A linha do tempo dos hacks deste ano é insana

 (ringmast4r.substack.com)
5 pontos por GN⁺ 15 일 전 | 1 comentários | Compartilhar no WhatsApp
  • Ao longo de cerca de 100 dias no início de 2026, ocorreu uma sequência de grandes ciberataques envolvendo Estados e grupos criminosos, em um nível considerado um ponto de virada na história da segurança computacional
  • Os ataques se dividem em quatro clusters — Irã, SLH, Coreia do Norte e Rússia — e todos compartilham a mesma estrutura de explorar cadeia de suprimentos e relações de confiança
  • Entre os principais impactos estão a limpeza de 200 mil sistemas da Stryker, a alegação de vazamento de 375 TB da Lockheed Martin, o vazamento do e-mail do diretor do FBI, a infecção do npm do Axios e comprometimentos na Oracle, Cisco, Rockstar e Mercor
  • Tecnologias de IA vêm sendo usadas para automatizar ataques, com aumento de 1.265% em phishing gerado por IA, alta de 442% em golpes de voz e novos padrões de ameaça como fraudes financeiras com deepfakes de IA
  • Governos e a indústria respondem de forma reservada, mas o silêncio do debate público e a assimetria de informação se destacam, fazendo com que esses 100 dias sejam avaliados como um dos períodos mais importantes da história cibernética

Visão geral de 100 dias de grandes incidentes cibernéticos no início de 2026

  • Nos primeiros quatro meses de 2026, houve uma sequência de grandes ciberataques envolvendo Estados e grupos criminosos como China, Irã, Coreia do Norte e Rússia
    • Entre eles: alegado vazamento de 10 petabytes de um supercomputador estatal chinês, paralisação total da Stryker em 79 países, alegação de vazamento de 375 TB da Lockheed Martin, vazamento de e-mails pessoais do diretor do FBI, invasão da rede de interceptação do FBI e danos a várias empresas como Rockstar Games, Cisco, Oracle e Mercor
  • É muito provável que os incidentes ocorridos ao longo de cerca de 100 dias sejam registrados como um ponto de virada na história da segurança computacional
  • Ainda assim, quase não há debate público, e fica evidente a distância entre a resposta reservada de governos e da indústria e o silêncio do discurso público

Quatro grandes clusters de ataque

  • Os ataques de 2026 podem ser divididos em quatro clusters — Irã, SLH, Coreia do Norte e Rússia — e todos compartilham a mesma estrutura de exploração da cadeia de suprimentos e de relações de confiança

  • Cluster 1: Irã / Handala / Void Manticore

    • Operações destrutivas conduzidas por um Estado; a Unit 42 da Palo Alto Networks identificou o Void Manticore como um ator ligado ao Ministério da Inteligência e Segurança do Irã (MOIS)
    • Sob o nome Handala Hack Team, o grupo realizou ataques contra indústrias, defesa e órgãos do governo dos EUA, alegando retaliação ao bombardeio da escola em Minab em fevereiro de 2026 (175 mortos)
    • Danos: Stryker (apagamento de 200 mil dispositivos), Lockheed Martin (alegação de vazamento de 375 TB e exposição de dados pessoais de 28 engenheiros), vazamento do e-mail pessoal do diretor do FBI

  • Cluster 2: Scattered LAPSUS$ Hunters (SLH)

    • Grupo de extorsão e roubo em larga escala de SaaS com motivação financeira, formado em agosto de 2025 pela união de ShinyHunters, Scattered Spider e LAPSUS$
    • Na campanha contra Salesforce, houve roubo de 1,5 bilhão de registros de Salesforce de 300 a 400 organizações, com vítimas como Google, Cisco, LVMH, Okta, AMD e Snowflake
    • A técnica evoluiu do roubo de tokens OAuth para manipulação de MFA por telefone, e golpes de voz foram apontados como o principal fator por trás do maior número de invasões corporativas em 2026

