Resultados de busca

A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) emitiu um alerta urgente após incluir uma falha crítica do Oracle Identity Manager  em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A decisão foi tomada após a confirmação de que hackers já estão explorando ativamente a vulnerabilidade, identificada como CVE-2025-61757 , que recebeu pontuação 9.8 no CVSS  devido ao seu potencial devastador. A falha ocorre devido à ausência de autenticação em uma função crítica , permitindo que um invasor execute código remotamente sem qualquer credencial prévia. Os Pesquisadores da Searchlight Cyber, Adam Kues e Shubham Shah , responsáveis pela descoberta, explicam que o bug possibilita que hackers acessem endpoints de API capazes de manipular fluxos de autenticação, elevar privilégios e se mover lateralmente pelos sistemas centrais de uma organização. A vulnerabilidade decorre de um bypass de um filtro de segurança , que pode ser enganado simplesmente adicionando “?WSDL”  ou “;.wadl”  a uma URI protegida. Esse comportamento é resultado de uma política de allow-list mal implementada, baseada em expressões regulares falhas. Segundo os Pesquisadores, basta essa manipulação para que endpoints críticos sejam tratados como públicos, abrindo porta para a exploração. Uma vez que o bypass é obtido, o invasor pode enviar um HTTP POST especialmente criado  para o: endpoint/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatuse alcançar execução remota de código . Embora esse endpoint deva apenas validar sintaxe de scripts Groovy, os pesquisadores descobriram uma forma de inserir uma anotação Groovy que executa código no momento da compilação — mesmo que o código compilado não seja executado pelo sistema. Indícios de exploração ativa surgiram após o pesquisador Johannes B. Ullrich , do SANS Technology Institute, identificar tentativas repetidas de acessar o endpoint vulnerável entre 30 de agosto e 9 de setembro de 2025  a partir de múltiplos IPs, todos utilizando o mesmo user-agent, sugerindo a operação de um único hacker coordenando os ataques . As requisições, todas enviadas via POST, tinham payloads de 556 bytes — volume consistente com tentativas de exploração. O comportamento registrado indica que o bug pode ter sido explorado como zero-day , meses antes de a Oracle lançar o patch em sua atualização trimestral. A CISA determinou que todas as agências do governo federal norte-americano apliquem a correção até 12 de dezembro de 2025 , dada a gravidade e o potencial de comprometimento total da infraestrutura de identidade. Via - THN

Uma vulnerabilidade recentemente corrigida no Windows Server Update Services (WSUS)  está sendo explorada por hackers para distribuir ShadowPad , um dos backdoors mais avançados e discretos associados a grupos hackers apoiados pelo Estado chinês. A falha, identificada como CVE-2025-59287 , permite execução remota de código com privilégios de sistema e tem sido alvo de exploração intensa desde a divulgação pública de um código de prova de conceito. Segundo um relatório do AhnLab Security Intelligence Center ( ASEC ) , os invasores têm direcionado servidores Windows com o WSUS habilitado, explorando a falha como porta de entrada. Após comprometer o ambiente, os hackers utilizam PowerCat , uma ferramenta open-source baseada em PowerShell, para obter um shell de comando (CMD). Em seguida, recorrem a utilitários legítimos do Windows, como certutil  e curl , para baixar e instalar o ShadowPad a partir de um servidor remoto. O ShadowPad, sucessor do PlugX e ativo desde 2015, é um backdoor modular conhecido por sua sofisticação em operações de espionagem internacional. Em análises anteriores, Pesquisadores destacaram o malware como uma “obra-prima” da espionagem digital chinesa, dado seu design modular, capacidade de carregar plug-ins em memória e técnicas avançadas para evitar detecção. Os ataques identificados utilizam DLL side-loading , abusando do binário legítimo ETDCtrlHelper.exe  para carregar uma DLL