Resultados de busca

Os Correios da França, a La Poste, confirmaram que um incidente de negação de serviço distribuída (DDoS) causou instabilidade em seus sites e aplicativos móveis poucos dias antes do Natal. O ataque cibernético resultou na indisponibilidade de sistemas digitais essenciais, impactando diretamente a logística e atrasando a entrega de encomendas em um dos períodos mais críticos do ano para o serviço postal. Em comunicado divulgado na segunda-feira, a La Poste afirmou que não há indícios de comprometimento de dados de clientes, mas reconheceu que as operações postais, incluindo a distribuição de pacotes, foram afetadas. Algumas agências passaram a operar com capacidade reduzida, embora os atendimentos presenciais tanto postais quanto bancários tenham sido mantidos nos balcões físicos. A instabilidade também atingiu a La Banque Postale, braço bancário do grupo. Clientes relataram dificuldades para acessar o internet banking e o aplicativo móvel. Apesar disso, pagamentos com cartão em terminais físicos e saques em caixas eletrônicos continuaram funcionando normalmente. Compras online também permaneceram possíveis, desde que validadas por autenticação via SMS. O ataque ocorreu em meio a um aumento expressivo na demanda por serviços postais, típico do período natalino. Nas redes sociais, consumidores reclamaram que os atrasos poderiam impedir a chegada de presentes a tempo do Natal. Veículos da imprensa francesa relataram ainda que algumas pessoas não conseguiram postar ou retirar encomendas devido às restrições operacionais temporárias. O incidente acontece poucos dias após um vazamento de dados no Ministério do Interior da França, no qual invasores obtiveram acesso não autorizado a contas de e-mail e documentos confidenciais. Nesse caso, as autoridades francesas chegaram a prender um suspeito de 22 anos. Até o momento, não há confirmação sobre a autoria do ataque DDoS contra a La Poste, e a empresa não atribuiu a ação a nenhum grupo hacker específico. Via - RFN

O presidente dos Estados Unidos, Donald Trump, sancionou nesta quinta-feira (à noite) a Lei de Autorização de Defesa Nacional (NDAA) para 2026 , um pacote de US$ 901 bilhões que define políticas e libera recursos para a segurança nacional norte-americana. O texto, aprovado com apoio bipartidário no Congresso, traz dispositivos estratégicos voltados à cibersegurança, com destaque para investimentos diretos no U.S. Cyber Command e novas exigências de proteção digital para autoridades do Departamento de Defesa (DoD). Um dos pontos centrais da lei é a manutenção do modelo de liderança conjunta (dual-hat) entre o U.S. Cyber Command e a Agência de Segurança Nacional (NSA). O texto proíbe explicitamente o uso de recursos do Pentágono para reduzir responsabilidades, autoridade ou supervisão do comandante do Cyber Command estrutura em vigor desde a criação do comando, em 2010, e que há anos é alvo de debates dentro do governo e das Forças Armadas. Durante seu primeiro mandato, Trump chegou a considerar a separação das duas entidades, mas recuou após resistência da cúpula militar. A nova legislação também oficializa a indicação do tenente-general do Exército Joshua Rudd como próximo comandante do Cyber Command e diretor da NSA. Em termos orçamentários, o comando cibernético receberá cerca de US$ 73 milhões para operações digitais, além de US$ 30 milhões para atividades não especificadas e US$ 314 milhões destinados à operação e manutenção da sede em Fort Meade, Maryland. Outro destaque relevante da NDAA é a exigência de que o secretário de Defesa garanta celulares com “proteções cibernéticas aprimoradas” incluindo criptografia para líderes seniores do DoD. A medida surge após relatórios do inspetor-geral do Pentágono , que apontaram falhas graves no uso de aplicativos comerciais de mensagens para tratar informações sensíveis, incluindo discussões sobre uma ofensiva militar no Iêmen. Um segundo relatório indicou que o Departamento de Defesa ainda não dispõe de uma plataforma segura de mensagens adequada para coordenar operações críticas. A lei também impõe novos prazos para o mapeamento de infraestruturas críticas que dependem de componentes ligados a “entidades estrangeiras de preocupação”, ampliando o foco em cadeia de suprimentos e riscos geopolíticos. Além disso, o Pentágono terá até junho do próximo ano para harmonizar seus próprios requisitos de cibersegurança, reduzindo burocracias internas iniciativa que deve se tornar um dos pilares da nova Estratégia Nacional de Cibersegurança, prevista para ser divulgada pela administração Trump no próximo mês. Via - FRN

