A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) revelou um incidente crítico envolvendo um dispositivo Cisco Firepower pertencente a uma agência federal, comprometido por um malware avançado chamado FIRESTARTER. A ameaça, associada a um grupo APT, demonstra um nível elevado de sofisticação ao conseguir manter persistência mesmo após a aplicação de correções de segurança. O ataque explora vulnerabilidades previamente corrigidas no software Cisco ASA, incluindo falhas críticas que permitem execução remota de código e acesso não autenticado a endpoints restritos. Uma vez exploradas, essas brechas fornecem acesso privilegiado ao dispositivo, permitindo que os hackers implantem ferramentas de pós-exploração como o LINE VIPER, um toolkit capaz de executar comandos, capturar tráfego de rede, contornar autenticação VPN (AAA) e até suprimir logs para evitar detecção. A partir desse ponto, o malware FIRESTARTER é implantado como backdoor persistente. Desenvolvido como um binário ELF para Linux, ele se integra ao processo de inicialização do dispositivo ao modificar a lista de montagem de boot. Isso garante que o malware seja automaticamente executado a cada reinicialização — sobrevivendo inclusive a atualizações de firmware e reboots convencionais. Outro aspecto crítico é a capacidade do FIRESTARTER de se integrar ao processo LINA, componente central responsável pelo processamento de tráfego e funções de segurança no dispositivo. Ao inserir um hook nesse processo, o malware passa a interceptar operações legítimas e executar código arbitrário enviado pelos invasores, utilizando inclusive pacotes especialmente manipulados durante autenticações WebVPN. Mesmo após a correção das vulnerabilidades exploradas, dispositivos previamente comprometidos permanecem infectados, uma vez que o malware não é removido automaticamente pelos updates. Isso representa um risco significativo, pois permite que os invasores mantenham acesso contínuo ao ambiente sem necessidade de reinfecção. Para remoção completa da ameaça, a Cisco recomenda a reinstalação total do sistema (reimage) e atualização para versões corrigidas. Como mitigação temporária, um simples reboot não é suficiente — é necessário um desligamento físico do equipamento (power cycle) para remover o implante da memória ativa, embora isso não elimine a persistência configurada no boot. O cenário é agravado por indícios de que a campanha esteja relacionada a grupos com vínculos à China, que vêm utilizando dispositivos de borda — como firewalls, roteadores e equipamentos IoT — como ponto de entrada estratégico em redes corporativas e governamentais. Além disso, relatórios recentes indicam que esses grupos estão operando redes encobertas compostas por dispositivos comprometidos (como roteadores domésticos e câmeras IP), formando uma infraestrutura distribuída para mascarar ataques e dificultar a atribuição. Esse modelo permite que o tráfego malicioso atravesse múltiplos dispositivos intermediários antes de atingir o alvo final. O caso reforça uma tendência preocupante no cenário de ameaças: o foco crescente em dispositivos de perímetro, que muitas vezes ficam fora do escopo de soluções tradicionais de segurança de endpoint e identidade. Esses equipamentos, quando comprometidos, oferecem um ponto de acesso persistente, de baixa visibilidade e altamente estratégico dentro da rede. Organizações devem tratar dispositivos de rede como ativos críticos, garantindo atualização contínua, monitoramento de integridade, revisão de configurações e, em casos de suspeita de comprometimento, considerar a substituição completa ou reinstalação do sistema.

A Microsoft lançou atualizações emergenciais fora do ciclo regular de correções para corrigir uma vulnerabilidade crítica no ASP.NET Core que poderia permitir que um invasor elevasse privilégios em aplicações afetadas. A falha, rastreada como CVE-2026-40372, recebeu pontuação CVSS 9.1 de 10 e foi classificada pela empresa como de severidade “Importante”. Segundo o alerta da Microsoft, o problema está relacionado à verificação inadequada de assinaturas criptográficas no ASP.NET Core. Em termos práticos, isso significa que um invasor não autorizado, explorando a falha pela rede, poderia manipular mecanismos de proteção de dados usados pela aplicação e, em cenários bem-sucedidos, obter privilégios de SYSTEM. A vulnerabilidade afeta especificamente aplicações que utilizam o pacote Microsoft.AspNetCore.DataProtection 10.0.6 via NuGet, seja de forma direta ou por meio de dependências como Microsoft.AspNetCore.DataProtection.StackExchangeRedis. Além disso, a cópia vulnerável da biblioteca precisa ter sido carregada em tempo de execução, e a aplicação deve estar rodando em Linux, macOS ou outro sistema operacional não Windows. O componente DataProtection é usado para proteger informações sensíveis em aplicações ASP.NET Core, incluindo cookies de autenticação, tokens antifraude e outros dados que dependem de criptografia autenticada. A falha foi causada por uma regressão nos pacotes Microsoft.AspNetCore.DataProtection das versões 10.0.0 a 10.0.6, que fazia o mecanismo de criptografia autenticada calcular a validação HMAC sobre bytes incorretos do payload e, em alguns casos, descartar o hash calculado. Com isso, um invasor poderia criar payloads falsificados capazes de passar pelas verificações de autenticidade do DataProtection. A exploração também poderia permitir a descriptografia de payloads anteriormente protegidos, ampliando o risco para sessões autenticadas, tokens de redefinição de senha, chaves de API e outros mecanismos sensíveis usados por aplicações web. A Microsoft corrigiu o problema no ASP.NET Core 10.0.7 e recomenda que administradores e equipes de desenvolvimento atualizem imediatamente os ambientes afetados. No entanto, a empresa alerta que a atualização por si só pode não ser suficiente em todos os casos. Se um invasor tiver conseguido se autenticar como um usuário privilegiado durante a janela de exposição, ele pode ter induzido a aplicação a emitir tokens legítimos, como sessões renovadas ou links de redefinição de senha. Esses tokens podem continuar válidos mesmo após a atualização para a versão 10.0.7, a menos que o anel de chaves do DataProtection seja rotacionado. Por isso, além da aplicação do patch, a mitigação adequada deve incluir a rotação das chaves, revisão de tokens emitidos durante o período vulnerável e análise de logs em busca de comportamentos anômalos. O caso reforça a importância de monitorar dependências de software, especialmente bibliotecas criptográficas e componentes de autenticação usados por aplicações modernas. Em ambientes corporativos, falhas desse tipo podem ter impacto significativo, pois afetam diretamente a confiança em sessões, tokens e mecanismos de autorização.

