Uma violação de TI na área da saúde expõe 3,4 milhões de registros de pacientes, Hackers ligados à China implantam três novos implantes contra a infraestrutura de telecomunicações da América do Sul, Wikipedia sofre um worm JavaScript de autopropagação, e uma campanha de malware em vários estágios fornece cargas triplas de RAT por meio de execução sem arquivo. Aqui está tudo o que você precisa saber hoje.
Soluções para Provedores TriZetto, uma empresa de TI de saúde de propriedade da Cognizant, divulgou uma violação de dados que afeta 3.433.965 indivíduos. Unauthorized access persisted for nearly a year — from novembro 2024 to outubro 2025.
A violação teve como alvo um portal da web usado para verificação de elegibilidade de seguro. Os dados comprometidos incluem:
| Data | Evento |
|---|---|
| 19 de novembro de 2024 | O acesso não autorizado começa |
| 2 de outubro de 2025 | Atividade suspeita detectada |
| 9 de dezembro de 2025 | Prestadores afetados notificados |
| fevereiro 2026 | Começam as notificações do cliente |
| 6 de março de 2026 | Arquivo da Maine AG confirma 3,4 milhões de afetados |
O Tempo de permanência de 11 meses antes da detecção é alarmante, mas infelizmente comum em violações de cuidados de saúde. A TriZetto está oferecendo aos indivíduos afetados 12 meses de monitoramento de crédito gratuito por meio da Kroll, mas a exposição de SSNs e identificadores do Medicare cria um risco de roubo de identidade a longo prazo. Nenhum grupo de ransomware assumiu a responsabilidade.
Cisco Talos identificou um grupo APT ligado à China designado UAT-9244 comprometendo sistematicamente provedores de telecomunicações na América do Sul usando três famílias de malware anteriormente não documentadas.
| Implante | Plataforma Alvo | Capacidades |
|---|---|---|
| TernPorta | Janelas | Carregamento lateral de DLL via wsprint.exe, manipulação de processos via driver de kernel incorporado, comunicação C2 |
| Tempo de peer (cara irritado) | Linux | Acesso backdoor, operações de arquivos, reconhecimento de sistema |
| Entrada Bruta | Dispositivos de borda de rede | Persistência de dispositivos de borda, interceptação de tráfego de rede |
UAT-9244 está intimamente associado a FamosoPardal, que compartilha sobreposições táticas com Tufão de Sal — o grupo China-nexus, famoso por visar fornecedores de telecomunicações em todo o mundo. TernDoor é uma variante de CrowDoor/SparrowDoor, apresentando novos códigos de comando e um driver integrado do Windows para controle de processos.
Principais detalhes técnicos:
-u switch para remoção completa de artefatosOs provedores de telecomunicações são alvos de espionagem de alto valor – controlar a infraestrutura de comunicações significa acesso potencial a registros de dados de chamadas, conteúdo de SMS e tráfego de Internet de populações inteiras. Esta campanha demonstra o interesse estratégico contínuo da China na infraestrutura digital latino-americana.
A worm JavaScript de autopropagação espalhou-se pelo Meta-Wiki da Wikipédia, modificando scripts de usuários e vandalizando páginas antes que os engenheiros pudessem contê-lo.
O ataque explorou os recursos de personalização de JavaScript da Wikipedia – especificamente o MediaWiki:Common.js e User:<username>/common.js scripts que são executados nos navegadores dos editores:
User:Ololoshka562/test.js) was uploaded to Russian Wikipedia, reportedly in março 2024common.js com um carregador para o script maliciosoMediaWiki:Common.js globalContenção Engenheiros da Wikimedia edição temporariamente restrita
🛡️ Lições para Organizações Qualquer plataforma que permita JavaScript carregado pelo usuário enfrenta riscos semelhantes. As organizações devem implementar Política de Segurança de Conteúdo (CSP)
⚠️ Cadeia de ataque furtivo em vários estágios Os pesquisadores da Securonix descobriram uma sofisticada campanha de malware com o codinome VOID#GEIST que entrega XWorm, AsyncRAT e Xeno RAT
| Fluxo de ataque | Estágio | Técnica |
|---|---|---|
| 1 | Objetivo | Script em lote ofuscado via phishing |
| 2 | Acesso inicial, exibição de PDF chamariz | Implantação do segundo script em lote |
| 3 | Camada de orquestração | Preparação legítima do tempo de execução do Python |
| 4 | Portabilidade, abuso de binário confiável | Descriptografia de shellcode criptografado |
| 5 | Preparação da carga | Injeção Early Bird APC no explorer.exe |
🏛️ Grande remoção de fraude internacional Um cidadão ganense se declarou culpado de participar de uma enorme rede de fraude que roubou US$ 100 milhões
de vítimas nos Estados Unidos por meio de ataques de comprometimento de e-mail comercial (BEC) e golpes românticos. O caso destaca o escala industrial
⚠️ Resultados de pesquisa de IA armados Da Microsoft Pesquisa aprimorada por IA do Bing
promoveu repositórios OpenClaw GitHub falsos que instruíam os usuários a executar comandos implantando ladrões de informações e malware de proxy. Este incidente é particularmente preocupante porque demonstra como pode ser manipulado para promover conteúdo malicioso com ar de autoridade:
Sempre verifique os repositórios de software por meio de sites oficiais do projeto, não resultados de pesquisa. Verifique as datas de criação do repositório, contagens de estrelas, histórico de contribuidores e verifique se os URLs correspondem à documentação oficial antes de executar qualquer comando de instalação.
| Ameaça | Ator | Gravidade | Ação necessária |
|---|---|---|---|
| Violação de saúde TriZetto | Desconhecido | 🔴 Crítico | Auditar a segurança dos fornecedores de cuidados de saúde e monitorizar o roubo de identidade |
| Ataques de telecomunicações UAT-9244 | Ligado à China | 🔴 Crítico | Servidores de patch, procure TernDoor/PeerTime/BruteEntry |
| Verme JS da Wikipédia | Desconhecido | 🟠 Alto | Implementar CSP, restringir a execução de scripts privilegiados |
| VOID#GEIST triplo RAT | Cibercriminosos | 🔴 Crítico | Monitore ataques sem arquivo, bloqueie o abuso do TryCloudflare |
| Rede de fraude BEC de US$ 100 milhões | Criminalidade organizada | 🟠 Alto | Reforçar a sensibilização para o BEC e a verificação dos pagamentos |
| Repositórios falsos via Bing AI | Cibercriminosos | 🟠 Alto | Verifique as fontes de software, eduque os desenvolvedores |
A verificação de segurança automatizada da KENSAI detecta vulnerabilidades, configurações incorretas e indicadores de comprometimento em toda a sua superfície de ataque — antes que os invasores os explorem.
Inicie a verificação de segurança gratuitaFique atento. Fique protegido.
🗡️ Equipe de inteligência de ameaças KENSAI