A Suprema Corte da Pensilvânia decidiu, nesta terça-feira, que a polícia pode acessar históricos de buscas no Google sem a necessidade de mandado judicial durante investigações criminais. A decisão foi tomada no contexto de um caso envolvendo um estuprador condenado e estabelece um precedente jurídico relevante dentro do estado norte-americano. No entendimento do tribunal, usuários da internet não possuem uma expectativa razoável de privacidade ao realizarem pesquisas online, uma vez que é de “conhecimento comum” que sites, aplicativos e provedores de serviços de internet coletam e, posteriormente, compartilham ou comercializam dados dos usuários. Para os magistrados, esse cenário enfraquece qualquer alegação de privacidade sobre consultas feitas em mecanismos de busca. Embora a decisão tenha validade apenas na Pensilvânia, especialistas alertam que o julgamento pode influenciar outras jurisdições nos Estados Unidos. O professor de direito Andrew Ferguson, da Universidade George Washington, avalia que o posicionamento da corte pode incentivar forças policiais de outros estados a recorrerem com mais frequência a coletas de dados sem mandado, especialmente em investigações complexas. O caso analisado envolvia uma investigação de estupro que havia chegado a um impasse. Como última tentativa de identificar o autor do crime, a polícia solicitou ao Google uma lista de usuários que haviam pesquisado o endereço da vítima na semana anterior ao ataque. A empresa identificou uma busca realizada poucas horas antes do crime, associada a um endereço IP ligado à residência do acusado, John Edward Kurtz. A corte destacou que a própria política de privacidade do Google informa de forma explícita que dados de buscas podem ser compartilhados com terceiros. Segundo a decisão, a empresa deixa claro que os usuários não devem esperar confidencialidade ao utilizar seus serviços. Os juízes também argumentaram que os internautas possuem alternativas para evitar a exposição de dados, como o uso de outros métodos de busca ou ferramentas voltadas à privacidade. Outro ponto ressaltado é que, na visão do tribunal, o rastro de dados deixado por buscas na internet não é involuntário da mesma forma que o rastreamento gerado pelo simples porte de um celular. Para a corte, o usuário opta conscientemente por utilizar plataformas digitais, assumindo os riscos associados à coleta de informações. Apesar disso, especialistas veem a decisão com preocupação. Ferguson afirmou que permitir o acesso policial a buscas sem mandado cria um “ambiente intimidador”, já que muitas pessoas recorrem ao Google para perguntas extremamente pessoais. Segundo ele, buscas reversas por palavras-chave permitem que o Estado infira pensamentos e intenções, ultrapassando limites tradicionais de proteção à privacidade individual. Via - RFN

As autoridades francesas prenderam, na última quarta-feira, um jovem de 22 anos suspeito de envolvimento em uma invasão cibernética aos sistemas do Ministério do Interior da França . O ataque resultou no acesso indevido a diversas contas de e-mail institucionais e a dezenas de documentos confidenciais, considerados sensíveis pelo governo francês. O ministério confirmou o que classificou como um incidente grave, após um usuário reivindicar a autoria da invasão em uma publicação no fórum de cibercrime BreachForums. Em nota, um porta-voz do governo afirmou que a “realidade e a extensão” das informações divulgadas na plataforma ainda estão sendo analisadas de forma aprofundada no âmbito da investigação em curso. O ministro do Interior, Laurent Nuñez, declarou a jornalistas que a invasão, ocorrida na semana passada, comprometeu arquivos relacionados a registros judiciais e listas de pessoas procuradas. Segundo ele, os hackers permaneceram dentro da rede do ministério por vários dias antes de serem detectados, o que aumenta a complexidade da apuração. Apesar da gravidade do incidente, Nuñez afirmou não ser possível dizer, neste momento, se o ataque comprometeu investigações em andamento. O ministro também destacou que nenhuma exigência de resgate foi feita e que, até agora, não há indícios de que a ação tenha colocado em risco a vida de cidadãos franceses. Autoridades informaram que o caso está sendo tratado “com o mais alto nível de vigilância”, devido à natureza crítica e sensível dos sistemas afetados. Em comunicado publicado nas redes sociais, o Ministério Público de Paris confirmou a prisão do suspeito, que responde por acusações que incluem ataque a um sistema automatizado de processamento de dados pessoais operado pelo Estado, supostamente realizado como parte de um grupo organizado. De acordo com os promotores, o crime pode resultar em uma pena de até 10 anos de prisão. O suspeito, nascido em 2003, já era conhecido das autoridades e havia sido condenado anteriormente por crimes semelhantes no início deste ano. A promotoria informou que novas atualizações serão divulgadas durante o período de custódia policial, que pode durar até 48 horas. Via - RFN

