanto cobranças legítimas quanto fraudulentas. Documentos e dispositivos eletrônicos foram apreendidos durante a operação, que também se estendeu a um segundo local em Carapicuíba, na Grande São Paulo. Essa ação faz parte da Operação Título Sombrio, focada em investigações sobre lavagem e ocultação de ativos ilícitos por meios eletrônicos.

O Banco do Nordeste (BNB) anunciou a suspensão temporária das transações via Pix após detectar um ataque hacker em seus sistemas na noite de segunda-feira, 26 de janeiro de 2026. A violação afetou a infraestrutura do sistema de pagamento instantâneo, levando a instituição a acionar protocolos de segurança imediatamente. Em comunicado, o BNB afirmou que está em contato com o Banco Central para avaliar a extensão do incidente e restaurar as operações de forma segura. A suspensão do Pix foi uma medida preventiva para garantir a segurança das transações e evitar possíveis desdobramentos maliciosos. Importante destacar que, até o momento, não foram identificados vazamentos de dados dos clientes ou prejuízos nas contas. O Banco do Nordeste reafirmou seu compromisso com a segurança da informação e a transparência, prometendo manter o mercado informado sobre quaisquer desdobramentos relacionados ao incidente.

Pesquisadores da Doctor Web identificaram uma nova ameaça de malware chamada Phantom, que afeta dispositivos Android através de jogos e aplicativos modificados. O malware, que se disfarça como aplicativos legítimos, transforma os celulares em ferramentas de fraude publicitária, clicando em anúncios sem o consentimento do usuário. Os primeiros sinais de infecção surgiram em setembro de 2025, quando jogos populares como ‘Creation Magic World’ e ‘Cute Pet House’ começaram a apresentar comportamentos suspeitos. O Phantom opera em dois modos: um que utiliza um navegador oculto para interagir com anúncios e outro que permite acesso remoto à tela do dispositivo infectado. Essa invasão é difícil de detectar, pois os aplicativos continuam funcionando normalmente. A Doctor Web alerta que a instalação de aplicativos fora das lojas oficiais aumenta o risco de infecção, recomendando cautela ao baixar APKs de fontes não confiáveis.

Uma vulnerabilidade crítica de dia zero no Microsoft Office foi identificada e corrigida pela Microsoft após ser explorada para a distribuição de malware. Essa falha, que se baseava na “dependência de entradas não confiáveis”, permitiu que cibercriminosos acessassem dados sensíveis, como credenciais de login e senhas dos usuários. A Microsoft não divulgou detalhes sobre os responsáveis pelos ataques ou a extensão dos sistemas afetados, mas confirmou que a exploração da falha estava focada no Microsoft 365 e no Office. A correção foi implementada para proteger os usuários contra controles vulneráveis, e os usuários do Office 2021 e versões posteriores precisam reiniciar seus aplicativos para aplicar a atualização. Já os usuários do Office 2016 e 2019 devem instalar manualmente as atualizações específicas fornecidas pela Microsoft. Essa situação destaca a importância de manter os softwares atualizados para evitar riscos de segurança.

O WinRAR, um popular programa de compactação de arquivos, está enfrentando uma vulnerabilidade crítica, identificada como CVE-2025-8088, que permite a execução de código arbitrário em sistemas comprometidos. Essa falha, classificada com um índice de severidade de 8.4/10, afeta as versões 7.12 e anteriores do software. Pesquisadores de segurança alertam que grupos de hackers, incluindo organizações patrocinadas por estados, estão explorando essa vulnerabilidade para implantar malware em dispositivos-alvo. O uso de Streams de Dados Alternativos (ADS) no WinRAR permite que os atacantes escondam cargas maliciosas em arquivos aparentemente inofensivos, como documentos PDF. Quando o usuário abre o arquivo, o malware é extraído e executado. Entre os grupos que têm utilizado essa falha estão o RomCom, alinhado à Rússia, e diversos atores patrocinados pela China. Para mitigar os riscos, é recomendado que os usuários atualizem para a versão 7.13 ou superior do WinRAR, já que a atualização não requer desinstalação do programa anterior.

Pesquisadores da CheckPoint alertam sobre uma nova técnica de hackers que utilizam o Microsoft Teams para roubar credenciais de e-mail. A estratégia envolve a criação de equipes com nomes relacionados a finanças ou cobranças urgentes, utilizando caracteres ofuscados para evitar a detecção automática. Após a criação da equipe, os atacantes enviam convites que parecem legítimos, levando os usuários a acreditar que precisam resolver problemas de cobrança. Durante chamadas para um número de suporte fraudulento, os hackers tentam extrair informações sensíveis, como senhas. Essa abordagem de engenharia social é mais eficaz do que métodos tradicionais de phishing, pois combina mensagens oficiais da Microsoft com uma linguagem que gera urgência e confiança. O ataque tem afetado organizações em diversos setores, com a maioria dos incidentes ocorrendo nos Estados Unidos, seguido pela Europa e América Latina, onde Brasil e México concentram a maior parte das ocorrências. A conscientização dos usuários e o treinamento para identificar sinais de alerta são essenciais para mitigar esses riscos.

Raheim Hamilton, co-criador do Empire Market, um dos maiores mercados da dark web, se declarou culpado de conspiração federal por tráfico de drogas, facilitando transações ilegais que totalizaram cerca de $430 milhões entre 2018 e 2020. O Empire Market, acessível apenas via navegadores TOR, foi descrito como um clone do AlphaBay, fechado em 2017. No auge, em agosto de 2020, o site contava com 1,68 milhão de usuários registrados, incluindo 360 mil compradores e mais de 5 mil vendedores. Embora o mercado também oferecesse credenciais de contas roubadas e ferramentas de hacking, as vendas de drogas representaram a maior parte das transações, totalizando quase $375 milhões. Hamilton, que operou o site com Thomas Pavey, admitiu ter projetado o Empire Market para ajudar os usuários a evitar a detecção pelas autoridades e lavar dinheiro, utilizando criptomoedas para garantir anonimato. Durante a investigação, agentes de segurança realizaram compras encobertas, adquirindo substâncias como heroína e metanfetamina. A Justiça dos EUA já apreendeu $75 milhões em criptomoedas e Hamilton concordou em entregar 1.230 bitcoins e propriedades no processo. Ele enfrenta uma pena mínima de 10 anos e máxima de prisão perpétua.

