Resultados de busca

Uma nova campanha de malware que tem como alvo direto desenvolvedores de software. Batizado de Evelyn Stealer, o código malicioso está sendo distribuído por meio do ecossistema de extensões do Microsoft Visual Studio Code, abusando da confiança que profissionais depositam em plugins de terceiros amplamente utilizados no dia a dia. De acordo com uma análise divulgada pela Trend Micro , o Evelyn Stealer foi projetado para exfiltrar informações sensíveis, incluindo credenciais de desenvolvedores e dados relacionados a criptomoedas. Ambientes de desenvolvimento comprometidos podem ainda ser utilizados como ponto de entrada para sistemas corporativos mais amplos, como ambientes de produção, recursos em nuvem e ativos digitais críticos. A campanha foca especialmente organizações que possuem equipes de desenvolvimento que utilizam o VS Code com extensões de terceiros e que mantêm acesso privilegiado a sistemas sensíveis. Esse fator torna o ataque particularmente perigoso, já que desenvolvedores costumam operar com permissões elevadas e acesso a códigos-fonte, pipelines de CI/CD e credenciais de serviços em nuvem. As primeiras evidências dessa atividade surgiram no mês anterior, quando a Koi Security identificou três extensões maliciosas na loja do VS Code: BigBlack.bitcoin-black, BigBlack.codo-ai e BigBlack.mrbigblacktheme. Essas extensões aparentavam ser legítimas, mas na prática instalavam um downloader malicioso em formato DLL, conhecido como Lightshot.dll, responsável por executar comandos ocultos em PowerShell. Esse downloader fazia o download e a execução de um segundo estágio do ataque, um executável chamado runtime.exe. O arquivo, por sua vez, descriptografa e injeta o payload principal do stealer diretamente na memória de um processo legítimo do Windows (grpconv.exe), técnica que dificulta a detecção por soluções tradicionais de segurança. Uma vez ativo, o Evelyn Stealer coleta uma grande variedade de informações, incluindo conteúdo da área de transferência, aplicativos instalados, carteiras de criptomoedas, processos em execução, capturas de tela da área de trabalho, credenciais Wi-Fi armazenadas, informações do sistema e credenciais salvas, além de cookies dos navegadores Google Chrome e Microsoft Edge. Os dados roubados são compactados em arquivos ZIP e enviados para um servidor remoto via FTP. Para garantir uma coleta silenciosa e sem interferências, o malware encerra processos ativos de navegadores e os relança em modo oculto, utilizando uma série de parâmetros que desativam recursos de segurança, logs e extensões, além de posicionar a janela fora da tela. A campanha também incorpora mecanismos de evasão, como detecção de ambientes virtuais e ferramentas de análise, além do uso de um mutex para impedir que múltiplas instâncias do malware sejam executadas simultaneamente. Segundo a Trend Micro, o Evelyn Stealer representa a consolidação de ataques cada vez mais direcionados à comunidade de desenvolvedores, considerados alvos de alto valor devido ao papel central que exercem na cadeia de desenvolvimento de software. A divulgação desse caso ocorre em paralelo ao surgimento de duas novas famílias de malware do tipo stealer desenvolvidas em Python: MonetaStealer e SolyxImmortal . O MonetaStealer, inclusive, possui capacidade de atacar sistemas Apple macOS. Já o SolyxImmortal utiliza APIs legítimas do sistema operacional e bibliotecas amplamente conhecidas para extrair dados sensíveis e enviá-los a webhooks controlados por invasores na plataforma Discord, priorizando furtividade, persistência e acesso de longo prazo.