A Panasonic anunciou uma nova abordagem para otimizar o cadastro biométrico em sistemas de controle de acesso: QR Codes que funcionam apenas em dispositivos e ambientes autorizados. A tecnologia foi incorporada ao seu serviço de gestão de acesso físico, conhecido como “Site Management Service”, com o objetivo de reduzir gargalos no processo de registro facial. O problema identificado pela empresa é comum em ambientes corporativos e industriais: o onboarding biométrico costuma ser lento, dependente de intervenção manual e sujeito a falhas de qualidade. Funcionários e visitantes frequentemente enfrentam filas para capturar imagens faciais adequadas, enquanto administradores precisam validar os dados e, em muitos casos, repetir o processo. A solução proposta muda a dinâmica do fluxo. Em vez de realizar o cadastro manual, o usuário recebe um QR Code contendo informações de registro. Ao chegar ao local, ele apresenta esse código para o sistema de reconhecimento facial — que utiliza a própria câmera do dispositivo de acesso para escanear o QR em vez do rosto inicialmente. A partir daí, o backend em nuvem valida o conteúdo do QR Code. Se autorizado, o sistema realiza automaticamente a captura facial, processa os dados biométricos e os armazena para futuras autenticações. Na prática, isso permite um modelo de autoatendimento supervisionado, eliminando a necessidade de interação direta com administradores. Do ponto de vista técnico, a cadeia de funcionamento envolve três etapas principais: geração do QR Code com dados de autorização, validação em ambiente controlado e captura biométrica vinculada à identidade. Esse fluxo reduz atrito operacional e acelera o provisionamento de identidades físicas. Um dos principais desafios desse modelo está na segurança. QR Codes tradicionais podem ser lidos por qualquer dispositivo, o que abre espaço para uso indevido, como tentativa de acesso não autorizado ou interceptação de dados. Para mitigar esse risco, a Panasonic desenvolveu um mecanismo que restringe a leitura do QR Code a dispositivos e ambientes previamente autorizados. Segundo a empresa, o conteúdo do código é ilegível fora desses contextos, utilizando um método de exibição que impede a interpretação por leitores comuns. Isso sugere o uso de técnicas como criptografia, binding com hardware específico ou validação contextual baseada em ambiente — embora os detalhes técnicos completos ainda não tenham sido divulgados. A empresa também informou que solicitou patente para a tecnologia, indicando uma tentativa de consolidar essa abordagem como diferencial competitivo no mercado de controle de acesso físico e identidade digital. Vale destacar que o uso combinado de QR Code e biometria não é totalmente novo. A Denso já demonstrou que é possível codificar perfis biométricos dentro da capacidade de armazenamento de um QR Code, que pode chegar a aproximadamente 3KB de dados. No entanto, a proposta da Panasonic se diferencia ao focar no controle de contexto e restrição de leitura. Além disso, a Panasonic anunciou uma colaboração com a Hitachi para o desenvolvimento de soluções de identidade digital mais amplas. A iniciativa visa permitir que usuários tenham maior controle sobre seus dados pessoais, alinhando-se a tendências globais de descentralização e privacidade. O movimento reflete uma convergência cada vez mais forte entre controle de acesso físico, identidade digital e tecnologias biométricas. À medida que organizações buscam maior eficiência operacional sem comprometer segurança, soluções híbridas como essa tendem a ganhar espaço — especialmente em ambientes de alto fluxo e exigência de controle rigoroso.

A Apple lançou uma correção de segurança para iOS e iPadOS após identificar uma falha no sistema de notificações que podia manter armazenadas, no próprio dispositivo, notificações que deveriam ter sido apagadas. A vulnerabilidade, registrada como CVE-2026-28950, foi classificada pela empresa como um problema de registro de dados, corrigido por meio de melhorias na forma como informações sensíveis são removidas ou ocultadas dos logs internos do sistema. Segundo a Apple, “notificações marcadas para exclusão poderiam ser inesperadamente mantidas no dispositivo”. Na prática, isso significa que conteúdos exibidos em notificações, inclusive trechos de mensagens recebidas por aplicativos como o Signal, poderiam permanecer salvos em bases internas do iPhone ou iPad mesmo depois que o aplicativo fosse apagado. A correção foi incluída nas versões iOS 26.4.2, iPadOS 26.4.2, iOS 18.7.8 e iPadOS 18.7.8, abrangendo uma ampla lista de dispositivos, incluindo iPhones a partir do iPhone XR e iPhone 11, modelos mais recentes como iPhone 15, iPhone 16 e iPhone 16e, além de várias gerações de iPad, iPad Air, iPad mini e iPad Pro. O caso ganhou relevância após uma reportagem da 404 Media revelar que o FBI conseguiu extrair, por meio de análise forense, cópias de mensagens recebidas no Signal a partir de um iPhone pertencente a um réu investigado em conexão com um ataque contra uma instalação de detenção da ICE em Prairieland, nos Estados Unidos. Mesmo após a remoção do aplicativo Signal, os investigadores teriam conseguido recuperar partes do conteúdo porque as mensagens haviam sido armazenadas no banco de dados de notificações push do dispositivo. Ainda não está claro por que o conteúdo das notificações estava sendo registrado dessa forma, nem desde quando o problema existia. A atualização da Apple indica que se tratava de um bug, mas permanece a dúvida sobre quantos casos anteriores podem ter envolvido a extração desse tipo de dado por ferramentas forenses. O episódio expõe um ponto importante para a privacidade digital: mesmo aplicativos com foco em comunicação segura podem ter parte de seus dados expostos quando o sistema operacional, as notificações ou o armazenamento local preservam informações inesperadamente. A criptografia protege a comunicação durante o envio e recebimento, mas não elimina todos os riscos quando o conteúdo aparece em notificações ou quando há acesso físico ao aparelho. A Electronic Frontier Foundation alertou que, para a maioria dos aplicativos, não é simples para o usuário saber quais metadados ou conteúdos podem ser obtidos a partir de notificações. A organização também reforçou que vale repensar quais aplicativos realmente precisam enviar alertas na tela do celular. No caso do Signal, os usuários podem reduzir a exposição acessando o perfil do aplicativo, entrando em “Notificações” e alterando a opção de exibição para “Somente nome” ou “Sem nome nem mensagem”. Dessa forma, o conteúdo da mensagem deixa de aparecer diretamente nas notificações. O Signal afirmou que nenhuma ação adicional é necessária além da instalação da atualização da Apple. Segundo a empresa, após o patch, notificações preservadas indevidamente serão removidas e futuras notificações de aplicativos deletados não serão mais mantidas.