O FBI anunciou a apreensão do fórum de cibercrime RAMP, uma plataforma que promovia uma variedade de serviços de hacking e malware, incluindo operações de ransomware. O fórum, que operava tanto na rede Tor quanto na clearnet, exibia um aviso de apreensão que afirmava: ‘O Federal Bureau of Investigation apreendeu o RAMP’. Essa ação foi realizada em colaboração com o Escritório do Procurador dos Estados Unidos para o Sul da Flórida e a Seção de Crimes de Computador e Propriedade Intelectual do Departamento de Justiça. Com a apreensão, as autoridades agora têm acesso a dados significativos dos usuários do fórum, como endereços de e-mail, IPs e mensagens privadas, o que pode levar à identificação e prisão de cibercriminosos que não seguiram práticas adequadas de segurança operacional. O RAMP foi lançado em julho de 2021, após a proibição da promoção de ransomware em outros fóruns de hacking, e rapidamente se tornou um espaço para gangues de ransomware promoverem suas operações. O criador do fórum, conhecido como Orange, já havia sido identificado como Mikhail Matveev, um nacional russo que enfrenta acusações nos Estados Unidos por sua participação em várias operações de ransomware. A apreensão do RAMP representa um golpe significativo para o ecossistema de cibercrime, especialmente em um momento em que as autoridades estão intensificando a luta contra o ransomware.

Duas vulnerabilidades graves foram identificadas na plataforma de automação de fluxos de trabalho n8n, permitindo que atacantes comprometam completamente as instâncias afetadas, acessem dados sensíveis e executem código arbitrário no host subjacente. As falhas, identificadas como CVE-2026-1470 e CVE-2026-0863, foram descobertas pela empresa de segurança JFrog. A CVE-2026-1470, com uma pontuação de severidade crítica de 9.9, permite a execução de código arbitrário devido a uma falha na manipulação de JavaScript, enquanto a CVE-2026-0863 explora uma falha no Python que permite a execução de comandos do sistema operacional. Ambas as vulnerabilidades exigem autenticação, mas podem ser exploradas por usuários não administradores, o que aumenta o risco. As versões afetadas foram corrigidas, e os usuários são aconselhados a atualizar para as versões mais recentes. A n8n, que é amplamente utilizada para automação de tarefas e integrações com serviços de IA, tem visto um aumento na atenção de pesquisadores de segurança devido a falhas críticas recentes. A situação é preocupante, pois muitas instâncias ainda estão vulneráveis, indicando uma lenta taxa de correção entre os usuários.

Pesquisadores de segurança estão emitindo alertas sobre implantações inseguras do assistente de IA Moltbot (anteriormente Clawdbot) em ambientes corporativos, que podem resultar em vazamento de chaves de API, tokens OAuth, histórico de conversas e credenciais. Moltbot é um assistente pessoal de IA de código aberto, criado por Peter Steinberger, que pode ser hospedado localmente e integrado a aplicativos do usuário. Embora sua capacidade de operar 24/7 e manter memória persistente tenha impulsionado sua popularidade, a configuração inadequada pode expor dados sensíveis. O pesquisador Jamieson O’Reilly destacou que muitas interfaces de controle do Clawdbot estão expostas online devido a configurações incorretas de proxy reverso, permitindo acesso não autenticado e roubo de credenciais. Além disso, O’Reilly demonstrou um ataque à cadeia de suprimentos contra usuários do Moltbot, onde um módulo malicioso foi promovido na loja oficial. A Token Security identificou que 22% de seus clientes corporativos têm funcionários utilizando Moltbot sem aprovação de TI, aumentando o risco de vazamento de dados corporativos e ataques de injeção de comandos. A falta de sandboxing para o assistente de IA é uma preocupação significativa, pois o agente tem acesso total aos dados do usuário. A segurança da implantação do Moltbot exige conhecimento técnico e medidas rigorosas de isolamento e configuração de firewall.

A MicroWorld Technologies, fabricante do antivírus eScan, confirmou que um de seus servidores de atualização foi comprometido, resultando na distribuição de um arquivo malicioso para um pequeno grupo de clientes em 20 de janeiro de 2026. O ataque ocorreu durante uma janela de duas horas, afetando apenas aqueles que baixaram atualizações de um cluster regional específico. A empresa isolou e reconstruiu a infraestrutura afetada, rotacionou credenciais de autenticação e disponibilizou remediações para os clientes impactados. A empresa de segurança Morphisec publicou um relatório técnico associando a atividade maliciosa observada em endpoints de clientes às atualizações entregues durante o mesmo período. O arquivo malicioso, uma versão modificada do componente de atualização ‘Reload.exe’, foi assinado com um certificado de assinatura de código do eScan, mas a assinatura foi considerada inválida. O malware implantado permitiu a persistência, execução de comandos e modificação do arquivo HOSTS do Windows, impedindo atualizações remotas. A MicroWorld Technologies enfatizou que o incidente não envolveu uma vulnerabilidade no produto eScan em si, e que apenas os clientes que atualizaram a partir do cluster afetado foram impactados. A empresa recomenda que os clientes bloqueiem os servidores de comando e controle identificados para aumentar a segurança.

Um ataque cibernético coordenado atingiu múltiplos locais da rede elétrica da Polônia, sendo atribuído com média confiança ao grupo de hackers patrocinado pelo Estado russo, conhecido como ELECTRUM. Segundo a empresa de cibersegurança Dragos, o ataque, ocorrido em dezembro de 2025, é considerado o primeiro grande ataque direcionado a recursos energéticos distribuídos (DERs). Embora não tenha causado apagões, os invasores conseguiram acessar sistemas críticos de tecnologia operacional (OT) e desativar equipamentos essenciais de forma irreparável. O ataque visou as instalações de cogeração de calor e energia (CHP) e sistemas que gerenciam a distribuição de energia renovável, como eólica e solar. Os hackers utilizaram dispositivos de rede expostos e exploraram vulnerabilidades para obter acesso inicial, demonstrando um profundo entendimento da infraestrutura da rede elétrica. O ataque foi descrito como oportunista e apressado, permitindo que os invasores causassem danos significativos, como a formatação de dispositivos Windows e a redefinição de configurações. Este incidente destaca a crescente ameaça de adversários com capacidades específicas em OT, que estão ativamente mirando sistemas que monitoram e controlam a geração distribuída de energia.