  • Cluster 3: Coreia do Norte / UNC1069

    • Ataques com motivação financeira centrados em comprometer a cadeia de suprimentos open source, tendo como exemplo representativo o sequestro do pacote npm do Axios
    • Os atacantes criaram empresas falsas e ambientes de Slack e Teams para ganhar a confiança de mantenedores, depois sequestraram contas npm e inseriram um RAT em bibliotecas com 100 milhões de downloads semanais
    • O ataque de cadeia de suprimentos ao Trivy da Cisco também segue um padrão semelhante de comprometimento baseado em confiança

  • Cluster 4: Rússia / APT28

    • Ataques de zero-day contra a Ucrânia e a União Europeia, explorando a vulnerabilidade do Microsoft Office (CVE-2026-21509)
    • Mais de 60 contas de e-mail europeias e órgãos do governo ucraniano foram atacados, com destaque para exploração de relações de confiança e rápida weaponization
    • Todos os quatro clusters exploram a realidade em que o perímetro defensivo das empresas ocidentais foi substituído pela confiança na cadeia de suprimentos
    • O Irã foca em destruição, o SLH em roubo financeiro, a Coreia do Norte em infectar desenvolvedores e a Rússia em coleta de inteligência

Detalhes dos principais incidentes

  • Stryker: ataque wiper em tempo real contra uma empresa global de dispositivos médicos

    • Em 11 de março de 2026, a Stryker Corporation foi paralisada globalmente
    • Os atacantes comprometeram contas de administrador de domínio Windows e, em Microsoft Entra e Intune, criaram administradores globais e executaram comandos de reset remoto, apagando 200 mil sistemas
    • Houve atrasos no atendimento a pacientes, incluindo adiamento de cirurgias; o Handala assumiu a autoria do ataque
    • O FBI apreendeu quatro domínios do Handala e anunciou recompensa de US$ 10 milhões; o Handala respondeu com uma recompensa reversa de US$ 50 milhões por Trump e Netanyahu

  • Lockheed Martin: alegação de vazamento de 375 TB e exposição dos dados pessoais de 28 engenheiros

    • Sob o nome “APT Iran”, houve alegação de roubo de 375 TB de dados e venda na dark web (US$ 400 milhões → US$ 598 milhões), incluindo alegações de plantas ligadas ao F-35, mas sem evidências verificadas
    • O Handala divulgou dados pessoais e ameaças contra 28 engenheiros dos programas F-35, F-22 e THAAD, em um caso avaliado como doxxing patrocinado por Estado

  • Vazamento do e-mail pessoal do diretor do FBI

    • Em 27 de março de 2026, o Handala divulgou mais de 300 e-mails, fotos e currículos da conta pessoal de Gmail do diretor do FBI, Kash Patel
    • O ataque foi um caso de credential stuffing baseado em reutilização de senha, com baixa complexidade técnica
    • O vazamento ocorreu oito dias após a apreensão dos domínios do FBI, em uma divulgação retaliatória e demonstração simbólica de que “podemos ler o e-mail do diretor do FBI”

  • Invasão da rede de interceptação do FBI

    • Sinais anômalos foram detectados em 17 de fevereiro de 2026, e em 23 de março o caso foi classificado legalmente como major incident
    • Os atacantes usaram infraestrutura de ISP comercial para contornar controles de segurança do FBI e acessar redes internas de interceptação e vigilância
    • O caso é visto como uma intrusão baseada na exploração de relações de confiança na cadeia de suprimentos e muito mais grave do que o incidente do e-mail pessoal de Patel

Casos de comprometimento em empresas globais e infraestrutura

  • Sequestro da conta npm do Axios

    • Em 31 de março de 2026, uma conta npm da biblioteca Axios foi comprometida e versões maliciosas 1.14.1 e 0.30.4 foram publicadas
    • Durante cerca de 2 a 3 horas, um pacote com escala de 100 milhões de downloads ficou infectado, instalando um RAT em todos os pipelines de CI
    • O Google Threat Intelligence Group atribuiu publicamente o caso ao UNC1069 da Coreia do Norte
    • A intrusão envolveu criação de empresa falsa e manipulação de ambientes colaborativos de Slack e Teams, sendo avaliada como o ataque npm mais sofisticado desde o backdoor do XZ Utils

