Resultados de busca

A empresa de administração de sinistros Sedgwick confirmou que sua subsidiária voltada ao setor público está lidando com um incidente de cibersegurança. A confirmação veio após o grupo hacker de ransomware TridentLocker afirmar, na véspera do Ano Novo, que invadiu a Sedgwick Government Solutions e teria exfiltrado 3,4 GB de dados. Segundo a companhia, a unidade afetada presta serviços de gestão de riscos e administração de sinistros para diversas agências federais dos Estados Unidos, incluindo o Department of Homeland Security (DHS), Immigration and Customs Enforcement (ICE), Customs and Border Protection (CBP), Citizenship and Immigration Services (USCIS), Department of Labor e a Cybersecurity and Infrastructure Security Agency (CISA). Resposta ao incidente e escopo limitado Em comunicado oficial, um porta-voz da Sedgwick informou que, assim que o incidente foi identificado, a empresa acionou seus protocolos de resposta a incidentes e contratou especialistas externos em cibersegurança, por meio de assessoria jurídica, para apoiar a investigação. O foco da análise está em um sistema isolado de transferência de arquivos, que teria sido o único ambiente impactado. A empresa ressaltou que a Sedgwick Government Solutions é segmentada do restante da operação global, o que, segundo a organização, evitou impactos mais amplos. Até o momento, não há indícios de acesso aos servidores de gestão de sinistros, nem prejuízo à continuidade dos serviços prestados aos clientes governamentais. Comunicação com autoridades e clientes A Sedgwick informou ainda que notificou as autoridades policiais e está em contato direto com seus clientes para tratar do incidente. Procuradas pela imprensa, a CISA e o DHS não se manifestaram até o momento. Além do atendimento a órgãos federais, a Sedgwick também presta serviços para agências municipais nos 50 estados norte-americanos, bem como para instituições de grande relevância, como o Smithsonian Institution e a Port Authority of New York and New Jersey, o que amplia a atenção em torno do caso. TridentLocker e o foco em contratadas do governo O TridentLocker é um grupo hacker relativamente novo, surgido em novembro , segundo Pesquisadores de cibersegurança. Antes do ataque à Sedgwick, o grupo já havia reivindicado a autoria de uma invasão contra o serviço postal belga bpost, que confirmou recentemente uma violação de dados. Desde seu surgimento, o grupo listou 12 vítimas em seu site de vazamentos. O caso reforça uma tendência preocupante: contratadas do governo federal continuam sendo alvos prioritários de ataques de ransomware. Um exemplo recente foi o ataque à empresa Conduent, que resultou no vazamento de dados de mais de 10 milhões de pessoas no ano passado. RFN

Pesquisadores divulgaram detalhes de uma nova campanha de ciberespionagem atribuída ao grupo hacker Transparent Tribe, também conhecido como APT36, que tem como alvo órgãos governamentais, instituições acadêmicas e entidades estratégicas da Índia. Os ataques utilizam um trojan de acesso remoto (RAT) capaz de manter controle persistente sobre sistemas comprometidos, permitindo espionagem contínua das vítimas. De acordo com um relatório técnico da CYFIRMA , a campanha emprega técnicas sofisticadas de engenharia social e evasão. O vetor inicial é um e-mail de spear phishing que contém um arquivo ZIP com um atalho do Windows (LNK) disfarçado de documento PDF legítimo . Para aumentar a credibilidade, o arquivo inclui o conteúdo real do PDF, reduzindo a suspeita do usuário no momento da abertura. Cadeia de infecção baseada em mshta.exe e execução em memória Ao ser aberto, o arquivo LNK executa silenciosamente um script HTA remoto por meio do utilitário nativo do Windows mshta.exe. Esse script é responsável por descriptografar e carregar o payload final do RAT diretamente na memória, dificultando a detecção por soluções tradicionais de segurança. Paralelamente, um PDF isca é aberto para dar a impressão de que apenas um documento legítimo foi acessado. Segundo os Pesquisadores, o malware faz uso intensivo de objetos ActiveX, como o WScript.Shell, para interagir com o sistema operacional, realizar profiling do ambiente e ajustar sua execução conforme a configuração da máquina infectada. Essa abordagem aumenta significativamente a confiabilidade do ataque e demonstra um alto nível de maturidade operacional do grupo hacker. Persistência adaptativa conforme o antivírus instalado Um dos aspectos mais preocupantes dessa campanha é a capacidade do malware de adaptar seus mecanismos de persistência com base na solução antivírus detectada no sistema comprometido: Quando o Kaspersky é identificado, o malware cria um diretório em *C:\Users\Public\core*, grava um payload HTA ofuscado no disco e estabelece persistência por meio de um atalho LNK na pasta de inicialização do Windows, que executa o script via mshta.exe. Em sistemas com Quick Heal, a persistência é feita com a criação de um arquivo