Pesquisadores de cibersegurança alertaram sobre uma nova extensão maliciosa do Microsoft Visual Studio Code (VS Code) chamada “ClawdBot Agent - AI Coding Assistant”. Publicada em 27 de janeiro de 2026, a extensão se disfarça como um assistente de codificação baseado em inteligência artificial, mas na verdade instala um payload malicioso nos sistemas dos usuários. A extensão foi rapidamente removida pela Microsoft após a identificação do problema.

O malware, vinculado ao projeto Moltbot, permite que atacantes obtenham acesso remoto persistente aos dispositivos comprometidos. Ao ser instalada, a extensão executa automaticamente um arquivo que baixa um programa legítimo de acesso remoto, o ConnectWise ScreenConnect, permitindo que os invasores controlem o sistema da vítima. Além disso, a extensão possui mecanismos de fallback que garantem a entrega do payload mesmo se a infraestrutura de comando e controle for desativada.

Uma pesquisa da ISH Tecnologia revelou que o WinRAR, uma ferramenta amplamente utilizada para compressão de arquivos, está sendo explorada por hackers para distribuir malwares, como infostealers e trojans, que visam roubar credenciais e realizar fraudes bancárias. Os criminosos disfarçam esses malwares como arquivos comuns, como currículos e documentos corporativos, o que aumenta o risco de infecção. Além disso, grupos estatais de espionagem digital, como o russo Sandworm e o chinês APT40, também estão utilizando essas vulnerabilidades para infiltração e roubo de dados em setores críticos, como energia e defesa. A ISH recomenda que os usuários atualizem o WinRAR ou considerem a substituição por alternativas que ofereçam atualizações automáticas. É importante também evitar abrir anexos suspeitos e monitorar atividades estranhas após a extração de arquivos. A falta de um sistema de atualização automática no WinRAR pode expor usuários a riscos sérios, mesmo após a liberação de correções para vulnerabilidades.

A Nike está investigando um possível vazamento de dados após ser alvo do grupo hacker WorldLeaks, que afirma ter roubado até 1,4 TB de informações internas da empresa. O grupo divulgou amostras dos dados na dark web, incluindo pastas relacionadas a roupas esportivas e processos de fabricação, mas não parece que informações de usuários ou dados que identifiquem funcionários tenham sido comprometidos. A Nike, que até agora não havia enfrentado grandes ciberataques, declarou que valoriza a privacidade dos usuários e está levando a questão a sério. O WorldLeaks é conhecido por invadir grandes empresas, como Dell e Chain IQ, e é considerado um sucessor do grupo Hunters International. A investigação está em andamento, mas a Nike não confirmou oficialmente a invasão. O ataque destaca a crescente preocupação com a segurança de dados em grandes corporações e a necessidade de medidas preventivas eficazes.

Uma falha crítica de autenticação no Telnet, identificada como CVE-2026-24061, expôs cerca de 800 mil servidores a invasões sem necessidade de senha. A vulnerabilidade afeta versões do telnetd GNU InetUtils desde 1.9.3 até 2.7, sendo corrigida apenas na versão 2.8, lançada em 20 de janeiro de 2026. A empresa de segurança Shadowserver está monitorando os endereços IP afetados, com a maioria localizada na Ásia (380 mil), América do Sul (170 mil) e Europa (100 mil). Apesar da correção, muitos dispositivos, especialmente aqueles que operam com sistemas legados e Internet das Coisas, podem ainda estar vulneráveis. Desde a divulgação da falha, atividades maliciosas foram detectadas, com 83% dos ataques visando o usuário root. Os atacantes tentaram executar malwares Python, mas falharam devido à falta de diretórios e binários. Para mitigar o risco, recomenda-se desabilitar o serviço telnetd vulnerável ou bloquear a porta TCP 23 nos firewalls.

A Meta iniciou a implementação de uma nova funcionalidade de segurança no WhatsApp, chamada ‘Configurações de Conta Rigorosas’, destinada a proteger jornalistas, figuras públicas e outros indivíduos em alto risco contra ameaças sofisticadas, como ataques de spyware. Essa nova camada de segurança complementa a criptografia de ponta a ponta já existente, oferecendo controles de privacidade extremos que podem ser ativados apenas a partir do dispositivo principal do usuário. Ao habilitar essa opção, os usuários terão suas contas protegidas por medidas rigorosas, como verificação em duas etapas, bloqueio de mídias e anexos de remetentes desconhecidos, silenciamento de chamadas de números não salvos, desativação de prévias de links e restrição de informações como ‘última vez visto’ e foto de perfil. A Meta enfatiza que essa funcionalidade é destinada a um número muito limitado de usuários que podem ser alvos de campanhas cibernéticas sofisticadas. A implementação gradual da funcionalidade ocorre em um contexto de crescente preocupação com a segurança digital, especialmente após casos de infecções por spyware, como o Pegasus, que afetaram jornalistas e ativistas. Além disso, a Meta está migrando para a linguagem de programação Rust para aumentar a proteção contra spyware. Essa iniciativa é um reflexo da necessidade de medidas de segurança mais robustas em um cenário de ameaças cibernéticas em constante evolução.

Alan Bill, um cidadão eslovaco de 33 anos, se declarou culpado por ajudar a operar o Kingdom Market, um mercado na darknet que comercializava drogas, ferramentas de cibercrime, documentos de identidade falsificados e informações pessoais roubadas. A operação do Kingdom Market ocorreu de março de 2021 até dezembro de 2023, quando foi desmantelada pelas autoridades. A investigação começou em julho de 2022, quando agentes federais realizaram compras de substâncias como metanfetamina e fentanil, além de um passaporte falso. Em dezembro de 2023, o Federal Criminal Police Office da Alemanha apreendeu o domínio e a infraestrutura do mercado, que contava com 42.000 itens à venda e centenas de vendedores registrados. Bill foi preso no Aeroporto Internacional de Newark, onde foram encontrados dispositivos que o ligavam diretamente ao mercado. Ele admitiu ter um papel de administrador e moderador na comunidade do Reddit do Kingdom Market. Sob um acordo de confissão, Bill concordou em entregar os domínios do mercado e a perder criptomoedas de sua carteira digital. Ele enfrenta uma pena de cinco a 40 anos de prisão por conspiração para distribuir substâncias controladas.

