Resultados de busca

Um grupo hacker teria invadido os servidores da Mikord, uma empresa russa pouco conhecida, mas supostamente envolvida no desenvolvimento do novo banco de dados unificado de registro militar do país. A denúncia foi feita por Grigory Sverdlov , líder do grupo de direitos humanos Idite Lesom (“Cai Fora”), que recebeu dos invasores um conjunto extenso de documentos internos, incluindo códigos-fonte, registros financeiros, arquivos técnicos e comunicações corporativas. Segundo Sverdlov, os hackers afirmam ter mantido acesso prolongado aos sistemas da Mikord por vários meses e chegaram a destruir partes de sua infraestrutura. O site da empresa está fora do ar há dias, exibindo apenas uma mensagem de manutenção. No início de dezembro, a página inicial chegou a ser pichada digitalmente por hackers que prometeram entregar o material roubado à imprensa e publicá-lo em seguida. Embora a Mikord nunca tenha admitido oficialmente envolvimento no desenvolvimento do novo registro militar da Rússia, o portal investigativo iStories, baseado na Letônia, analisou os documentos vazados e confirmou a participação da empresa no projeto. O diretor da Mikord, Ramil Gabdrakhmanov, reconheceu o ataque, dizendo apenas que “acontece com todo mundo” e se recusou a comentar qualquer ligação com o banco de dados militar. O Ministério da Defesa da Rússia, por outro lado, negou totalmente a violação , classificando as alegações como “falsas” e afirmando que o sistema estaria operando normalmente. A pasta declarou ainda que o registro é frequentemente alvo de ataques, mas que todos foram “contidos com sucesso” e que não ocorreu vazamento de dados pessoais. O banco de dados militar unificado armazena informações detalhadas de todos os cidadãos aptos ao serviço militar e foi criado para modernizar o processo de mobilização, substituindo o antigo sistema soviético baseado em registros de papel. A autenticidade dos documentos obtidos pelos hackers não pôde ser verificada de forma independente. O caso surge semanas após suspeitos hackers russos atacarem diversos registros estatais da Ucrânia, interrompendo temporariamente sistemas que armazenam dados biométricos, registros de propriedades, documentos fiscais e o aplicativo militar digital Reserve+. Via - TR

O aplicativo de mensagens Freedom Chat, lançado em junho com a promessa de oferecer privacidade e comunicação segura, corrigiu duas falhas críticas que colocavam em risco dados sensíveis de seus usuários. As vulnerabilidades permitiam que um Pesquisador conseguisse adivinhar números de telefone cadastrados e acessar PINs definidos pelos próprios usuários para bloquear o aplicativo informações que deveriam permanecer totalmente privadas. As falhas foram descobertas pelo Pesquisador Eric Daigle , que identificou que os servidores do Freedom Chat aceitavam milhões de tentativas de adivinhação de números de telefone sem limites de requisições, possibilitando a enumeração de quase 2 mil usuários registrados desde o lançamento da plataforma. Segundo Daigle, a técnica explorada é semelhante à usada por pesquisadores da Universidade de Viena , que recentemente demonstraram como bilhões de números podem ser cruzados contra servidores de aplicativos de mensagens para revelar identidades de usuários. Outro problema ainda mais grave envolvia o vazamento de PINs. Durante a análise de tráfego de rede, Daigle descobriu que o Freedom Chat retornava, em respostas do servidor, os PINs de todos os usuários presentes no mesmo canal público inclusive o canal padrão ao qual todos são automaticamente adicionados ao criarem uma conta. Com essa informação, alguém com acesso a um aparelho roubado poderia desbloquear o aplicativo sem dificuldade. A falha veio à tona porque o Freedom Chat não possui um canal público de reporte de vulnerabilidades, prática comum no setor e considerada essencial. Após ser notificado por e-mail, o fundador do app, Tanner Haas, confirmou que os PINs foram redefinidos e que uma nova versão corrigida já está disponível. Ele afirmou ainda que o aplicativo implementou limites de taxa para impedir ataques em massa e removeu situações em que números de telefone poderiam aparecer indevidamente. Em comunicado na loja de aplicativos, a empresa classificou o episódio como “uma exposição inadvertida causada por atualização de backend”, e reforçou que mensagens dos usuários não foram comprometidas. No entanto, o caso reacende dúvidas sobre a maturidade de segurança da empresa, especialmente porque o aplicativo anterior do mesmo fundador, o Converso, foi removido das lojas após falhas graves que expunham mensagens e arquivos privados. Via - TC