maliciosa ( ETDApix.dll ). Essa DLL atua como um loader residente em memória, permitindo que o ShadowPad execute módulos adicionais que expandem suas funções, incluindo persistência, anti-detecção e comunicação sigilosa com servidores de comando e controle. Além da instalação do backdoor, os hackers têm usado a vulnerabilidade para realizar reconhecimento inicial nos sistemas comprometidos e, em alguns casos, até mesmo instalar ferramentas legítimas como o Velociraptor , frequentemente empregadas para coleta de informações e movimentação lateral em ambientes corporativos. Embora o ShadowPad seja amplamente associado a grupos hackers ligados ao governo chinês, o ataque específico documentado pela AhnLab ainda não foi atribuído a nenhum grupo conhecido. A empresa alerta que a vulnerabilidade é crítica, pois oferece aos invasores controle total da máquina afetada — fator agravado pela rápida adoção da falha após o lançamento do código PoC. Via - THN

Uma nova análise da CrowdStrike revelou que o modelo de inteligência artificial DeepSeek-R1, da empresa chinesa DeepSeek, apresenta aumento significativo na geração de códigos inseguros  quando recebe prompts contendo temas politicamente sensíveis ao governo chinês, como Tibete, Falun Gong ou uigures . Segundo a empresa, o modelo pode produzir até 50% mais falhas de segurança  quando esses termos são mencionados, mesmo que não tenham qualquer relação técnica com a tarefa solicitada. De acordo com os Pesquisadores, o DeepSeek-R1 normalmente gera código vulnerável em cerca de 19%  dos casos quando não há gatilhos geopolíticos. Porém, ao inserir palavras relacionadas a minorias ou movimentos reprimidos pelo governo chinês, a taxa sobe para 27% , revelando um comportamento “desviado e inconsistente”. O estudo reforça preocupações internacionais já existentes sobre o uso de tecnologias de IA desenvolvidas na China, muitas delas acusadas de adotar vieses pró-Pequim ou aplicar censura interna. Um dos exemplos citados mostrou o modelo criando em PHP um webhook para o PayPal destinado a uma instituição financeira no Tibete. O código incluía valores secretos expostos , métodos fracos para tratar dados fornecidos por usuários e até erros de sintaxe além de garantir que seguia “as melhores práticas do PayPal”. Em outro caso, o DeepSeek-R1 produziu um aplicativo Android para uma comunidade uigur que não implementava autenticação nem gerenciamento de sessão , expondo dados de usuários. Curiosamente, a mesma solicitação feita para um “site de fanáticos por futebol” não apresentou as mesmas falhas graves. A CrowdStrike também identificou um possível “kill switch” interno : ao ser solicitado a criar código envolvendo Falun Gong, o modelo elaborava um plano detalhado internamente, mas no final dizia: "I'm sorry, but I can't assist with that request.” . Para os Pesquisadores, isso indica que o modelo recebeu guardrails específicos durante o treinamento para obedecer às leis e diretrizes governamentais da China, o que pode influenciar de forma imprevisível a qualidade técnica de suas respostas. A descoberta surge paralelamente a outros estudos que mostram falhas semelhantes em ferramentas de desenvolvimento baseadas em IA. Testes da OX Security com criadores de código Lovable, Base44 e Bolt demonstraram que todos eles geram falhas de XSS armazenado por padrão , mesmo quando o usuário exige explicitamente que o código seja “ seguro ”. Outras análises também identificaram problemas no navegador Perplexity Comet AI, cujas extensões internas podiam ser exploradas para executar comandos locais sem permissão, caso um invasor conseguisse realizar ataques de XSS ou de adversário-no-meio. Segundo a CrowdStrike, não significa que o DeepSeek-R1 sempre produzirá código inseguro quando termos sensíveis forem utilizados, mas sim que, em média, o risco aumenta de forma consistente . Para especialistas do setor, a descoberta reforça o alerta sobre a necessidade de avaliações independentes, governança robusta e monitoramento constante de modelos de IA especialmente quando são usados em ambientes críticos ou por equipes de desenvolvimento. Via - THN