Um dos recursos mais icônicos do sistema operacional Windows acaba de ganhar uma nova interpretação técnica. O medidor de uso de CPU do Gerenciador de Tarefas, ferramenta amplamente utilizada por usuários e profissionais de TI, não representa exatamente o que está acontecendo em tempo real — mas sim um retrato recente do passado. A explicação vem de Dave Plummer, responsável pela primeira versão do Task Manager. Segundo ele, o valor exibido não é uma leitura instantânea do uso da CPU, mas sim o resultado de um cálculo baseado em intervalos de tempo. Na prática, o funcionamento segue uma lógica relativamente simples, porém engenhosa. O sistema utiliza um timer que, em intervalos regulares, consulta o kernel do sistema operacional para obter o tempo total de execução acumulado de cada processo. Em seguida, compara esses valores com a medição anterior. A partir disso, calcula-se o delta de uso de CPU — ou seja, quanto processamento cada aplicação consumiu entre duas medições consecutivas. Esse valor é então dividido pelo total de uso do sistema no mesmo intervalo, resultando na porcentagem exibida ao usuário. Esse modelo funciona bem em termos de consistência, mas traz limitações importantes. Como o cálculo é baseado em amostras temporais, o número apresentado sempre reflete o que aconteceu momentos antes — não exatamente o estado atual da CPU no instante da visualização. Além disso, o próprio Plummer destaca que o modelo foi criado em uma época muito diferente da atual. Nos anos 90 e início dos anos 2000, os processadores operavam com frequências relativamente estáveis, o que tornava a relação entre tempo de execução e capacidade de processamento mais previsível. Hoje, porém, o cenário mudou drasticamente. CPUs modernas utilizam técnicas avançadas como scaling dinâmico de frequência, turbo boost, core parking e estados de baixo consumo. Isso significa que a quantidade de trabalho realizada em um mesmo intervalo de tempo pode variar significativamente, dependendo do estado do processador naquele momento. Nesse contexto, o medidor do Task Manager continua tecnicamente correto — mas mede algo diferente do que muitos imaginam. Em vez de refletir produtividade ou capacidade real de processamento, ele indica ocupação da CPU ao longo de um intervalo. Isso ajuda a explicar por que, em sistemas modernos, o uso de CPU pode parecer “instável” ou pouco intuitivo. Um mesmo percentual pode representar níveis muito diferentes de processamento real, dependendo da frequência e do comportamento dinâmico do hardware. Outro detalhe interessante revelado pelo engenheiro envolve os desafios enfrentados durante o desenvolvimento da ferramenta. Pequenas inconsistências nos dados fornecidos pelo kernel podiam fazer com que a soma total de uso ultrapassasse 100%, exigindo ajustes e validações adicionais no código — incluindo mecanismos de verificação e até comentários com instruções para contato direto com o desenvolvedor. O caso também ilustra uma mudança mais ampla no paradigma de monitoramento de sistemas. Em ambientes modernos, métricas isoladas — como um simples percentual de CPU — já não são suficientes para representar com precisão o desempenho de um sistema. É cada vez mais necessário analisar múltiplos indicadores em conjunto, como throughput, latência, uso de memória, I/O e comportamento do hardware. No fim, o medidor de CPU do Windows permanece como uma ferramenta útil, mas que carrega consigo as limitações de uma era mais simples da computação. Como o próprio Plummer resume, quando os números parecem “escorregadios”, o problema não está necessariamente na ferramenta — mas na complexidade crescente do hardware que ela tenta representar.

Por Priscila Meyer — CEO da Eskive, especialista em segurança da informação com foco no risco humano Nos últimos tempos, vimos uma sequência de incidentes de cibersegurança — incluindo no setor bancário e em órgãos públicos ligados ao Governo Federal — que tiveram como ponto de partida ações voluntárias ou involuntárias de agentes internos. Foi a partir dessa aparente “tendência” que eu desenvolvi uma pergunta simples, mas que me tirou o sono por bastante tempo pensando em sua complexidade: afinal, é possível conscientizar pessoas de má índole? A resposta não cabe em um simples “sim” ou “não”. Ela exige que deixemos de tratar o problema como um bloco homogêneo e passemos a olhar para perfis, vieses e contextos. O mercado costuma usar a palavra insider como se fosse um rótulo único — na prática, são realidades bem distintas. Elas se dividem em pelo menos três grupos: o criminoso convicto; o colaborador aliciado; e o colaborador coagido. Cada um deles nasce (ou se encontra) em circunstâncias diferentes e, portanto, pede estratégias diferentes. O insider (realmente) malicioso O primeiro grupo — o criminoso convicto — reúne aqueles cujo comportamento é, em essência, mal-intencionado. Aqui, nem o melhor programa de conscientização terá poder de “conversão”: esses indivíduos procuram oportunidades para causar dano e raramente são impedidos por apelos éticos. Claro, a resposta ideal para esse perfil seria mantê-lo fora da organização, mas não é fácil identificar tais indivíduos, não é mesmo? Dessa forma, a solução tem menos a ver com campanhas educativas e mais com desenho de sistemas, controles rigorosos e detecção precoce: limitar oportunidades, segmentar acessos, monitorar padrões e isolar riscos. Muitas empresas já contam, felizmente, com departamentos inteiros dedicados a identificar de forma antecipada eventuais ações fraudulentas de sua própria equipe, tal como realizar um “pente fino” antes da contratação. O insider psicologicamente manipulado O segundo grupo é composto por colaboradores aliciados. Não são necessariamente pessoas “más”, mas sim cidadãos comuns, às vezes até mesmo de boa índole, que são persuadidos a colaborar com atos ilícitos por