A Broadcom confirmou que o VMware vSphere Foundation (VVF) deixou de ser comercializado em alguns países da Europa, Oriente Médio e África (EMEA), trazendo incertezas para clientes menores que já enfrentam aumentos expressivos de custos. O pacote, que reúne virtualização de computação, armazenamento e rede além de suporte a contêineres era considerado uma opção mais acessível para ambientes hiperconvergentes e híbridos, embora menos robusto que o VMware Cloud Foundation (VCF). Agora, compradores precisam consultar revendedores locais para descobrir se o produto ainda está disponível em seus mercados. Um cliente relatou que sua empresa, com milhares de núcleos de computação, viu a perspectiva de seu custo anual saltar de US$ 130 mil para US$ 1,3 milhão, levando o time a considerar a migração para rivais como Microsoft Hyper-V ou Nutanix. A mudança faz parte de uma consolidação estratégica promovida pela Broadcom desde a aquisição da VMware em 2023, com foco em produtos de maior valor agregado e no fortalecimento da visão de “plataforma privada de nuvem”, deixando para trás a abordagem flexível e modular que marcava a VMware em anos anteriores. Yves Sandfort, CEO e fundador da integradora Comdivision, que possui sete competências master da VMware, afirmou que a empresa caminha para centralizar sua linha de virtualização exclusivamente no VMware Cloud Foundation movimento que pode excluir ofertas mais baratas e afastar clientes de menor porte. Mesmo reconhecendo que a Broadcom pode perder parte da base instalada, o executivo acredita que os grandes clientes tendem a aumentar adoção, especialmente com novos recursos de Private AI, segurança de rede e soberania de dados. Apesar das mudanças, a Broadcom afirmou que não há planos de descontinuar o vSphere Standard solução de virtualização básica que representa cerca de 60% das licenças vendidas globalmente. A empresa reforçou, porém, que disponibilidade pode variar conforme demanda regional e requisitos de mercado. O cenário se torna ainda mais sensível diante da pressão crescente da CISPE, associação europeia de provedores de infraestrutura em nuvem, que pediu ao Tribunal Geral da União Europeia a anulação da fusão entre Broadcom e VMware, alegando “monetização agressiva” e aumento forçado de preços após a aquisição. Via - TR

O crime digital virou negócio. Essa afirmação é do perito criminal federal, Rodrigo Lange, que participou recentemente do 1º Painel Eskive | Desafios e Estratégias contra o Cibercrime no Brasil. Uma percepção que não é apenas notória como passível de ser comprovada — dados do Fórum Brasileiro de Segurança Pública dos últimos anos apontam que o cibercrime movimenta mais de 180 bilhões de reais anualmente no Brasil.  De acordo com Lange, esses números podem ser ainda maiores daqui pra frente, já que o cibercrime entrou em uma fase de industrialização, marcada por ataques automatizados com Inteligência Artificial (IA), terceirização de serviços e uma cadeia profissionalizada de fornecedores ilícitos. “O crime digital virou negócio, com divisão de tarefas, suporte técnico e até planos de assinatura para kits completos de invasão”, afirma. Lange explica que o ponto mais crítico hoje não é apenas a sofisticação das técnicas, mas a velocidade com que os criminosos adotam automação e IA para aprimorar engenharia social, descobrir vulnerabilidades e escalar ataques. “Antes, o criminoso precisava desenvolver suas próprias ferramentas. Agora, ele compra o pacote pronto, com atualizações semanais e suporte especializado”, complementa. Além da evolução tecnológica, os alvos também mudaram. Ambientes que antes eram negligenciados passaram a ser portas de entrada, como APIs expostas, integrações mal configuradas e dispositivos de Internet das Coisas. Para o perito, a defesa