A CrowdStrike, gigante global de segurança cibernética, confirmou ter demitido no mês passado um funcionário considerado um “insider suspeito”, acusado de repassar informações internas para um grupo de hackers amplamente conhecido no submundo digital. O caso veio à tona após o coletivo Scattered Lapsus$ Hunters  publicar, entre quinta-feira e a manhã de sexta, capturas de tela em um canal público no Telegram, alegando que elas seriam evidência de acesso privilegiado aos sistemas da CrowdStrike. As imagens mostram painéis que exibiam links para recursos internos da empresa, incluindo o dashboard de Okta utilizado por funcionários para acessar aplicações corporativas. Os hackers afirmaram ter conseguido acesso à CrowdStrike explorando um incidente recente na Gainsight, empresa de CRM que auxilia clientes da Salesforce a gerenciar dados de seus próprios usuários. Segundo o grupo, informações roubadas da Gainsight teriam servido de porta de entrada para infiltrar-se na CrowdStrike. A empresa, porém, nega categoricamente a narrativa dos invasores. Em comunicado, afirmou que “as alegações dos hackers são falsas” e que o funcionário teve seu acesso imediatamente revogado após a constatação de que ele havia compartilhado imagens da própria tela com terceiros. “Nossos sistemas nunca foram comprometidos e os clientes permaneceram protegidos durante todo o tempo. O caso foi encaminhado às autoridades competentes”, declarou Kevin Benacci, porta-voz da CrowdStrike. Ainda segundo as investigações preliminares, outras empresas de tecnologia também teriam sido alvo da mesma campanha. A Gainsight, apontada como origem do vazamento inicial, não respondeu aos pedidos de comentário. O coletivo Scattered Lapsus$ Hunters  reúne diferentes grupos hackers, incluindo ShinyHunters, Scattered Spider e Lapsus$. Seus membros são conhecidos por empregar técnicas avançadas de engenharia social para enganar funcionários e obter acesso a sistemas corporativos. Em outubro, o grupo afirmou ter roubado mais de 1 bilhão de registros  de empresas que utilizam a Salesforce como base de dados. Entre as vítimas mencionadas estavam Allianz Life, Qantas, Stellantis, TransUnion e Workday. Parte desse material foi publicada em um site de vazamentos administrado pelo próprio grupo. Via - TC

Um grupo de parlamentares democratas enviou cartas a governadores de diversos estados — entre eles Arizona, Califórnia, Colorado e Wisconsin — alertando que informações pessoais de motoristas estão sendo compartilhadas inadvertidamente com autoridades federais de imigração. Segundo os legisladores, esses estados permitem que o U.S. Immigration and Customs Enforcement (ICE)  e outras agências tenham “acesso autônomo e sem atritos”  aos dados de seus residentes, sem qualquer supervisão local. O alerta, inicialmente reportado pela Reuters , destaca que o compartilhamento ocorre por meio do National Law Enforcement Telecommunications System (Nlets) , uma organização sem fins lucrativos administrada por agências estaduais de polícia. O sistema, que foi criado para facilitar a troca de informações entre órgãos de segurança de diferentes jurisdições, hoje permite que dados de carteiras de motorista — e outros registros dos Departamentos de Veículos Motorizados (DMVs) — sejam consultados diretamente por cerca de 18.000 agências estaduais, federais e locais  nos Estados Unidos e no Canadá. Os parlamentares pediram que os governadores bloqueiem imediatamente o acesso irrestrito da ICE e de outras agências federais, que eles descrevem como “tropas de choque de Trump”, em referência à postura agressiva da administração anterior em relação à fiscalização migratória. De acordo com a carta , há indícios de que a ICE esteja utilizando essas informações para alimentar o Mobile Fortify , um aplicativo de reconhecimento facial que auxilia agentes na identificação de pessoas em abordagens de rua. O sistema depende