promessas, gratificações ou pela banalização do risco (“não vai dar em nada”). É nesse ponto que a teoria econômica e a psicologia nos ajudam a entender porque a conscientização tradicional às vezes falha. Gary Becker, vencedor do Nobel, escreveu a Teoria Econômica do Crime, sobre como decisões que chamamos de “crimes” costumam ser decisões resultantes de um cálculo racional sobre custos e benefícios — ele mesmo contou o exemplo de decidir estacionar em local proibido quando o custo percebido de uma multa parece menor que o benefício imediato de chegar a tempo. Do outro lado, Dan Ariely mostrou que o comportamento desonesto é muitas vezes previsível e sensível ao contexto: pequenas oportunidades de racionalização, quando repetidas, ampliam a tolerância da pessoa a transgressões. Ou seja: não é só ter informação; é reduzir incentivos, tornar as consequências claras e cortar as justificativas fáceis. Tudo isso se encaixa perfeitamente no contexto socioeconômico que estamos vivendo, sobretudo no Brasil. Muitas pessoas não possuem uma renda compatível com as suas necessidades e o crime organizado sabe muito bem disso. Uma ideia plantada aqui, uma facilitação inserida ali e pronto: o cenário está propício para que o profissional aliciado se torne convicto de que vale a pena cometer a transgressão por uma recompensa financeira. O insider que também é vítima O terceiro e último perfil — talvez o mais desafiador eticamente falando — é o do colaborador coagido. Ele age sob ameaça, chantagem ou pressão de atores externos. Criminalizá-lo sem investigar o contexto é um erro duplo: além de injusto, é contraproducente, pode empurrar outras pessoas vulneráveis para o silêncio. É por isso que, em muitos casos, a “conscientização” precisa caminhar junto com canais seguros de denúncia, apoio psicológico e medidas que diminuam a exposição do colaborador a riscos externos. Esses três perfis que acabamos de falar se relacionam intimamente com o que, na criminologia, é o que o criminologista Donald Cressey chamou de Triângulo da Fraude: pressão, oportunidade e racionalização. O primeiro lado desse triângulo — pressão — significa os motivos que empurram alguém, como dívidas, vícios e ambição. O segundo — oportunidade — é a brecha técnica ou processual que permite o ato, como controles fracos, acessos desnecessários, supervisão ineficiente. E o terceiro — racionalização — é o mecanismo mental que permite à pessoa convencer a si mesma de que o ato “não é tão grave” ou que “todo mundo faz”. É quando esses três elementos se encontram que a fraude acontece; por isso, a nossa resposta precisa desmontar esse triângulo em cada vértice. Se conscientizar não é o suficiente, o que fazer? Na prática, isso implica ações integradas, não uma lista de boas intenções. Controles técnicos e arquitetura de identidade reduzem a oportunidade; programas de assistência a empregados e processos transparentes de gestão reduzem a pressão; formação baseada em dilemas reais, lideranças que exemplifiquem condutas e uma comunicação que torne as consequências palpáveis reduzem a possibilidade de racionalização. A conscientização eficaz é contínua, contextualizada e vinculada a políticas concretas — remuneração justa, revisões de acesso, processos de investigação humanizados e caminhos seguros para pedir ajuda. Tudo, é claro, acompanhado da conscientização sobre a existência dos canais de assistência e treinamentos sobre postura segura no ambiente de trabalho. Também é preciso ajustar o foco das investigações internas. Nem todo desvio é crime intencional; alguns são sintomas de problemas mais amplos — cultural, operacional ou pessoal. Tratar uma pessoa coagida como autora desde a primeira hipótese elimina a chance de prover suporte e corrige apenas o sintoma, não a causa. Por outro lado, fingir que o problema é apenas de caráter e confiar apenas em filtros de contratação expõe a organização a surpresas: pesquisas comportamentais indicam que, sob determinadas pressões e oportunidades, qualquer pessoa pode “sair da linha”. Uma abordagem prática e madura combina três frentes: tecnologia com desenho à prova de falhas; cultura que reduz a normalização da transgressão; e processos humanos que protejam e investiguem com justiça. Isso envolve desde o princípio do menor privilégio e segregação de funções até programas de Employee Assistance que enfrentem vulnerabilidades financeiras e emocionais. Envolve também exercícios de tabletop que simulam cenários de insider, integração efetiva entre Segurança, RH e Jurídico e, o mais difícil, uma liderança disposta a admitir falhas e a melhorar processos sem buscar apenas culpados. Conscientizar “pessoas de má índole” sem essa camada extra de análise é, em muitos casos, gastar energia onde não vai gerar resultado. Mas desistir de educar e construir cultura porque alguns são irrecuperáveis é igualmente derrotista. Nossa tarefa prática é reconhecer quem pode ser influenciado — reduzindo incentivos e justificativas — e quem precisa ser contido por controles. E, acima de tudo, acolher quem pode estar agindo sob coação. Este é um tema sensível, estudado na criminologia e na psicologia, que exige políticas profundas e realistas. A pergunta que lanço — e a que você deveria refletir bem antes de reestruturar as suas defesas internas — é simples: dentro da sua empresa, como vocês vêm destrinchando o triângulo da fraude? Onde a conscientização tem funcionado e onde ainda faltam controles ou apoio humano? Continuar essa conversa é parte da solução; e, inclusive, ciente do aumento vertiginoso no caso de incidentes causados por insiders maliciosos, a Eskive resolveu convidar especialistas no assunto para debater tal fenômeno com os olhos de quem vive tal desafio diariamente. Aos interessados em acompanhar tal painel, vale a pena reservar o dia 14 de maio para descobrir as estratégias adotadas por profissionais experientes.