  • Cisco: comprometimento da cadeia de suprimentos do Trivy e extorsão de dados do Salesforce

    • Em março de 2026, um ataque à cadeia de suprimentos do Trivy comprometeu o ambiente interno de desenvolvimento da Cisco, com clonagem de 300 repositórios no GitHub
    • O ShinyHunters alegou ter roubado 3 milhões de registros do Salesforce e fez exigências financeiras
    • A Cisco reconheceu parte dos fatos, revelando que mesmo empresas com alta maturidade de segurança continuam vulneráveis tanto na cadeia de suprimentos quanto em SaaS

  • Mercor: um ponto único de falha no pipeline de dados central da indústria de IA

    • Startup responsável pelo pipeline de dados de treinamento de grandes laboratórios de IA como OpenAI, Anthropic e Meta

      • Em março de 2026, houve comprometimento da biblioteca LiteLLM, com roubo de credenciais e vazamento de dados de treinamento de IA e protocolos de rotulagem
      • O Lapsus$ assumiu um comprometimento posterior e divulgou 4 TB de dados, incluindo dump interno de Slack, chaves de API e vídeos de conversas com contratados de IA
      • A Meta encerrou o contrato com a Mercor, destacando a dependência da indústria de IA em um pequeno número de startups e dependências open source

  • Oracle Cloud: vazamento de 6 milhões de registros e o problema da “cloud legada”

    • Em 21 de março de 2026, o hacker “rose87168” alegou estar vendendo 6 milhões de registros da Oracle Cloud

    • Comprometimento do Oracle Access Manager por meio da vulnerabilidade CVE-2021-35587, com impacto sobre 140 mil tenants

      • Após negar inicialmente, a Oracle reconheceu acesso ao ambiente legado, e reportagens indicaram exposição de dados de até 80 hospitais
      • O caso destacou o risco de infraestrutura antiga não desativada (Shadow Legacy)

  • Rockstar Games: invasão por meio de integração SaaS

    • No início de abril de 2026, o ShinyHunters alegou ter comprometido a Rockstar Games; a Rockstar confirmou um comprometimento via SaaS da Anodot
    • Os atacantes roubaram tokens de autenticação da Anodot e acessaram uma instância da Snowflake, expondo a fragilidade da cadeia de confiança entre SaaS e data warehouse

  • Paralisação de sistemas aéreos europeus

    • Em 6 de abril de 2026, houve paralisação simultânea dos sistemas de check-in e bagagem em aeroportos como Heathrow, Charles-de-Gaulle, Frankfurt e Copenhague
    • Em um único dia, mais de 1.600 voos foram cancelados ou atrasados, tendo como causa a plataforma MUSE da Collins Aerospace
    • A EASA relatou que os ataques cibernéticos à aviação cresceram 600% entre 2024 e 2025, chegando a cerca de 1.000 por mês

  • Hack do NSCC chinês

    • O hacker FlamingChina alegou ter roubado 10 petabytes de dados do Centro Nacional de Supercomputação de Tianjin (NSCC), na China
    • Entre os dados estariam arquivos de simulação dos setores aeroespacial e de defesa e materiais da Universidade Nacional de Tecnologia de Defesa, segundo cobertura de veículos ocidentais como a CNN
    • Após comprometimento de um domínio VPN, houve exfiltração silenciosa durante seis meses, sem posicionamento oficial do governo chinês

  • Volt Typhoon e Salt Typhoon

    • O Volt Typhoon infiltra infraestrutura crítica dos EUA desde 2021, e o Salt Typhoon comprometeu operadoras de telecomunicações e sistemas de interceptação dos EUA entre 2024 e 2025
    • Os incidentes de 2026 são analisados como manifestações visíveis sobre uma base de infiltrações de longo prazo já existente

  • Honda: múltiplos comprometimentos acumulados

    • Houve diversos incidentes, incluindo vulnerabilidade de API em plataforma de e-commerce, falha no processo de redefinição de senha e ataque de ransomware PLAY
    • Embora cada dano isolado tenha sido limitado, o caso mostra o desequilíbrio entre a maturidade de segurança de grandes empresas e sua superfície de ataque