O grupo hacker norte-coreano Kimsuky foi associado a uma nova campanha de ataques que utiliza QR Codes maliciosos para distribuir uma variante inédita de malware para Android, batizada de DocSwap. A operação se apoia em sites de phishing que se passam pela empresa de logística sul-coreana CJ Logistics, induzindo vítimas a instalar aplicativos falsos de rastreamento de encomendas em seus smartphones. De acordo com Pesquisadores da empresa sul-coreana ENKI , os hackers utilizam pop-ups e notificações falsas para convencer os usuários a escanear QR Codes ou clicar em links maliciosos. Esses recursos levam à instalação de um aplicativo que, após executado, descriptografa um APK malicioso embutido e ativa um serviço com funcionalidades de RAT (Remote Access Trojan), permitindo controle remoto completo do dispositivo. A campanha explora o fato de que o Android, por padrão, bloqueia a instalação de aplicativos de fontes desconhecidas. Para contornar essa proteção, os hackers alegam que o app é uma versão oficial e segura, incentivando as vítimas a ignorarem os alertas de segurança do sistema operacional. Em muitos casos, os arquivos se disfarçam como aplicativos legítimos de serviços de entrega. Um dos diferenciais do ataque é o uso de redirecionamento por QR Code. Quando a vítima acessa o site de phishing por um computador, a página exibe um QR Code que deve ser escaneado com um celular Android para supostamente baixar um aplicativo de rastreamento de encomendas. O QR Code direciona para um script chamado tracking.php, que analisa o User-Agent do navegador e exibe uma mensagem solicitando a instalação de um “módulo de segurança”, sob o pretexto de exigências de “políticas internacionais de segurança alfandegária”. Ao prosseguir com a instalação, o dispositivo baixa um arquivo APK chamado SecDelivery.apk, hospedado em um servidor controlado pelos hackers. Esse APK descriptografa e executa uma versão atualizada do DocSwap, após verificar permissões críticas como acesso à internet, armazenamento, instalação de pacotes adicionais e gerenciamento de arquivos externos. Uma vez ativo, o malware registra um serviço chamado com.delivery.security.MainService e exibe uma falsa tela de autenticação por OTP, simulando a verificação de identidade por meio de um número de entrega. Esse número já vem embutido no código do aplicativo e, após inserido, o app gera um código de verificação falso para concluir o processo, enquanto abre simultaneamente o site legítimo da CJ Logistics para não levantar suspeitas. Em segundo plano, o trojan estabelece comunicação com um servidor remoto controlado pelos hackers, de onde recebe dezenas de comandos maliciosos. Entre as capacidades identificadas estão registro de teclas digitadas, captura de áudio, controle da câmera, acesso a arquivos, coleta de localização, SMS, contatos, registros de chamadas e inventário de aplicativos instalados, além de upload e download de dados. Os Pesquisadores também identificaram outras amostras do ataque, incluindo aplicativos disfarçados como um serviço de airdrop de criptomoedas e uma versão adulterada de um aplicativo legítimo de VPN disponível na Google Play Store . Segundo a ENKI, isso indica que o grupo hacker modificou aplicativos reais, injetou código malicioso e os redistribuiu como parte da campanha. A análise da infraestrutura utilizada revelou ainda sites de phishing clonando plataformas populares da Coreia do Sul, como Naver e Kakao, com o objetivo de roubar credenciais. Esses domínios apresentam semelhanças com campanhas anteriores do Kimsuky , demonstrando uma evolução contínua das técnicas de engenharia social e distribuição de malware móvel. Via - THN