A Cisco lançou atualizações de segurança para corrigir uma falha crítica de execução remota de código (RCE) que afeta o Cisco AsyncOS, utilizado no Cisco Secure Email Gateway e no Cisco Secure Email and Web Manager. A vulnerabilidade já vinha sendo explorada como zero-day por um grupo avançado ligado à China, identificado como UAT-9686. A falha, registrada como CVE-2025-20393 e com pontuação máxima de 10.0 no CVSS, está relacionada à validação inadequada de requisições HTTP no recurso de Spam Quarantine. Quando explorada com sucesso, permite que um invasor execute comandos arbitrários com privilégios de root diretamente no sistema operacional do appliance afetado um cenário de alto impacto para ambientes corporativos. Para que o ataque seja viável, três condições precisam ser atendidas: o equipamento deve estar executando uma versão vulnerável do AsyncOS, o recurso de Spam Quarantine deve estar habilitado e esse recurso precisa estar exposto à internet. De acordo com informações divulgadas anteriormente pela Cisco, o grupo UAT-9686 explora essa falha desde pelo menos novembro de 2025. Durante as invasões, os hackers instalaram ferramentas de tunelamento como ReverseSSH (AquaTunnel) e Chisel, além de um utilitário para limpeza de logs chamado AquaPurge, com o objetivo de dificultar a detecção. Também foi identificado o uso de um backdoor em Python, denominado AquaShell, capaz de receber comandos codificados e executá-los remotamente. A Cisco informou que, além de corrigir a vulnerabilidade, as atualizações removem os mecanismos de persistência utilizados pelos invasores. A empresa também reforçou uma série de boas práticas de hardening, incluindo restringir o acesso aos appliances por firewall, monitorar logs web, desabilitar HTTP no portal administrativo, utilizar autenticação forte (como SAML ou LDAP) e alterar a senha padrão de administrador.

Uma configuração incorreta no AWS CodeBuild , serviço de integração contínua da Amazon Web Services, poderia ter permitido que hackers assumissem o controle total de repositórios oficiais da própria AWS no GitHub, incluindo o AWS JavaScript SDK. O cenário representava um risco significativo de ataques à cadeia de suprimentos, com potencial impacto em praticamente todos os ambientes que utilizam serviços da nuvem da Amazon. A vulnerabilidade, batizada de CodeBreach, foi identificada pela Wiz e corrigida pela AWS em setembro de 2025, após notificação responsável feita em agosto do mesmo ano. De acordo com a análise , invasores poderiam explorar falhas nos pipelines de CI/CD para injetar código malicioso diretamente em repositórios amplamente utilizados, afetando aplicações, serviços e até o próprio console da AWS. O problema estava relacionado a filtros inadequados em webhooks do CodeBuild , que deveriam restringir quais eventos e usuários poderiam disparar processos de build. Esses filtros utilizavam expressões regulares (regex) para validar o actor ID do GitHub identificador numérico de contas autorizadas. No entanto, os padrões não continham os caracteres de início (^) e fim ($), o que permitia que IDs maiores, contendo o número autorizado como parte da sequência, burlassem a verificação. Como os IDs do GitHub são atribuídos de forma sequencial, os pesquisadores demonstraram que era possível prever e gerar IDs válidos por meio da criação automatizada de contas bot. Com isso, um hacker poderia disparar um build legítimo, obter tokens administrativos do GitHub, enviar código diretamente para o branch principal, aprovar pull requests maliciosos e até exfiltrar segredos armazenados no repositório. A falha afetou pelo menos quatro projetos open source mantidos pela AWS, incluindo aws-sdk-js-v3 e aws-lc, todos configurados para executar builds a partir de pull requests . A AWS confirmou que se tratava de uma configuração específica desses projetos, e não de um problema estrutural do serviço CodeBuild , além de afirmar que não há evidências de exploração ativa antes da correção. Como resposta, a empresa realizou rotações de credenciais, reforçou proteções nos pipelines e implementou medidas adicionais para evitar que contribuições não confiáveis tenham acesso a ambientes privilegiados. O caso reforça o crescente interesse de hackers por ambientes de CI/CD, considerados hoje um dos pontos mais críticos da superfície de ataque em cadeias de software modernas.

Foram divulgados detalhes de uma nova campanha de spear phishing que tem como alvo entidades governamentais e políticas dos Estados Unidos, usando temas geopolíticos relacionados à Venezuela para disseminar um backdoor denominado LOTUSLITE. A ação foi atribuída com confiança moderada ao grupo hacker Mustang Panda, associado à China. Segundo a análise, os invasores enviaram e-mails com temática sobre os recentes desdobramentos envolvendo os EUA e a Venezuela , convidando o destinatário a abrir um arquivo ZIP (“US now deciding what’s next for Venezuela.zip”). No interior desse arquivo estava uma biblioteca dinâmica (DLL) maliciosa que é carregada por meio de uma técnica conhecida como DLL side-loading quando um arquivo DLL malicioso é carregado por um executável legítimo, contornando muitas soluções de segurança. O backdoor LOTUSLITE, identificado como “kugou.dll”, é um implant customizado em C++ projetado para comunicar-se com um servidor de comando e controle (C2) utilizando as APIs WinHTTP do Windows. Esse código permite aos invasores abrir um terminal remoto (CMD), executar comandos, enumerar arquivos, criar ou modificar arquivos e exfiltrar dados. A ferramenta ainda estabelece persistência por meio de alterações no Registro do Windows, garantindo que seja executada a cada login do usuário. Especialistas destacam que a campanha não emprega técnicas complexas de exploração, mas combina engenharia social direcionada com métodos confiáveis de execução para obter acesso. O uso de temas políticos atuais, como os acontecimentos recentes envolvendo a Venezuela, aumenta as chances de engajamento de vítimas legítimas.

