🛡️ KENSAI Pesquisa de Segurança Diária
Conteúdo
🔓 Principais Violações de Dados
Dados de Funcionários da HackerOne Expostos na Violação da Navia
A HackerOne confirmou que informações pessoais de centenas de funcionários foram roubadas em uma violação direcionada à provedora de benefícios Navia. Dados PII sensíveis, incluindo nomes, endereços e dados de benefícios, foram exfiltrados. A ironia de uma plataforma de bug bounty ter seus funcionários apanhados em uma violação de terceiros ressalta o risco da cadeia de fornecimento.
Mesmo empresas focadas em segurança estão expostas através da sua cadeia de fornecedores. O Artigo 21 da NIS2 exige explicitamente avaliações de segurança da cadeia de fornecimento. A varredura de riscos de terceiros da KENSAI detecta essas falhas.
Administrador do LeakBase Preso na Rússia — 147K Utilizadores, Centenas de Milhões de Registros
As forças policiais russas prenderam o administrador do fórum de cibercrime LeakBase em Taganrog. A plataforma alojava centenas de milhões de contas de utilizadores roubadas, dados bancários, nomes de utilizador, senhas e documentos corporativos. Mais de 147.000 utilizadores registrados podiam comprar e vender esses dados desde 2021.
Ministério das Finanças Holandês Investiga Ciberviolação
O Ministério das Finanças dos Países Baixos está investigando uma ciberviolação que afeta sistemas internos. Os detalhes permanecem limitados, mas a violação atingiu infraestrutura governamental crítica. Simultaneamente, a Crunchyroll (streaming de anime) divulgou um hack que roubou dados de tickets de suporte ao cliente, e a Kaplan (educação) reportou uma violação afetando mais de 230.000 indivíduos.
Violações em governos da UE aceleram o cronograma de aplicação da NIS2. As organizações DACH devem tratar isto como uma prévia do aumento do escrutínio regulatório em 2026.
🚨 Vulnerabilidades Críticas
Citrix NetScaler — CitrixBleed3 a Caminho
A Citrix corrigiu urgentemente duas vulnerabilidades no NetScaler ADC e NetScaler Gateway. Uma falha é "muito semelhante" às infames vulnerabilidades CitrixBleed e CitrixBleed2 que foram exploradas como zero-days. A Citrix insta à correção imediata — esperam-se exploits PoC em questão de dias.
O CitrixBleed levou a algumas das maiores violações de 2023-2024. Organizações que executam NetScaler devem corrigir AGORA. A varredura externa da KENSAI detecta instâncias expostas de NetScaler e fingerprints de versão.
TP-Link Archer NX — Bypass de Autenticação Crítico
A TP-Link corrigiu uma falha crítica de bypass de autenticação na sua série de routers Archer NX que poderia permitir a atacantes contornar completamente a autenticação e carregar firmware malicioso. Dada a nova proibição da FCC sobre routers fabricados no exterior, isto agrava as preocupações sobre a segurança da cadeia de fornecimento de routers.
PolyShell — Exploração em Massa de Magento/Adobe Commerce
A exploração ativa da vulnerabilidade "PolyShell" está atingindo 56% de todas as lojas vulneráveis Magento Open Source e Adobe Commerce. Os atacantes implantam web shells em escala. Empresas de e-commerce que executam Magento 2 devem corrigir imediatamente ou arriscar comprometimento total do site e roubo de dados de pagamento.
Apple iOS/macOS 26.4 — Correções de Segurança em Todo o Ecossistema
A Apple lançou correções de segurança para iOS, macOS e iPadOS, incluindo patches para dispositivos mais antigos (iOS 18.7.7, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5). Múltiplas vulnerabilidades de WebKit e kernel foram abordadas.
💀 Ataques de Ransomware
Porto de Vigo (Espanha) — Operações Marítimas Interrompidas
Um ataque de ransomware forçou o Porto de Vigo na Espanha a desconectar sistemas e mudar para gestão manual de carga. O ataque foi detectado na terça-feira de manhã, bloqueando servidores e exigindo resgate. O presidente do porto declarou: "Não restauraremos as conexões até que haja garantias absolutas." Nenhum grupo reivindicou a responsabilidade. Os movimentos de navios continuam, mas a coordenação logística está paralisada.
Os ataques a portos marítimos estão acelerando — Nagoya (2023), agora Vigo (2026). Sob a NIS2, os portos são "entidades essenciais" que requerem notificação obrigatória de incidentes em 24 horas. As autoridades portuárias da UE necessitam de monitorização contínua de segurança.
Stryker (Dispositivos Médicos) — Linhas de Produção Reativadas Após Ataque de Malware
O fabricante de dispositivos médicos Stryker confirmou o envolvimento de malware num ciberataque recente que paralisou linhas de produção. As operações estão sendo retomadas. O ataque destaca a contínua focalização nas cadeias de fornecimento de fabricação de saúde/dispositivos médicos.
Operadores Russos de Ransomware Condenados nos EUA
Ilya Angelov (TA551/Shathak) — 2 anos + multa de $100K por gerir uma botnet utilizada em campanhas de ransomware (2017-2021). Aleksei Volkov — 81 meses (6,75 anos) pelo seu papel como intermediário de acesso nos ataques de ransomware Yanluowang. O DoJ dos EUA continua a perseguir cibercriminosos russos com alcance extraterritorial.
🔧 Lançamentos de Ferramentas de Segurança
Kali Linux 2026.1 — 8 Novas Ferramentas + Modo BackTrack
O primeiro lançamento do ano traz 8 novas ferramentas de segurança, uma atualização do tema visual e um novo "modo BackTrack" para o Kali-Undercover. Nostalgia combinada com atualizações práticas de ferramentas de pentesting.