A SonicWall anunciou a liberação de correções de segurança para uma vulnerabilidade explorada ativamente em appliances da linha Secure Mobile Access (SMA) 100. A falha, identificada como CVE-2025-40602, afeta o console de gerenciamento dos dispositivos e permite elevação local de privilégios devido a controles de autorização insuficientes. De acordo com a empresa, a vulnerabilidade recebeu pontuação CVSS de 6,6 e impacta versões específicas do firmware. Estão vulneráveis os appliances com as versões 12.4.3-03093 e anteriores, corrigidas na versão 12.4.3-03245, além das versões 12.5.0-02002 e anteriores, que tiveram o problema resolvido na 12.5.0-02283. A SonicWall reforça que a atualização é essencial para mitigar riscos imediatos. Segundo o comunicado oficial, a CVE-2025-40602 foi explorada em conjunto com outra falha crítica, a CVE-2025-23006, que possui CVSS 9,8. A combinação das duas vulnerabilidades possibilitou que hackers alcançassem execução remota de código sem autenticação, com privilégios de root, representando um risco elevado para ambientes corporativos. A CVE-2025-23006 já havia sido corrigida pela SonicWall no final de janeiro de 2025. A descoberta da falha mais recente é creditada aos Pesquisadores Clément Lecigne e Zander Work, do Google Threat Intelligence Group (GTIG). Até o momento, não foram divulgadas informações oficiais sobre a escala dos ataques ou a identidade dos hackers responsáveis pelas explorações. O alerta ocorre em um contexto de ameaças recorrentes envolvendo appliances da SonicWall. Em julho, o Google informou que monitora um cluster identificado como UNC6148, responsável por ataques contra dispositivos SMA 100 fora de suporte (end-of-life), mesmo quando totalmente corrigidos. Esses ataques tinham como objetivo a instalação de um backdoor chamado OVERSTEP, embora ainda não esteja claro se há relação direta com a exploração atual. Diante da confirmação de exploração ativa, a SonicWall recomenda que todos os usuários da linha SMA 100 apliquem imediatamente as atualizações de segurança disponíveis, reduzindo a superfície de ataque e evitando comprometimentos mais graves. Atualização: A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) incluiu a CVE-2025-40602 em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV). Com isso, as agências federais civis norte-americanas devem aplicar as correções obrigatoriamente até 24 de dezembro de 2025. Via - THN

A Cisco emitiu um alerta urgente sobre uma vulnerabilidade zero-day de severidade máxima em seu software Cisco AsyncOS, que já está sendo explorada ativamente em ataques direcionados a appliances Cisco Secure Email Gateway e Cisco Secure Email and Web Manager. Segundo a empresa, a falha vem sendo explorada por um grupo hacker com supostos vínculos com a China, identificado pelo codinome UAT-9686. A campanha de invasões foi identificada pela Cisco em 10 de dezembro de 2025 e, até o momento, atinge um “conjunto limitado de appliances” que possuem portas específicas expostas diretamente à internet. Ainda não há confirmação oficial sobre o número total de clientes impactados. De acordo com a Cisco, a exploração da falha permite que hackers executem comandos arbitrários com privilégios de root no sistema operacional subjacente dos dispositivos afetados, além de implantar mecanismos de persistência para manter o controle mesmo após tentativas de mitigação. A vulnerabilidade, ainda sem correção disponível, está registrada como CVE-2025-20393 e recebeu a pontuação máxima de 10.0 no CVSS. O problema está relacionado a uma validação inadequada de entradas, o que possibilita a execução de instruções maliciosas com privilégios elevados. Todas as versões do Cisco AsyncOS são afetadas, desde que algumas condições específicas sejam atendidas. Para que a exploração ocorra , o recurso Spam Quarantine precisa estar habilitado e acessível pela internet vale destacar que essa funcionalidade não vem ativada por padrão. A Cisco orienta os administradores a verificarem se o recurso está ativo por meio da interface web de gerenciamento, acessando as configurações de rede e interfaces associadas ao Spam Quarantine. As investigações apontam que os ataques estão em andamento desde pelo menos o final de novembro de 2025. Durante as invasões, o grupo hacker tem utilizado ferramentas de tunelamento como ReverseSSH (AquaTunnel) e Chisel, além de um utilitário de limpeza de logs chamado AquaPurge, com o objetivo de ocultar rastros da atividade maliciosa. O uso do AquaTunnel já foi associado anteriormente a outros grupos hackers chineses, como o APT41. Outro componente identificado nos ataques é um backdoor em Python, batizado de AquaShell, capaz de receber comandos codificados por meio de requisições HTTP POST não autenticadas e executá-los diretamente no shell do sistema. Esse mecanismo amplia significativamente a capacidade de controle remoto dos dispositivos comprometidos. Enquanto não há um patch disponível, a