Hackers ligados ao governo da China conseguiram invadir diversas organizações de infraestrutura crítica na América do Norte ao longo do último ano, utilizando credenciais comprometidas e servidores vulneráveis. A informação foi divulgada por pesquisadores da Cisco Talos, divisão de inteligência de ameaças da Cisco. De acordo com o relatório publicado na quinta-feira , a campanha teve início em 2025 e envolveu grupos hackers patrocinados pelo Estado chinês, com a missão de obter acesso inicial a organizações consideradas de “alto valor estratégico”. A Cisco Talos rastreia a atividade sob o codinome UAT-8837. Após a invasão inicial, os hackers passaram a utilizar diferentes ferramentas para roubar credenciais, coletar configurações de segurança e mapear os ambientes internos das vítimas, ampliando progressivamente seu nível de acesso. Entre os métodos identificados, destacou-se a exploração da vulnerabilidade CVE-2025-53690, que afeta produtos da empresa de software Sitecore. Essa falha do tipo zero-day havia sido destacada por autoridades federais de cibersegurança no segundo semestre do ano passado, quando agências civis dos Estados Unidos foram obrigadas a aplicar correções emergenciais até 25 de setembro. Na ocasião, o Google também publicou uma análise técnica do incidente, apontando ferramentas de pós-exploração semelhantes às agora identificadas pela Cisco Talos. Segundo os pesquisadores, o interesse recorrente nessa falha sugere que o grupo chinês pode ter acesso a exploits zero-day. Entre as ferramentas utilizadas está o Earthworm, que permite expor endpoints internos a infraestruturas controladas pelos hackers. O malware é amplamente usado por grupos de língua chinesa para identificar sistemas que não são detectados por soluções de proteção de endpoint, possibilitando a criação de túneis reversos para servidores externos sob controle do invasor. A preocupação com ataques chineses a infraestruturas críticas voltou a ganhar destaque após um incidente ocorrido em dezembro, quando o grupo Salt Typhoon comprometeu uma plataforma de e-mail utilizada por assessores do Congresso dos Estados Unidos. As vítimas atuavam em comissões relacionadas à China e a assuntos internacionais. Autoridades norte-americanas têm reiterado alertas sobre a atuação de grupos hackers patrocinados pelo Estado chinês contra agências governamentais e setores críticos. Reforçando esse cenário, um conjunto de agências cibernéticas ocidentais divulgou nesta semana um alerta conjunto sobre o aumento das ameaças digitais a sistemas de tecnologia operacional (OT), que sustentam processos industriais essenciais.

Canais da televisão estatal do Irã teriam sido temporariamente sequestrados no último domingo, interrompendo a programação regular para exibir vídeos de protestos e mensagens contra o regime. A informação foi divulgada por diversos veículos internacionais e ganhou repercussão nas redes sociais. As transmissões afetadas eram distribuídas por meio do satélite Badr, utilizado pela emissora estatal iraniana para alcançar estações de TV regionais em todo o país. Durante cerca de dez minutos, o sinal teria exibido mensagens em farsi incentivando manifestantes a manterem os protestos, além de imagens de atos de solidariedade realizados no exterior. O conteúdo também incluiu declarações de Reza Pahlavi , filho do último xá do Irã e atualmente residente nos Estados Unidos. Nos vídeos, ele convocava novos protestos e pedia que integrantes das Forças Armadas e dos órgãos de segurança se alinhassem aos manifestantes. Trechos da suposta invasão foram publicados pela emissora Iran International, com sede em Londres, além de veículos locais e da equipe de comunicação de Pahlavi. No entanto, não foi possível verificar de forma independente a autenticidade das imagens divulgadas. Até o momento, o grupo responsável pelo sequestro do sinal não foi identificado, e as autoridades iranianas não se pronunciaram oficialmente sobre o incidente. O episódio ocorre em meio a um período de instabilidade no país , iniciado no final de dezembro, após uma forte crise econômica marcada por inflação elevada e aumento nos preços dos alimentos. Segundo autoridades iranianas , ao menos 5 mil pessoas teriam morrido durante os distúrbios, incluindo cerca de 500 integrantes das forças de segurança. Como resposta aos protestos, o governo impôs um bloqueio quase total da internet e das comunicações móveis por aproximadamente duas semanas, medida que pode começar a ser flexibilizada nos próximos dias. Após uma repressão mais intensa, as manifestações perderam força.