batch e um LNK malicioso na pasta Startup, que chamam o HTA gravado no disco. Caso sejam detectados Avast, AVG ou Avira, o payload é simplesmente copiado para o diretório de inicialização e executado diretamente. Se nenhum antivírus conhecido for encontrado, o malware recorre a uma combinação de execução via batch, persistência no registro do Windows e implantação do payload, antes de iniciar o script malicioso. RAT completo voltado à espionagem O estágio final da infecção envolve o carregamento de uma DLL chamada iinneldc.dll, que atua como um RAT completo. Entre suas funcionalidades estão controle remoto do sistema , gerenciamento de arquivos, exfiltração de dados, captura de screenshots, manipulação da área de transferência e controle de processos, características típicas de operações de espionagem patrocinadas por Estados-nação. O histórico do Transparent Tribe mostra um arsenal em constante evolução, com o uso anterior de famílias de malware como CapraRAT, Crimson RAT, ElizaRAT e DeskRAT. Ativo desde pelo menos 2013, o grupo é amplamente conhecido por conduzir campanhas prolongadas e direcionadas contra interesses estratégicos indianos, reforçando seu perfil como um ator persistente e altamente direcionado no cenário de ameaças cibernéticas. THN

Pesquisadores revelaram os detalhes de uma campanha avançada de phishing na qual hackers exploraram um recurso legítimo do Google Cloud para enviar e-mails falsos que se passam por notificações oficiais do próprio Google. A técnica permitiu que as mensagens fossem distribuídas a partir de um endereço legítimo noreply-application-integration@google[.]com aumentando drasticamente a taxa de sucesso do golpe ao contornar filtros tradicionais de segurança de e-mail. De acordo com a Check Point , os invasores abusaram do serviço Application Integration , mais especificamente da funcionalidade “ Send Email ”, criada para automações corporativas. Embora o recurso tenha sido projetado para facilitar notificações internas, os hackers conseguiram configurá-lo para enviar mensagens a endereços arbitrários, explorando a confiança associada à infraestrutura do Google para burlar mecanismos como DMARC e SPF. E-mails legítimos na aparência, maliciosos na prática Os e-mails simulavam notificações corporativas comuns, como alertas de correio de voz, solicitações de acesso a arquivos ou permissões para documentos compartilhados por exemplo, um suposto arquivo “Q4”. O visual, a linguagem e a estrutura seguiam fielmente o padrão das comunicações oficiais do Google, o que reduziu a desconfiança das vítimas e aumentou a taxa de cliques. Durante um período de 14 dias em dezembro de 2025, foram enviados 9.394 e-mails de phishing, atingindo cerca de 3.200 organizações em regiões como Estados Unidos, Europa, Canadá, América Latina e Ásia-Pacífico. Entre os setores mais afetados estão manufatura, tecnologia, finanças, serviços profissionais e varejo, embora áreas como educação, saúde, governo, energia e transporte também tenham sido impactadas. Cadeia de ataque em múltiplas etapas e infraestrutura confiável O ataque não se limitava ao e-mail. Ao clicar no link malicioso, a vítima era redirecionada inicialmente para um endereço hospedado em storage.cloud.google[.]com, outro serviço legítimo do Google Cloud. Em seguida, o fluxo levava para conteúdos hospedados em googleusercontent[.]com, onde era apresentada uma falsa verificação CAPTCHA técnica usada para bloquear scanners automatizados e ferramentas de segurança. Após essa etapa, o usuário era encaminhado para uma página falsa de login do Microsoft 365, hospedada fora dos domínios oficiais da Microsoft. Nesse ponto, qualquer credencial inserida era capturada pelos hackers, caracterizando o objetivo final da campanha: roubo de credenciais corporativas. Atualização: OAuth phishing e abuso de múltiplas nuvens Segundo novas análises divulgadas pela xorlab e pela Ravenmail , a campanha também incorporou técnicas de OAuth consent phishing. Nesse cenário, as vítimas eram induzidas a conceder permissões a um aplicativo malicioso no Azure AD, permitindo acesso persistente a recursos em nuvem, como VMs, storage, bancos de dados e assinaturas do Azure, mesmo após troca de senha. Além disso, páginas falsas de login também foram hospedadas em buckets do Amazon S3, ampliando o uso de infraestruturas confiáveis como Google, Microsoft e AWS em diferentes estágios do ataque. Essa estratégia distribuída torna a detecção extremamente complexa, já que nenhum ponto isolado do fluxo parece, à primeira vista, malicioso. Resposta do Google Em resposta às descobertas, o Google informou que bloqueou o abuso da funcionalidade de envio de e-mails no Application Integration e que está implementando medidas adicionais para evitar novos usos indevidos. O caso reforça como recursos legítimos de automação em nuvem podem ser transformados em vetores de ataque altamente eficazes quando explorados por hackers. THN