Cisco recomenda medidas imediatas de mitigação, como restringir o acesso dos appliances à internet, posicioná-los atrás de firewalls permitindo conexões apenas de hosts confiáveis, separar interfaces de gerenciamento e de e-mail, monitorar logs web em busca de tráfego suspeito e desativar o acesso HTTP ao portal administrativo principal. A empresa também orienta a desativação de serviços de rede desnecessários, o uso de autenticação forte (como SAML ou LDAP) e a alteração da senha padrão de administrador. Em casos de comprometimento confirmado, a Cisco afirma que a reconstrução completa dos appliances é, atualmente, a única forma eficaz de eliminar os mecanismos de persistência implantados pelos hackers. Diante da gravidade do cenário, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) incluiu a CVE-2025-20393 em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV). Com isso, agências federais civis norte-americanas devem aplicar as mitigações necessárias até 24 de dezembro de 2025. Paralelamente, a empresa de inteligência de ameaças GreyNoise identificou uma campanha automatizada de tentativas de login baseada em credenciais fracas contra infraestruturas de VPN corporativas. Mais de 10 mil endereços IP participaram de ataques de força bruta contra portais Palo Alto GlobalProtect e Cisco SSL VPN, utilizando combinações comuns de usuário e senha. Segundo a GreyNoise, trata-se de uma campanha em larga escala, automatizada e coordenada, embora não relacionada diretamente à exploração de vulnerabilidades. Via - THN

Uma campanha em larga escala de mineração de criptomoedas está explorando credenciais comprometidas do Identity and Access Management (IAM) para abusar de recursos da Amazon Web Services (AWS). A atividade foi identificada inicialmente em 2 de novembro de 2025 pelos sistemas automatizados de monitoramento de segurança da própria Amazon, incluindo o serviço GuardDuty, e chamou atenção pelo uso de técnicas inéditas de persistência voltadas a dificultar a resposta a incidentes. Segundo a Amazon, os hackers operam a partir de provedores de hospedagem externos e, após obter acesso inicial com credenciais IAM com privilégios administrativos ou equivalentes, realizam rapidamente o mapeamento do ambiente. Em menos de 10 minutos após a invasão, os recursos de mineração de criptomoedas já estavam em execução, utilizando serviços como Amazon ECS, EC2 e Fargate. O ataque segue uma cadeia em múltiplos estágios. Inicialmente, os hackers utilizam credenciais IAM comprometidas para enumerar permissões e limites de serviço, testando a capacidade de criação de instâncias EC2 por meio da API RunInstances com o parâmetro DryRun ativado. Essa técnica permite validar permissões sem efetivamente iniciar instâncias, evitando custos imediatos e reduzindo rastros forenses, ao mesmo tempo em que avalia se o ambiente é viável para a mineração. Na etapa seguinte, os invasores criam funções e permissões adicionais, utilizando chamadas como CreateServiceLinkedRole e CreateRole para configurar papéis de IAM associados a grupos de autoscaling e funções AWS Lambda. Em seguida, políticas gerenciadas, como AWSLambdaBasicExecutionRole , são associadas a essas funções para ampliar o controle do ambiente comprometido. A investigação da Amazon identificou a criação de dezenas de clusters ECS por ataque em alguns casos, mais de 50 em um único ambiente. Os hackers registram definições de tarefas maliciosas apontando para uma imagem Docker hospedada no DockerHub, posteriormente removida, que executava automaticamente um script de shell responsável por iniciar a mineração de criptomoedas utilizando o algoritmo RandomVIREL . Além disso, foram criados grupos de autoscaling configurados para escalar de 20 até 999 instâncias, explorando ao máximo as cotas de serviço da AWS. A campanha mira uma ampla variedade de instâncias EC2, incluindo modelos de alto desempenho com GPU, instâncias voltadas a machine learning, além de recursos de uso geral, computação e memória. O objetivo é maximizar o consumo de recursos e, consequentemente, os ganhos com a mineração ilícita. Um dos aspectos mais preocupantes da campanha é o uso da ação ModifyInstanceAttribute com o parâmetro disableApiTermination definido como True. Essa configuração impede que as instâncias sejam encerradas via console, linha de comando ou API da AWS, forçando as vítimas a reabilitar manualmente a possibilidade de término antes de remover os recursos comprometidos. De acordo com a Amazon, essa técnica prejudica significativamente os processos de resposta a