Foi revelado uma falha de segurança no Google Gemini que permitia a extração de dados privados do Google Calendar por meio de uma técnica conhecida como prompt injection indireto. A vulnerabilidade explorava a forma como a inteligência artificial interpreta linguagem natural, contornando controles de autorização e privacidade. A descoberta foi feita pela empresa Miggo Security , e detalhada por seu chefe de pesquisa, Liad Eliyahu. Segundo o relatório, hackers conseguiam inserir um payload malicioso “adormecido” dentro da descrição de um convite legítimo de calendário. Esse conteúdo, embora parecesse inofensivo, era interpretado posteriormente pelo Gemini como uma instrução válida. O ataque começava quando o hacker enviava um convite de reunião especialmente elaborado à vítima. Na descrição do evento, era incluído um texto em linguagem natural projetado para manipular o comportamento do Gemini. O gatilho ocorria apenas quando o usuário fazia uma pergunta comum ao assistente, como “Tenho alguma reunião na terça-feira?”. Ao responder, o Gemini processava o prompt oculto e criava um novo evento no Google Calendar contendo um resumo completo das reuniões privadas do usuário. “Nos bastidores, o Gemini criava um novo evento e escrevia um resumo detalhado das reuniões privadas da vítima na descrição”, explicou a Miggo. Em muitos ambientes corporativos, esse novo evento ficava visível para o hacker, permitindo a leitura dos dados exfiltrados sem qualquer interação direta da vítima. Embora o Google tenha corrigido o problema após divulgação responsável, o caso evidencia como funcionalidades nativas de IA podem ampliar significativamente a superfície de ataque. Diferente de vulnerabilidades tradicionais, esse tipo de falha não está no código, mas no uso de linguagem, contexto e no comportamento da IA em tempo de execução. O alerta surge dias após a Varonis divulgar o ataque “ Reprompt ”, que demonstrou como dados sensíveis poderiam ser exfiltrados de chatbots corporativos, como o Microsoft Copilot, com um único clique, contornando controles de segurança empresariais. Outras pesquisas recentes reforçam o cenário de risco. A XM Cyber, do grupo Schwarz, identificou formas de escalar privilégios em serviços do Google Cloud Vertex AI, explorando identidades de serviço com permissões excessivas. Já ferramentas de desenvolvimento baseadas em IA, como Cursor, OpenAI Codex, Replit e Devin, apresentaram dificuldades em lidar com falhas de lógica de negócio, SSRF e controle de autorização. Segundo especialistas , esses casos deixam claro que, apesar dos avanços, agentes de IA ainda não podem ser considerados confiáveis para projetar aplicações seguras sem supervisão humana rigorosa. Em ambientes corporativos, a recomendação é reforçar auditorias de identidade, revisar permissões e tratar sistemas de IA como ativos críticos de segurança.