exige investimentos contínuos em inventário de ativos, autenticação forte, monitoramento e, acima de tudo, educação do usuário e dos times internos. “Criminosos estão comprando acessos privilegiados dentro das empresas” Outro movimento preocupante na prevenção de crimes digitais, segundo Lange, é o recrutamento de funcionários com acessos privilegiados. “Em grupos de Telegram e em redes sociais, criminosos têm oferecido quantias altíssimas para colaboradores dispostos a facilitar invasões. Os criminosos perceberam que, muitas vezes, é mais fácil comprar o acesso do que invadir”, diz. Essa visão é compartilhada por Juliana D’Addio, Security Culture Strategist no Santander Brasil, que afirma com veemência: os atacantes já entenderam que têm mais chances de sucesso visando o fator humano, e não tecnológico. “Hoje, o cenário da segurança digital está muito mais centrado no uso massivo de engenharia social e aliciamento — os atacantes perceberam que é mais fácil hackear pessoas do que sistemas. Isso evidencia a necessidade de incluir as pessoas no centro dessa conversa”, pontua a executiva. Juliana, que também participou do 1º Painel Eskive, lembra que uma pesquisa recente da CompTIA mostra que 81% das organizações classificam a cibersegurança como alta prioridade e 68% acreditam ter alta capacidade para lidar com o tema. No entanto, apenas 49% afirmam que é fácil obter financiamento para essas iniciativas. “Estamos, sim, avançando em direção a uma cultura de segurança digital que vai além das ações de compliance ou dos treinamentos pontuais. Ainda assim, falta transformar essa prioridade declarada em prática concreta — especialmente quando se trata de investir no fator humano, o elo mais explorado pelos atacantes”, finaliza. Fornecedores viram o ‘atalho’ do crime digital O ataque à cadeia de suprimentos se tornou outro dos vetores mais explorados no cenário atual. “Para atingir uma empresa grande, basta atacar o pequeno fornecedor. O criminoso não precisa escalar o castelo se o parceiro já deixou um portão meio aberto”, destaca Lange. A confiança excessiva em integrações e terceirizações, sem verificação contínua, cria brechas significativas. A recomendação geral é de que os contratos passem a incluir requisitos mínimos de segurança, segmentação de acessos e monitoramento permanente dos terceiros conectados ao ambiente corporativo. Para Priscila Meyer, CEO da Eskive e especialista em segurança da informação e redução do risco humano, que mediou o evento online, muitos incidentes de grande porte que vimos recentemente na mídia poderiam ser evitados com algumas práticas simples, como diligências prévias e obrigações contratuais de que o fornecedor tenha no mínimo a mesma infraestrutura de cibersegurança que a empresa que o está contratando. “É necessário lembrar que as third-parties estão intimamente relacionadas ao seu negócio, muitas vezes armazenando e processando dados de seus clientes e parceiros. É essencial garantir que elas sigam frameworks respeitados no mercado e, é claro, também invistam na conscientização do fator humano”, explica. “De nada adianta você construir um castelo e anexá-lo a uma pequena casa que não possui proteção alguma”. “Sem preservação correta de logs e metadados, investigação se torna inviável” Segundo Lange, muitas empresas ainda pecam na preservação de evidências digitais, como logs, versões de arquivos, metadados e hashes. “Sem esses dados, a investigação fica incompleta, como um quebra-cabeça sem metade das peças.” Ele lembra que desde 2019 a cadeia de custódia digital é exigência legal no Brasil, prevista no Código de Processo Penal. Isso significa que qualquer evidência deve seguir um caminho formal de coleta, armazenamento, registro de responsáveis e controle de acesso. “Sem cadeia de custódia, qualquer prova pode ser questionada. Não por má-fé, mas porque não é possível comprovar que permaneceu íntegra”, explica. Lange recomenda que empresas adotem processos formais, geração de hash, trilhas imutáveis de log e que sigam normas de referência, como a NIST SP 800-86, que orienta a integração de técnicas forenses na resposta a incidentes. Via - Priscila Meyer

