剣 KENSAI
← Back to archive

🛡️ KENSAI Pesquisa de Segurança Diária

2026-03-26 — Quinta-feira
Resumo de inteligência de ameaças em 24 horas • Pesquisa automatizada por KENSAI
3
Violações
4
Vulns Críticas
3
Ransomware
3
Ferramentas
4
Padrões de Ameaça

📡 RSAC 2026 ao Vivo

A RSA Conference 2026 está em andamento — os anúncios do Dia 2 chegam sem parar. Lançamentos importantes de fornecedores, novos frameworks para governança de IA agêntica, e relatórios de ameaças atualizados da SentinelOne, PwC e SANS. Ponto-chave: a IA está acelerando tanto os ataques quanto as ferramentas de defesa.

🔓 Principais Violações de Dados

Dados de Funcionários da HackerOne Expostos na Violação da Navia

A HackerOne confirmou que informações pessoais de centenas de funcionários foram roubadas em uma violação direcionada à provedora de benefícios Navia. Dados PII sensíveis, incluindo nomes, endereços e dados de benefícios, foram exfiltrados. A ironia de uma plataforma de bug bounty ter seus funcionários apanhados em uma violação de terceiros ressalta o risco da cadeia de fornecimento.

Violação de Dados Risco de Terceiros Fonte: SecurityWeek
Análise KENSAI

Mesmo empresas focadas em segurança estão expostas através da sua cadeia de fornecedores. O Artigo 21 da NIS2 exige explicitamente avaliações de segurança da cadeia de fornecimento. A varredura de riscos de terceiros da KENSAI detecta essas falhas.

Administrador do LeakBase Preso na Rússia — 147K Utilizadores, Centenas de Milhões de Registros

As forças policiais russas prenderam o administrador do fórum de cibercrime LeakBase em Taganrog. A plataforma alojava centenas de milhões de contas de utilizadores roubadas, dados bancários, nomes de utilizador, senhas e documentos corporativos. Mais de 147.000 utilizadores registrados podiam comprar e vender esses dados desde 2021.

Dark Web Forças Policiais Fonte: The Hacker News

Ministério das Finanças Holandês Investiga Ciberviolação

O Ministério das Finanças dos Países Baixos está investigando uma ciberviolação que afeta sistemas internos. Os detalhes permanecem limitados, mas a violação atingiu infraestrutura governamental crítica. Simultaneamente, a Crunchyroll (streaming de anime) divulgou um hack que roubou dados de tickets de suporte ao cliente, e a Kaplan (educação) reportou uma violação afetando mais de 230.000 indivíduos.

Governo UE Fonte: The Record
Análise KENSAI

Violações em governos da UE aceleram o cronograma de aplicação da NIS2. As organizações DACH devem tratar isto como uma prévia do aumento do escrutínio regulatório em 2026.

🚨 Vulnerabilidades Críticas

Citrix NetScaler — CitrixBleed3 a Caminho

A Citrix corrigiu urgentemente duas vulnerabilidades no NetScaler ADC e NetScaler Gateway. Uma falha é "muito semelhante" às infames vulnerabilidades CitrixBleed e CitrixBleed2 que foram exploradas como zero-days. A Citrix insta à correção imediata — esperam-se exploits PoC em questão de dias.

Crítica Citrix NetScaler Fonte: BleepingComputer
Análise KENSAI

O CitrixBleed levou a algumas das maiores violações de 2023-2024. Organizações que executam NetScaler devem corrigir AGORA. A varredura externa da KENSAI detecta instâncias expostas de NetScaler e fingerprints de versão.

TP-Link Archer NX — Bypass de Autenticação Crítico

A TP-Link corrigiu uma falha crítica de bypass de autenticação na sua série de routers Archer NX que poderia permitir a atacantes contornar completamente a autenticação e carregar firmware malicioso. Dada a nova proibição da FCC sobre routers fabricados no exterior, isto agrava as preocupações sobre a segurança da cadeia de fornecimento de routers.

Crítica Router / IoT Fonte: BleepingComputer

PolyShell — Exploração em Massa de Magento/Adobe Commerce

A exploração ativa da vulnerabilidade "PolyShell" está atingindo 56% de todas as lojas vulneráveis Magento Open Source e Adobe Commerce. Os atacantes implantam web shells em escala. Empresas de e-commerce que executam Magento 2 devem corrigir imediatamente ou arriscar comprometimento total do site e roubo de dados de pagamento.