Pesquisadores identificaram cinco extensões maliciosas do Google Chrome que se disfarçam de plataformas corporativas amplamente utilizadas como Workday, NetSuite e SuccessFactors com o objetivo de assumir o controle de contas de usuários. A descoberta foi feita por pesquisadores da Socket, que classificaram a campanha como altamente coordenada e sofisticada. Segundo o pesquisador Kush Pandya , as extensões atuam em conjunto para roubar cookies de autenticação, bloquear páginas administrativas de segurança e permitir o sequestro de sessão (session hijacking), resultando em account takeover completo. Embora publicadas sob dois nomes diferentes, a infraestrutura, o código e o comportamento indicam tratar-se de uma única operação conduzida por um mesmo grupo hacker ou, no mínimo, por um toolkit compartilhado. Extensões identificadas DataByCloud Access – 251 instalações Tool Access 11 – 101 instalações DataByCloud 1 – 1.000 instalações DataByCloud 2 – 1.000 instalações Software Access – 27 instalações Com exceção da Software Access, todas já foram removidas da Chrome Web Store. Ainda assim, continuam disponíveis em sites de download de terceiros, como o Softonic, o que amplia o risco para usuários corporativos. As extensões eram anunciadas como ferramentas de produtividade, prometendo acesso facilitado a recursos premium de plataformas de RH e ERP. Uma vez instaladas, solicitavam permissões extensivas incluindo acesso a cookies, scripts, armazenamento e regras de rede nos domínios do Workday, NetSuite e SuccessFactors. Na prática, o comportamento malicioso incluía: Exfiltração contínua de cookies de autenticação para servidores controlados pelos hackers Manipulação do DOM para apagar conteúdos e redirecionar páginas críticas Bloqueio de interfaces administrativas, como gerenciamento de autenticação, proxies de segurança, controle de sessões, redefinição de senha, 2FA e logs de auditoria Injeção de cookies roubados diretamente no navegador do invasor, clonando a sessão da vítima A extensão Software Access se destacou como a mais avançada, pois além de roubar cookies, consegue receber cookies de terceiros e injetá-los no navegador, efetivando o sequestro direto da sessão corporativa. Esse método permite que o hacker acesse o ambiente da vítima como se fosse um usuário legítimo, sem necessidade de senha ou autenticação multifator. Outro ponto relevante é que todas as extensões monitoravam a presença de 23 extensões de segurança populares, como EditThisCookie, ModHeader, Redux DevTools e SessionBox. O objetivo seria identificar se o navegador da vítima possuía ferramentas capazes de revelar ou interferir no roubo de cookies, funcionando como um mecanismo de autoproteção da campanha maliciosa. Especialistas alertam que usuários que tenham instalado qualquer uma dessas extensões devem removê-las imediatamente, redefinir senhas, revisar acessos suspeitos e validar logs de login por IP e dispositivo. O caso evidencia como extensões de navegador se tornaram um vetor crítico de ataque em ambientes SaaS corporativos, especialmente quando combinam engenharia social, abuso de permissões e técnicas avançadas de evasão. THN

Pesquisadores identificaram uma nova técnica de evasão adotada pelo GootLoader , um loader  de malware em JavaScript (JScript), que passou a utilizar arquivos ZIP malformados compostos pela concatenação de 500 a 1.000 arquivos ZIP . A estratégia tem como objetivo dificultar a análise automática e contornar mecanismos de detecção utilizados por soluções de segurança. De acordo com pesquisadores da Expel , os hackers criam intencionalmente arquivos ZIP corrompidos como técnica de anti-análise. A maioria das ferramentas populares de descompactação, como WinRAR  e 7-Zip , falha ao processar esse tipo de arquivo. No entanto, o descompactador padrão do Windows  consegue abrir o conteúdo normalmente, o que aumenta a chance de sucesso do ataque contra usuários finais. Na prática, isso bloqueia fluxos automatizados de análise de malware, enquanto permite que a vítima extraia e execute o código malicioso sem perceber. O GootLoader é comumente distribuído por meio de técnicas de SEO poisoning  e malvertising , direcionando usuários que buscam modelos de documentos legais para sites WordPress  comprometidos, que hospedam os arquivos ZIP maliciosos. Ativo desde pelo menos 2020, o GootLoader é conhecido por atuar como um estágio inicial de infecção, sendo utilizado para entregar cargas secundárias, incluindo ransomware. Em campanhas mais recentes, observadas no final de 2025, os hackers introduziram novos mecanismos de ofuscação, como o uso de fontes WOFF2 com substituição de glyphs  para mascarar nomes de arquivos e a exploração do endpoint de comentários do WordPress (/wp-comments-post.php) para entregar os ZIPs maliciosos quando o usuário clica em botões de “Download”. Principais técnicas de evasão observadas Concatenação de 500 a 1.000 arquivos ZIP  para criar um único arquivo malicioso Truncamento do registro EOCD (End of Central Directory) , removendo bytes críticos e causando erros de parsing Randomização de campos não críticos do ZIP, como número de disco, levando ferramentas a esperar arquivos inexistentes Segundo os pesquisadores, essas técnicas caracterizam um método conhecido como hashbusting , no qual cada vítima recebe um arquivo ZIP único. Isso torna inútil a simples verificação por hash, já que o mesmo arquivo nunca se repete entre diferentes downloads. A cadeia de ataque envolve ainda a entrega do ZIP como um blob  codificado em XOR, que é decodificado no navegador da vítima e anexado repetidamente a si mesmo até atingir um tamanho específico. Ao ser aberto, o arquivo executa um JavaScript via wscript.exe, cria persistência por meio de um atalho LNK na pasta de inicialização e, em seguida, utiliza PowerShell  para avançar a infecção, coletar informações do sistema e se comunicar com servidores remotos. Como medidas de mitigação, especialistas recomendam bloquear a execução de wscript.exe e cscript.exe para conteúdos baixados, quando não forem estritamente necessários, além de configurar políticas de grupo (GPO) para que arquivos .js sejam abertos por padrão em editores de texto, e não executados automaticamente.