Uma campanha maliciosa, chamada ‘Bizarre Bazaar’, está visando endpoints de Modelos de Linguagem de Grande Escala (LLMs) expostos, com o objetivo de comercializar acesso não autorizado à infraestrutura de IA. Pesquisadores da Pillar Security registraram mais de 35.000 sessões de ataque em 40 dias, revelando uma operação de cibercrime em larga escala. Os atacantes exploram configurações inadequadas, como endpoints não autenticados, para roubar recursos computacionais para mineração de criptomoedas, revender acesso a APIs em mercados darknet e exfiltrar dados de conversas. Os vetores de ataque comuns incluem configurações de LLM auto-hospedadas e APIs de IA expostas. A operação é atribuída a um ator específico que utiliza os pseudônimos “Hecker”, “Sakuya” e “LiveGamer101”. Além disso, a Pillar Security está monitorando uma campanha separada focada em reconhecimento de endpoints de Model Context Protocol (MCP), que pode oferecer oportunidades adicionais de movimento lateral. A campanha ‘Bizarre Bazaar’ continua ativa, e o serviço associado, SilverInc, ainda está operacional.

A SolarWinds anunciou a liberação de atualizações de segurança para corrigir vulnerabilidades críticas em seu software Web Help Desk, que é amplamente utilizado por empresas, instituições de saúde e agências governamentais. As falhas de bypass de autenticação, identificadas como CVE-2025-40552 e CVE-2025-40554, permitem que atacantes remotos não autenticados realizem ataques de baixa complexidade. Além disso, uma vulnerabilidade crítica de execução remota de código (CVE-2025-40553) foi descoberta, possibilitando que atacantes sem privilégios executem comandos em sistemas vulneráveis. Outra falha de RCE (CVE-2025-40551) também foi relatada, aumentando o risco de exploração. A SolarWinds também corrigiu uma vulnerabilidade de credenciais hardcoded (CVE-2025-40537), que poderia permitir acesso não autorizado a funções administrativas. A empresa recomenda que os administradores atualizem seus servidores para a versão 2026.1 do Web Help Desk o mais rápido possível, uma vez que vulnerabilidades anteriores já foram exploradas em ataques. O alerta é especialmente relevante, pois a CISA já havia classificado falhas anteriores como ativamente exploradas, exigindo ações rápidas de agências governamentais.

O artigo de Itamar Apelblat discute como a evolução da inteligência artificial (IA) está desafiando os tradicionais frameworks de conformidade, que foram construídos sob a premissa de que humanos são os principais atores em processos de negócios. Com a incorporação de agentes de IA em fluxos de trabalho regulados, surgem novos riscos de identidade, acesso e conformidade. Esses agentes não apenas assistem, mas agem de forma autônoma, o que pode levar a falhas de conformidade, já que suas decisões são baseadas em algoritmos que mudam constantemente. Isso representa um desafio significativo para os Chief Information Security Officers (CISOs), que agora podem ser responsabilizados não apenas por violações de segurança, mas também por falhas de conformidade resultantes do comportamento da IA. O artigo destaca a necessidade de uma governança robusta sobre identidades não humanas e a importância de controles de acesso rigorosos para garantir a integridade dos dados e a conformidade com regulamentações como SOX, GDPR, PCI DSS e HIPAA. À medida que a IA se torna um ator operacional, a linha entre segurança e conformidade se torna cada vez mais tênue, exigindo que os CISOs adaptem suas estratégias de segurança para incluir esses novos desafios.

Um grupo de cibercriminosos com vínculos à China, conhecido como Mustang Panda, tem utilizado uma versão atualizada de um backdoor chamado COOLCLIENT em ataques de espionagem cibernética. Esses ataques, que ocorreram em 2025, visaram principalmente entidades governamentais em países como Mianmar, Mongólia, Malásia e Rússia, resultando em um roubo abrangente de dados de endpoints infectados. O malware é frequentemente implantado como um backdoor secundário, em conjunto com outras infecções como PlugX e LuminousMoth. O COOLCLIENT é entregue por meio de arquivos carregadores criptografados e utiliza técnicas de DLL side-loading, o que exige um executável legítimo para carregar a DLL maliciosa. O malware é capaz de coletar informações do sistema e do usuário, como pressionamentos de tecla, conteúdos da área de transferência e credenciais de proxy HTTP. Além disso, o grupo tem explorado softwares legítimos para facilitar suas operações, incluindo produtos da Sangfor. As campanhas de Mustang Panda também incluem o uso de programas de roubo de credenciais para navegadores populares, ampliando suas atividades de pós-exploração. Com capacidades que vão além da simples espionagem, como monitoramento ativo de usuários, os ataques representam uma ameaça significativa para a segurança cibernética.

Pesquisadores de cibersegurança revelaram duas falhas significativas na plataforma n8n, que é amplamente utilizada para automação de workflows. A primeira vulnerabilidade, identificada como CVE-2026-1470, possui uma pontuação CVSS de 9.9 e permite que um usuário autenticado contorne o mecanismo de sandbox da expressão, possibilitando a execução remota de código JavaScript malicioso. A segunda falha, CVE-2026-0863, com pontuação CVSS de 8.5, permite a execução de código Python arbitrário no sistema operacional subjacente, também por um usuário autenticado. A exploração bem-sucedida dessas vulnerabilidades pode permitir que um atacante assuma o controle total de uma instância do n8n, mesmo em modo de execução interna, o que representa um risco significativo para a segurança das organizações. Os desenvolvedores recomendam que os usuários atualizem para versões específicas para mitigar esses riscos. Essas falhas destacam a dificuldade de manter a segurança em linguagens dinâmicas como JavaScript e Python, onde características sutis podem ser exploradas para contornar medidas de segurança.