Pesquisadores identificaram o que aparenta ser uma nova variante do worm Shai-Hulud circulando no npm, com pequenas, porém relevantes, modificações em relação à campanha observada no final de 2025. A descoberta levanta novamente alertas sobre os riscos crescentes de ataques à cadeia de suprimentos de software, especialmente no ecossistema open source. O pacote malicioso identificado foi o @vietmoney/react-big-calendar , originalmente publicado em março de 2021 por um usuário chamado hoquocdat, mas que permaneceu inativo por anos. Somente em 28 de dezembro de 2025 o pacote recebeu sua primeira atualização, chegando à versão 0.26.2. Desde então, foram registrados 698 downloads no total, sendo 197 apenas da versão mais recente números relativamente baixos, mas suficientes para chamar a atenção dos Pesquisadores. A análise foi conduzida pela empresa de segurança Aikido, que afirma não ter identificado, até o momento, um surto significativo de infecções. Para os Pesquisadores, isso indica que o pacote pode ter sido usado como ambiente de teste para validar um novo payload do malware antes de uma campanha em larga escala. Segundo o Pesquisador Charlie Eriksen , o código apresenta sinais claros de reofuscação completa, e não apenas pequenas edições sobre o código original. Esse detalhe sugere que o autor da nova amostra teve acesso ao código-fonte original do Shai-Hulud, afastando a hipótese de um simples imitador. A conclusão reforça a ideia de continuidade da campanha por parte do mesmo grupo hacker. Evolução do Shai-Hulud e mudanças na nova variante O ataque Shai-Hulud veio a público pela primeira vez em setembro de 2025, quando pacotes trojanizados no npm passaram a roubar tokens do npm, GitHub, credenciais de nuvem e chaves de API, enviando esses dados para repositórios controlados pelos hackers. Em uma segunda onda, identificada em novembro, os repositórios de exfiltração traziam a descrição “Sha1-Hulud: The Second Coming”. O diferencial mais perigoso do Shai-Hulud sempre foi seu comportamento do tipo worm. Após comprometer um desenvolvedor, o malware utiliza os tokens roubados para identificar até 100 dos pacotes mais populares associados à mesma conta, inserir código malicioso neles e republicá-los no npm, ampliando exponencialmente o impacto do ataque à cadeia de suprimentos. Na nova variante, os Pesquisadores observaram alterações importantes, incluindo: Renomeação dos arquivos iniciais para bun_installer.js e environment_source.js Uso de novos nomes ofuscados para arquivos que armazenam segredos roubados Mudança na descrição dos repositórios de exfiltração para “Goldox-T3chs: Only Happy Girl” Remoção do “dead man switch”, que anteriormente acionava um wiper caso não fossem encontrados tokens válidos Melhor tratamento de erros, inclusive quando scanners como o TruffleHog apresentam timeout Ajustes na lógica de coleta, ordenação e publicação dos dados roubados Ataque semelhante também atinge o ecossistema Java Paralelamente, os Pesquisadores também identificaram um pacote malicioso no Maven Central, disfarçado como uma extensão legítima da popular biblioteca Jackson JSON. O pacote utilizava uma técnica conhecida como typosquatting, explorando a diferença sutil entre os namespaces legítimos e falsos para enganar desenvolvedores. Ao ser incluído em projetos Spring Boot, o malware era executado automaticamente durante a inicialização da aplicação, sem necessidade de chamadas explícitas no código. A partir daí, ele realizava verificações no sistema e baixava payloads específicos para cada sistema operacional, incluindo um beacon do Cobalt Strike , ferramenta legítima de simulação adversária frequentemente abusada por grupos hackers para comando e controle pós-exploração. Segundo a Aikido, esse tipo de ataque explora uma falha estrutural nos mecanismos de validação do Maven Central, que hoje não conseguem diferenciar com eficiência pacotes legítimos de cópias maliciosas que utilizam prefixos semelhantes. A recomendação é que repositórios passem a tratar namespaces críticos como ativos de alto valor, aplicando verificações adicionais antes da publicação. THN

Quando especialistas em redes começaram a desenhar a internet moderna, no início dos anos 1990, um problema ficou claro: o IPv4 não teria endereços suficientes para sustentar o crescimento da rede mundial. Com apenas 4,3 bilhões de endereços disponíveis, o risco de esgotamento poderia comprometer a adoção da internet e até impactar a economia global. A resposta veio em dezembro de 1995, com a publicação do RFC 1883 , que definiu oficialmente o IPv6. A principal mudança foi drástica: sair de endereços de 32 bits para 128 bits, elevando o total disponível para mais de 340 undecilhões de endereços um número tão grande que parecia garantir o futuro da internet por séculos. Na teoria, a migração seria natural. Bilhões de PCs, smartphones e dispositivos conectados passaram a fazer parte do cotidiano, e a expectativa era que os provedores abandonassem