Um caso que expõe uma das camadas mais sensíveis do ecossistema de resposta a incidentes ganhou novos desdobramentos nos Estados Unidos. Angelo Martino, ex-negociador de ransomware, declarou-se culpado por colaborar com o grupo hacker ALPHV/BlackCat, traindo empresas que haviam contratado sua própria equipe para lidar com ataques cibernéticos. Martino atuava em uma empresa de resposta a incidentes — identificada em documentos judiciais como “Company-1”, associada à empresa DigitalMint — e tinha como função auxiliar vítimas a negociar com hackers para reduzir impactos financeiros. No entanto, em vez de proteger os clientes, ele repassava informações confidenciais diretamente aos invasores. A atuação do insider seguia uma lógica clara dentro da cadeia de ataque. Após o comprometimento inicial das empresas por meio de ransomware, as vítimas acionavam especialistas para conduzir negociações. Nesse momento, Martino acessava dados críticos — como limites de apólices de seguro cibernético e percepção interna sobre a disposição de pagamento — e os compartilhava com o grupo hacker. Essas informações permitiam aos criminosos ajustar a estratégia de extorsão, aumentando significativamente os valores exigidos. Além do vazamento de informações, Martino também admitiu participação direta em ataques, atuando ao lado de outros dois envolvidos — Ryan Goldberg e Kevin Martin — na implantação do ransomware em múltiplas vítimas entre abril e novembro de 2023. Ou seja, o caso deixou de ser apenas espionagem interna e passou a configurar envolvimento ativo na operação criminosa. Os impactos financeiros foram expressivos. Documentos judiciais revelam que uma empresa do setor de hospitalidade pagou cerca de US$ 16,4 milhões em resgate, enquanto uma organização sem fins lucrativos desembolsou aproximadamente US$ 26,8 milhões. Uma empresa de serviços financeiros também realizou pagamento superior a US$ 25,6 milhões. Outros casos incluem US$ 6,1 milhões pagos por uma empresa de varejo e US$ 213 mil por uma organização da área médica. Somando diferentes incidentes, os três envolvidos chegaram a exigir mais de US$ 16 milhões em ataques conduzidos diretamente por eles, além de lucrarem com operações onde atuavam como intermediários. Parte desses valores foi dividida entre o grupo e posteriormente lavada para ocultar a origem ilícita. As autoridades já conseguiram apreender cerca de US$ 10 milhões em ativos ligados a Martino, incluindo criptomoedas, veículos de luxo, propriedades e até bens incomuns, como um food truck e um barco de pesca adquirido com recursos provenientes dos crimes. Dois imóveis na Flórida também estão em processo de confisco. O caso levanta um alerta relevante para o mercado de cibersegurança: o risco interno em empresas que atuam justamente na linha de frente contra ataques. A confiança depositada em equipes de resposta a incidentes é um dos pilares da gestão de crises cibernéticas, e episódios como esse expõem vulnerabilidades não técnicas, mas humanas e processuais. Do ponto de vista estratégico, o incidente também evidencia a sofisticação crescente dos grupos hackers. Ao explorar não apenas falhas técnicas, mas também relações de confiança e processos de negociação, essas operações ampliam sua eficácia e aumentam o retorno financeiro. O grupo ALPHV/BlackCat, conhecido por operar no modelo de Ransomware-as-a-Service (RaaS), já esteve envolvido em diversas campanhas de alto impacto, combinando criptografia de dados, exfiltração e extorsão dupla. A colaboração de um insider com acesso privilegiado elevou ainda mais o nível de eficiência dessas operações. Martino aguarda sentença, prevista para julho, enquanto seus cúmplices devem ser julgados ainda em abril. Todos podem enfrentar penas de até 20 anos de prisão.

Terceira edição do Inside Pentesting da Vantico analisou centenas de testes conduzidos pela Vantico em 2025 e o cenário de ameaças que se constrói em 2026. A discussão sobre segurança ofensiva costuma girar em torno de um único problema: identificar vulnerabilidades. Mas os dados da terceira edição do Inside Pentesting, um estudo anual produzido pela Vantico com base em centenas de pentest realizados, revelam que o verdadeiro gap pode estar em outro lugar. Das vulnerabilidades classificadas como altas, 27% permanecem abertas por mais de 70 dias após a entrega do relatório. Ou seja, mesmo com o relatório em mãos, as falhas já identificadas, classificadas e documentadas, muitas vezes até com recomendações de correção, as empresas não estão conseguindo corrigir no ritmo que as ameaças exigem. O dado é preocupante por si só. Mas, no contexto atual, em que campanhas de phishing geradas com IA cresceram 1.265% e atacantes começam a explorar falhas publicadas em questão de horas, ele se torna ainda mais crítico. O que mudou no perfil dos testes em 2025 O estudo também analisou como as empresas estão testando e revelou uma preferência na metodologia escolhida para os testes. O gray box, modalidade em que o tester recebe contexto parcial antes da execução, foi utilizado em 55,9% dos projetos, superando o black box pelo segundo ano consecutivo. Esse movimento reflete uma escolha estratégica: o gray box é especialmente indicado para empresas que querem simular o perfil de um atacante com acesso parcial ao ambiente, como acontece quando um parceiro é comprometido. Outro dado que chama atenção é o crescimento das APIs como superfície de ataque testada: de 5,6% dos projetos em 2024 para 11,2% em 2025, praticamente o dobro. Isso reflete a expansão das arquiteturas de microsserviços e integrações digitais, que ampliam significativamente a superfície de ataque das empresas sem que as equipes de segurança acompanhem no mesmo ritmo. Misconfiguration ainda domina, mas o número surpreende Security Misconfiguration (A05:2021) respondeu por 43,2% de todas as vulnerabilidades identificadas. Esse número representa mais que o dobro da segunda colocada, Identification and Authentication Failures, com 10,9%. Isso representa que quase metade de todas as falhas encontradas em 2025 derivam desta vulnerabilidade. Muitos problemas de misconfiguration já são amplamente conhecidos, com soluções publicadas e, mesmo assim, continuam extremamente recorrentes. Outro dado interessante apontado foi de que as vulnerabilidades críticas caíram de 7,8% para 5,08%, e as altas de 15,4% para 8,01%. Em um primeiro momento, essa parece ser uma boa notícia. Mas este número exige cautela, uma vez que menos vulnerabilidades críticas podem significar mais maturidade das empresas ou indicar que os ambientes mais críticos não estão sendo testados com a frequência necessária. A correção não acompanhou o diagnóstico em 2025 Enquanto os números de vulnerabilidades encontradas trazem algum otimismo, os dados de remediação vão na direção oposta. 