Um novo malware direcionado a dispositivos Android, identificado como DroidLock, foi descoberto por pesquisadores da Zimperium. A ameaça é capaz de bloquear a tela do aparelho, exigir pagamento de resgate e acessar informações sensíveis como mensagens de texto, registros de chamadas, contatos, gravações de áudio e até mesmo apagar todos os dados armazenados no dispositivo. Segundo a análise, o DroidLock permite que o invasor assuma controle total do celular por meio do sistema de compartilhamento VNC, além de capturar o padrão de desbloqueio utilizando uma camada falsa sobre a tela. A campanha tem como alvo principal usuários de língua espanhola e é distribuída por meio de sites maliciosos que promovem aplicativos falsos, criados para se passar por apps legítimos. A infecção começa com um dropper, que engana o usuário para instalar um segundo componente este, sim, contendo o malware principal. Após a instalação, o aplicativo solicita permissões de Administrador do Dispositivo e Serviços de Acessibilidade, que permitem realizar ações abusivas como bloquear o aparelho, redefinir PIN e senha, alterar dados biométricos e até impedir completamente o acesso do dono legítimo. Os pesquisadores identificaram que o DroidLock possui 15 comandos diferentes, possibilitando ações como limpar todos os dados, iniciar a câmera, silenciar o dispositivo, exibir sobreposições falsas, redefinir para as configurações de fábrica e desinstalar aplicativos. Quando o comando de extorsão é acionado, o ransomware exibe uma tela via WebView instruindo o usuário a contatar o hacker por um e-mail Proton. A ameaça inclui um ultimato: caso o pagamento não seja feito em 24 horas, os arquivos seriam destruídos permanentemente. Embora o DroidLock não criptografe arquivos, ele utiliza a estratégia de bloqueio e ameaça de destruição para alcançar o mesmo objetivo de um ransomware tradicional: forçar o pagamento. Além disso, o malware pode capturar o padrão de desbloqueio por meio de uma interface clonada e enviá-lo ao invasor, permitindo o acesso remoto ao dispositivo durante períodos de inatividade via VNC. Como integrante da App Defense Alliance, a Zimperium compartilhou imediatamente os achados com a equipe de segurança do Android. Assim, o Google Play Protect já é capaz de detectar e bloquear a ameaça em dispositivos atualizados. Especialistas reforçam que usuários devem evitar instalar APKs fora da Google Play a menos que a fonte seja extremamente confiável, sempre revisar permissões solicitadas pelos aplicativos e manter o Play Protect ativado para escanear o aparelho regularmente. Via - BC

O presidente-executivo da Coupang, Park Dae-jun, renunciou ao cargo após um dos maiores vazamentos de dados da história da Coreia do Sul, que comprometeu informações pessoais de mais da metade da população do país. Em comunicado oficial, Park pediu desculpas pelo incidente e afirmou sentir “um profundo senso de responsabilidade pelo ocorrido e pelo processo de recuperação”. Para conduzir a empresa durante a crise, a Coupang nomeou Harold Rogers , principal executivo jurídico da controladora norte-americana da companhia, segundo o anúncio corporativo . A troca no comando ocorre em meio a críticas intensas e questionamentos sobre falhas de segurança que teriam permitido que hackers acessassem dados de cerca de 34 milhões de pessoas . No mês passado, a Coupang havia revelado inicialmente que pouco mais de 4,500 clientes tiveram informações roubadas. No entanto, após investigações internas mais detalhadas, o número foi drasticamente revisado para cima, revelando a dimensão real do ataque. De acordo com a empresa, a invasão teria começado em junho, mas só foi detectada em novembro um lapso de cinco meses que afetou profundamente a percepção pública sobre a capacidade de segurança e monitoramento da companhia. Comparada frequentemente à Amazon por sua força no e-commerce e na logística sul-coreana, a Coupang enfrenta agora não apenas a investigação de autoridades, mas também pressão de consumidores e acionistas. O vazamento se soma a uma série de incidentes de cibersegurança que atingem grandes empresas e órgãos governamentais do país neste ano, incluindo um incêndio em um datacenter que resultou na perda irreversível de dados do governo sul-coreano. Via - TC