gradualmente o IPv4. Três décadas depois, porém, os números mostram outra realidade: menos da metade dos usuários globais de internet utilizam IPv6, segundo dados do Google , APNIC e Cloudflare . Por que o IPv6 não “decolou”? Um dos motivos centrais foi o próprio desenho do protocolo. Para o cientista-chefe do APNIC, Geoff Huston, o IPv6 foi “conservador demais”, mudando o mínimo possível além do espaço de endereçamento. O resultado foi um protocolo tecnicamente sólido, mas com poucos diferenciais práticos em relação ao IPv4. Além disso, o IPv6 não é retrocompatível com IPv4. Isso forçou empresas a escolherem entre um ou outro ou manterem os dois em paralelo, aumentando custos e complexidade. Para muitos operadores, o esforço não se justificava, especialmente porque recursos de segurança, qualidade de serviço e automação que ficaram de fora do IPv6 acabaram sendo implementados também no IPv4. Outro fator decisivo foi a popularização do NAT. A técnica permitiu que milhares de dispositivos compartilhassem um único endereço IPv4 público, prolongando artificialmente a vida útil do protocolo antigo e reduzindo a urgência da migração. Segundo analistas do Gartner, os custos de transição, a necessidade de treinamento e a falta de retorno imediato sobre o investimento também afastaram muitas organizações. Em alguns cenários, empresas chegaram a desabilitar o IPv6 por questões de desempenho ou compatibilidade. Um protocolo mal compreendido, não um fracasso Apesar da adoção lenta, especialistas defendem que chamar o IPv6 de fracasso é um erro. Para John Curran, presidente da ARIN, o objetivo nunca foi “desligar” o IPv4, mas permitir que a internet continuasse crescendo sem colapsar. Na prática, o IPv6 absorveu grande parte desse crescimento em ambientes móveis, banda larga e nuvem, mantendo o IPv4 funcional por mais tempo. Para o RIPE NCC, o grande mérito do IPv6 está em seu design de longo prazo, que facilita o planejamento de redes , impulsiona a Internet das Coisas (IoT) e viabiliza técnicas modernas como Segment Routing sobre IPv6. Ao mesmo tempo, novas arquiteturas de rede e protocolos como o QUIC reduziram ainda mais a dependência de endereços IP públicos permanentes. Hoje, serviços são identificados muito mais por nomes no DNS do que por IPs, o que muda o papel histórico do endereçamento na segurança e na autenticação. O futuro ainda passa pelo IPv6 Mesmo sem “dominar” a internet, o IPv6 segue relevante. Grandes organizações continuam adotando o protocolo em escala massiva, como a Huawei, que solicitou 2,56 decilhões de endereços IPv6, e a Starlink, que adquiriu cerca de 150 sextilhões. Esses movimentos já ajudam a elevar a adoção acima de 50% em diversos países. Para analistas, o caminho agora é pragmático: planejar a migração, garantir compatibilidade de aplicações e preparar a infraestrutura. O IPv6 pode não ter substituído o IPv4 como se imaginava nos anos 1990, mas cumpriu sua missão principal manter a internet crescendo. TR

As autoridades da Finlândia anunciaram nesta quarta-feira (1º) a apreensão de um navio suspeito de danificar um cabo submarino de telecomunicações no Mar Báltico, em mais um episódio que reacende preocupações sobre a segurança de infraestruturas críticas na região. O caso ocorre em meio a uma série de falhas recentes em cabos submarinos, detectadas nos últimos dias. Segundo o Ministério da Justiça da Estônia, parte desses incidentes pode estar relacionada às condições climáticas adversas, embora ao menos dois casos sigam sob investigação. As operadoras envolvidas afirmaram que não houve impacto nos serviços, graças a conexões redundantes que mantêm as comunicações ativas mesmo quando uma rota é comprometida. A Guarda de Fronteira finlandesa localizou o navio suspeito após receber, na madrugada da véspera de Ano-Novo, um alerta da operadora de telecomunicações Elisa. A falha foi identificada em um trecho de cabo da empresa que atravessa a zona econômica exclusiva da Estônia, ainda nas primeiras horas do dia 31 de dezembro. Também foram relatados danos em outro cabo submarino pertencente à operadora sueca Arelion. No momento em que o dano ocorreu, o navio sob suspeita foi identificado em trânsito da zona econômica exclusiva da Estônia para a da Finlândia. Até o momento, nenhum detalhe oficial sobre a embarcação foi divulgado. Ao localizar o navio, as autoridades constataram que a corrente da âncora estava baixada, arrastando-se pelo fundo do mar. A embarcação foi então instruída a se deslocar para uma área de ancoragem segura dentro das águas territoriais finlandesas. Em comunicado conjunto, as autoridades informaram que o controle da embarcação foi assumido pelo Estado finlandês e que a liderança da investigação passou da Guarda Costeira do Golfo da Finlândia para o Departamento de Polícia de Helsinque. Promotores locais já emitiram ordens de acusação, e o caso está sendo apurado como dano criminoso agravado, tentativa de dano criminoso agravado e