Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Esta edição do SANS NewsBites revela um backdoor persistente em firewalls Cisco em uma agência federal dos EUA, a adição de quatro CVEs ao KEV — todas divulgadas há mais de um ano — e a descoberta de um framework de sabotagem cibernética mais antigo que o Stuxnet. Abaixo, os destaques técnicos.
FIRESTARTER: Backdoor em Firewalls Cisco em Agência Federal dos EUA
A CISA, em conjunto com o NCSC do Reino Unido, está direcionando agências federais a tomar novas medidas para caça a ameaças, mitigação e relato de malware persistente introduzido pela exploração de falhas em produtos Cisco Firepower e Secure Firewall com software ASA ou FTD. Durante a investigação de conexões de rede suspeitas, a CISA descobriu o malware Line Viper e um backdoor chamado FIRESTARTER em sistemas de uma agência federal não identificada (FCEB), permitindo que um ator de ameaça mantivesse persistência.
O ponto crítico: “Embora os patches da Cisco tenham corrigido as vulnerabilidades, dispositivos comprometidos antes da aplicação dos patches podem permanecer vulneráveis porque o FIRESTARTER não é removido por atualizações de firmware.” A Cisco recomenda “fortemente reimagear e atualizar o dispositivo usando as versões corrigidas”, além de verificar a presença do processo malicioso lina_cs como indicador de comprometimento (IoC).
As vulnerabilidades originais — CVE-2025-20333 (CVSS 9.9, buffer overflow RCE) e CVE-2025-20362 (CVSS 8.6, escalação de privilégio) — foram divulgadas em setembro de 2025 e adicionadas ao KEV na época com prazo de 24 horas para agências FCEB. No entanto, a exploração continuou, e a CISA atualizou suas diretrizes em novembro, alertando que várias agências relataram incorretamente dispositivos vulneráveis como corrigidos.
“Regardless of if you’re a FCEB, read the Emergency Directive for information on both the fixes and FIRESTARTER. Beyond applying the updates, CISA requires FCEBs to obtain a core dump and upload it to their Malware Next Generation (MNG) analysis platform to check for evidence of the FIRESTARTER backdoor.” — Lee Neely
Ação imediata: Coletar core dump antes da atualização. Se detectado, pelo menos um power cycle após a atualização, e idealmente reimagear. A falha também existe em dispositivos ASA sem suporte/EOL — estes devem ser substituídos, não corrigidos.
CISA Adiciona Quatro CVEs ao KEV — Todas com Mais de Um Ano
Em 24 de abril, a CISA adicionou quatro CVEs ao catálogo Known Exploited Vulnerabilities, todas divulgadas há um ano ou mais, com prazo de mitigação até 8 de maio de 2026:
TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
- CVE-2024-57726 (SimpleHelp v5.5.7): Vulnerabilidade crítica de escalação de privilégio. Divulgada em janeiro de 2025.CVE-2024-57728 (SimpleHelp v5.5.7): Execução arbitrária de código de alta severidade. Divulgada em janeiro de 2025.CVE-2024-7399 (Samsung MagicINFO 9 Server): Path traversal em versões anteriores a 21.1050. Divulgada em agosto de 2024.CVE-2025-29635 (D-Link DIR-823X): Injeção de comando, ativamente explorada conforme detectado pela equipe SIRT da Akamai. Dispositivo EOL — a correção é substituição. Divulgada em início de 2025.
O editor Murray observa: “Talvez estejamos identificando e enumerando vulnerabilidades mais rápido do que a economia paralela precisa ou pode explorá-las. Que uma vulnerabilidade não seja imediatamente explorada não significa que nunca será.” Para dispositivos D-Link EOL, garantir que a interface de gerenciamento não seja acessível pela internet é mandatório.
Fast16: Framework de Sabotagem Cibernética Anterior ao Stuxnet
Pesquisadores da SentinelOne’s SentinelLABS decifraram um framework de sabotagem cibernética chamado “fast16”, cujos componentes principais datam de 2005 — pelo menos cinco anos mais velho que o Stuxnet. O fast16 “visa seletivamente softwares de cálculo de alta precisão, patching código em memória para adulterar resultados”. Quando o malware se propaga por uma instalação, ele produz “cálculos imprecisos equivalentes” em todos os sistemas afetados, com efeitos que podem variar de pesquisa contaminada a danos físicos graves.
Os pesquisadores inicialmente buscavam rastrear o uso mais antigo de uma engine Lua embarcada em malware Windows. A existência do código fast16 emergiu pela primeira vez no vazamento da NSA dos Shadow Brokers em 2017. Embora a assinatura para o binário svcmgmt.exe tenha sido carregada no VirusTotal há cerca de dez anos, quase não há detecções. O relatório da SentinelLabs inclui IoCs e regras YARA.
Implicação: Modificações de dados são frequentemente negligenciadas em violações. A adulteração de resultados de cálculos em softwares de engenharia, pesquisa ou ERP pode causar danos operacionais e físicos que são extremamente difíceis de detectar sem auditoria forense ativa.
