Boletim de Segurança
⚡ TL;DR — O que importa hoje
- Kit de exploração iOS DarkSword — segundo kit iOS de cadeia completa em um mês, 3 zero-days, grupo de espionagem russo UNC6353 visando a Ucrânia. iOS 18.4–18.7 afetados.
- Hacktivistas Handala apagaram 80.000 dispositivos Stryker via Microsoft Intune — FBI apreendeu seu site de vazamentos. CISA publicou orientações de fortificação do Intune.
- PolyShell RCE em todos os Magento/Adobe Commerce v2 — execução de código sem autenticação via upload de arquivos poliglotas. Nenhum patch de produção disponível.
- Zero-day do Cisco FMC explorado pelo ransomware Interlock desde janeiro — Amazon encontrou ligações com a Rússia.
- Vazamento da Navia impacta 2,7 M de pessoas — dados sensíveis de benefícios expostos.
- APT28 (Rússia) explorando falha de sanitização CSS do Zimbra contra o governo ucraniano.
- 9 vulnerabilidades críticas de IP KVM em 4 fabricantes — acesso root sem autenticação a nível de BIOS.
Vazamentos de dados
Navia Benefit Solutions — 2,7 milhões de registros expostos
A administradora de benefícios Navia divulgou um vazamento afetando quase 2,7 milhões de pessoas. Os atacantes acessaram informações pessoais sensíveis, incluindo dados de benefícios, números de seguro social e registros financeiros. A empresa está fornecendo serviços de monitoramento de crédito às pessoas afetadas.
Aura Security — 900.000 registros via phishing
Ironia do destino: a empresa de proteção de identidade Aura divulgou um vazamento impactando 900.000 registros. Um funcionário foi vítima de um ataque direcionado de phishing por telefone (vishing), dando aos atacantes acesso a uma ferramenta de marketing contendo dados de clientes.
Vazamento de dados Marquis — 672.000 confirmados
Revisado para baixo de uma estimativa inicial de 1,6 milhão, o vazamento da Marquis agora confirma 672.000 indivíduos afetados. Os tipos de dados e o vetor de ataque permanecem sob investigação.
Vulnerabilidades críticas
Kit de exploração iOS DarkSword — 6 falhas, 3 Zero-Days
Google Threat Intelligence, iVerify e Lookout divulgaram conjuntamente "DarkSword" — um kit de exploração iOS de cadeia completa visando iOS 18.4–18.7. Explora 6 vulnerabilidades incluindo 3 zero-days (CVE-2026-20700, CVE-2025-43529, CVE-2025-14174). Utilizado pelo grupo russo UNC6353, fornecedores de vigilância comercial e atores patrocinados por estados contra Ucrânia, Arábia Saudita, Turquia e Malásia. Abordagem "hit-and-run" que exfiltra dados em segundos. Segundo kit de exploração iOS após Coruna descoberto em um mês.
PolyShell — RCE sem autenticação em todos os Magento/Adobe Commerce v2
A Sansec descobriu "PolyShell", uma vulnerabilidade no tratamento de upload de arquivos da API REST do Magento. Os atacantes fazem upload de arquivos poliglotas (válidos como imagem e como script) para obter execução remota de código sem autenticação ou tomada de conta via XSS armazenado. Afeta todas as instalações em produção de Magento Open Source e Adobe Commerce v2. Patch disponível apenas na versão alpha 2.4.9 — sem correção de produção ainda. O método de exploração já está circulando.
Ubiquiti UniFi — Tomada de conta de severidade máxima
A Ubiquiti corrigiu duas vulnerabilidades na aplicação UniFi Network, incluindo uma falha de severidade máxima permitindo tomada de conta. Administradores devem atualizar imediatamente.
ScreenConnect — Exposição crítica de chaves de máquina
A ConnectWise corrigiu uma vulnerabilidade crítica do ScreenConnect que expunha chaves de máquina, potencialmente permitindo acesso remoto não autorizado. A versão mais recente adiciona armazenamento criptografado e gestão para proteção de chaves.
SharePoint RCE (CVE-2026-20963) — Exploração ativa
A CISA adicionou o Microsoft SharePoint CVE-2026-20963 ao seu catálogo de vulnerabilidades conhecidas exploradas. A falha RCE, corrigida no Patch Tuesday de janeiro, está agora confirmada como ativamente explorada.
9 falhas críticas de IP KVM — Acesso root sem autenticação
A Eclypsium descobriu 9 vulnerabilidades em 4 produtos IP KVM (GL-iNet Comet RM-1, Angeet/Yeeso ES3, Sipeed NanoKVM, JetKVM). Ausência de validação de assinatura de firmware, sem proteção contra força bruta, controles de acesso quebrados, interfaces de depuração expostas. Atacantes podem obter acesso root a nível de BIOS/UEFI — contornando toda a segurança a nível de SO.
Ransomware e ataques maiores
Hacktivistas Handala apagam 80.000 dispositivos Stryker via Microsoft Intune
O grupo hacktivista Handala conduziu um ataque destrutivo devastador contra a gigante de tecnologia médica Stryker, apagando aproximadamente 80.000 dispositivos ao utilizar o Microsoft Intune. O FBI apreendeu dois sites de vazamento de dados operados pelo Handala. A CISA subsequentemente emitiu orientações urgentes para todas as organizações americanas fortalecerem suas implantações de Microsoft Intune.
Zero-day do Cisco FMC explorado pelo ransomware Interlock
A Amazon descobriu que uma vulnerabilidade do Cisco Firewall Management Center (FMC) tem sido explorada como zero-day desde o final de janeiro pelo grupo de ransomware Interlock. Evidências apontam para ligações com a Rússia. A recente série de vulnerabilidades da Cisco mostra um padrão preocupante de falhas em firewalls e SD-WAN ativamente exploradas.