A OpenAI anunciou que começará a exibir anúncios no ChatGPT para usuários adultos, logados, nos Estados Unidos que utilizam os planos Free e ChatGPT Go. A mudança deve ser implementada nas próximas semanas e marca um passo importante na estratégia de monetização da empresa, ao mesmo tempo em que expande globalmente o acesso ao seu plano de baixo custo. Em comunicado oficial, a OpenAI reforçou que dados e conversas dos usuários não são vendidos a anunciantes e que as respostas do chatbot não são influenciadas por publicidade. Segundo a empresa, os anúncios serão claramente identificados, aparecerão na parte inferior das conversas e os usuários terão controle sobre a experiência, incluindo a possibilidade de desativar a personalização e fornecer feedback sobre os anúncios exibidos. A companhia posiciona a publicidade como um meio de tornar os benefícios da inteligência artificial avançada mais acessíveis ao público em geral. Para a OpenAI, o modelo pode ser “transformador” especialmente para pequenos negócios e marcas emergentes que buscam competir em um ambiente cada vez mais digital. Ainda assim, a empresa não detalhou exatamente quais dados serão utilizados para direcionar anúncios, limitando-se a afirmar que os usuários poderão entender por que estão vendo determinada publicidade ou optar por descartá-la. Usuários dos planos Plus, Pro, Business e Enterprise não verão anúncios. Além disso, a OpenAI afirmou que, durante a fase inicial de testes, anúncios não serão exibidos em contas de menores de 18 anos nem associados a temas sensíveis ou regulados, como saúde, saúde mental e política. Em publicação na rede social X, o CEO da OpenAI, Sam Altman, afirmou que a empresa não aceitará dinheiro para influenciar respostas do ChatGPT. Segundo ele, há uma grande demanda por uso intensivo de IA por pessoas que não desejam ou não podem pagar por assinaturas, tornando a publicidade um possível modelo sustentável. A decisão representa uma mudança relevante de postura: em um evento na Harvard University em 2024, Altman havia classificado anúncios como “último recurso” e descrevido a combinação de IA com publicidade como algo “inquietante”. Com custos elevados para manter e evoluir seus modelos, a OpenAI passa a enxergar a publicidade como uma nova fonte de receita estratégica. O ChatGPT, segundo a empresa, já conta com cerca de 800 milhões de usuários ativos semanais, o que torna o movimento especialmente relevante para o futuro do negócio e para o mercado de tecnologia como um todo. THN

Autoridades da Ucrânia e da Alemanha identificaram dois cidadãos ucranianos suspeitos de atuar para o grupo hacker Black Basta, uma operação de ransomware ligada à Rússia que funcionava no modelo ransomware-as-a-service (RaaS). Paralelamente, o suposto líder do grupo, o cidadão russo Oleg Evgenievich Nefedov, de 35 anos, foi incluído na lista dos Mais Procurados da União Europeia e recebeu um Red Notice da INTERPOL , ampliando a pressão internacional por sua captura. Segundo a Polícia Cibernética da Ucrânia, os suspeitos tinham atuação técnica direta em invasões a sistemas protegidos e participavam da preparação de ataques com ransomware. A investigação aponta que eles operavam como hash crackers especialistas em extrair senhas de sistemas de informação com softwares dedicados. Após a obtenção das credenciais, integrantes do grupo invadiam redes corporativas, implantavam o ransomware e exigiam pagamentos para a recuperação dos dados criptografados. Durante buscas realizadas nas cidades de Ivano-Frankivsk e Lviv, as autoridades apreenderam dispositivos de armazenamento digital e ativos em criptomoedas. O Black Basta surgiu em abril de 2022 e teria atacado mais de 500 empresas na América do Norte, Europa e Austrália, acumulando centenas de milhões de dólares em