GitHub — Varredura de Segurança de Código com IA
O GitHub está expandindo a sua ferramenta de Segurança de Código para além do CodeQL com detecção de vulnerabilidades baseada em IA. A nova varredura cobre mais linguagens e frameworks, reduzindo a barreira para o desenvolvimento consciente da segurança. Isto aproxima o SAST dos fluxos de trabalho habituais dos desenvolvedores.
SAST potenciado por IA está se tornando requisito básico. A vantagem competitiva da KENSAI: combinar SAST com DAST, varredura externa e conformidade NIS2 numa única plataforma — não apenas detecção a nível de código.
Onit Security — Ronda de $11M para Gestão de Exposição
A Onit Security levantou $11M para construir a sua plataforma de gestão de exposição. O investimento destina-se ao desenvolvimento de produto e expansão GTM para novos setores. Sinaliza o apetite contínuo de capital de risco pela gestão de superfície de ataque apesar da consolidação do mercado.
⚡ Padrões de Ameaças Emergentes
Escalada de Comprometimento da Cadeia de Fornecimento — TeamPCP Ataca LiteLLM, Docker Hub, VS Code, PyPI
O ator de ameaças TeamPCP (responsável pelos comprometimentos do Trivy/KICS) agora inseriu backdoors nas versões 1.82.7–1.82.8 do LiteLLM através de um comprometimento do pipeline CI/CD. O payload é um ataque em três fases: coleta de credenciais (chaves SSH, credenciais cloud, segredos K8s), toolkit de movimento lateral e backdoor persistente. Também atacaram o Docker Hub, VS Code marketplace e NPM — agora reportadamente colaborando com o Lapsus$.
Este é o ataque mais significativo à cadeia de fornecimento OSS de 2026 até agora. Comprometimento do pipeline CI/CD → envenenamento de pacotes em escala. As organizações devem verificar a integridade dos pacotes e fixar versões. A varredura SBOM já não é opcional.
Phishing de Código de Dispositivo — Mais de 340 Organizações Microsoft 365 Comprometidas
Uma campanha massiva de phishing de código de dispositivo está atacando identidades M365 em mais de 340 organizações nos EUA, Canadá, Austrália, Nova Zelândia e Alemanha. Utiliza Cloudflare Workers + Railway PaaS para coleta de credenciais. Explora o fluxo de autorização de dispositivos OAuth para roubar tokens que sobrevivem à redefinição de senhas. Setores atingidos: construção, saúde, jurídico, governo, serviços financeiros.
A Alemanha está explicitamente listada como país-alvo. As organizações DACH que executam M365 devem auditar as políticas de código de dispositivo OAuth imediatamente. As políticas de Acesso Condicional devem bloquear o fluxo de código de dispositivo onde não for necessário.
GlassWorm — Blockchain Solana como Dead Drop C2
A campanha GlassWorm agora utiliza memos da blockchain Solana como resolvedores dead drop para comunicação C2. Implanta uma extensão do Chrome que se faz passar pelo Google Docs Offline, registrando teclas digitadas, extraindo cookies/sessões, capturando screenshots e atacando mais de 728 carteiras de criptomoedas. Propaga-se através de pacotes envenenados no npm, PyPI, GitHub e VS Code marketplace.
Agentes de IA como Superfície de Ataque — "A Kill Chain é Obsoleta"
Pesquisadores de segurança alertam que agentes de IA com acesso a sistemas representam um modelo de ameaça fundamentalmente novo. Ao contrário das kill chains tradicionais onde os atacantes devem conquistar acesso passo a passo, os agentes de IA comprometidos já possuem permissões, acesso e razões legítimas para percorrer os sistemas. A PwC e o SANS confirmam que a IA está acelerando a velocidade e escala dos ataques, com o roubo de identidade evoluindo para uma "cadeia de fornecimento cibercriminosa". Contas premium de IA roubadas são agora produtos cobiçados em mercados clandestinos.
A SecurityWeek publicou um artigo sobre governança de IA agêntica citando a OpenClaw. A narrativa de IA como superfície de ameaça é a oportunidade de conteúdo da KENSAI — devemos liderar esta conversa no mercado DACH.
📋 Política e Regulamentação em Destaque
FCC Proíbe Routers de Consumo Fabricados no Exterior
A FCC proibiu todos os novos routers de consumo fabricados fora dos EUA, citando riscos de segurança nacional. Alinha-se com a determinação da Casa Branca de que todos os routers produzidos no exterior representam ameaças inaceitáveis. Implicações importantes para TP-Link, Huawei e outros fabricantes estrangeiros.
Chefe Interina da CISA: Paralisação Governamental Aumenta Riscos Cibernéticos e Provoca Demissões
A diretora interina da CISA alertou que as dinâmicas da paralisação governamental em curso estão aumentando os riscos de cibersegurança e gerando problemas de retenção de talentos. A postura de cibersegurança do governo dos EUA continua a degradar-se à medida que pessoal experiente se demite.
UK NCSC: "Vibe Coding" Pode Adicionar Riscos de Segurança à Indústria SaaS
O Centro Nacional de Cibersegurança do Reino Unido alertou que a tendência do "vibe coding" — usar IA para gerar aplicações completas — pode transformar o SaaS enquanto introduz riscos de segurança significativos. O código gerado por IA frequentemente carece de validação de entrada adequada, verificações de autenticação e configurações seguras por padrão.