de uma base de dados com mais de 200 milhões de fotos , incluindo imagens de carteiras de motorista. Os números apresentados são expressivos: apenas no ano anterior a 1º de outubro de 2025, o Nlets registrou mais de 290 milhões de consultas a dados de DMVs , das quais 290 mil foram realizadas pela ICE  e cerca de 600 mil  pelo setor de Investigações de Segurança Interna (HSI), ligado ao Departamento de Segurança Interna (DHS). Os legisladores afirmam que a maior parte dos estados desconhece a extensão desse compartilhamento devido à complexidade técnica do sistema Nlets , o que cria uma “lacuna de informação” e dificulta o controle sobre como os dados dos residentes são acessados. Eles argumentam que restringir o acesso não impediria investigações legítimas, mas garantiria maior responsabilidade, transparência e prevenção de abusos , já que funcionários estaduais teriam a chance de revisar cada solicitação. Alguns estados já adotaram medidas para limitar o acesso da ICE — entre eles Illinois, Nova York, Massachusetts, Minnesota e Washington — e os parlamentares lembram aos governadores que a decisão de interromper o compartilhamento irrestrito pode ser tomada a qualquer momento . Via - TC

Usuários da plataforma X  — antigo Twitter — relataram nesta semana problemas graves de acesso após uma mudança obrigatória no sistema de autenticação em duas etapas. A transição, que deveria reforçar a segurança da plataforma, acabou gerando um efeito contrário: milhares de pessoas ficaram presas em loops de validação ou totalmente bloqueadas de suas contas . A confusão começou em 24 de outubro, quando o X anunciou que usuários que utilizam passkeys  ou chaves físicas de segurança  — como YubiKeys — precisariam se reinscrever no método de autenticação  usando o domínio x.com . A empresa explicou que isso fazia parte do processo de aposentadoria definitiva do domínio twitter.com , que passou a redirecionar para x.com desde maio de 2024. O problema é que passkeys e chaves de hardware são criptograficamente vinculadas ao domínio original . Como esses dispositivos estavam associados ao twitter.com , eles não podem ser migrados automaticamente para x.com . Por isso, todos os usuários afetados precisavam remover manualmente suas chaves antigas e registrar novas. A plataforma havia avisado que, após 10 de novembro , contas que não tivessem passado pelo processo seriam bloqueadas até que o usuário concluísse a troca ou escolhisse outro método de autenticação. Passado o prazo, multiplicaram-se os relatos de usuários incapazes de realizar o procedimento: muitos receberam mensagens de erro, enquanto outros foram pegos em ciclos infinitos de tentativa de login , tornando impossível o acesso às contas. O caso se soma a uma série de problemas enfrentados pelo X desde que Elon Musk assumiu o comando da empresa após comprá-la por US$ 44 bilhões. Sob sua gestão, a companhia passou por demissões em massa, instabilidade operacional, perda de receita publicitária e diversas controvérsias relacionadas à moderação de conteúdo e tomada de decisões. A empresa não comentou o incidente. Musk, entretanto, continuou postando normalmente em sua conta, indicando que seu próprio acesso não foi afetado  pelo erro técnico. Via - TC

Uma falha generalizada na Cloudflare deixou milhões de usuários ao redor do mundo diante de telas de erro e sites que simplesmente não carregavam nesta segunda-feira (18). A interrupção afetou desde pequenos portais até grandes plataformas incluindo diversos sites de notícia e redes sociais como o X (antigo Twitter). A empresa reconheceu o problema às 11h48 UTC , informando que alguns serviços poderiam apresentar instabilidade. Só meia hora depois começou a observar sinais de recuperação, embora erros continuassem a ocorrer enquanto engenheiros trabalhavam para corrigir o incidente. A escala do impacto deixou claro o tamanho da dependência global da infraestrutura da Cloudflare, responsável por segurança, otimização e distribuição de tráfego de uma fatia gigantesca