interferência agravada em sistemas de telecomunicações. A apreensão do navio ocorre pouco mais de um ano após um caso semelhante, quando a polícia armada da Finlândia deteve o Eagle S, um petroleiro ligado à Rússia , suspeito de danificar múltiplos cabos submarinos no Natal de 2024. Na ocasião, a tentativa de responsabilizar criminalmente oficiais da embarcação acabou fracassando devido a disputas jurídicas sobre a jurisdição do país. O Eagle S havia partido do porto russo de Ust-Luga transportando gasolina e diesel e era apontado por países ocidentais como parte da chamada “frota fantasma” russa um conjunto estimado em até mil navios antigos, com estruturas de propriedade opacas, utilizados para exportar produtos sancionados, especialmente petróleo. Os danos causados por essa embarcação estiveram entre os mais investigados em uma sequência de incidentes no Mar Báltico, que levantaram suspeitas sobre possíveis atos de sabotagem direcionados a infraestruturas críticas. Em resposta, a NATO anunciou o reforço das patrulhas no Mar Báltico, incluindo o emprego de fragatas, aeronaves de patrulha marítima e um pequeno contingente de drones navais. Apesar disso, autoridades de diversos países europeus da região do Mar do Norte e do Mar Báltico afirmaram que cresce a convicção de que muitos desses incidentes foram acidentais, e não resultado de ações coordenadas pelo Kremlin. Segundo um funcionário europeu ouvido sob condição de anonimato, tripulações pouco profissionais e comandantes inexperientes frequentemente evitam manobras mais complexas em condições climáticas severas, permitindo que âncoras sejam arrastadas pelo leito marinho exatamente onde passam a maioria dos cabos submarinos. RFN

Pesquisadores de cibersegurança revelaram uma campanha maliciosa persistente, com duração de cerca de nove meses, que tem como alvo dispositivos de Internet das Coisas (IoT) e aplicações web, recrutando esses sistemas para uma botnet conhecida como RondoDox. A operação ganhou novo fôlego a partir de dezembro de 2025, quando passou a explorar uma falha crítica recém-divulgada chamada React2Shell. De acordo com análise da CloudSEK , o grupo hacker vem utilizando a vulnerabilidade CVE-2025-55182, que possui pontuação máxima de 10.0 no CVSS, como vetor inicial de acesso. Essa falha afeta componentes do React Server Components (RSC) e do Next.js, permitindo execução remota de código sem autenticação, um dos cenários mais graves em termos de segurança. Dados da Shadowserver Foundation indicam que, até 31 de dezembro de 2025, cerca de 90.300 instâncias ainda permaneciam vulneráveis ao React2Shell. A maior concentração está nos Estados Unidos, com aproximadamente 68.400 sistemas , seguidos por Alemanha (4.300), França (2.800) e Índia (1.500). Esse grande volume de sistemas expostos cria um terreno fértil para hackers, especialmente para botnets que buscam escala, como é o caso da RondoDox. Identificada pela primeira vez no início de 2025, a RondoDox expandiu rapidamente suas capacidades ao incorporar falhas N-day já conhecidas, como CVE-2023-1389 e CVE-2025-24893. O uso do React2Shell para disseminar a botnet já havia sido apontado anteriormente por pesquisadores da Darktrace , Kaspersky e VulnCheck, reforçando a gravidade do cenário. Segundo a CloudSEK, a campanha passou por três fases distintas antes de adotar o React2Shell: Março–abril de 2025: reconhecimento inicial e varreduras manuais de vulnerabilidades Abril–junho de 2025: exploração massiva diária de aplicações web como WordPress, Drupal e Struts2, além de dispositivos IoT como roteadores Wavlink Julho–início de dezembro de 2025: automação completa, com implantações em larga escala e frequência horária Nos ataques observados em dezembro de 2025, os invasores passaram a escanear servidores Next.js vulneráveis e, em seguida, instalar múltiplas cargas maliciosas. Entre elas estão miners de criptomoedas, um loader e verificador de integridade da botnet (/nuts/bolts) e até uma variante da botnet Mirai (/nuts/x86). O módulo /nuts/bolts chama atenção por sua agressividade: ele remove outros malwares concorrentes, encerra coin miners rivais, apaga rastros de campanhas anteriores e cria persistência via /etc/crontab. Segundo os pesquisadores, o componente monitora continuamente os processos em execução e elimina qualquer atividade não autorizada a cada 45 segundos, dificultando a reinfecção por outros grupos hackers. Para reduzir o risco, especialistas recomendam: Atualizar imediatamente o Next.js para versões corrigidas; Segmentar dispositivos IoT em VLANs dedicadas; Implantar Web Application Firewalls (WAFs); Monitorar execuções suspeitas de processos; Bloquear infraestrutura conhecida de C2 (Command and Control). Via - THN