Uma vulnerabilidade crítica de escape de sandbox foi divulgada na popular biblioteca vm2 do Node.js, que, se explorada com sucesso, pode permitir que atacantes executem código arbitrário no sistema operacional subjacente. A falha, identificada como CVE-2026-22709, possui uma pontuação CVSS de 9.8 em 10.0, indicando seu alto nível de gravidade. O problema decorre da sanitização inadequada dos manipuladores de Promise na versão 3.10.0 do vm2, permitindo que o código escape do ambiente seguro em que deveria ser executado. A biblioteca vm2 é amplamente utilizada para executar código não confiável em um ambiente isolado, mas a descoberta de múltiplas falhas de segurança nos últimos anos levanta preocupações sobre sua confiabilidade. Embora a versão 3.10.2 tenha corrigido essa vulnerabilidade, os mantenedores alertam que novas falhas podem surgir, recomendando que os usuários atualizem para a versão mais recente (3.10.3) e considerem alternativas mais robustas, como o isolated-vm. A situação é crítica, e os usuários devem agir rapidamente para proteger seus sistemas.

A Fortinet anunciou a liberação de atualizações de segurança para corrigir uma falha crítica no FortiOS, identificada como CVE-2026-24858, com uma pontuação CVSS de 9.4. Essa vulnerabilidade, que permite a bypass de autenticação no sistema de login único (SSO) do FortiCloud, afeta também o FortiManager e o FortiAnalyzer. A falha possibilita que um atacante com uma conta FortiCloud e um dispositivo registrado consiga acessar outros dispositivos vinculados a contas diferentes, caso a autenticação SSO esteja habilitada. Embora essa funcionalidade não esteja ativada por padrão, a Fortinet alertou que administradores que registram dispositivos no FortiCare podem ativá-la inadvertidamente.

O mercado de apostas esportivas no Brasil tem crescido significativamente, mas enfrenta um aumento alarmante de fraudes, especialmente com o uso de deepfakes e inteligência artificial (IA). Um relatório da Sumsub revelou que o uso de deepfakes em golpes aumentou 126% em 2025, com 78% das operadoras de apostas relatando casos desse tipo. Os criminosos utilizam deepfakes de celebridades para criar anúncios fraudulentos, enganando apostadores e levando-os a baixar aplicativos maliciosos que parecem legítimos. A biometria surge como uma solução eficaz para combater essas fraudes, permitindo a verificação da identidade dos usuários e dificultando a criação de contas falsas. Apesar das regulamentações implementadas pelo governo, as operadoras ilegais ainda representam um desafio significativo, pois não estão sujeitas a monitoramento e penalidades. A situação exige que as operadoras legais adotem tecnologias avançadas para se manterem à frente dos criminosos, especialmente em um cenário onde a IA está cada vez mais acessível e utilizada para fraudes.

O grupo de espionagem Mustang Panda, vinculado à China, atualizou sua backdoor CoolClient, que agora possui novas funcionalidades, como roubo de dados de login de navegadores e monitoramento da área de transferência. Pesquisadores da Kaspersky identificaram que a nova variante do malware foi usada em ataques direcionados a entidades governamentais em países como Mianmar, Mongólia, Malásia, Rússia e Paquistão, sendo implantada através de softwares legítimos da empresa chinesa Sangfor. A CoolClient, que opera desde 2022, é utilizada como uma backdoor secundária em conjunto com outras ferramentas como PlugX e LuminousMoth. A nova versão do malware apresenta um módulo de monitoramento da área de transferência, rastreamento de títulos de janelas ativas e coleta de credenciais de proxy HTTP. Além disso, a CoolClient agora pode implantar infostealers para coletar dados de login de navegadores, utilizando tokens de API de serviços legítimos para evitar detecções. A evolução das capacidades do Mustang Panda destaca a necessidade de atenção redobrada por parte das equipes de segurança, especialmente em um cenário onde a infraestrutura crítica pode ser alvo de ataques.

A Fortinet confirmou uma nova vulnerabilidade crítica de bypass de autenticação no FortiCloud Single Sign-On (SSO), identificada como CVE-2026-24858. Essa falha permite que atacantes obtenham acesso administrativo a dispositivos FortiOS, FortiManager e FortiAnalyzer registrados por outros clientes, mesmo que esses dispositivos estejam atualizados contra vulnerabilidades anteriores. A confirmação da exploração ativa ocorreu após relatos de clientes sobre comprometimentos em firewalls FortiGate, onde atacantes criaram novas contas de administrador local através do FortiCloud SSO. A Fortinet tomou medidas imediatas, bloqueando conexões SSO do FortiCloud de dispositivos com versões de firmware vulneráveis e desativando contas abusadas. Embora a exploração tenha sido observada apenas no FortiCloud SSO, a empresa alertou que a questão pode afetar outras implementações SAML SSO. A Fortinet recomenda que os administradores restrinjam o acesso administrativo e desativem o FortiCloud SSO até que patches sejam disponibilizados. A vulnerabilidade foi classificada como crítica, com um CVSS de 9.4, e os atacantes foram identificados utilizando contas específicas para comprometer dispositivos e exfiltrar configurações.

A OpenAI anunciou que começará a exibir anúncios no ChatGPT para usuários com assinatura gratuita ou a de $8, mas os custos para anunciantes podem ser elevados. Embora a empresa não tenha revelado o preço exato, um relatório indica que a taxa pode chegar a até $60 por mil visualizações, o que é comparável ao custo de anúncios em transmissões ao vivo da NFL. Os anúncios aparecerão abaixo das respostas geradas pela IA, e a OpenAI garantiu que não usará informações pessoais dos usuários, incluindo dados de saúde, para treinar seus modelos de anúncios. Além disso, a empresa afirmou que os anúncios não influenciarão as respostas do ChatGPT. Os anunciantes receberão dados sobre impressões e visualizações, mas a OpenAI não divulgará quantos cliques os anúncios geram, o que pode ser um indicativo de uma taxa de cliques (CTR) baixa. Para evitar anúncios, os usuários podem optar pela assinatura do ChatGPT Plus, que custa $20. A implementação dos anúncios está prevista para as próximas semanas.