da web. A instabilidade teve efeitos curiosos: até serviços conhecidos pela alta disponibilidade, como o Downdetector, chegaram a exibir mensagens pedindo o desbloqueio de um domínio da própria Cloudflare. A empresa informou que também precisou reiniciar manualmente recursos do WARP — seu serviço que funciona como um “quase VPN” — em Londres para tentar conter o problema. Inicialmente, a causa era desconhecida. Porém, às 13h09 UTC , a Cloudflare afirmou ter identificado a origem da falha e aplicado um ajuste corretivo, sem estimar quando a normalidade seria restaurada. Em declaração a companhia disse ter observado “um pico incomum de tráfego” a partir das 11h20 UTC , que provocou erros globais. Embora o volume anormal de requisições tenha levantado suspeitas, a empresa afirmou não haver indícios de ataque ou ação de hackers. Horas depois, às 15h55 UTC , a Cloudflare revelou o diagnóstico final: um arquivo de configuração gerado automaticamente , responsável por gerenciar tráfego suspeito, cresceu além do tamanho previsto e causou uma falha crítica no software que processa requisições de diversos serviços da empresa. O incidente foi considerado totalmente resolvido às 14h30 UTC . A Cloudflare pediu desculpas publicamente, reconheceu a gravidade do impacto e afirmou estar revisando processos internos para evitar que um erro semelhante volte a ocorrer. O episódio reforça um alerta recorrente no setor: mesmo gigantes da infraestrutura digital podem se tornar o elo fraco da cadeia — e quando isso acontece, a web inteira sente os efeitos. Via - TR

Modelos de linguagem artificial costumam ser protegidos por camadas de segurança conhecidas como guardrails  — mecanismos projetados para bloquear entradas maliciosas e impedir respostas potencialmente perigosas. No entanto, Pesquisadores da HiddenLayer descobriram uma forma de contornar essas defesas utilizando termos extremamente simples, como “=coffee”, revelando uma fragilidade preocupante na proteção dessas ferramentas. O ataque, batizado de EchoGram , permite que invasores realizem prompt injection , uma técnica em que instruções maliciosas são inseridas no texto enviado ao modelo com o objetivo de subverter regras internas ou desviar o comportamento da IA. Por meio do EchoGram, os Pesquisadores demonstraram que apenas adicionar sequências específicas de caracteres pode fazer com que o guardrail classifique um comando arriscado como seguro — possibilitando a passagem de conteúdos que normalmente seriam bloqueados. Prompt injection , como definido pelo desenvolvedor Simon Willison, consiste em unir comandos confiáveis criados pelo desenvolvedor com entradas não confiáveis enviadas pelo usuário. O ataque pode ser direto , quando o invasor digita o comando diretamente no campo de entrada, ou indireto , quando o modelo lê instruções escondidas em páginas da web ou documentos processados. Técnicas mais avançadas, como jailbreaking , também têm o objetivo de contornar filtros internos sem modificar o prompt de sistema. Os Pesquisadores Kasimir Schulz e Kenneth Yeung explicam que hoje os guardrails são implementados principalmente por dois métodos: modelos de classificação de texto , treinados para identificar se um prompt é seguro ou malicioso, e LLMs atuando como juízes , que pontuam o conteúdo com base em critérios éticos e de segurança. Ambos dependem fortemente de bases de dados curadas de exemplos seguros e de ataques conhecidos — e é justamente essa dependência que abre portas para falhas. O EchoGram funciona criando listas de termos benignos e maliciosos por meio de técnicas de distilação de dados ou ferramentas como TextAttack . Em seguida, cada termo é testado para identificar quais palavras “viram a chave” da decisão do guardrail, transformando um conteúdo marcado como inseguro em seguro. Em testes, tokens tão simples quanto “oz” , “UIScrollView”  ou até “=coffee”  conseguiram enganar guardrails de modelos amplamente utilizados, como GPT-4o  e Qwen3Guard 0.6B . Casos semelhantes já foram documentados. Em 2023, um pesquisador descobriu que era possível burlar o Prompt-Guard-86M, da Meta, apenas adicionando espaços extras dentro do comando. Embora essas manipulações não garantam que o modelo principal siga o comando malicioso, abrem caminho para ataques mais elaborados e reduzem significativamente a eficácia das camadas de segurança. “Os guardrails são muitas vezes a primeira — e às vezes a única — linha de defesa que impede que um modelo de IA seja enganado a revelar segredos, gerar desinformação ou executar instruções perigosas”, alertam Schulz e Yeung. “O EchoGram mostra que essas defesas podem ser contornadas de forma sistemática, mesmo sem acesso interno ou ferramentas avançadas.” A descoberta reforça a necessidade urgente de revisar como os guardrails são treinados, avaliados e aplicados, especialmente em um cenário em que modelos de IA se tornam cada vez mais integrados a serviços críticos e produtos comerciais. Via - TR

A rápida expansão da inteligência artificial está transformando a maneira como softwares são desenvolvidos, testados e mantidos — mas não de forma tão revolucionária quanto muitos acreditam. Segundo o testemunho de um engenheiro de software experiente, ferramentas de IA, especialmente assistentes de codificação como o GitHub Copilot, ainda estão longe de substituir desenvolvedores ou de entregar a prometida economia de tempo. O engenheiro, que atua na área desde os anos 1990 e já programou em linguagens como Visual Basic, Delphi, C/C++ e C#, relata que usa IA de forma moderada e ressalta que as sugestões desses assistentes muitas vezes são incompletas, genéricas ou simplesmente erradas . Embora reconheça que a IA funciona bem em perguntas diretas e tarefas pontuais, ele afirma que na maioria dos casos a tecnologia não reduz significativamente o esforço de desenvolvimento , especialmente em projetos grandes e legados, que exigem rigor, padronização e manutenção a longo prazo. O profissional alerta ainda para uma mudança cultural e de aprendizado entre novos desenvolvedores. Com assistentes de IA integrados diretamente aos IDEs modernos, há o risco de que iniciantes deixem de desenvolver raciocínio crítico e habilidades fundamentais de resolução de problemas. “Se a IA entrega respostas rápidas e confiantes, mesmo quando estão erradas, quem vai aprender a encarar os desafios mais difíceis e criar soluções realmente eficientes?”, questiona. O engenheiro cita exemplos próprios: ao pedir ao Copilot um trecho de código em Delphi para identificar o aplicativo associado a arquivos PDF no Windows, a IA ofereceu uma resposta incompleta e tecnicamente incorreta, que poderia ter causado falhas em ambiente de produção. Por outro lado, a ferramenta foi útil em uma dúvida simples sobre suprimir erros de script no componente WebBrowser em C#, demonstrando que a IA funciona bem em tarefas isoladas, mas perde qualidade em cenários complexos. Ele também relata a conversa com um gerente de testes de uma grande empresa britânica, que afirmou que a IA muitas vezes gera retrabalho , exigindo múltiplas revisões de prompts e reescrita completa de testes sugeridos — o que torna o processo mais lento, e não mais rápido , para equipes experientes. Além das falhas técnicas, o engenheiro destaca preocupações mais amplas: o poder crescente das big techs, o uso massivo de dados para treinar modelos de IA e o risco de dependência excessiva dessas ferramentas. Ele compara o cenário ao vício em smartphones, ressaltando que muitas pessoas já não conseguem navegar sem aplicativos como Google Maps. Segundo ele, o mesmo pode acontecer com a IA: “Antes de abrir o assistente de código, tente resolver o problema você mesmo. A ferramenta que você usa hoje pode não estar disponível amanhã.” Via - TR

A Canonical anunciou que ampliará novamente o ciclo de suporte estendido para o Ubuntu LTS , levando a longevidade do sistema para impressionantes 15 anos de atualizações , incluindo correções de segurança críticas. Porém, assim como na expansão anterior, o benefício estará disponível apenas para clientes pagantes da modalidade Ubuntu Pro , por meio do novo complemento chamado Legacy Add-on . O anúncio reforça a estratégia da empresa de posicionar o Ubuntu como uma plataforma de longo prazo para ambientes corporativos, especialmente aqueles que dependem de estabilidade contínua. A mudança expande ainda mais a extensão implementada em março de 2024 , quando o suporte pago havia sido elevado de 10 para 12 anos. Na prática, isso significa que distribuições antigas, como o Ubuntu 14.04 Trusty Tahr , que originalmente atingiriam o fim de vida com a chegada do Ubuntu 26.04 “Resolute Raccoon”, agora receberão atualizações até 2029  — e, daqui para frente, todos os LTS seguirão o mesmo cronograma. A extensão cobre especificamente o programa Expanded Security Maintenance (ESM) , que garante que máquinas registradas no Ubuntu Pro continuem recebendo updates críticos por 10 anos adicionais  além do período padrão de cinco anos de suporte LTS. Para empresas que mantêm infraestrutura legada ou sistemas que não podem ser atualizados com frequência, o novo ciclo representa uma janela significativa de continuidade operacional. No competitivo mercado de distribuições corporativas, a Canonical passa a oferecer o maior período de suporte entre as grandes fornecedoras de Linux. A comparação é reveladora: o Red Hat Enterprise Linux (RHEL)  oferece até 12 anos  de cobertura total — combinando suporte completo, manutenção e extensões pagas — enquanto a SUSE  alcança 13 anos  com seu programa LTSS , estendendo o ciclo de service packs sem exigir upgrades imediatos. Agora, com os 15 anos de suporte  do Ubuntu LTS, empresas que optarem pelo pacote completo poderão utilizar, por exemplo, o futuro Ubuntu 26.04 LTS até 2041 , transformando o sistema em uma opção extremamente longeva para ambientes críticos, data centers, OT, sistemas embarcados e infraestruturas onde atualizações frequentes representam risco ou custo elevado. Via - TR

Agências governamentais dos Estados Unidos e da Europa divulgaram nesta quinta-feira novas informações para auxiliar organizações a se protegerem do grupo hacker Akira , responsável por uma série de ataques de ransomware desde 2023. O alerta atualizado, originalmente publicado em abril de 2024, traz uma lista ampliada de táticas, técnicas e vulnerabilidades exploradas pelos invasores, bem como dados sobre o impacto financeiro causado pela campanha criminosa. De acordo com o comunicado, até o final de setembro o Akira já havia acumulado mais de US$ 244 milhões em pagamentos de resgate , consolidando-se como um dos grupos mais lucrativos da atualidade. “O Akira não apenas rouba dinheiro — ele interrompe os sistemas que sustentam nossos hospitais, escolas e empresas”, afirmou Brett Leatherman, diretor assistente da divisão cibernética do FBI. “Por trás de cada rede comprometida, há pessoas e comunidades profundamente afetadas por esses hackers.” A atualização contou com contribuições do FBI , do Departamento de Defesa, do Departamento de Saúde e Serviços Humanos dos EUA, além da Europol  e de autoridades da França, Alemanha e Holanda. Os operadores do Akira têm como alvos principais os setores de manufatura, educação, TI e saúde , atingindo desde pequenas empresas até instituições críticas. Entre as técnicas utilizadas para obter acesso inicial, o grupo frequentemente explora produtos VPN  como os da SonicWall, seja roubando credenciais ou explorando falhas como a vulnerabilidade CVE-2024-40766 . Em outros casos, o Akira se apoia em credenciais comprometidas adquiridas via initial access brokers  ou obtidas por brute force , além de empregar password spraying  com ferramentas como SharpDomainSpray . Após invadirem uma rede, os hackers abusam de soluções de acesso remoto, como AnyDesk e LogMeIn, para se misturar à atividade legítima dos administradores. Em alguns incidentes, equipes de resposta observaram a desinstalação de soluções EDR  pelos invasores. O FBI alertou ainda que, em determinadas