A CES 2026 promete levar o desenvolvimento de infotainment automotivo a um novo patamar, unindo virtualização, computação em nuvem e design avançado em uma demonstração que mostra como interfaces veiculares podem ser criadas, testadas e implantadas de forma muito mais rápida e colaborativa. Este ano, a apresentação destaca a integração entre o Anbox Cloud, plataforma de virtualização Android, e o Rightware Kanzi, software reconhecido mundialmente pela criação de interfaces ricas e visualmente impactantes. O setor automotivo enfrenta uma crescente complexidade no desenvolvimento de sistemas de infotainment. Designers de interface, desenvolvedores Android e engenheiros de validação costumam trabalhar de forma isolada, cada um limitado por dependências de hardware físico, protótipos restritos e longos ciclos de teste. Pequenas alterações de design podem levar dias para serem validadas, e testar diferentes resoluções, proporções de tela ou condições de desempenho muitas vezes exige setups físicos raros e caros. Para superar essas limitações, a demonstração apresentada na CES 2026 leva o processo para a nuvem. Com o Anbox Cloud, todo o ambiente Android é executado de forma totalmente virtualizada, permitindo que equipes implantem e testem interfaces criadas no Kanzi sob demanda, de qualquer lugar e em qualquer escala tudo sem depender de equipamentos físicos. A solução também possibilita que várias instâncias Android rodem simultaneamente, viabilizando testes automatizados, validações paralelas e ciclos de desenvolvimento consideravelmente mais ágeis. A combinação dessas tecnologias aparece de forma impressionante no setup de infotainment widescreen 8K, criado pela Rightware. A mesma interface pode ser renderizada e transmitida em 8K diretamente do Anbox Cloud, com fidelidade absoluta, baixa latência e responsividade total. Essa abordagem abre espaço para colaboração em tempo real entre designers, desenvolvedores e equipes de validação, acelerando o desenvolvimento e reduzindo custos para montadoras (OEMs) e fornecedores Tier 1. “O Kanzi sempre teve como objetivo empoderar designers e desenvolvedores para criar experiências excepcionais dentro dos veículos”, afirma Tero Koivu, co-CEO da Rightware. “Ver uma interface em Kanzi transmitida em 8K via Anbox Cloud mostra como fluxos de trabalho cloud-native podem acelerar dramaticamente a iteração e a colaboração. Isso abre um caminho poderoso para equipes que constroem a próxima geração de interfaces automotivas conectadas e visualmente impressionantes.” Via - Canonical

O Google anunciou nesta segunda-feira um novo conjunto de recursos de segurança para o Chrome, reforçando a proteção do navegador após a chegada de capacidades de inteligência artificial “agêntica”. As novas defesas visam impedir que hackers explorem técnicas de indirect prompt injection ataques que manipulam o modelo de IA por meio de conteúdos maliciosos embutidos em páginas da web. Entre as novidades está o User Alignment Critic, um segundo modelo responsável por revisar e validar as ações planejadas pelo agente de IA, garantindo que elas estejam alinhadas ao objetivo do usuário e não à instrução maliciosa de um site. Segundo o Google , o Critic opera isolado e visualiza apenas metadados da operação, evitando ser contaminado por conteúdo malicioso. Se uma ação for considerada inadequada, o Critic veta a execução e retorna feedback ao modelo principal para que reformule o plano. Caso falhe repetidamente, o sistema devolve o controle ao usuário. A abordagem complementa técnicas como spotlighting , que força o modelo a priorizar comandos do usuário em vez de instruções ocultas em páginas web. Outra camada de proteção é o Agent Origin Sets, que limita rigorosamente os sites cujos dados podem ser lidos ou manipulados pelo agente de IA. As origens são divididas entre “somente leitura” e “leitura e escrita”, impondo um limite explícito para evitar vazamento cruzado de dados entre sites. Um componente de gating decide se novas origens podem ser adicionadas, garantindo isolamento mesmo quando o usuário navega por múltiplas páginas. O Chrome também passa a exigir aprovação explícita do usuário antes de ações sensíveis, como acessar