incidentes e remediação automatizada, demonstrando conhecimento profundo dos procedimentos operacionais de segurança em ambientes cloud. Além disso, os hackers criaram funções Lambda acessíveis por qualquer principal e um usuário IAM específico, ao qual foi atribuída a política AmazonSESFullAccess , concedendo controle total sobre o Amazon Simple Email Service (SES). Essa configuração pode indicar a intenção de utilizar a conta comprometida para o envio de campanhas de phishing ou outras atividades maliciosas. Como medida preventiva, a Amazon reforçou recomendações de segurança, incluindo a adoção rigorosa do princípio do menor privilégio, uso de credenciais temporárias, autenticação multifator (MFA), monitoramento de eventos via AWS CloudTrail, análise de imagens de contêineres e atenção a solicitações anômalas de CPU em definições de tarefas ECS. A empresa conclui que essa campanha representa uma evolução significativa nas técnicas de ataque voltadas à mineração de criptomoedas em ambientes de nuvem. Via - THN

Um grupo hacker associado à China, conhecido como Ink Dragon, tem intensificado ataques contra órgãos governamentais na Europa desde julho de 2025, mantendo ao mesmo tempo operações ativas no Sudeste Asiático e na América do Sul. O grupo, também identificado por pesquisadores como Jewelbug, CL-STA-0049, Earth Alux e REF7707, está em atividade ao menos desde março de 2023 e vem chamando a atenção pelo alto nível técnico e pela sofisticação de suas campanhas. De acordo com pesquisadores da Check Point , as operações do Ink Dragon combinam engenharia de software avançada, procedimentos operacionais bem definidos e o uso estratégico de ferramentas nativas dos próprios sistemas atacados. Essa abordagem permite que os invasores se misturem ao tráfego legítimo das redes corporativas, tornando suas intrusões mais furtivas e difíceis de detectar. Segundo a empresa, dezenas de vítimas já foram impactadas, incluindo entidades governamentais e operadoras de telecomunicações na Europa, Ásia e África. As atividades do grupo ganharam maior visibilidade em fevereiro de 2025, quando pesquisadores da Elastic Security Labs e da Unit 42, da Palo Alto Networks, detalharam o uso do malware FINALDRAFT (também conhecido como Squidoor), capaz de infectar sistemas Windows e Linux. Nos meses seguintes, o Ink Dragon também foi associado a uma invasão prolongada, com duração de cerca de cinco meses, contra um provedor de serviços de TI na Rússia. As cadeias de ataque exploram serviços vulneráveis em aplicações web expostas à internet para implantar web shells, que posteriormente são usados para distribuir outras cargas maliciosas, como VARGEIT e beacons do Cobalt Strike. Essas ferramentas facilitam atividades de comando e controle (C2), reconhecimento do ambiente, movimentação lateral, evasão de defesas e exfiltração de dados. Outro recurso relevante do arsenal do grupo é o malware NANOREMOTE, que utiliza a API do Google Drive para transferir arquivos entre os servidores de comando e os sistemas comprometidos. Embora essa ferramenta não tenha sido observada diretamente nas investigações mais recentes da Check Point, os pesquisadores acreditam que o grupo seleciona seus recursos de forma estratégica, de acordo com o ambiente da vítima e a necessidade de manter discrição. O Ink Dragon também explora falhas relacionadas a chaves mal gerenciadas do ASP.NET para realizar ataques de desserialização do ViewState em servidores IIS e SharePoint vulneráveis. A partir disso, os hackers instalam módulos personalizados do ShadowPad, transformando os próprios servidores comprometidos em parte da infraestrutura de comando e controle. Essa técnica permite que um ambiente invadido seja reutilizado como ponto de apoio para novas campanhas, criando uma rede distribuída e resiliente baseada nas próprias vítimas. Além disso, os invasores executam uma série de ações avançadas, como criação de tarefas agendadas para persistência, extração de credenciais da memória do sistema (LSASS), escalada de privilégios em nível de domínio e modificação de regras de firewall para permitir tráfego externo. Em pelo menos um caso, o grupo explorou uma sessão RDP inativa de um administrador de domínio para obter controle total do ambiente, incluindo a extração do banco de dados NTDS.dit. Segundo os pesquisadores, o Ink Dragon não depende de um único backdoor, mas de um ecossistema modular de ferramentas, como loaders do ShadowPad, utilitários para execução de shellcode, ferramentas de dumping de credenciais e versões atualizadas do FINALDRAFT. Essa última utiliza APIs do Outlook e do Microsoft Graph para comunicação C2, escondendo comandos maliciosos em caixas de e-mail legítimas. A Check Point também identificou a presença de outro grupo hacker, conhecido como RudePanda (REF3927), em alguns dos mesmos ambientes comprometidos, embora não haja evidências de cooperação direta entre os dois. A avaliação final dos pesquisadores é que o Ink Dragon representa um modelo avançado de ameaça, no qual cada sistema invadido se torna um nó ativo de uma infraestrutura global controlada pelos hackers, dificultando significativamente a contenção e a erradicação completa das intrusões. Via - THN