ADT Sofre Violação de Dados
Em 24 de abril, a provedora de segurança residencial ADT confirmou uma violação de dados ocorrida em 20 de abril. Acesso não autorizado a “certos ambientes baseados em nuvem” contendo dados de clientes atuais e potenciais. Os dados acessados incluíam nomes, números de telefone e endereços, com um subconjunto também incluindo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. O breach listing no haveibeenpwned estima as contas afetadas em 5,5 milhões.
Alerta de Neely: “Embora o risco reputacional não seja mais o fator que costumava ser, a proteção, incluindo informações de clientes, é central para a oferta de serviço da ADT.”
Dados do UK Biobank Listados para Venda Online
Dados pessoais de saúde de mais de 500.000 voluntários do UK Biobank estão sendo vendidos online. O Biobank é um banco de dados de pesquisa biomédica que compreende sequências genômicas, resultados detalhados de exames de sangue, dados de scanners e monitores, e detalhes sobre estilos de vida e hábitos. A violação foi rastreada até pesquisadores de três instituições participantes, cujo acesso foi suspenso. O Biobank está temporariamente suspendendo o acesso a todos os seus dados enquanto implementa medidas de proteção mais rigorosas.
Ponto técnico: Os dados eram desidentificados — mas a desidentificação não é anonimização. Com dados genômicos completos, metadados de varredura e histórico de saúde detalhado, a reidentificação de indivíduos é uma possibilidade real, especialmente quando correlacionada com outras fontes de dados.
Itron e Medtronic Violadas
Dois grandes fornecedores de tecnologia para serviços públicos e medicina, respectivamente, divulgaram ataques cibernéticos, ambos arquivando formulário 8-K na SEC. A Itron ativou seu plano de resposta a incidentes em 13 de abril após ser notificada de acesso não autorizado de terceiros a seus sistemas. A Medtronic divulgou em 24 de abril que seus sistemas corporativos de TI foram acessados por um terceiro não autorizado. Nenhuma das empresas reportou impacto em produtos, segurança do paciente ou sistemas financeiros.
Nota de Neely: “A Itron diz que foi ‘notificada’ de que foi hackeada. Todos precisamos ter certeza de que podemos detectar nossos próprios problemas, incluindo monitoramento da dark web. Não quero sentar em uma reunião de diretoria e dizer: ‘Alguém, não sei quem, vai nos avisar se tivermos um problema’.”
Canadá Confisca Primeiros SMS Blasters
Em 31 de março de 2026, autoridades canadenses prenderam três homens e confiscaram três SMS blasters — o primeiro uso conhecido desta tecnologia no Canadá. Um SMS blaster funciona imitando uma torre de celular legítima, interceptando tráfego móvel ao enganar dispositivos para se conectarem a ele em vez da torre real, permitindo o envio de mensagens fraudulentas que parecem vir de organizações confiáveis.
A investigação “Project Lighthouse” começou em novembro de 2025 e descobriu veículos operando SMS blasters em vários locais na Grande Toronto. Estima-se que dezenas de milhares de dispositivos se conectaram aos blasters, causando mais de 13 milhões de interrupções de rede em conexões legítimas de torres de celular, potencialmente impactando o acesso a serviços de emergência 911.
Lição: Protocolos legados de telecomunicações continuam sendo um problema. SMS é inerentemente fraco — spoofing é trivialmente fácil. A educação do usuário sobre não clicar em links em mensagens inesperadas continua sendo a melhor defesa.
Extradição de Chinês Ligado à Campanha HAFNIUM
Autoridades na Itália extraditaram um nacional chinês, Xu Zeiwei, para os EUA para enfrentar acusações de fraude eletrônica, roubo de identidade agravado e acesso não autorizado a computadores protegidos. A acusação de novembro de 2023 alega que Xu teve um papel em intrusões cibernéticas que faziam parte da campanha HAFNIUM (também conhecido como Silk Typhoon ou APT40), que infectou milhares de máquinas mundialmente explorando vulnerabilidades no Microsoft Exchange Server. Xu foi preso em Milão em julho de 2025. Se condenado, enfrenta 77 anos de prisão.
Tech Corner: XenServer, TeamPCP e Mais
- 89 vulnerabilidades no Citrix XenServer (XAPI): Um volume massivo de falhas em uma plataforma de virtualização crítica, exigindo atenção imediata de equipes que gerenciam infraestrutura Citrix.TeamPCP: Atualizações sobre este grupo de ameaça, com novos IoCs e indicadores de comprometimento.Pi-Hole CVE-2026-41489: Vulnerabilidade no popular bloqueador de anúncios a nível de DNS — uma ferramenta ubíqua em labs e até ambientes corporativos menores.Linux Kernel CVE-2026-41651: Problema no kernel Linux que requer patch urgente em sistemas afetados.
Análise baseada no SANS NewsBites Vol. 28, Num. 32 — April 28, 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário