Redação NSTI-News
🕵️♂️ Espionagem russa atinge embaixadas com malware via ISP
Um sofisticado ataque cibernético liderado pelo grupo russo Secret Blizzard, vinculado ao Serviço Federal de Segurança da Rússia (FSB), está colocando em risco a segurança de dados corporativos e governamentais ao redor do mundo. A ameaça, identificada pela Microsoft Threat Intelligence, revela uma campanha em curso desde 2024, com foco em embaixadas estrangeiras sediadas em Moscou.
O vetor de ataque é inédito e extremamente preocupante: adversary-in-the-middle (AitM) utilizando provedores de internet locais para interceptar o tráfego de dados, instalar certificados falsificados e inserir o malware denominado ApolloShadow. Essa abordagem confere aos invasores um nível de persistência raro, permitindo a extração de dados sensíveis mesmo com criptografia HTTPS.
📎 Principais pontos técnicos da ameaça
- ApolloShadow: Malware customizado com funcionalidades de espionagem de alto nível
- Infiltração via ISP: Manipulação do provedor de internet para atingir alvos específicos
- Certificados falsos: Uso de TLS adulterado para evitar detecção
🎣 Phishing sofisticado explora redirecionamento para roubar credenciais do Microsoft 365
Pesquisadores da Cloudflare identificaram uma campanha de phishing avançada que compromete diretamente a segurança de dados corporativos, ao explorar mecanismos legítimos de redirecionamento de URLs para contornar defesas tradicionais de segurança de e-mails.
Os atacantes utilizam serviços reconhecidos como Proofpoint e Intermedia para mascarar os links maliciosos e direcionar usuários para páginas falsas que imitam o portal de login do Microsoft 365. Como o link original é confiável, a mensagem não é filtrada pelos gateways de segurança ou firewalls, aumentando consideravelmente a taxa de sucesso da fraude.
📎 Como funciona o ataque
- Criminosos enviam e-mails com links camuflados em redirecionadores legítimos
- O link leva o usuário a uma página falsa, visualmente idêntica ao Microsoft 365
- Ao inserir as credenciais, os dados são imediatamente enviados aos invasores
🔐 Recomendações para mitigação
- Detectar links com domínios externos dentro de e-mails de remetentes confiáveis
- Classificar como “Alerta Amarelo” para revisão manual de segurança
- Aplicar autenticação multifator (MFA) obrigatória para todos os usuários
Esse tipo de ataque é especialmente perigoso por sua eficácia em ambientes corporativos, onde as ferramentas automatizadas de defesa não detectam o redirecionamento como uma ameaça. Organizações devem revisar suas políticas de segurança de e-mails e considerar a aplicação de múltiplas camadas de proteção para prevenir este tipo de ataque furtivo.
Fonte: The Hacker News
🤖 Ataques do tipo “Man in the Prompt” expõem dados em IA generativa
Pesquisadores de cibersegurança alertaram para uma nova categoria de ataque chamada “Man in the Prompt”, que compromete a segurança de dados corporativos ao explorar falhas em extensões de navegador usadas com ferramentas de ChatGPT e Google Gemini. O ataque visa capturar, manipular ou redirecionar prompts sensíveis antes que sejam enviados ao modelo de IA.
A técnica se aproveita de extensões populares de produtividade, como assistentes de escrita, plugins de resumos e tradutores, instaladas no navegador. Uma vez comprometidas, essas extensões podem interceptar o conteúdo digitado nos campos de prompt, permitindo que os invasores obtenham ou modifiquem informações críticas sem o conhecimento do usuário.
📎 Exemplos práticos e riscos diretos
- Exfiltração de dados confidenciais colados no prompt (e-mails, relatórios internos)
- Manipulação do conteúdo solicitado para gerar respostas enganosas
- Engenharia social disfarçada em extensões legítimas
Esse tipo de ataque representa uma evolução dos métodos de interceptação digital, uma vez que explora a confiança no ambiente do navegador e a integração crescente com plataformas de IA. É recomendável que empresas que usam IA generativa internamente desabilitem extensões desconhecidas, implementem sandboxing para sessões com modelos de linguagem e monitorem comunicações HTTP no nível de navegador.
// Exemplo de snippet para bloquear extensões suspeitas no Chrome via política empresarial
{
"ExtensionInstallBlocklist": ["*"],
"ExtensionInstallAllowlist": [
"aapocclcgogkmnckokdopfmhonfmgoek", // Google Translate
"pjkljhegncpnkpknbcohdijeoejaedia" // Gmail
]
}
Fonte: Cyware Social Newsroom
💾 Ingram Micro enfrenta ameaça de vazamento de 3,5 TB por ransomware
O grupo de ransomware conhecido como SafePay declarou ter exfiltrado 3,5 terabytes de dados sensíveis da multinacional americana Ingram Micro, uma das maiores distribuidoras de tecnologia do mundo. A ameaça inclui a liberação total dos dados a partir do dia 1º de agosto, caso o resgate não seja pago.
Segundo os criminosos, o ataque afetou diversos setores da empresa, incluindo contas corporativas, contratos de clientes e informações financeiras. A segurança de dados corporativos da Ingram foi comprometida com uma paralisação de operações por vários dias. Em resposta, a empresa confirmou o incidente e iniciou medidas de contenção e comunicação com autoridades.
📎 Detalhes do vazamento e contexto
- Volume declarado: 3,5 TB de dados internos e de clientes
- Período de ataque: entre 19 e 27 de julho de 2025
- Consequência imediata: indisponibilidade temporária de sistemas e redes
🔄 Boas práticas de backup e restauração
- Realizar backup incremental diário com retenção mínima de 30 dias
- Manter uma cópia semanal offline em datacenter isolado
- Automatizar o processo de restauração com scripts ou ferramentas dedicadas
Esse evento reforça a ascensão de ataques double extortion, onde além de criptografar os sistemas, os dados são roubados e utilizados como alavanca para coagir o pagamento. Empresas globais devem revisar com urgência suas estratégias de resiliência contra ransomware, incluindo segmentação de redes, backups offline e programas de resposta a incidentes com testes regulares.
Fonte: Cyware Newsroom
🏛 Ataques de ransomware a governos crescem 65 % em 2025
Segundo novo relatório da Comparitech, o número de ataques de ransomware a órgãos governamentais ao redor do mundo atingiu 208 incidentes apenas no primeiro semestre de 2025, representando um crescimento alarmante de 65 % em relação ao mesmo período de 2024.
A análise revela que os governos locais e estaduais são os principais alvos, sendo frequentemente explorados por sua infraestrutura desatualizada, falta de segmentação de redes e ausência de backups confiáveis. A segurança de dados corporativos e institucionais foi especialmente afetada, com perdas financeiras superiores a US$ 71 milhões apenas nos EUA.
📎 Destaques do relatório Comparitech
- 208 ataques registrados entre janeiro e junho de 2025
- Média de 35 dias de paralisação por incidente
- Pagamentos médios de resgate entre US$ 350 mil e US$ 3 milhões
- Brasil entre os 10 países mais atacados, com ao menos 9 incidentes confirmados
No caso do Brasil, as vítimas incluíram secretarias municipais de saúde, prefeituras e tribunais regionais. Algumas cidades tiveram serviços públicos completamente interrompidos, com destaque para falhas em atendimento médico e emissão de documentos. A recomendação é que órgãos públicos invistam em treinamento de equipes, criptografia de dados, e adesão a protocolos como o ISO/IEC 27001.
O relatório reforça que a defesa contra ransomware não é apenas uma questão técnica, mas estratégica, exigindo alinhamento entre TI, jurídico, e liderança institucional para manter a integridade dos serviços e a confiança da população.
- 🚨 Segurança de Dados Corporativos em Alerta: Espionagem, Phishing Avançado e Ransomware Devastador - 31 de Julho, 2025
- 🚨 Alerta Urgente: Vulnerabilidade Crítica no Ivanti Connect Secure Explorada por Atores Estatais - 30 de Julho, 2025
- 🔐 Aquisição Bilionária da CyberArk pela Palo Alto Networks e Outras 4 Grandes Ameaças Digitais de Hoje - 29 de Julho, 2025
Facebook 
Twitter 
LinkedIn 
WhatsApp 
Copiar URL 
Substack 