Recentemente, hackers têm utilizado o Microsoft SharePoint como vetor para realizar ataques direcionados a grandes empresas do setor de energia. O método envolve o roubo de credenciais de funcionários, que são inicialmente comprometidas através de e-mails falsos. Os cibercriminosos enviam mensagens que contêm links para sites fraudulentos, onde as vítimas, ao tentarem fazer login, acabam entregando suas credenciais aos atacantes. Uma vez que os hackers obtêm acesso às contas de e-mail corporativas, eles estabelecem persistência no sistema, criando regras para ocultar suas atividades, como deletar mensagens e marcar e-mails como lidos. Isso permite que eles enviem grandes volumes de e-mails de phishing para contatos internos e externos sem levantar suspeitas. A Microsoft alerta que redefinir senhas não é suficiente, pois os atacantes podem alterar configurações de autenticação, incluindo a autenticação de dois fatores, para manter o controle. A recomendação é que as empresas adotem políticas de segurança rigorosas, como monitoramento de IP e localização, e que os usuários permaneçam cautelosos ao clicar em links desconhecidos.

Uma grave violação de segurança no SoundCloud comprometeu cerca de 29,8 milhões de contas, afetando aproximadamente 20% dos usuários da plataforma de streaming de áudio. O ataque, que ocorreu em dezembro de 2025, foi atribuído ao grupo hacker ShinyHunters, que também tentou extorquir a empresa. Os usuários relataram dificuldades de acesso ao serviço, mesmo ao tentarem utilizar VPNs. Embora o SoundCloud tenha confirmado a invasão, inicialmente não forneceu muitos detalhes, mas posteriormente revelou que os dados vazados incluíam endereços de e-mail, nomes, localizações geográficas e estatísticas de perfil, além de informações que já eram públicas. A situação foi analisada pelo site Have I Been Pwned, que confirmou a exposição de dados pessoais. A empresa tomou medidas para mitigar o problema, mas ainda não se pronunciou sobre as atualizações mais recentes do caso. O incidente destaca a vulnerabilidade de plataformas populares e a necessidade de medidas de segurança robustas para proteger dados sensíveis dos usuários.

Uma vulnerabilidade crítica foi descoberta no Grist-Core, uma ferramenta de planilhas de código aberto, permitindo que cibercriminosos executem códigos remotamente. Identificada como Cellbreak, a falha (CVE-2026-24002) possibilita que fórmulas maliciosas transformem planilhas em pontos de invasão. O pesquisador Vladimir Tokarev destacou que a vulnerabilidade permite a execução de comandos do sistema operacional e JavaScript, rompendo a segurança da sandbox do Pyodide, uma plataforma que deveria isolar a execução de códigos Python no navegador. A falha foi corrigida na versão 1.7.9, lançada em 9 de janeiro de 2026. Para verificar se a versão do Grist está vulnerável, os administradores devem acessar o Painel de Administrador e procurar por “gvisor” ou “pyodide”. A vulnerabilidade é considerada um risco sistêmico, pois pode comprometer a segurança de várias plataformas de automação, permitindo que hackers acessem credenciais e arquivos sensíveis. A atualização do software e a alteração da variável de ambiente GRIST_SANDBOX_FLAVOR são medidas recomendadas para mitigar o problema.

Uma nova campanha de roubo de identidade está em andamento, com foco nas credenciais de single sign-on (SSO) da Okta, visando cerca de 100 grandes empresas. O grupo de hackers conhecido como Scattered LAPSUS$ Hunters (SLH) está utilizando uma técnica sofisticada de vishing (phishing por voz) para obter acesso à infraestrutura corporativa e exfiltrar dados sensíveis, buscando extorquir as vítimas. Os pesquisadores da Silent Push descobriram que os atacantes estão usando um ‘Live Phishing Panel’, que permite interceptar credenciais e tokens de autenticação multifatorial (MFA) em tempo real durante as sessões de login. Embora não haja confirmação de que as empresas-alvo tenham sido comprometidas, o risco é significativo, pois uma sessão do Okta comprometida dá ao invasor acesso a todos os aplicativos do ambiente corporativo. A campanha destaca a necessidade de treinamento de segurança mais eficaz, já que os operadores do SLH são altamente persuasivos e manipulam páginas de phishing em tempo real para enganar as vítimas. As empresas mencionadas incluem nomes de destaque como Atlassian e GameStop, mas até o momento, não há evidências de que tenham sofrido brechas confirmadas.

Uma nova acusação de um grande júri federal em Nebraska resultou na imputação de 31 indivíduos por envolvimento em uma operação de jackpotting em caixas eletrônicos, supostamente orquestrada pela gangue venezuelana Tren de Aragua. As acusações se seguem a duas outras denúncias anteriores, que totalizam 87 membros da gangue processados nos últimos seis meses. Os réus são acusados de usar malware Ploutus para roubar milhões de dólares de caixas eletrônicos em todo os Estados Unidos. O malware foi instalado em caixas eletrônicos após a abertura de suas carcaças, permitindo que os criminosos eliminassem evidências e forçassem os dispositivos a liberar dinheiro. A gangue, que evoluiu de uma organização criminosa local para uma designada como organização terrorista estrangeira pelo Departamento do Tesouro dos EUA, representa uma ameaça significativa à segurança financeira. Se condenados, os réus enfrentam penas de prisão que variam de 20 a 335 anos. O caso destaca a crescente complexidade e sofisticação das ameaças cibernéticas, exigindo atenção redobrada das instituições financeiras e autoridades de segurança.

Uma vulnerabilidade de severidade crítica foi identificada na biblioteca vm2, utilizada para criar um ambiente seguro para a execução de código JavaScript não confiável. A falha, rastreada como CVE-2026-22709, permite que atacantes escapem do sandbox e executem código arbitrário no sistema host. A biblioteca, que já foi amplamente utilizada em mais de 200 mil projetos no GitHub, foi descontinuada em 2023 devido a repetidas vulnerabilidades de escape de sandbox. No entanto, em outubro de 2023, o mantenedor Patrik Šimek decidiu reviver o projeto, lançando a versão 3.10.0, que corrigiu várias vulnerabilidades conhecidas. A nova falha surge da falha na sanitização adequada de ‘Promises’, permitindo que funções assíncronas retornem uma Promise global com callbacks que não são devidamente sanitizados. O mantenedor informou que a versão 3.10.1 abordou parcialmente a vulnerabilidade, enquanto a versão 3.10.2 aperfeiçoou a correção. Dada a facilidade de exploração da CVE-2026-22709, é recomendado que os usuários atualizem para a versão mais recente imediatamente. A biblioteca continua a ser popular, com cerca de um milhão de downloads semanais.

