GlassWorm Supply-Chain Attack
72 extensões maliciosas no Open VSX Registry atacaram desenvolvedores, usando dependências transitivas para escapar da detecção inicial. O ataque comprometeu ambientes de desenvolvimento em massa.
Lição: Audite extensões de IDE e suas dependências. Não confie automaticamente em marketplaces oficiais.
Storm-2561 (VPN Trojans)
Campanha distribuiu clientes VPN falsos (SonicWall, Pulse Secure, Hanwha) via SEO poisoning para roubo de credenciais corporativas.
Lição: Sempre baixe software diretamente do site oficial. Resultados de busca podem levar a sites falsos posicionados acima dos legítimos.
OpenClaw: RCE e 21K instâncias expostas
Falhas críticas em agentes OpenClaw permitiram execução remota de código e vazamento de tokens em ~21.000 instâncias expostas à internet.
Lição: Instâncias self-hosted (n8n, OpenClaw) devem estar atrás de VPN (ex: Tailscale), nunca expostas diretamente.
SocksEscort Botnet desmantelada
Operação internacional derrubou botnet proxy que infectou 369.000 IPs em 163 países via roteadores residenciais comprometidos.
Lição: Mantenha firmware de roteadores atualizado. Altere senhas padrão de dispositivos de rede.
CrackArmor (Linux AppArmor)
9 falhas no módulo AppArmor do kernel Linux permitem escalação para root e bypass de isolamento de containers. Existem desde 2017.
Lição: Vulnerabilidades podem permanecer ocultas por anos. Auditorias de código regulares e monitoramento de kernel são essenciais.
Espionagem militar na Ásia (CL-STA-1087)
Hackers chineses atacaram organizações militares do Sudeste Asiático com malwares AppleChris e MemFun desde 2020, focando em espionagem persistente.
Lição: APTs estatais podem operar por anos sem detecção. Threat intelligence e monitoramento contínuo são fundamentais.
Stryker — Wipe Attack (Março)
Grupo iraniano Handala comprometeu o Active Directory da fabricante de dispositivos médicos Stryker via Microsoft Intune. Em vez de ransomware, executaram wipe de dispositivos Windows (laptops, mobile).
Lição: Ataques destrutivos (wipe) são tão perigosos quanto ransomware. Proteja o Active Directory e endpoints com políticas de acesso condicional.
Navia — API exposta (Janeiro)
2,7 milhões de registros expostos incluindo SSN, dados de saúde e informações pessoais. Causa: API exposta sem controle adequado de acesso.
Lição: APIs devem ter autenticação, rate limiting e monitoramento. Dados sensíveis devem ser criptografados em repouso e em trânsito.
University of Hawai'i — Ransomware (Março)
1,2 milhão de indivíduos afetados. SSN, carteiras de motorista e dados de pesquisa em saúde expostos. Dados coletados entre 1993-2007 — "dados esquecidos" que ainda estavam armazenados.
Lição: Implemente políticas de retenção de dados. Dados antigos sem necessidade devem ser excluídos para reduzir superfície de ataque.
Pathstone Family Office — ShinyHunters (Março)
641.000 registros roubados incluindo SSN, datas de nascimento e perfis financeiros. Grupo ShinyHunters tentou extorsão. Ação judicial de classe foi movida por práticas inadequadas de segurança.
Lição: Dados financeiros devem ter criptografia persistente. Resposta pública rápida é essencial para confiança dos clientes.
Match Group — ShinyHunters (Janeiro)
10 milhões de registros de apps de namoro (Tinder, Hinge, etc.) expostos via comprometimento do terceiro AppsFlyer (analytics). Dados de usuários e corporativos vazados.
Lição: Fornecedores terceiros são superfície de ataque. Criptografe dados compartilhados com parceiros e audite integrações regularmente.
Aura — Phishing (Março)
900.000 registros (nomes e e-mails) expostos via ataque de phishing do grupo ShinyHunters. Empresa detectou em 1 hora e ativou resposta a incidentes.
Lição: Detecção rápida (1h) minimizou danos. Planos de resposta a incidentes bem ensaiados fazem diferença real.