O Departamento do Tesouro dos Estados Unidos, por meio do Office of Foreign Assets Control (OFAC), retirou as sanções impostas a três indivíduos associados ao Intellexa Consortium, grupo responsável pelo desenvolvimento e comercialização do spyware Predator. Os nomes removidos da lista de Nacionais Especialmente Designados (SDN) são Merom Harpaz, Andrea Nicola Constantino Hermes Gambazzi e Sara Aleksandra Fayssal Hamou. As sanções haviam sido aplicadas ao longo de 2024, após investigações apontarem o envolvimento direto dos três na criação, operação e distribuição do Predator, uma ferramenta de espionagem comercial altamente intrusiva. No entanto, em comunicado oficial, o Tesouro norte-americano informou que a retirada ocorreu como parte de um processo administrativo padrão, após pedidos formais de reconsideração apresentados pelos sancionados. Distanciamento formal da Intellexa Segundo informações repassadas à agência Reuters , o OFAC afirmou que os indivíduos “demonstraram medidas para se separar do Intellexa Consortium”. Apesar disso, o comunicado não detalha quais ações concretas foram tomadas nem esclarece se os envolvidos ainda mantêm cargos ou vínculos indiretos com as empresas do grupo. Registros anteriores indicavam que Merom Harpaz atuava como gestor da Intellexa S.A., enquanto Gambazzi era apontado como proprietário da Thalestris Limited e da Intellexa Limited empresas que, segundo o próprio Tesouro, detinham direitos de distribuição do spyware e intermediavam transações financeiras do consórcio. Já Sara Hamou foi descrita como uma das principais facilitadoras da estrutura corporativa, responsável por serviços administrativos e de offshoring, incluindo a locação de escritórios na Grécia. Risco contínuo do spyware comercial Na época das sanções, o governo dos EUA alertou que a proliferação de spyware comercial representa um risco crescente à segurança nacional e aos direitos civis, defendendo a criação de regras mais rígidas (guardrails) para equilibrar segurança, direitos humanos e liberdades individuais. A decisão de remover as sanções, no entanto, gerou críticas de organizações da sociedade civil. Para Natalia Krapiva , conselheira jurídica sênior da ONG Access Now, a medida pode passar uma mensagem perigosa: de que ataques contra cidadãos e interesses norte-americanos podem ter poucas consequências, desde que haja recursos financeiros suficientes para pressionar politicamente. Predator segue ativo apesar de denúncias A decisão ocorre poucas semanas após um relatório da Anistia Internacional revelar que um advogado de direitos humanos do Paquistão foi alvo de uma tentativa de infecção pelo Predator por meio de uma mensagem no WhatsApp. Ativo desde pelo menos 2019, o spyware é conhecido por operar de forma furtiva, deixando poucos ou nenhum vestígio no dispositivo comprometido e sendo capaz de coletar dados sensíveis por meio de ataques 1-click ou zero-click. Embora seja oficialmente comercializado para fins de contraterrorismo e aplicação da lei, investigações independentes apontam o uso recorrente do Predator contra jornalistas, ativistas, defensores de direitos humanos e políticos, em um padrão semelhante ao observado com o Pegasus, da NSO Group. Análises recentes da Recorded Future indicam que o Predator continua em uso, mesmo após sanções internacionais e ampla exposição pública. O relatório destaca ainda tendências preocupantes no ecossistema de spyware, como a fragmentação geopolítica, a busca por legitimidade via aquisições e o deslocamento dessas empresas para regiões com menor fiscalização regulatória, aumentando riscos de corrupção, vazamentos internos e até ataques contra os próprios fornecedores de spyware. Via - THN

Imagine um cenário simples: uma empresa usa um gateway de APIs para controlar quem acessa serviços internos como consulta de saldo, dados de clientes ou integrações com parceiros. Se alguém consegue “pular” a etapa de login nesse sistema, o que era para ser um portão com catraca vira uma entrada liberada. É exatamente esse o tipo de risco que a IBM descreveu ao divulgar uma vulnerabilidade crítica no IBM API Connect, plataforma usada para criar, gerenciar e proteger APIs em ambientes cloud e on-premises. A falha, identificada como CVE-2025-13915 , recebeu nota 9,8/10 (crítica) e foi classificada como bypass de autenticação ou seja, pode permitir que hackers contornem mecanismos de autenticação e obtenham acesso não autorizado ao sistema remotamente. Segundo o boletim de segurança da IBM , o problema afeta as versões 10.0.8.0 a 10.0.8.5 e também a 10.0.11.0. Quando um software tem um bypass de autenticação, existe a possibilidade de um invasor acessar recursos protegidos sem apresentar credenciais válidas. Em uma solução de gestão de APIs, isso pode ter impacto alto porque o API Connect costuma ficar no caminho de integrações críticas além de concentrar configurações, políticas, chaves e controles de acesso que sustentam aplicações e serviços. Até o momento, não há confirmação pública de exploração ativa dessa vulnerabilidade “na prática” (o famoso in the wild). Mesmo assim, a recomendação é agir rápido: falhas críticas com bypass de autenticação costumam ganhar atenção do ecossistema assim que são divulgadas. Versões afetadas De acordo com a IBM e bases de referência do ecossistema, o alcance é o seguinte: IBM API Connect 10.0.8.0 até 10.0.8.5 IBM API Connect 10.0.11.0 O que a IBM recomenda fazer agora A IBM orienta clientes a aplicar um “interim fix” (correção temporária) disponibilizado via Fix Central, seguindo as instruções do pacote (incluindo arquivo de readme) e aplicando o fix conforme a versão instalada. Como mitigação, para organizações que não conseguem instalar o fix imediatamente, a IBM recomenda desativar o “self-service sign-up” (auto-cadastro) no Developer Portal, quando essa função estiver habilitada medida que reduz a exposição ao vetor descrito pela empresa. Via - THN