Sinais anômalos ligados à IA e resposta do governo

  • Explosão de ataques baseados em IA

    • Dados de 2025 a 2026 mostram simultaneamente automação crescente dos ataques e escalada das ameaças
    • Houve aumento de 1.265% em e-mails de phishing gerados por IA, e 82,6% de todo o phishing passou a ser gerado por IA
    • No período de férias, a proporção de conteúdo gerado por IA saltou de 4% para 56%, enquanto golpes de voz cresceram 442% e phishing por QR code aumentou 400%
    • A IA consegue escrever um e-mail de spear phishing em cinco minutos, com taxa de clique de 54%, mais de quatro vezes a de textos escritos por humanos (12%)

  • Uso de IA pela Coreia do Norte

    • A Microsoft declarou explicitamente que dois atores norte-coreanos — Jasper Sleet e Coral Sleet — usam IA desde reconhecimento até atividades pós-invasão
    • O grupo Kimsuky usou o ChatGPT para falsificar documentos de identidade do exército e do governo sul-coreano
    • O Tesouro dos EUA sancionou uma rede de trabalhadores de TI norte-coreanos que obtinha empregos sob disfarce com currículos e respostas de entrevista gerados por IA

  • Fraudes financeiras com deepfake de IA

    • Houve um caso em que vídeos gerados por IA do CFO e de colegas, em uma videoconferência no Teams, foram usados para induzir uma transferência de US$ 25 milhões

  • Capacidade ofensiva de modelos de IA

    • O modelo Mythos, da Anthropic, realizou simulações de intrusão mais rápido que o GPT-4o (6,2 horas vs. 10,4 horas) e detectou 73% das vulnerabilidades de aplicações
    • A Anthropic mantém o Mythos fora do acesso público, com disponibilização restrita a apenas 40 empresas, incluindo Microsoft e Google
    • A OpenAI também pretende distribuir um modelo semelhante de forma limitada, via programa “Trusted Access for Cyber”

  • Resposta emergencial do governo dos EUA

    • Em 7 de abril de 2026, o secretário do Tesouro dos EUA, Scott Bessent, e o presidente do Federal Reserve, Jerome Powell, convocaram os CEOs dos cinco maiores bancos para Washington
    • O motivo: a Anthropic informou que o Mythos havia descoberto milhares de vulnerabilidades zero-day em todos os principais sistemas operacionais e navegadores
    • O governo tratou isso como uma ameaça ao nível da estabilidade financeira e realizou um briefing reservado de altíssimo nível

Resumo geral dos incidentes do 1º trimestre de 2026

  • Só entre janeiro e abril, houve mais de 40 incidentes relevantes tornados públicos, embora o total real seja de centenas
    • Só a campanha de Salesforce do SLH teria afetado cerca de 300 a 400 organizações, com estimativa de 1,5 bilhão de registros vazados
    • Em março de 2026, houve 672 casos de ransomware; Qilin, Akira e DragonForce responderam por 40%
  • Em relação a 2025, os ataques de ransomware aumentaram 49%, com o setor de saúde representando 22%

Por que está tão silencioso?

  • Apesar da escala dos incidentes, a reação da imprensa tradicional e do debate público foi fraca
    • Como causas, são citados o peso político de apontar patrocínio estatal, os interesses comerciais da indústria de segurança, a fadiga cibernética e a convivência desconfortável com a indústria de IA

  • Embora as informações circulem nos níveis mais altos do governo, o silêncio se mantém no debate público

    • Os 100 dias do início de 2026 são avaliados como um dos períodos mais importantes da história cibernética, e o próprio silêncio do debate público pode acabar registrado historicamente como um fenômeno digno de atenção