O Ministério do Interior da França informou que está investigando uma invasão cibernética em seus servidores de e-mail, após a confirmação de que hackers obtiveram acesso não autorizado a diversas contas de correio eletrônico profissional e a dezenas de documentos classificados como confidenciais. O incidente levanta preocupações sobre a segurança de informações sensíveis relacionadas a registros judiciais e pessoas procuradas pelas autoridades. A investigação ganhou força após um usuário do fórum de cibercrime BreachForums alegar ter invadido os sistemas do ministério. Em nota oficial, um porta-voz afirmou que a “veracidade e a extensão” dessas alegações estão sendo submetidas a uma verificação técnica aprofundada. As primeiras análises, conduzidas pelo centro de cibersegurança do próprio ministério em cooperação com a Agência Nacional de Segurança dos Sistemas de Informação da França (ANSSI), indicaram que o invasor conseguiu visualizar um número limitado de contas de e-mail corporativo. O ministro do Interior, Laurent Nuñez, declarou à emissora FranceInfo que dezenas de arquivos confidenciais teriam sido acessados na semana passada e que os hackers permaneceram dentro da rede por vários dias. Segundo ele, até o momento não há indícios de pedido de resgate e não existe confirmação de que o ataque comprometa investigações em andamento ou coloque em risco a vida dos cidadãos, embora não seja possível descartar impactos futuros. Devido à sensibilidade dos sistemas atingidos, o caso está sendo tratado “com o mais alto nível de vigilância”. A Promotoria de Paris instaurou uma investigação judicial formal, conduzida pela unidade policial especializada em crimes cibernéticos. Além disso, um relatório de violação de dados foi enviado à autoridade francesa de proteção de dados, a Comissão Nacional de Informática e Liberdades (CNIL). O ministério alertou que os hackers podem ter obtido informações capazes de facilitar acesso a aplicações internas, levantando a hipótese de movimentação lateral dentro dos sistemas governamentais. Como resposta imediata, foram adotadas medidas emergenciais, incluindo o reforço da segurança da infraestrutura, implementação ampla de autenticação em dois fatores, revogação de acessos comprometidos, troca de senhas e orientações rigorosas de boas práticas de higiene digital aos funcionários. Todas as ações estão sendo realizadas sob supervisão da ANSSI. Via - RFN

A estatal venezuelana de petróleo Petróleos de Venezuela (PDVSA) informou que foi alvo de um ataque cibernético que afetou seus sistemas administrativos. Em comunicado divulgado nesta segunda-feira, a empresa confirmou o incidente, mas afirmou que suas operações continuaram funcionando. A PDVSA, no entanto, atribuiu a responsabilidade pelo ataque aos Estados Unidos, em meio ao aumento da presença militar norte-americana na região e às tensões políticas envolvendo o governo de Nicolás Maduro. Segundo a estatal, o ataque faria parte de uma estratégia mais ampla de pressão internacional. “Essa tentativa de agressão se soma à estratégia pública do governo dos Estados Unidos de tomar o petróleo venezuelano pela força e pela pirataria”, afirmou a PDVSA. A empresa declarou ainda que rejeita “essa ação desprezível, orquestrada por interesses estrangeiros em conluio com atores sem pátria, que buscam violar o direito soberano do país ao desenvolvimento energético”. Apesar das acusações, Pesquisadores e especialistas em cibersegurança afirmam que, até o momento, não há evidências técnicas que conectem o ataque diretamente ao governo dos Estados Unidos. Fontes ouvidas pela agência Reuters indicaram que o impacto do incidente pode ter sido mais grave do que o relatado oficialmente. O site da PDVSA estava fora do ar até a tarde de terça-feira, e entregas de cargas de petróleo teriam sido suspensas em decorrência do ataque. “Não há entrega de cargas, todos os sistemas estão fora