bancos, serviços de saúde, realizar compras, efetuar pagamentos ou entrar em sites usando o Google Password Manager. Além disso, o navegador registra um work log para aumentar a transparência das ações executadas pela IA. Outra defesa inédita é um classificador de prompt injection que roda em paralelo ao modelo de planejamento. Ele identifica tentativas de manipulação maliciosa e bloqueia ações desencadeadas por esse tipo de ataque. Tudo isso funciona em sinergia com o Safe Browsing e o detector local de golpes. Para incentivar pesquisas e testes, o Google oferece recompensas de até US$ 20 mil para quem demonstrar falhas que burlem os novos limites de segurança, incluindo ações não autorizadas, exfiltração de dados sem consentimento ou bypass de proteções essenciais. A iniciativa surge após alertas da Gartner , que recomendou que empresas bloqueiem o uso de navegadores com IA agêntica até que riscos como prompt injection , ações incorretas e perda de dados possam ser controlados. A consultoria alertou ainda para possíveis abusos, como funcionários usando o navegador para automatizar treinamentos obrigatórios. O Centro Nacional de Cibersegurança do Reino Unido (NCSC) também reforçou que prompt injection é uma classe de vulnerabilidade permanente nos modelos atuais e que não existe solução definitiva. Para o NCSC, a mitigação deve depender de proteções determinísticas externas ao modelo e não apenas tentativas de impedir que conteúdo malicioso chegue ao LLM. Via - THN

Pesquisadores identificaram falhas graves no .NET Framework que podem ser exploradas para comprometer aplicações corporativas e permitir execução remota de código (RCE). A vulnerabilidade, apelidada de SOAPwn , foi apresentada pelo Pesquisador Piotr Bazydlo , da WatchTowr Labs, durante a conferência Black Hat Europe, em Londres. Segundo a pesquisa, o problema afeta diretamente soluções como Barracuda Service Center RMM, Ivanti Endpoint Manager (EPM) e Umbraco 8, mas o número real de softwares vulneráveis deve ser muito maior devido ao uso massivo do .NET no mercado. A falha ocorre pela forma incorreta como algumas aplicações .NET lidam com mensagens SOAP e com importações de WSDL. Segundo Bazydlo, um invasor pode forjar um WSDL malicioso e induzir clientes SOAP dinâmicos a utilizar manipuladores de sistema de arquivos. Com isso, o atacante consegue fazer com que o .NET grave arquivos arbitrários em caminhos controlados inclusive sobrescrevendo arquivos existentes o que abre caminho para execução remota de código. Em um cenário de ataque, um invasor poderia enviar um endereço UNC malicioso, como "file://attacker.server/poc/poc", fazendo com que a requisição SOAP fosse escrita diretamente em um compartilhamento SMB sob seu controle. Isso permitiria capturar desafios NTLM, abrir caminho para ataques de cracking, e possivelmente escalar para acesso mais profundo ao ambiente. A pesquisa também revelou um vetor de exploração ainda mais poderoso: aplicações que geram proxies HTTP a partir de arquivos WSDL usando a classe ServiceDescriptionImporter não validam corretamente as URLs fornecidas. Isso permite que o invasor entregue um WSDL controlado e injete cargas maliciosas, resultando no envio de web shells ASPX, arquivos CSHTML ou scripts PowerShell culminando em execução remota de código. Apesar da gravidade, a Microsoft informou que não irá corrigir a falha, classificando o problema como consequência de “uso inseguro por parte de aplicações que consomem entradas não confiáveis”. A recomendação oficial é que desenvolvedores evitem aceitar WSDLs ou inputs dinâmicos que possam gerar código de maneira automática. Alguns fornecedores, no entanto, já aplicaram correções. A Barracuda resolveu o problema na versão 2025.1.1 ( CVE-2025-34392 , CVSS 9.8), e a Ivanti corrigiu a falha na versão 2024 SU4 SR1 ( CVE-2025-13659 , CVSS 8.8). Segundo Bazydlo, o impacto final “depende de como cada aplicação utiliza as classes de proxy SOAP”, mas em muitos casos o resultado é simples e direto: RCE via upload de web shells ou scripts maliciosos. Via - THN