Leituras relacionadas

1 comentários

 
GN⁺ 15 일 전
Comentários do Hacker News

  • Como parte do trabalho de diligência técnica, estou escrevendo conteúdo sobre segurança e a era da gen-AI sob a perspectiva de investimento de PE
    Depois de pesquisar os últimos 6 meses, percebemos que estamos basicamente entrando em um apocalipse do ransomware
    A gen-AI se tornou a ferramenta perfeita para cibercriminosos. Ela cria automaticamente milhares de sites e perfis falsos, neutralizando sistemas de confiança de anúncios e links, e ataques de phishing combinando voz, texto e vídeo estão se tornando rotina
    Ataques à cadeia de suprimentos transformaram gerenciadores de pacotes em bombas, e quadrilhas de ransomware agora vendem ferramentas de ataque em formato SaaS
    Técnicas de nível estatal agora são negociadas por trocados. Além disso, o código vulnerável está explodindo por causa da gen-AI
    Se eu fosse um profissional jovem de tecnologia, escolheria segurança como carreira. Vem aí um mundo realmente insano

    • As pessoas parecem não perceber que a genAI é uma ameaça existencial à própria internet
      Agora estamos em uma era em que não dá para confiar nas informações da web, nem necessariamente precisamos mais da web
      Espero que os mecanismos de defesa entrem em ação a tempo e que a segurança se incorpore à cultura da computação como um todo
    • Ainda assim, eu continuaria recomendando engenharia de software
      Na maioria das empresas, segurança ainda é só centro de custo, e só ganha atenção quando acontece um incidente
      Já o SaaS de segurança está dando lucro, então esse lado parece promissor
    • Se a IA consegue realizar esse tipo de ataque, não há motivo para achar que engenheiros de segurança não possam ser substituídos por IA também
    • No fim, acho que isso vai resultar na expulsão das pessoas comuns da internet. Vai ficar perigoso demais
    • Não há futuro para quem é apenas CISSP ou operador de SOC com certificado
      É preciso virar um engenheiro de verdade, entendendo fundamentos de desenvolvimento, estruturas internas de SO, tecnologias web, algoritmos e conceitos de ataque e defesa
      É triste ver que muitos “formados em cibersegurança” na América do Norte mal chegam ao nível de help desk L1

  • O estranho é que, em 7 de abril de 2026, o secretário do Tesouro dos EUA e o presidente do Fed convocaram com urgência os CEOs dos principais bancos para uma reunião e os informaram diretamente sobre os riscos cibernéticos ligados ao Mythos da Anthropic
    Houve reunião semelhante no Canadá. É extremamente incomum vários bancos centrais realizarem encontros assim ao mesmo tempo

    • Provavelmente há duas possibilidades
      1. Foi descoberta uma vulnerabilidade em larga escala em pacotes de software importantes, colocando o setor financeiro em risco
      2. Vulnerabilidades foram encontradas simultaneamente em vários pacotes, gerando temor de choque de mercado
        Como isso ocorre perto de uma eleição, a instabilidade econômica também é um grande risco político
    • Nas finanças tradicionais, mesmo quando o dinheiro é roubado existe um sistema de reversão, então fico curioso sobre como seria possível fazer o off-ramp
      Não é uma estrutura irreversível como a das criptomoedas
    • Pelo menos é um alívio que o governo não possa usar produtos da Anthropic

  • A maioria dos incidentes já foi coberta no Hacker News
    Empresas precisam gerenciar sua postura de segurança em camadas. Não dá para proteger tudo, e para ativos importantes é preciso aceitar custo e inconveniência
    No setor aeroespacial, quando um projeto passava a ser classificado como SECRET, o custo dobrava. TOP SECRET era ainda mais caro
    Bancos e operadoras de cartão entendem essa realidade, mas a maioria das empresas não

    • Esse debate continua aparecendo no HN, mas o problema é a atitude de zombaria e recusa em reconhecer a gravidade da segurança
      Tem muita reação no estilo “já li tudo isso, o que há de novo?”
    • O método de segurança mais eficaz é separar completamente o PC conectado à internet do PC usado para processar dados importantes
      O problema é a inconveniência de ter que usar dois ou mais computadores
      Uma alternativa prática é deixar só uma VM temporária com acesso à internet, conectada por protocolo como RDP