do ar”, disse uma fonte interna à Reuters, acrescentando que funcionários da empresa tratam o incidente como um possível ataque de ransomware. Caso confirmado, o episódio representaria mais um exemplo de como ataques desse tipo podem comprometer infraestruturas críticas e cadeias globais de suprimento de energia. O ataque cibernético ocorreu apenas uma semana após os Estados Unidos apreenderem um navio-tanque da PDVSA que transportava quase dois milhões de barris de petróleo venezuelano. A ação gerou críticas do governo cubano e levou outras embarcações com destino à Venezuela a recuarem, por receio de novas intervenções militares norte-americanas. Autoridades dos EUA afirmaram que novas apreensões de navios podem ocorrer nas próximas semanas. Documentos obtidos pelo The New York Times indicam que a PDVSA é peça-chave nas relações financeiras da Venezuela com países como China, Rússia, Irã e Cuba. Já o governo norte-americano acusa o regime de Nicolás Maduro de apoiar o tráfico de drogas e tem histórico de confrontos com Caracas, incluindo operações militares próximas à costa venezuelana. Para o governo da Venezuela, os recentes acontecimentos reforçam a narrativa de que os EUA buscam controlar o país para garantir acesso às suas reservas de petróleo. Via - RFN

A Apple bloqueou completamente a conta de um desenvolvedor veterano após ele tentar resgatar um gift card de US$ 500 que teria sido comprometido, deixando-o impedido de trabalhar, sem acesso a arquivos pessoais e afastado de todo o ecossistema da empresa. O caso levanta questionamentos sobre automação de suporte, transparência em bloqueios de contas e até sobre a real posse de conteúdos digitais. O desenvolvedor afetado é o Dr. Paris Buttfield-Addison , cientista da computação radicado na Tasmânia, cofundador de um estúdio premiado de desenvolvimento de jogos e autor de diversos livros técnicos sobre Objective-C, Swift e desenvolvimento para iOS. Em um post detalhado em seu blog , ele relata que sua conta Apple ID foi encerrada “de acordo com os Termos e Condições dos Serviços de Mídia da Apple”, sem explicações claras sobre o motivo. Segundo Buttfield-Addison, o único evento fora do comum foi a tentativa recente de resgatar um gift card de US$ 500 para pagar seu plano de armazenamento iCloud+ de 6 TB. O código falhou durante a ativação e, ao entrar em contato com o varejista descrito como uma grande loja física —, foi informado de que o cartão poderia ter sido comprometido. A loja reemitiu o código, mas pouco tempo depois o desenvolvedor foi completamente bloqueado de sua conta Apple. Com o bloqueio, Buttfield-Addison perdeu acesso ao iMessage, ao iCloud e a terabytes de fotos de família armazenadas nos servidores da Apple. Além disso, seus dispositivos iPhone, iPad, Apple Watch e Macs deixaram de sincronizar, atualizar ou funcionar corretamente. Ele afirma ainda ter perdido acesso a milhares de dólares em aplicativos e conteúdos digitais comprados ao longo dos anos. Ao procurar suporte, o desenvolvedor relata ter recebido respostas genéricas e nenhuma explicação concreta sobre o motivo do banimento. Segundo ele, atendentes afirmaram que escalar o caso não mudaria o resultado. Um conselheiro sênior da Apple teria sugerido a criação de uma nova conta, orientação que Buttfield-Addison classificou como “tecnicamente desastrosa”, já que poderia resultar no banimento definitivo de sua conta no Apple Developer Program e, na prática, encerrar sua carreira como desenvolvedor na plataforma. Em uma atualização posterior, Buttfield-Addison afirmou ter sido contatado pela equipe de Relações Executivas da Apple, que prometeu analisar o caso. No entanto, até o momento da publicação, ele disse não ter recebido retorno e demonstrou pessimismo quanto à resolução. Mesmo que o acesso seja restaurado, o desenvolvedor afirma que não pretende continuar no ecossistema da empresa. Ele já considera migrar seus laptops para Linux e trocar o iPhone por um dispositivo Android, apesar de reconhecer as dificuldades da mudança. Para Buttfield-Addison, o episódio expõe os riscos da dependência excessiva de um único fornecedor digital e levanta dúvidas sobre a real propriedade de arquivos, fotos e conteúdos comprados. Se uma empresa pode bloquear totalmente o acesso a dados pessoais sem um canal claro e eficiente de contestação, a posse de ativos digitais passa a ser, no mínimo, questionável. A Apple foi procurada para comentar o caso específico e suas políticas de suspensão e apelação de contas, mas não respondeu até o fechamento desta reportagem. Via - TR