A Nike está investigando um possível incidente de cibersegurança após o grupo de ransomware World Leaks vazar 1,4 TB de arquivos que supostamente foram roubados da empresa. O grupo afirma ter acessado quase 190 mil arquivos contendo dados corporativos sobre as operações da Nike. A empresa enfatizou a seriedade com que trata a privacidade e a segurança dos dados dos consumidores e está avaliando a situação. Antes da publicação deste artigo, a entrada da Nike no site de vazamentos do World Leaks foi removida, o que pode indicar que a empresa está em negociações ou que um resgate foi pago. No entanto, a Nike ainda não confirmou a alegação de roubo de dados. O World Leaks é considerado uma rebrand do Hunters International, que mudou seu foco de criptografia de arquivos para roubo de dados e extorsão. Este grupo já foi responsável por mais de 280 ataques a diversas organizações, incluindo o Serviço de Marshals dos EUA e a Tata Technologies. O incidente destaca a crescente ameaça de grupos de ransomware e a necessidade de vigilância constante na proteção de dados corporativos.

Uma vulnerabilidade de alta severidade, identificada como CVE-2025-8088, no software WinRAR está sendo explorada por diversos grupos de ameaças, tanto patrocinados por estados quanto motivados financeiramente. Essa falha de segurança, que se trata de um erro de travessia de caminho, permite que atacantes escrevam arquivos maliciosos em locais arbitrários, utilizando Fluxos de Dados Alternativos (ADS). Pesquisadores da ESET descobriram a vulnerabilidade e relataram que o grupo RomCom, alinhado à Rússia, a estava explorando em ataques zero-day desde julho de 2025. O Google Threat Intelligence Group (GTIG) confirmou que a exploração da vulnerabilidade continua ativa, com grupos de espionagem e cibercriminosos utilizando-a para implantar malware em pastas de inicialização do Windows. Os atacantes frequentemente ocultam arquivos maliciosos dentro de arquivos de isca, como documentos PDF, que, ao serem abertos, extraem o payload malicioso. Entre os grupos observados estão UNC4895, APT44 e Turla, que utilizam a vulnerabilidade para distribuir uma variedade de malwares, incluindo ferramentas de acesso remoto e ladrões de informações. A exploração dessa vulnerabilidade reflete a crescente comercialização do desenvolvimento de exploits, facilitando ataques a sistemas não corrigidos.

Entidades do governo indiano foram alvo de duas campanhas de ciberespionagem, conhecidas como Gopher Strike e Sheet Attack, atribuídas a um ator de ameaças baseado no Paquistão. As campanhas foram identificadas pela Zscaler ThreatLabz em setembro de 2025 e utilizam técnicas de ataque inovadoras. O Sheet Attack utiliza serviços legítimos como Google Sheets e Firebase para controle de comando e controle (C2), enquanto o Gopher Strike inicia com e-mails de phishing que induzem os usuários a baixar um arquivo ISO malicioso disfarçado de atualização do Adobe Acrobat Reader DC.

A Meta anunciou a adição de uma nova funcionalidade chamada ‘Configurações de Conta Rigorosas’ no WhatsApp, destinada a proteger usuários que podem ser alvos de ataques cibernéticos avançados, como jornalistas e figuras públicas. Essa funcionalidade, semelhante ao Modo de Bloqueio do iOS e à Proteção Avançada do Android, visa aumentar a segurança ao restringir algumas opções de conta e bloquear o recebimento de mídias e anexos de contatos desconhecidos. Ao ativar esse modo, os usuários podem silenciar chamadas de números não salvos e limitar outras configurações que podem comprometer sua segurança. A Meta também anunciou a adoção da linguagem de programação Rust em sua funcionalidade de compartilhamento de mídia, o que promete aumentar a segurança contra ataques de spyware. Essa mudança é parte de uma abordagem mais ampla para garantir a segurança dos usuários, minimizando a exposição a ataques e investindo em garantias de segurança para o código existente. A nova funcionalidade será disponibilizada gradualmente nas próximas semanas, e a Meta enfatiza que essas medidas são um passo importante na defesa contínua contra ameaças cibernéticas.

O gerenciador de senhas 1Password implementou uma nova funcionalidade que avisa os usuários sobre URLs suspeitas de phishing por meio de pop-ups. Essa atualização visa aumentar a segurança dos usuários, ajudando-os a identificar páginas maliciosas e evitando que suas credenciais sejam comprometidas. O serviço, amplamente utilizado, já possui suporte nativo para gerenciamento de passkeys no Windows. Apesar de oferecer essa proteção, a 1Password não preenche automaticamente os dados de login em URLs não cadastradas no cofre, o que significa que os usuários ainda precisam estar atentos a possíveis ataques de typosquatting, onde URLs enganosas podem levar a sites fraudulentos. Uma pesquisa realizada nos EUA revelou que 61% dos usuários já caíram em golpes de phishing, e 75% não verificam a URL antes de clicar em links, o que é especialmente preocupante em ambientes corporativos. A nova funcionalidade será disponibilizada automaticamente para planos individuais e familiares, enquanto administradores de planos empresariais precisarão ativá-la. A 1Password também destacou a crescente utilização de ferramentas de IA em golpes, tornando as páginas falsas mais convincentes do que nunca.

Cerca de 1,5 milhão de usuários do Visual Studio Code (VSCode) podem ter sido impactados por duas extensões maliciosas que se apresentavam como assistentes de inteligência artificial. Pesquisadores da Koi Security identificaram que essas extensões, chamadas ‘ChatGPT – 中文版’ e ‘ChatMoss (CodeMoss)’, foram criadas por hackers chineses e têm como objetivo roubar dados sensíveis, como senhas e informações de criptomoedas. Apesar de oferecerem funcionalidades legítimas, as extensões enviam dados para um servidor malicioso na China sem o conhecimento dos usuários. O ataque é parte de uma campanha denominada ‘MaliciousCorgi’, que utiliza três métodos distintos para exfiltrar informações: monitoramento em tempo real dos arquivos abertos, captura silenciosa de até 50 arquivos e um iframe invisível que rastreia o comportamento do usuário. A Microsoft está ciente do problema e está avaliando a situação, mas as extensões ainda estão disponíveis para download no marketplace do VSCode. Este incidente destaca a necessidade de vigilância constante em relação a ferramentas de desenvolvimento amplamente utilizadas e a importância de verificar a origem das extensões instaladas.