ocorrências, o Akira conseguiu roubar dados em menos de duas horas após a invasão , evidenciando o nível de agilidade e automação das operações. O comunicado também inclui recomendações específicas para escolas K-12, um dos segmentos repetidamente afetados pelo ransomware. As autoridades reforçaram que o Akira possui ligações com o extinto grupo Conti , um dos coletivos de ransomware mais ativos antes de se desmantelar no início da guerra na Ucrânia. Embora o FBI afirme não haver evidências de vínculos diretos com o governo russo, Leatherman reconheceu que atores associados ao Conti atuavam anteriormente na Rússia e que membros do Akira podem estar distribuídos globalmente, dentro do modelo de afiliados típico desse tipo de operação. Pesquisadores já haviam apontado similaridades profundas entre o código do Akira e o do Conti, e análises de blockchain mostram transações conectando carteiras dos dois grupos. O Akira segue ativo e recentemente assumiu a autoria de um ataque contra a BK Technologies , empresa da Flórida que fabrica rádios para companhias de defesa dos EUA e para dezenas de departamentos de polícia e bombeiros. Os hackers roubaram dados confidenciais e informações de funcionários. O grupo também reivindicou ataques contra a Universidade Stanford , o Zoológico de Toronto , um banco estatal da África do Sul , a corretora London Capital Group  e várias outras organizações de alta relevância. Via - RFN

Uma força-tarefa internacional de autoridades policiais anunciou nesta quinta-feira um avanço decisivo contra a criminalidade digital, com a derrubada de três das ferramentas mais usadas por hackers em todo o mundo. A nova fase da Operation Endgame , coordenada pela Europol a partir de Haia, desmantelou o infostealer Rhadamanthys , o trojan de acesso remoto VenomRAT  e a botnet Elysium , todos amplamente empregados em campanhas que comprometiam sistemas e roubavam dados em escala massiva. Lançada em 2024 como a “maior operação da história contra botnets”, a Endgame já havia conduzido ofensivas contra indivíduos ligados ao ecossistema de ransomware. Esta nova etapa, iniciada em 10 de novembro, mirou diretamente na infraestrutura que permitia que esses malwares infectassem centenas de milhares de vítimas ao redor do planeta , segundo a Europol. A ação envolveu autoridades de 12 países, incluindo Austrália, Alemanha, França, Reino Unido, Estados Unidos e Canadá. O principal suspeito por trás do VenomRAT  foi preso na Grécia no início de novembro — sua identidade ainda não foi divulgada. Paralelamente, policiais conduziram 11 buscas  em três países (Alemanha, Grécia e Holanda), além de confiscarem 20 domínios  e derrubarem ou interromperem 1.025 servidores  que sustentavam as operações dos hackers. De acordo com a Europol, a infraestrutura eliminada continha centenas de milhares de computadores infectados  e milhões de credenciais roubadas , a maioria desconhecida pelos próprios usuários afetados. A profundidade do esquema revela o nível de dano potencial. O invasor responsável pelo Rhadamanthys infostealer, por exemplo, tinha acesso a mais de 100 mil carteiras de criptomoedas , possivelmente avaliadas em milhões de euros. Para ajudar possíveis vítimas, cerca de 2 milhões de e-mails  e 7,4 milhões de senhas  foram disponibilizados para consulta em plataformas como haveibeenpwned.com  e no portal da polícia holandesa. Como parte da ação, o site oficial do VenomRAT foi tomado pelas autoridades e agora exibe um aviso de que bancos de dados e informações ligadas à operação hacker foram apreendidos e que qualquer pessoa envolvida nos serviços ilegais está sujeita a investigação e possível processo criminal. A Europol também divulgou um vídeo sobre a queda do Rhadamanthys e busca identificar seu operador e clientes. A ofensiva reforça o esforço global coordenado para desmantelar redes usadas por grupos hackers e reduzir o impacto crescente de ferramentas que alimentam roubo de dados, fraudes financeiras e invasões de infraestrutura crítica. Via - RFN