Autoridades dos Estados Unidos emitiram um alerta nesta semana sobre ataques cibernéticos realizados por múltiplos grupos hackers ligados ao governo russo . A Agência de Segurança Cibernética e Infraestrutura (CISA), junto a outras entidades americanas e internacionais, publicou um comunicado detalhando ofensivas atribuídas aos grupos CyberArmyofRussia_Reborn (CARR), NoName057(16) e organizações relacionadas. Segundo o alerta, desde 2022 esses grupos vêm mirando setores essenciais como água, energia e produção de alimentos. O Departamento de Justiça dos EUA revelou que um ataque atribuído ao CARR, em novembro de 2024, atingiu uma planta de processamento de carne em Los Angeles, resultando na perda de milhares de quilos de carne e em um vazamento de amônia. Os ataques também afetaram infraestrutura eleitoral durante eleições, sites de órgãos reguladores nucleares e outros alvos sensíveis. O FBI não divulgou quantas organizações norte-americanas foram comprometidas. Além do alerta, o Departamento de Justiça anunciou duas acusações formais contra um membro dos grupos, responsável por ataques contra instalações de água e esgoto que causaram danos aos sistemas de controle e o derramamento de centenas de milhares de galões de água potável. A CISA afirmou que os grupos exploram conexões de Virtual Network Computing (VNC) expostas à internet, frequentemente mal protegidas, para obter acesso a dispositivos de tecnologia operacional e, assim, executar ataques capazes de causar danos físicos. Apesar de serem considerados menos sofisticados do que grupos APT avançados, os ataques já resultaram em impactos significativos. Grande parte da atividade começou após a invasão da Ucrânia em 2022. O CARR posteriormente rebatizado como Z-Pentest emergiu com apoio direto da GRU, a inteligência militar russa. O grupo reivindicou ataques a uma estação de tratamento de esgoto europeia e a duas fazendas de laticínios nos EUA. Já o NoName057(16), criado no mesmo período, foca principalmente em governos e empresas de países membros da OTAN. Em 2024, os dois grupos uniram forças para ampliar suas operações de intrusão em sistemas industriais, publicando vídeos e imagens dos ataques no Telegram. O alerta afirma que os hackers apresentam “baixo nível de conhecimento técnico”, frequentemente não entendendo os processos industriais que tentam manipular, o que leva a ataques desordenados e potencialmente perigosos. Pequenas empresas, prefeituras e até comércios familiares também foram alvo muitas vezes simplesmente por terem sistemas vulneráveis expostos na internet. As investigações reforçam os vínculos diretos entre esses grupos hackers e o governo russo. O CARR teria sido “fundado, financiado e dirigido” pela GRU, contando com mais de 100 membros, inclusive menores de idade. Já o NoName057(16) teria sido criado por integrantes do Centro de Monitoramento Juvenil da Rússia (CISM), órgão lançado por Vladimir Putin em 2018. O grupo utilizava a ferramenta proprietária DDoSia para ataques distribuídos. Diante das ofensivas, o governo dos EUA anunciou recompensas de até US$ 2 milhões por informações sobre integrantes do CARR e US$ 10 milhões por informações relacionadas ao NoName057(16). Em paralelo, uma operação conjunta entre 19 países derrubou mais de 100 servidores usados pelos hackers. Todas essas ações fazem parte da Operação Red Circus, iniciativa do FBI voltada a combater ameaças cibernéticas patrocinadas pelo Estado russo contra infraestruturas críticas dos EUA. Via - RFN

A viúva do jornalista saudita Jamal Khashoggi apresentou uma queixa formal à Justiça francesa acusando a Arábia Saudita de espioná-la por meio do spyware Pegasus, usado para monitorar seus dispositivos antes do assassinato do marido, em 2018. Hanan Elatr Khashoggi, ex-comissária de bordo, afirma que viajavam frequentemente pela França no período em que seus dados foram interceptados, segundo documento obtido pela agência AFP . Caberá agora a um juiz francês decidir se o caso avançará para investigação. Khashoggi, que escrevia artigos críticos ao governo saudita no Washington Post, foi morto dentro do consulado da Arábia Saudita em Istambul. Em 2021, um relatório de inteligência dos Estados Unidos concluiu que o príncipe herdeiro Mohammed bin Salman ordenou a operação que levou ao assassinato acusação negada pelo líder saudita. No mês passado, o então presidente Donald