16% das vulnerabilidades críticas permaneceram sem correção por mais de 70 dias após a entrega do relatório. Para as altas, esse percentual sobe para 27%. O estudo aponta que esse atraso pode estar ligado a duas causas: a dificuldade de integrar correções ao cotidiano operacional e a dificuldade de priorização, mesmo quando o relatório já traz classificações por impacto e probabilidade de exploração. A consequência disso é uma ampla janela entre a identificação da falha e sua correção, o que mantém o ambiente extremamente vulnerável por mais tempo. O estudo também revelou que esse dado mostra diferenças consideráveis por setor: Jurídico (11%), Turismo (14,3%) e Energia (16,7%) registraram as menores taxas de correção de vulnerabilidades críticas e altas, enquanto Telecomunicações e Varejo atingiram 100% de remediação. Os dados completos de remediação por setor, incluindo os SLAs médios por severidade, estão disponíveis no estudo. O balanço da segurança ofensiva em 2025 Os dados internos da Vantico devem ser analisados ao lado do que aconteceu no cenário de ameaças em 2025. Phishing e engenharia social foram o principal vetor de ataque externo do ano, com a IA impulsionando as campanhas maliciosas. Houve um crescimento de 1.265% em ataques de phishing gerados com inteligência artificial, com mensagens cada vez mais personalizadas e difíceis de identificar. Em 2025, 16% das violações de dados envolveram uso de IA pelos invasores, sendo 37% para geração de phishing e 35% para deepfakes. Além disso, um alerta: o fator humano esteve presente em 60% dos vazamentos de dados do ano. Todos esses dados reforçam por que a janela de 70 dias de exposição é tão perigosa. Os atacantes estão cada vez mais rápidos e eficientes, e muitas organizações não conseguem acompanhar esse ritmo. O cenário de ameaças que se constrói para 2026 Das cinco tendências de segurança mapeadas pelo estudo, duas merecem destaque nesta análise. A primeira é a IA como sistema operacional dos atacantes. Ou seja, a tendência mais relevante não é o surgimento de novos tipos de ataques, mas a potencialização dos que já existem. Grupos antes limitados por capacidade técnica agora têm acesso a ferramentas que personalizam as campanhas, automatizam o reconhecimento e geram conteúdo convincente em alto volume. Isso muda o perfil de ameaça para empresas que antes se julgavam fora do radar dos grupos mais sofisticados. A segunda é a gestão de identidades no centro. Com Identification and Authentication Failures em segundo lugar no ranking de falhas e o crescimento das APIs como superfície de ataque, o estudo aponta que a gestão de identidades exigirá atenção especial em 2026. O estudo completo, com outras análises, mais previsões e recomendações, está disponível gratuitamente neste link.

O desenvolvimento do Linux continua avançando rapidamente, e a futura versão 7.1 já começa a ganhar forma com uma mudança relevante: a introdução de um novo driver NTFS com suporte completo de leitura e escrita diretamente no kernel. A novidade promete melhorar a integração com o ecossistema Windows, embora também sinalize uma possível substituição de soluções existentes. O novo driver foi desenvolvido por Namjae Jeon, conhecido por contribuições importantes em sistemas de arquivos, incluindo melhorias no suporte ao exFAT. O projeto é, na prática, uma modernização do antigo driver NTFS do kernel — originalmente limitado a leitura — agora atualizado para suportar escrita e adaptado às arquiteturas modernas do Linux. Diferente do que pode parecer à primeira vista, essa mudança não representa uma revolução em desempenho. O suporte ao NTFS no Linux já existe há décadas. Desde 1997, o kernel já permitia leitura de partições NTFS, e posteriormente soluções como o NTFS-3G trouxeram suporte de escrita via FUSE (em modo usuário), embora com limitações de performance e funcionalidades. O cenário mudou em 2021, quando a Paragon Software contribuiu com um driver NTFS completo para o kernel, conhecido como NTFS3 . Essa implementação trouxe suporte nativo de leitura e escrita com melhor desempenho, mas exigia manutenção contínua — um desafio significativo em projetos complexos dentro do kernel Linux . Foi justamente nesse ponto que surgiu a nova abordagem. Namjae Jeon iniciou um trabalho de reestruturação do driver original, focando em código mais limpo, moderno e sustentável a longo prazo. O resultado é um driver que não apenas adiciona suporte de escrita, mas também incorpora recursos atuais do kernel, como large folios, fallocate, permissões avançadas e idmapped mounts. Do ponto de vista técnico, a principal diferença está na qualidade e manutenção do código. O novo driver foi projetado para ser mais fácil de evoluir, com melhor organização e documentação — fatores críticos em projetos open source de longo ciclo de vida. Os testes também reforçam essa evolução. O novo driver passou por 326 testes de conformidade ( xfstests ), superando os 273 testes atendidos pelo NTFS3 da Paragon. Isso indica maior robustez e compatibilidade com diferentes cenários de uso. A cadeia de impacto dessa mudança é relevante. Com um driver mais moderno e mantido ativamente dentro do kernel, a tendência é que ele se torne a implementação padrão no futuro. Inicialmente, ele será opcional, podendo ser ativado via configuração (Kconfig), mas o histórico do kernel indica que soluções mais bem mantidas tendem a prevalecer ao longo do tempo. Isso coloca a solução da Paragon em uma posição delicada. Embora o NTFS3 continue presente no kernel por enquanto, há sinais claros de que sua substituição pode ocorrer em versões futuras, caso o novo driver se consolide como padrão. Para usuários, especialmente aqueles que trabalham em ambientes híbridos entre Linux e Windows, a mudança representa uma melhoria incremental na compatibilidade e confiabilidade. Já para o ecossistema open source, o caso reforça uma lição importante: em projetos de infraestrutura crítica, a qualidade e a manutenção do código são tão importantes quanto a funcionalidade em si. No fim, mais do que uma evolução técnica, o novo driver NTFS simboliza a capacidade do Linux de evoluir continuamente, revisitando soluções antigas e adaptando-as às necessidades atuais — mesmo que isso signifique substituir contribuições relativamente recentes.