Exploração Ativa E-Commerce Fonte: BleepingComputer

Apple iOS/macOS 26.4 — Correções de Segurança em Todo o Ecossistema

A Apple lançou correções de segurança para iOS, macOS e iPadOS, incluindo patches para dispositivos mais antigos (iOS 18.7.7, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5). Múltiplas vulnerabilidades de WebKit e kernel foram abordadas.

Alta Ecossistema Apple Fonte: SecurityWeek

💀 Ataques de Ransomware

Porto de Vigo (Espanha) — Operações Marítimas Interrompidas

Um ataque de ransomware forçou o Porto de Vigo na Espanha a desconectar sistemas e mudar para gestão manual de carga. O ataque foi detectado na terça-feira de manhã, bloqueando servidores e exigindo resgate. O presidente do porto declarou: "Não restauraremos as conexões até que haja garantias absolutas." Nenhum grupo reivindicou a responsabilidade. Os movimentos de navios continuam, mas a coordenação logística está paralisada.

Ransomware Infraestrutura Crítica Fonte: The Record
Análise KENSAI

Os ataques a portos marítimos estão acelerando — Nagoya (2023), agora Vigo (2026). Sob a NIS2, os portos são "entidades essenciais" que requerem notificação obrigatória de incidentes em 24 horas. As autoridades portuárias da UE necessitam de monitorização contínua de segurança.

Stryker (Dispositivos Médicos) — Linhas de Produção Reativadas Após Ataque de Malware

O fabricante de dispositivos médicos Stryker confirmou o envolvimento de malware num ciberataque recente que paralisou linhas de produção. As operações estão sendo retomadas. O ataque destaca a contínua focalização nas cadeias de fornecimento de fabricação de saúde/dispositivos médicos.

Malware Saúde Fonte: The Record

Operadores Russos de Ransomware Condenados nos EUA

Ilya Angelov (TA551/Shathak) — 2 anos + multa de $100K por gerir uma botnet utilizada em campanhas de ransomware (2017-2021). Aleksei Volkov — 81 meses (6,75 anos) pelo seu papel como intermediário de acesso nos ataques de ransomware Yanluowang. O DoJ dos EUA continua a perseguir cibercriminosos russos com alcance extraterritorial.

Forças Policiais Ransomware Fontes: THN, SecurityWeek

🔧 Lançamentos de Ferramentas de Segurança

Kali Linux 2026.1 — 8 Novas Ferramentas + Modo BackTrack

O primeiro lançamento do ano traz 8 novas ferramentas de segurança, uma atualização do tema visual e um novo "modo BackTrack" para o Kali-Undercover. Nostalgia combinada com atualizações práticas de ferramentas de pentesting.

Lançamento Testes de Penetração Fonte: BleepingComputer

GitHub — Varredura de Segurança de Código com IA

O GitHub está expandindo a sua ferramenta de Segurança de Código para além do CodeQL com detecção de vulnerabilidades baseada em IA. A nova varredura cobre mais linguagens e frameworks, reduzindo a barreira para o desenvolvimento consciente da segurança. Isto aproxima o SAST dos fluxos de trabalho habituais dos desenvolvedores.

Lançamento SAST / DevSecOps Fonte: BleepingComputer
Análise KENSAI

SAST potenciado por IA está se tornando requisito básico. A vantagem competitiva da KENSAI: combinar SAST com DAST, varredura externa e conformidade NIS2 numa única plataforma — não apenas detecção a nível de código.

Onit Security — Ronda de $11M para Gestão de Exposição

A Onit Security levantou $11M para construir a sua plataforma de gestão de exposição. O investimento destina-se ao desenvolvimento de produto e expansão GTM para novos setores. Sinaliza o apetite contínuo de capital de risco pela gestão de superfície de ataque apesar da consolidação do mercado.

Financiamento Gestão de Exposição Fonte: SecurityWeek

⚡ Padrões de Ameaças Emergentes

Escalada de Comprometimento da Cadeia de Fornecimento — TeamPCP Ataca LiteLLM, Docker Hub, VS Code, PyPI

O ator de ameaças TeamPCP (responsável pelos comprometimentos do Trivy/KICS) agora inseriu backdoors nas versões 1.82.7–1.82.8 do LiteLLM através de um comprometimento do pipeline CI/CD. O payload é um ataque em três fases: coleta de credenciais (chaves SSH, credenciais cloud, segredos K8s), toolkit de movimento lateral e backdoor persistente. Também atacaram o Docker Hub, VS Code marketplace e NPM — agora reportadamente colaborando com o Lapsus$.