Uma nova campanha de cibersegurança, identificada por pesquisadores da BlackPoint, utiliza um ataque conhecido como ClickFix para explorar scripts do Microsoft Application Virtualization (App-V) e distribuir malware. Os hackers, supostamente norte-coreanos, implementam um CAPTCHA falso que induz a vítima a executar um comando malicioso via PowerShell, resultando na instalação de um infostealer chamado ‘Amatera’. Este malware é projetado para coletar informações sensíveis do usuário, incluindo dados do navegador. A operação é alarmante devido à evolução contínua do Amatera, que se torna mais sofisticado com cada atualização. O ataque começa com uma falsa verificação de CAPTCHA, que instrui o usuário a colar e executar um comando que ativa um script legítimo do App-V, camuflando a atividade maliciosa. Após a execução, o malware se conecta a um arquivo do Google Agenda para recuperar dados codificados e inicia um processo oculto que carrega o infostealer diretamente na memória do dispositivo. Especialistas recomendam que os usuários restrinjam o acesso à função ‘Executar’ do Windows e removam componentes do App-V quando não forem necessários, a fim de mitigar os riscos associados a essa ameaça.

Em 2025, o setor de saúde enfrentou 445 ataques de ransomware a hospitais e clínicas, mantendo-se estável em relação a 2024. No entanto, os ataques a empresas do setor aumentaram em 25%, totalizando 191 incidentes. Embora os ataques a provedores de saúde tenham diminuído no início do ano, houve um aumento significativo de 50% no quarto trimestre. Os dados indicam que mais de 16,5 milhões de registros foram comprometidos, com uma média de demanda de resgate de $615.000, uma queda de 84% em relação ao ano anterior. Os Estados Unidos lideraram o número de ataques, seguidos por países como Austrália e Reino Unido. Os principais grupos de ransomware identificados foram Qilin, INC e Medusa. O impacto desses ataques é alarmante, especialmente considerando que muitos provedores de saúde dependem de terceiros para serviços essenciais, aumentando a vulnerabilidade. O ataque ao hospital belga AZ Monica em janeiro de 2026 destaca a continuidade dessa ameaça. A situação exige atenção redobrada das equipes de segurança da informação, especialmente no Brasil, onde a conformidade com a LGPD pode ser afetada.

Hackers comprometeram a segurança do SoundCloud, resultando no roubo de informações pessoais de mais de 29,8 milhões de contas de usuários. O incidente foi confirmado pela plataforma em 15 de dezembro, após relatos de usuários que enfrentaram dificuldades de acesso e erros 403 ao tentar se conectar via VPN. A empresa ativou seus procedimentos de resposta a incidentes ao detectar atividades não autorizadas em um painel de serviço auxiliar. Embora o SoundCloud tenha afirmado que dados sensíveis, como informações financeiras e senhas, não foram acessados, o ataque expôs endereços de e-mail e dados que já eram públicos nos perfis dos usuários. A gangue de extorsão ShinyHunters foi identificada como responsável pelo ataque, que também tentou extorquir a plataforma. O serviço de notificação de vazamentos Have I Been Pwned confirmou que os dados comprometidos incluíam 30 milhões de endereços de e-mail, nomes, nomes de usuário e estatísticas de perfil. O incidente destaca a vulnerabilidade das plataformas digitais e a necessidade de medidas de segurança robustas para proteger dados de usuários.

A organização de segurança sem fins lucrativos Shadowserver identificou mais de 6.000 servidores SmarterMail expostos na internet, potencialmente vulneráveis a uma falha crítica de bypass de autenticação. A vulnerabilidade, que foi reportada pela watchTowr à desenvolvedora SmarterTools em 8 de janeiro e corrigida em 15 de janeiro, permite que atacantes não autenticados sequestram contas de administrador e executem código remotamente no servidor afetado. A falha, identificada como CVE-2026-23760, afeta versões do SmarterMail anteriores à build 9511 e permite que um atacante forneça um nome de usuário de administrador e uma nova senha para redefinir a conta, resultando em comprometimento total do sistema. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essa vulnerabilidade em sua lista de falhas ativamente exploradas, exigindo que agências governamentais dos EUA protejam seus servidores até 16 de fevereiro. Além disso, a pesquisa da Macnica revelou que mais de 8.550 instâncias do SmarterMail ainda estão vulneráveis, destacando a urgência da situação. A exploração dessa vulnerabilidade pode levar a consequências severas, como controle total dos servidores afetados.

O cenário do ransomware em 2025 passou por uma transformação significativa, deixando de ser um problema puramente tecnológico para se tornar uma campanha de extorsão sistemática. As operações de ransomware evoluíram para táticas que vão além da simples criptografia de arquivos, utilizando dados roubados, responsabilidade legal e pressão psicológica em larga escala. Após a desarticulação de grupos como LockBit e BlackSuit em 2024, o ecossistema de ransomware se fragmentou, tornando a atribuição e a interrupção mais difíceis. As campanhas atuais empregam uma variedade de táticas, incluindo extorsão dupla, onde os atacantes não apenas criptografam dados, mas também ameaçam divulgar informações sensíveis publicamente. Pequenas e médias empresas (PMEs) se tornaram alvos preferenciais, especialmente em regiões com alta regulamentação, onde as consequências legais de vazamentos de dados são severas. A pesquisa revela que mais de 90% das vítimas do ransomware SafePay eram PMEs, indicando uma estratégia deliberada de ataque. Além disso, os atacantes utilizam táticas psicológicas para manipular suas vítimas, como pressão temporal e medo de repercussões legais, tornando a extorsão mais eficaz. As organizações precisam repensar suas estratégias de defesa e resposta a incidentes para lidar com essa nova realidade.