  • Trabalhei como responsável por segurança, construí uma boa carreira e passei por várias empresas como especialista em gestão de riscos
    Mas agora o jogo mudou completamente. Pretendo me aposentar dentro de 1 ano e migrar para uma profissão sem relação com IA, como enfermagem ou encanamento
    Tenho a sensação de que é preciso garantir uma independência financeira à prova de IA antes que a IA domine tudo
    Muitos profissionais de segurança pensam da mesma forma
    Se as empresas não controlarem a adoção de IA que absorve PII em documentos internos, vamos voltar ao caos de 0-days estilo anos 1990
    As equipes de segurança vão entrar em colapso por excesso de trabalho e burnout, e ainda por cima estarão eliminando os próprios empregos ao adotar IA
    Quando vier a próxima recessão, essa realidade vai ficar evidente

    • Entendo esse sentimento, mas o mundo em geral tem seguido mais a direção de “nada acontece”
      Se preparar financeiramente é bom, mas é preciso tomar cuidado com pessimismo excessivo
    • Nem enfermeiros nem secretários estão livres do impacto da IA
      Trabalho físico é pesado e paga pouco. Pode ser que, na verdade, especialistas em segurança se tornem ainda mais necessários
    • Hoje existem 4,8 milhões de vagas em aberto em segurança no mundo
      A demanda é de 10,2 milhões de pessoas, mas a oferta está em cerca da metade
      O crescimento do setor desacelerou para 0,1%, e com profissionais seniores saindo da área a taxa de sucesso dos ataques está disparando
      Quase não há chance de isso melhorar no curto prazo
    • Se você é engenheiro de software, acho que este é precisamente o momento de assumir a obrigação moral de defender contra IA
      Precisamos proteger a nós mesmos e à sociedade contra IA maliciosa
    • De um lado há FOMO para entrar em segurança, do outro há um clima de FUD
      A realidade provavelmente está em algum ponto no meio

  • Antes, até alguns GB de vazamento de dados já eram um grande incidente, mas agora estão levando terabytes e petabytes

    • Má notícia: todas as informações pessoais mantidas por corretores de dados logo serão expostas
      Boa notícia: os dados dos políticos também serão expostos, o que pode desencadear discussões regulatórias

  • Se o Mythos encontrou milhares de zero-days nos principais SOs e navegadores, é bem provável que agências de inteligência já tenham colocado as mãos nisso
    A esta altura, nem seria mais necessário backdoor
    Mas fica a dúvida se os fornecedores de software receberam essa lista de vulnerabilidades

  • O texto é difícil de ler por causa do estilo típico de LLM
    Expressões como “o silêncio do discurso público ainda não foi rompido” se repetem e passam uma sensação exagerada

  • A equipe de marketing da Anthropic é assustadoramente competente. Fico pensando se o Opus montou essa estratégia

    • Marketing de medo é uma tradição da indústria de segurança
      As alegações técnicas podem não ser exageradas, mas não faz sentido uma empresa específica virar a única digna de confiança
    • Se a capacidade do Mythos for real, as grandes empresas de tecnologia logo vão confirmar isso
      Se for bravata, será desmascarado rapidamente
    • A combinação de IA e segurança parece já ter se estabelecido como um gênero próprio

  • Na prática, a situação não está nesse nível de loucura. É só viés de recência
    A qualidade do spam melhorou, e houve avanços como clonagem de voz e automação de ataques em larga escala, mas a maioria dos ataques ainda explora vulnerabilidades n-day

  • Em agosto de 2025, achei interessante a notícia de que os notórios grupos de hackers ShinyHunters, Scattered Spider e LAPSUS$ se fundiram para formar uma aliança de cibercrime chamada ‘Scattered LAPSUS$ Hunters (SLH)’
    É como construir um SaaS de integração vertical por meio de M&A de startup
    Fico até imaginando se a reestruturação interna de pessoal foi feita por “métodos físicos”

    • Esses grupos, na prática, operam como empresas ou órgãos governamentais
      A experiência interna não é tão diferente de trabalhar em uma empresa de tecnologia comum