A Microsoft, por meio do GitHub, decidiu interromper temporariamente novas assinaturas do GitHub Copilot para planos individuais. A medida afeta as modalidades Pro, Pro+ e Student e foi adotada diante de um cenário crescente de pressão sobre infraestrutura e custos operacionais. Segundo a empresa, o principal fator por trás da decisão é a evolução dos chamados “agentic workflows” — fluxos de trabalho baseados em agentes de IA que executam tarefas mais complexas, paralelas e de longa duração. Esse novo padrão de uso aumentou significativamente o consumo computacional, superando a capacidade inicialmente projetada para os planos atuais. Na prática, isso significa que o modelo de negócio original do Copilot começou a se tornar insustentável. Diferente de interações simples, os novos agentes podem executar cadeias extensas de raciocínio, consumir grandes volumes de tokens e permanecer ativos por longos períodos, elevando drasticamente o custo por usuário — muitas vezes acima do valor pago na assinatura. A cadeia de impacto começa na arquitetura da IA. Cada interação com o Copilot aciona modelos de linguagem que processam requisições, geram respostas e, em cenários mais avançados, executam múltiplas etapas em paralelo. Com a popularização dessas funcionalidades, a demanda por GPU, memória e processamento em datacenters cresceu de forma exponencial, pressionando provedores de cloud e exigindo ajustes emergenciais. Para conter o problema, o GitHub já vinha adotando medidas progressivas. Inicialmente, suspendeu testes gratuitos do Copilot Pro após detectar abuso. Agora, além da pausa nas novas assinaturas, a empresa anunciou o endurecimento dos limites de uso para clientes existentes. Dois mecanismos principais passaram a ser reforçados: limites por sessão e limites semanais. Os limites de sessão controlam o uso durante períodos de alta demanda, evitando que usuários monopolizem recursos. Já os limites semanais restringem o consumo total de tokens, especialmente em tarefas longas e paralelizadas, que geram custos elevados. Outro ponto crítico envolve o modelo de cobrança. Atualmente, o Copilot utiliza um sistema baseado em requisições, mas esse modelo se mostrou inadequado diante de workloads imprevisíveis. Em muitos casos, uma única requisição pode gerar um consumo muito maior do que o esperado, especialmente quando envolve raciocínios complexos de IA. Por isso, a empresa sinaliza uma transição para um modelo baseado em consumo de tokens, mais alinhado ao custo real de processamento. Essa mudança segue uma tendência já observada em outras plataformas de IA, que buscam equilibrar sustentabilidade financeira com escalabilidade. O impacto dessa crise de capacidade não se limita ao GitHub. Outros players do mercado também vêm enfrentando desafios semelhantes. Empresas como Anthropic, Google e OpenAI já implementaram políticas para limitar uso, redistribuir carga e reduzir consumo em horários de pico — um indicativo claro de que a infraestrutura global de IA ainda não acompanha o ritmo da demanda. Além disso, provedores de cloud como Amazon Web Services e Google Cloud também enfrentam dificuldades para expandir capacidade na mesma velocidade, refletindo um gargalo estrutural no setor. Como parte das mudanças, o GitHub também anunciou ajustes nos modelos disponíveis. Versões mais antigas e custosas da Anthropic, como Opus 4.5 e 4.6, serão removidas dos planos Pro+, sendo substituídas por versões mais recentes, porém com custo potencialmente maior por requisição . A decisão também gerou insatisfação entre usuários, especialmente aqueles que adquiriram planos anuais com expectativas diferentes de uso. O GitHub informou que clientes têm até 20 de maio para solicitar reembolso, caso não concordem com as novas condições. O episódio evidencia um ponto crítico no avanço da inteligência artificial: a diferença entre inovação tecnológica e viabilidade operacional. Enquanto os agentes de IA evoluem rapidamente, a infraestrutura necessária para sustentá-los — incluindo datacenters, GPUs e energia — ainda está em fase de expansão. No fim, o caso do Copilot reforça uma tendência clara: o futuro da IA não será definido apenas por capacidade técnica, mas também por eficiência econômica e gestão de recursos em larga escala.