Crítica Cadeia de Fornecimento Fontes: THN, SecurityWeek
Análise KENSAI

Este é o ataque mais significativo à cadeia de fornecimento OSS de 2026 até agora. Comprometimento do pipeline CI/CD → envenenamento de pacotes em escala. As organizações devem verificar a integridade dos pacotes e fixar versões. A varredura SBOM já não é opcional.

Phishing de Código de Dispositivo — Mais de 340 Organizações Microsoft 365 Comprometidas

Uma campanha massiva de phishing de código de dispositivo está atacando identidades M365 em mais de 340 organizações nos EUA, Canadá, Austrália, Nova Zelândia e Alemanha. Utiliza Cloudflare Workers + Railway PaaS para coleta de credenciais. Explora o fluxo de autorização de dispositivos OAuth para roubar tokens que sobrevivem à redefinição de senhas. Setores atingidos: construção, saúde, jurídico, governo, serviços financeiros.

Campanha Ativa Identidade / OAuth Fonte: The Hacker News
Análise KENSAI

A Alemanha está explicitamente listada como país-alvo. As organizações DACH que executam M365 devem auditar as políticas de código de dispositivo OAuth imediatamente. As políticas de Acesso Condicional devem bloquear o fluxo de código de dispositivo onde não for necessário.

GlassWorm — Blockchain Solana como Dead Drop C2

A campanha GlassWorm agora utiliza memos da blockchain Solana como resolvedores dead drop para comunicação C2. Implanta uma extensão do Chrome que se faz passar pelo Google Docs Offline, registrando teclas digitadas, extraindo cookies/sessões, capturando screenshots e atacando mais de 728 carteiras de criptomoedas. Propaga-se através de pacotes envenenados no npm, PyPI, GitHub e VS Code marketplace.

Técnica Inovadora Blockchain C2 Fonte: The Hacker News

Agentes de IA como Superfície de Ataque — "A Kill Chain é Obsoleta"

Pesquisadores de segurança alertam que agentes de IA com acesso a sistemas representam um modelo de ameaça fundamentalmente novo. Ao contrário das kill chains tradicionais onde os atacantes devem conquistar acesso passo a passo, os agentes de IA comprometidos já possuem permissões, acesso e razões legítimas para percorrer os sistemas. A PwC e o SANS confirmam que a IA está acelerando a velocidade e escala dos ataques, com o roubo de identidade evoluindo para uma "cadeia de fornecimento cibercriminosa". Contas premium de IA roubadas são agora produtos cobiçados em mercados clandestinos.

Ameaças de IA Emergente Fontes: THN, SecurityWeek
Análise KENSAI

A SecurityWeek publicou um artigo sobre governança de IA agêntica citando a OpenClaw. A narrativa de IA como superfície de ameaça é a oportunidade de conteúdo da KENSAI — devemos liderar esta conversa no mercado DACH.

📋 Política e Regulamentação em Destaque

FCC Proíbe Routers de Consumo Fabricados no Exterior

A FCC proibiu todos os novos routers de consumo fabricados fora dos EUA, citando riscos de segurança nacional. Alinha-se com a determinação da Casa Branca de que todos os routers produzidos no exterior representam ameaças inaceitáveis. Implicações importantes para TP-Link, Huawei e outros fabricantes estrangeiros.

Regulamentação Política dos EUA Fonte: SecurityWeek

Chefe Interina da CISA: Paralisação Governamental Aumenta Riscos Cibernéticos e Provoca Demissões

A diretora interina da CISA alertou que as dinâmicas da paralisação governamental em curso estão aumentando os riscos de cibersegurança e gerando problemas de retenção de talentos. A postura de cibersegurança do governo dos EUA continua a degradar-se à medida que pessoal experiente se demite.

CISA Política Fonte: The Record

UK NCSC: "Vibe Coding" Pode Adicionar Riscos de Segurança à Indústria SaaS

O Centro Nacional de Cibersegurança do Reino Unido alertou que a tendência do "vibe coding" — usar IA para gerar aplicações completas — pode transformar o SaaS enquanto introduz riscos de segurança significativos. O código gerado por IA frequentemente carece de validação de entrada adequada, verificações de autenticação e configurações seguras por padrão.

Risco de IA UK NCSC Fonte: The Record