Imagine um vídeo “para crianças” que não é marcado como tal. Para quem assiste, nada muda na tela mas, nos bastidores, a classificação errada pode abrir espaço para que dados sejam coletados e usados em publicidade direcionada. É exatamente esse o ponto central de um acordo anunciado pelas autoridades dos EUA: a Disney concordou em pagar uma multa civil de US$ 10 milhões para encerrar acusações de que violou a Children’s Online Privacy Protection Act (COPPA) ao rotular incorretamente conteúdos no YouTube. Segundo o Departamento de Justiça (DOJ), a investigação encaminhada pela Federal Trade Commission (FTC) aponta que a Disney teria deixado de marcar vídeos direcionados ao público infantil como “Made for Kids” (MFK). Esse rótulo é essencial porque sinaliza ao YouTube que o conteúdo deve ter restrições de coleta de dados pessoais e bloqueio de anúncios personalizados, justamente para atender às exigências da COPPA . A acusação sustenta que, com a marcação incorreta, a Disney teria permitido que, “por meio do YouTube”, ocorresse coleta de dados de crianças menores de 13 anos para fins de publicidade direcionada e que a empresa também se beneficiava financeiramente, já que recebe parte da receita de anúncios exibidos em seus vídeos e pode vender publicidade diretamente. O caso se conecta a um marco importante: desde 2019, criadores e empresas passaram a ser obrigados a marcar vídeos e canais como MFK (ou “não MFK”), após o acordo em que Google/YouTube pagaram US$ 170 milhões por alegadas violações da regra da COPPA. No processo envolvendo a Disney, o DOJ e a FTC afirmam que a empresa teria mantido falhas de classificação mesmo depois de alertas do YouTube incluindo uma mudança feita pela própria plataforma em 2020, quando mais de 300 vídeos teriam sido reclassificados de “não MFK” para MFK. Além do pagamento da multa, o acordo estabelece obrigações de conformidade. Na prática, a Disney terá que notificar responsáveis antes de coletar informações pessoais de crianças e garantir que os vídeos voltados ao público infantil no YouTube sejam classificados corretamente para impedir coleta indevida e anúncios personalizados em conteúdo infantil. O tema também aparece em um contexto mais amplo de escrutínio regulatório. Em 2024, um relatório de equipe da FTC apontou que grandes empresas de redes sociais e vídeo sob demanda mantêm práticas de coleta e monetização de dados em larga escala, com impactos relevantes para crianças e adolescentes. Via - BC

O Rainbow Six Siege (R6), da Ubisoft, foi atingido por um incidente de segurança que permitiu que hackers abusassem de sistemas internos para banir e desbanir jogadores, forjar mensagens no “ban ticker” (o feed de punições exibido no jogo) e conceder grandes quantidades de moeda e itens para contas em escala global. Relatos de jogadores e capturas de tela compartilhadas nas redes indicam que os invasores conseguiram, entre outras ações, desbloquear todos os cosméticos do jogo incluindo skins restritas a desenvolvedores e distribuir aproximadamente 2 bilhões de R6 Credits e Renown. O impacto chama atenção principalmente pelo valor econômico associado aos R6 Credits, que são vendidos por dinheiro real na loja da Ubisoft. Pela precificação informada no próprio ecossistema do jogo (ex.: 15.000 R6 Credits por US$ 99,99), a distribuição de 2 bilhões de créditos equivaleria, em termos de “valor de tabela”, a cerca de US$ 13,33 milhões em moeda virtual concedida indevidamente. Na manhã de sábado, por volta de 9h10, a conta oficial de Rainbow Six Siege no X (antigo Twitter) reconheceu o problema e informou que equipes estavam trabalhando para resolver a falha. Pouco depois, a Ubisoft derrubou intencionalmente o Siege e o Marketplace para conter o incidente e acelerar a correção. Em uma atualização posterior, a empresa afirmou que jogadores não seriam punidos por terem gasto os créditos recebidos, mas avisou que faria um rollback (reversão) de todas as transações realizadas desde 11:00 (UTC). A Ubisoft também disse que não gerou as mensagens exibidas no ban ticker e que o recurso já havia sido desativado anteriormente. Até o momento descrito no texto, o jogo ainda enfrentava instabilidade com servidores fora do ar, e a