Um novo levantamento do Gartner revela uma mudança silenciosa, porém consistente, no mercado global de sistemas de gerenciamento de banco de dados (DBMS). Embora as transformações ocorram de forma gradual, o recado é claro: os grandes fornecedores tradicionais estão, aos poucos, perdendo espaço para plataformas cloud e novos players impulsionados por dados, analytics e inteligência artificial. De acordo com a análise, entre os líderes de 2011 — Oracle, IBM, Microsoft e SAP — apenas a Microsoft conseguiu aumentar sua participação de mercado ao longo dos últimos 15 anos. Os demais perderam espaço para gigantes da nuvem como Amazon Web Services, Google Cloud Platform, além de empresas emergentes como Snowflake, Databricks e MongoDB. A metodologia do estudo considera exclusivamente receita, o que significa que bancos de dados open source como PostgreSQL, MySQL e Cassandra aparecem apenas quando integrados a serviços comerciais. Ainda assim, o impacto dessas tecnologias é evidente quando analisado sob outras métricas, como adoção por desenvolvedores e tendências de mercado. No topo do ranking, o cenário permanece relativamente estável desde 2022, com AWS, Microsoft, Oracle, Google Cloud e IBM ocupando as primeiras posições. No entanto, a estabilidade esconde uma mudança estrutural importante: a crescente dependência de soluções baseadas em nuvem e o avanço acelerado de plataformas orientadas a dados e IA. Um dos destaques recentes é a ascensão da Cockroach Labs, responsável pelo CockroachDB — um banco relacional distribuído com compatibilidade com PostgreSQL. A empresa vem ganhando espaço rapidamente, refletindo uma tendência mais ampla de adoção de arquiteturas distribuídas e resilientes, especialmente em ambientes cloud-native. A transformação do mercado está diretamente ligada a três fatores principais: computação em nuvem, analytics avançado e inteligência artificial. Esses elementos estão redefinindo a forma como aplicações são desenvolvidas e operadas, exigindo bancos de dados mais flexíveis, escaláveis e integrados a pipelines de dados modernos. Nesse contexto, a posição da Oracle merece atenção especial. Líder histórica do mercado até 2019, a empresa ainda mantém forte presença em ambientes corporativos tradicionais. No entanto, sua relevância tende a diminuir à medida que sistemas legados são substituídos por novas aplicações construídas diretamente na nuvem. O desafio da Oracle não está apenas na tecnologia, mas também no modelo de adoção. Em ambientes já baseados em suas soluções, a continuidade faz sentido. Porém, em projetos novos — especialmente aqueles nativos de cloud — a empresa frequentemente não aparece como primeira escolha, principalmente diante da ampla oferta de alternativas open source e serviços gerenciados mais flexíveis. A Oracle Cloud Infrastructure surge como tentativa de reposicionamento, mas ainda enfrenta dificuldades para competir com os líderes do mercado em termos de participação. Sua estratégia depende fortemente da base instalada de clientes corporativos para impulsionar a adoção da nuvem. Outro ponto relevante é a diferença entre participação de mercado e popularidade entre desenvolvedores. Em rankings como o DB-Engines e pesquisas da comunidade, bancos como PostgreSQL e MySQL apresentam forte crescimento. Em 2023, por exemplo, PostgreSQL se tornou o banco de dados mais popular entre desenvolvedores, enquanto a Oracle caiu para a nona posição em levantamentos da Stack Overflow . Esse contraste evidencia uma mudança geracional no ecossistema de dados. Enquanto grandes empresas ainda mantêm investimentos estratégicos em plataformas tradicionais, novas aplicações estão sendo construídas sobre tecnologias mais abertas, distribuídas e alinhadas ao modelo cloud-first. Apesar disso, a mudança não será abrupta. O mercado de bancos de dados é conhecido por sua inércia, devido à criticidade dos sistemas envolvidos e ao alto custo de migração. A tendência, portanto, é de uma transição gradual, com coexistência entre soluções legadas e modernas por muitos anos. No longo prazo, porém, a direção parece definida: a influência da Oracle tende a diminuir à medida que o mercado evolui para arquiteturas mais flexíveis e orientadas a dados. Ainda assim, a empresa deve manter relevância por um longo período, especialmente em grandes ambientes corporativos e aplicações críticas.

A agência de cibersegurança dos Estados Unidos, CISA, emitiu um alerta urgente sobre a exploração ativa de vulnerabilidades críticas na plataforma Cisco Catalyst SD-WAN Manager. Três falhas foram adicionadas ao catálogo de vulnerabilidades exploradas ativamente (Known Exploited Vulnerabilities – KEV), com um prazo extremamente curto: apenas quatro dias para que órgãos federais realizem a correção. A plataforma afetada ocupa um papel central em ambientes corporativos, sendo responsável pela orquestração de redes SD-WAN e capaz de gerenciar até 6.000 dispositivos de borda em um único cluster. Isso significa que uma exploração bem-sucedida não compromete apenas um equipamento isolado, mas potencialmente toda a infraestrutura distribuída da organização. As vulnerabilidades identificadas são as seguintes: A CVE-2026-20128 envolve uma falha de exposição de informações no recurso Data Collection Agent (DCA). Essa brecha permite que um invasor remoto, sem autenticação, obtenha privilégios de usuário dentro do sistema — um cenário crítico, já que elimina a necessidade de credenciais iniciais. A CVE-2026-20133 também trata de exposição de informações sensíveis, possibilitando que um invasor remoto não autenticado visualize dados internos do sistema, o que pode servir como base para ataques mais sofisticados. Já a CVE-2026-20122 representa um risco ainda mais grave. Trata-se de uma falha de sobrescrita arbitrária de arquivos que pode ser explorada por um invasor autenticado, mesmo com permissões limitadas de leitura via API. A partir disso, é possível enviar arquivos maliciosos, sobrescrever componentes locais e escalar privilégios até o nível de usuário do vManage. A cadeia de ataque, nesse contexto, pode seguir um fluxo relativamente direto. Inicialmente, o invasor explora falhas de exposição de informações para mapear o ambiente e obter dados sensíveis. Em seguida, utiliza credenciais válidas — possivelmente obtidas ou já existentes — para explorar a vulnerabilidade de sobrescrita de arquivos, implantando código malicioso no sistema. A partir daí, ganha persistência, eleva privilégios e pode assumir controle da plataforma de gerenciamento, impactando toda a rede SD-WAN. Embora as correções tenham sido disponibilizadas pela Cisco ainda no final de fevereiro, a exploração ativa começou a ser observada em março de 2026. Até o momento, há confirmação de ataques utilizando as falhas CVE-2026-20128 e CVE-2026-20122, enquanto a CVE-2026-20133 ainda não foi oficialmente listada como explorada — embora esteja no radar das autoridades. O impacto potencial dessas vulnerabilidades é significativo. Em ambientes corporativos, o SD-WAN Manager é o ponto de controle central da rede. Comprometê-lo pode permitir que invasores manipulem políticas de roteamento, interceptem tráfego, criem túneis maliciosos, movimentem-se lateralmente e até interrompam serviços críticos. Em setores como financeiro, saúde e infraestrutura, isso pode resultar em indisponibilidade operacional, vazamento de dados e prejuízos financeiros relevantes. Esse tipo de incidente reforça uma tendência preocupante no cenário atual: a crescente exploração de sistemas de gerenciamento centralizado. Em vez de atacar endpoints individuais, invasores estão focando em plataformas que oferecem controle amplo sobre múltiplos ativos — uma abordagem mais eficiente e com maior potencial de impacto. A inclusão dessas falhas no catálogo KEV da CISA indica que a exploração já é considerada confiável e recorrente no mundo real. Para organizações que utilizam a solução da Cisco , o recado é direto: a janela de resposta é curta, e o risco de comprometimento é elevado.