criptomoedas por meio de extorsões. No início do ano passado, o vazamento de cerca de um ano de conversas internas do grupo expôs sua estrutura , membros-chave e as vulnerabilidades exploradas para obter acesso inicial às organizações. Esses registros identificaram Nefedov como o principal líder da operação, revelando também uma série de apelidos usados por ele, como Tramp, Trump, GG e AA. Alguns documentos sugerem possíveis vínculos com políticos russos de alto escalão e até com serviços de inteligência, como FSB e GRU alegações que indicariam proteção informal e facilidades para escapar da Justiça internacional. Relatórios posteriores, incluindo análises da Trellix, indicam que Nefedov chegou a ser detido em Yerevan, na Armênia, em junho de 2024, mas acabou libertado. Embora se acredite que ele esteja atualmente na Rússia, seu paradeiro exato é desconhecido. Há ainda evidências que o ligam ao grupo Conti, desativado em 2022, que foi responsável por alguns dos maiores ataques de ransomware do mundo. Com a exposição interna, o Black Basta entrou em aparente colapso , retirando seu site de vazamento de dados do ar em fevereiro. No entanto, especialistas alertam que o fim de um grupo raramente significa o fim da ameaça. De acordo com análises da Trend Micro, há indícios de que ex-afiliados do Black Basta tenham migrado para a operação de ransomware CACTUS, coincidindo com um aumento expressivo de vítimas listadas por esse novo grupo em 2025. THN

A National Security Agency (NSA) anunciou oficialmente a nomeação de Tim Kosiba como novo diretor adjunto da agência, encerrando um impasse político que se arrastava há meses dentro do governo dos Estados Unidos. O retorno de Kosiba ocorre após a administração de Donald Trump recuar de uma indicação anterior, alvo de críticas de setores conservadores. Em comunicado, Kosiba afirmou que é uma honra “voltar para casa” e assumir o cargo de número dois da NSA. O executivo possui mais de três décadas de experiência no serviço público e havia deixado o governo em 2021. Ao longo da carreira, ocupou posições de liderança tanto na NSA quanto no Federal Bureau of Investigation (FBI), incluindo o posto de vice-comandante da unidade da NSA na Geórgia, um dos principais polos operacionais da agência. A nomeação encerra um episódio iniciado em agosto, quando o governo havia anunciado Joe Francescon, também ex-integrante da NSA, para o cargo. A escolha, no entanto, foi rapidamente contestada por opositores , que alegaram vínculos políticos do indicado com parlamentares democratas. Segundo reportagens, Francescon acabou sendo informado de que não assumiria o posto e migrou para o setor privado. Com a saída de Francescon, integrantes conservadores da administração pressionaram Trump a optar por Kosiba, considerado um nome de perfil mais alinhado internamente. Como diretor adjunto, ele será responsável por supervisionar as operações diárias da NSA e atuar como um filtro estratégico, encaminhando apenas as informações mais críticas ao diretor da agência função que também acumula o comando do United States Cyber Command. O general do Exército William Hartman, que lidera a NSA e o Cyber Command de forma interina desde abril, destacou que a experiência de Kosiba será essencial para fortalecer missões de inteligência de sinais e cibersegurança. Com a nomeação confirmada, o foco agora se volta para a escolha definitiva do líder das duas organizações, ainda pendente de aprovação do Senado. O United States Senate Armed Services Committee deve realizar a audiência de confirmação do general Joshua Rudd em 15 de janeiro. Já o United States Senate Intelligence Committee, que também tem jurisdição sobre a indicação, deve promover uma nova audiência na semana de 26 de janeiro, após mais de nove meses sem um líder confirmado no cargo.