Bitrefill atribui ataque ao grupo norte-coreano Lazarus/Bluenoroff
A plataforma de cartões presente cripto Bitrefill revelou que seu ciberataque no início de março foi provavelmente conduzido pelo grupo norte-coreano Bluenoroff (subgrupo do Lazarus). Continua o padrão da RPDC de visar plataformas cripto e fintech para geração de receita.
Ataque interno na Carolina do Norte — Resgate de US$ 2,5 M
Um trabalhador de tecnologia da Carolina do Norte foi considerado culpado por conduzir um ataque interno contra uma empresa de tecnologia de Washington, obtendo um pagamento de resgate de US$ 2,5 milhões. Destaca o risco persistente de ameaças internas.
Atividade patrocinada por estados e APT
APT28 (Rússia/GRU) explorando Zimbra contra a Ucrânia
O APT28, vinculado à inteligência militar russa, está explorando ativamente uma vulnerabilidade do Zimbra Collaboration Suite em ataques contra entidades governamentais ucranianas. A falha envolve sanitização CSS insuficiente em e-mails HTML, permitindo execução de scripts inline quando as mensagens são abertas no navegador.
Acumulação de infraestrutura cibernética iraniana revelada
Análises revelam seis meses de construção de infraestrutura cibernética ligada ao Irã, incluindo empresas de fachada sediadas nos EUA, projetadas para garantir a resiliência de operações globais de hacking e resistir a potenciais ataques cinéticos. As autoridades federais estão em alerta máximo para ciberataques iranianos após o incidente Stryker.
The Gentlemen RaaS — Operação focada em FortiGate
O Group-IB detalhou "The Gentlemen", uma operação nascente de Ransomware-as-a-Service com cerca de 20 membros que explora especificamente vulnerabilidades de firewalls FortiGate. Parte da tendência contínua de exploração de dispositivos de borda para acesso inicial.
Ferramentas de segurança e indústria
Oasis Security — US$ 120 M para gestão de acesso agêntico
A Oasis Security levantou US$ 120 M para expandir sua plataforma de gestão de acesso agêntico. Foco em P&D, expansão de produtos de frameworks de IA e escalagem go-to-market. Sinaliza crescente interesse dos investidores em controles de segurança para agentes de IA.
Plataforma de privacidade Cloaked — Investimento de US$ 375 M
A plataforma de privacidade Cloaked levantou US$ 375 M para expandir ao mercado empresarial. Planeja introduzir agentes de IA que monitoram, gerenciam e aplicam preferências de privacidade e posturas de segurança em nome dos usuários.
1stProtect — Lançamento furtivo com US$ 20 M
A startup de segurança de endpoint 1stProtect saiu do modo furtivo com US$ 20 M. Sua plataforma monitora comportamento e verifica a intenção do usuário para deter ataques em tempo real — uma abordagem inovadora para proteção de endpoints.
Raven — US$ 20 M para detecção de anomalias em tempo de execução
A Raven saiu do modo furtivo com US$ 20 M. Sua plataforma observa aplicações em tempo de execução para detectar comportamento anômalo e prevenir ciberataques — visando a lacuna entre análise estática e exploração real.
Ceros — Camada de confiança IA para Claude Code
A Beyond Identity lançou o Ceros, uma "camada de confiança IA" que fornece visibilidade em tempo real, aplicação de políticas em tempo de execução e trilhas de auditoria criptográficas para operações de agentes Claude Code. Aborda o risco emergente de agentes de codificação IA operando com permissões completas de desenvolvedor fora dos controles de segurança existentes.
Padrões de ameaças emergentes
Proliferação de exploits iOS
Dois kits de exploração iOS de cadeia completa (Coruna e DarkSword) descobertos em um mês, utilizados por uma mistura de atores estatais e fornecedores de vigilância comercial. Demonstra um mercado secundário florescente onde até grupos financeiramente motivados podem adquirir exploits móveis de nível estatal. A abordagem de exfiltração "hit-and-run" — segundos, não horas — torna a detecção forense extremamente difícil.
Exploração de dispositivos de borda continua
FortiGate (The Gentlemen RaaS), Cisco FMC (ransomware Interlock), Ubiquiti UniFi, Zimbra, dispositivos IP KVM — o padrão é claro. Atacantes estão sistematicamente visando infraestrutura de borda de rede. A nova pesquisa de IP KVM mostra que até o acesso a nível de BIOS está em risco através de hardware barato e mal protegido. Organizações devem tratar cada dispositivo de borda como uma superfície de ataque crítica.
Microsoft Intune como vetor de ataque
A utilização do Microsoft Intune pelo Handala para apagar 80.000 dispositivos Stryker é um alerta. Ferramentas de gestão de endpoints projetadas para proteger dispositivos podem ser transformadas em armas de destruição em massa quando comprometidas. A resposta da CISA sinaliza que este agora é um padrão de ataque reconhecido contra o qual as empresas devem se defender.
Segurança de agentes IA emerge como categoria
Múltiplas startups (mais de US$ 535 M em financiamento somente esta semana) estão desenvolvendo produtos especificamente para segurança de agentes IA — gestão de acesso, monitoramento em tempo de execução, aplicação de privacidade. Ceros (para Claude Code), Oasis (acesso agêntico) e Cloaked (agentes de privacidade IA) sinalizam que proteger agentes IA está se tornando uma disciplina de segurança distinta. Relevante para o roadmap do KENSAI.