Trump chegou a defender bin Salman durante uma visita ao Salão Oval. De acordo com Pesquisadores do Citizen Lab, os dois celulares de Hanan Elatr foram infectados pelo Pegasus, spyware desenvolvido pela empresa israelense NSO Group. A viúva relata que a infecção ocorreu enquanto era interrogada nos Emirados Árabes Unidos, país aliado próximo da Arábia Saudita. Seus advogados afirmam que é “impensável” dissociar essa espionagem das ações que culminaram no homicídio de Khashoggi. A NSO Group, alvo frequente de processos internacionais por facilitar operações de espionagem com o Pegasus, já enfrentou uma ação movida pela própria Hanan nos EUA rejeitada por falta de jurisdição. Em outubro, um juiz federal da Califórnia ordenou que a empresa interrompesse o uso da infraestrutura do WhatsApp para realizar ataques, decisão que a empresa afirma ameaçar sua continuidade. A ordem se baseia em uma ação movida pelo WhatsApp em 2019, que acusa a NSO de tentar invadir 1.400 usuários do aplicativo. Via - RFN

Uma falha grave no plugin Sneeit Framework, utilizado em sites WordPress, está sendo explorada ativamente por hackers, segundo dados da empresa Wordfence. Classificada como CVE-2025-6389 e com pontuação CVSS de 9.8, a vulnerabilidade permite execução remota de código (RCE) e afeta todas as versões do plugin até a 8.3 que soma mais de 1.700 instalações ativas. A correção foi disponibilizada na versão 8.4, lançada em 5 de agosto de 2025. De acordo com a Wordfence , a falha decorre do uso inseguro da função sneeit_articles_pagination_callback(), que repassa entrada fornecida pelo usuário para call_user_func(). Isso permite que invasores não autenticados executem funções PHP arbitrárias, como wp_insert_user(), possibilitando a criação de usuários administradores maliciosos. Com esse acesso, os hackers conseguem assumir o controle do site e injetar códigos que redirecionam visitantes para páginas fraudulentas, malware ou spam. Os ataques começaram no mesmo dia em que a falha foi divulgada publicamente, em 24 de novembro de 2025. Desde então, a Wordfence afirma ter bloqueado mais de 131 mil tentativas de exploração, incluindo 15.381 ataques apenas nas últimas 24 horas . Entre as táticas observadas estão requisições manipuladas ao endpoint /wp-admin/admin-ajax.php para criar usuários falsos como “arudikadis” e enviar arquivos PHP maliciosos como tijtewmg.php. Esses arquivos funcionam como backdoors e podem ler, editar, apagar arquivos, escanear diretórios e extrair ZIPs. Outras variantes identificadas incluem xL.php, Canonical.php, .a.php e simple.php. O shell xL.php, por exemplo, é baixado por up_sf.php, o qual também recupera um arquivo .htaccess do domínio racoonlab[.]top para garantir execução de scripts mesmo em diretórios normalmente restritos. ICTBroadcast explorado para distribuir o botnet Frost Enquanto isso, a empresa VulnCheck alertou sobre ataques ativos explorando a vulnerabilidade CVE-2025-2611 no sistema ICTBroadcast. Os ataques visam baixar um shell script stager responsável por instalar diferentes versões de um binário chamado Frost, compatível com múltiplas arquiteturas. Cada versão é executada e, em seguida, removida junto com o stager para dificultar a análise forense. O Frost combina ferramentas de DDoS com mecanismos de propagação que incluem 14 exploits cobrindo 15 CVEs. Segundo Jacob Baines , pesquisador da VulnCheck, o Frost opera de forma seletiva: “O operador não dispara exploits indiscriminadamente pela internet. O Frost verifica primeiro as condições do alvo e só continua se encontrar exatamente os indicadores que espera.” Um exemplo: o Frost só explora a falha CVE-2025-1610 quando recebe, em duas requisições HTTP consecutivas, as strings “Set-Cookie: user=(null)” e “Set-Cookie: user=admin”. Caso contrário, o malware permanece inativo. Os ataques recentes vêm do IP 87.121.84[.]52, e, embora várias botnets já tenham utilizado essas vulnerabilidades, os pesquisadores apontam que esta campanha específica parece mais focada e limitada, já que menos de 10 mil sistemas expostos são vulneráveis. Isso sugere que o grupo por trás da operação é pequeno, mas possui ferramentas adicionais além daquelas identificadas no binário Frost. Via - THN