empresa não havia publicado um comunicado técnico detalhando como a brecha aconteceu, nem respondeu aos pedidos de esclarecimento citados. Além do abuso visível dentro do jogo, circularam rumores não confirmados de que o caso poderia ser parte de uma invasão mais ampla na infraestrutura da Ubisoft. Segundo relatos atribuídos ao grupo de pesquisadores VX-Underground , hackers teriam alegado acesso a servidores da empresa usando uma suposta vulnerabilidade recente do MongoDB apelidada de “MongoBleed” (CVE-2025-14847). A falha, de acordo com as alegações, permitiria que invasores sem autenticação vazassem conteúdo de memória de instâncias expostas do banco de dados, abrindo caminho para a exposição de credenciais e chaves de autenticação. Também foi citado que já existiria um PoC público capaz de procurar segredos em servidores MongoDB expostos. O texto ainda menciona a possibilidade de múltiplos grupos hackers, não necessariamente relacionados, terem mirado a Ubisoft ao mesmo tempo: um grupo teria manipulado punições e inventário do Siege sem acesso a dados de usuários; outro teria usado a falha para pivotar até repositórios internos e alegar roubo de código-fonte histórico; um terceiro teria supostamente capturado dados de usuários e tentaria extorquir a empresa; e um quarto contestaria partes dessas alegações. No entanto, o ponto central é que essas afirmações não foram verificadas de forma independente e, até aqui, o único fato confirmado publicamente (com base no texto fornecido) é o abuso dentro do Rainbow Six Siege, sem evidências públicas de um comprometimento maior envolvendo código-fonte ou dados de clientes. Via - BC

PUBLICIDADE | Post patrocinado em parceria com a BLACKBOX.AI A BLACKBOX.AI  se posiciona como um ecossistema de IA para construção de software  indo além do “chat que escreve código” e oferecendo agentes autônomos  capazes de executar tarefas localmente (no seu desktop/IDE)  ou remotamente (na nuvem) , com fluxos que incluem geração de código, testes, refatoração e até criação de Pull Requests . BLACKBOX.AI: a IA que quer transformar intenção em entrega Na prática, a Blackbox quer reduzir o atrito entre “ideia” e “entrega”: você descreve o que precisa em linguagem natural e a plataforma ajuda a planejar, implementar e iterar  — desde dúvidas simples até desenvolvimento de funcionalidades mais complexas, apoiando milhões de desenvolvedores  (segundo a própria empresa). Do prompt ao PR: como a Blackbox coloca agentes para trabalhar O ecossistema é distribuído em frentes que se conectam: Web App : um hub no navegador com chat, geração de código e recursos como Image → Website  (converter mockups/imagens em um site/app), além de histórico e acesso a outras partes da plataforma. VS Code Agent : extensão com ferramentas (ex.: browser tool) e recursos de orquestração  para dividir uma tarefa grande em subtarefas e rodar subagentes em paralelo , acelerando entregas. Blackbox Cloud (Remote Agents) : agentes remotos via browser para trabalhar em repositórios, com execução simultânea , monitoramento, e fluxo automatizado de Pull Request  (e até code review, conforme a documentação). CLI + MCP : controle e gestão de agentes remotos via terminal usando Model Context Protocol , para quem prefere operação “terminal-first”. Builder : camada “texto/voz → app” para criar aplicações full-stack e iterar visualmente, com opção de integração com Stripe  para pagamentos. Por que não é “só mais uma IA para código” Pelos próprios guias e comparativos da Blackbox, os diferenciais mais fortes ficam em quatro pontos: Agentes locais + remotos no mesmo ecossistema  (IDE/desktop/VS Code + Cloud), permitindo escalar tarefas sem ficar preso a uma máquina. Execução paralela de verdade  com orquestração (vários subagentes rodando ao mesmo tempo), útil para features grandes e correções complexas. Privacidade forte no Desktop Agent , com criptografia ponta a ponta  e modelo “zero-knowledge” (chaves não saem do dispositivo; a própria Blackbox afirma não conseguir ver seus dados). Ferramentas integradas ao fluxo  (ex.: browser tool no VS Code Agent) e foco em automação prática — mais do que só sugerir código. Por que testar agora: menos prompt, mais entrega Se você já usa assistentes de código, a Blackbox chama atenção por ir além do autocomplete: ela tenta cobrir o ciclo completo “pedir → executar → validar → entregar”, com agentes , paralelismo , cloud  e camadas para construir apps  rapidamente (inclusive a partir de imagem), além de um discurso forte de privacidade no desktop . Se você quiser, eu adapto essa notícia para o estilo do Cyber Security Brazil  (mais “jornalístico + análise”, com bloco “impacto para devs/empresas” e “pontos de atenção de segurança”). Para quem quiser testar na prática use o cupom CYBER  e garanta 1 mês de teste grátis . É uma boa chance de colocar a BLACKBOX.AI em um cenário real e ver se o modelo de agentes + automação  faz diferença no seu fluxo de trabalho.