América do Norte
Cisco
A Cisco alertou os usuários sobre duas vulnerabilidades no Catalyst SD-WAN Manager (anteriormente conhecido como SD-WAN vManage) que estão sendo ativamente exploradas no mundo real.
As vulnerabilidades divulgadas são:
- CVE-2026-20122 (pontuação CVSS: 7,1) – Uma vulnerabilidade de sobrescrita arbitrária de arquivos que poderia permitir que um invasor remoto autenticado sobrescrevesse arquivos arbitrários no sistema de arquivos local. A exploração bem-sucedida requer credenciais válidas de leitura exclusiva com acesso à API no sistema afetado.
- CVE-2026-20128 (pontuação CVSS: 5,5) – Uma vulnerabilidade de divulgação de informações que poderia permitir que um invasor local autenticado obtivesse privilégios de usuário do Data Collection Agent (DCA) no sistema afetado. A exploração bem-sucedida requer credenciais válidas do vManage.
A empresa não forneceu detalhes sobre a magnitude dos ataques nem sobre os autores das ameaças envolvidos. A divulgação ocorre uma semana após a Cisco ter relatado que uma vulnerabilidade crítica no Cisco Catalyst SD-WAN Controller e no Catalyst SD-WAN Manager, identificada como CVE-2026-20127 com uma pontuação CVSS de 10,0, foi explorada por um agente mal-intencionado sofisticado conhecido como UAT-8616 para estabelecer acesso persistente a organizações de alto valor.
FonteComo isso pode afetar sua empresa
Como essas vulnerabilidades já estão sendo exploradas ativamente, os usuários devem atualizar para uma versão corrigida do software o mais rápido possível. As organizações também devem restringir o acesso a partir de redes não seguras, colocar os dispositivos atrás de um firewall, desativar o acesso HTTP ao portal de administração do Catalyst SD-WAN Manager e desativar serviços como HTTP e FTP quando não forem necessários. Alterar as senhas padrão de administrador e monitorar de perto os registros do sistema em busca de tráfego de entrada ou saída inesperado também pode ajudar a detectar atividades suspeitas precocemente.
Estados Unidos
Cooperativa Elétrica do Vale do Tennessee (TVEC)
Os cibercriminosos continuam a atacar infraestruturas críticas, com o grupo de ransomware Qilin alegando ter invadido a Tennessee Valley Electric Cooperative (TVEC), uma cooperativa de energia elétrica dos Estados Unidos.
Sediada em Savannah, no Tennessee, a TVEC fornece serviços de energia elétrica a clientes nos condados de Wayne e Hardin, no oeste do Tennessee. A cooperativa ainda não se pronunciou publicamente sobre as alegações do grupo de ransomware. No entanto, com base em ataques anteriores do grupo, os dados roubados podem incluir informações de funcionários, registros de clientes ou documentos internos da organização.
O grupo já havia atacado outras cooperativas de energia elétrica dos EUA, incluindo a Karnes Electric Cooperative e a San Bernard Electric Cooperative, no ano passado.
FonteComo isso pode afetar sua empresa
As organizações de infraestrutura crítica estão cada vez mais sendo alvo de cibercriminosos e atores estatais que buscam interromper serviços essenciais ou roubar dados operacionais confidenciais. Para reforçar as defesas, as organizações devem segmentar as redes críticas, implementar um monitoramento contínuo de atividades suspeitas e testar regularmente seus planos de backup e recuperação de desastres, a fim de manter a resiliência operacional.
América do Norte
Fundação Wikimedia
A Fundação Wikimedia, organização sem fins lucrativos responsável pela hospedagem da Wikipédia, sofreu um grave incidente de segurança em 5 de março, envolvendo um worm de JavaScript que se propagava automaticamente.
O problema veio à tona depois que os usuários perceberam um aumento repentino de edições automatizadas que inseriam scripts ocultos e vandalizavam páginas aleatórias. O worm modificou scripts de usuários e vandalizou páginas da Meta-Wiki. De acordo com o sistema de acompanhamento de problemas Phabricator da Wikimedia, o ataque parece ter começado quando um script malicioso hospedado na Wikipédia em russo foi executado, alterando um script JavaScript global da Wikipédia com código malicioso.
O script malicioso, publicado pela primeira vez em março de 2024, estaria ligado a scripts utilizados em ataques anteriores direcionados a projetos wiki.
FonteComo isso pode afetar sua empresa
Os worms de JavaScript que se propagam automaticamente são particularmente perigosos, pois se aproveitam da confiança depositada no código-fonte aberto e podem se espalhar automaticamente pelos ambientes de desenvolvimento. As organizações devem controlar rigorosamente as dependências de terceiros, aplicar verificações de integridade dos pacotes e monitorar os repositórios em busca de alterações incomuns, a fim de impedir que códigos maliciosos se espalhem pela cadeia de suprimentos de software.
Estados Unidos
AkzoNobel
A gigante holandesa de tintas AkzoNobel confirmou que hackers invadiram a rede de uma de suas unidades nos Estados Unidos após um vazamento de dados por parte do grupo de ransomware Anubis.
A AkzoNobel é uma importante empresa de tintas e revestimentos que conta com marcas conhecidas como Dulux, Sikkens, International e Interpon em seu portfólio. O grupo de ransomware Anubis alega ter roubado 170 GB de dados da empresa. As amostras publicadas em seu site de vazamento incluiriam, segundo relatos, contratos confidenciais com clientes de renome, endereços de e-mail, números de telefone, correspondência privada por e-mail, digitalizações de passaportes, documentos de testes de materiais e fichas técnicas internas.
Enquanto isso, a empresa afirmou que o impacto parece ser limitado e que está tomando as medidas necessárias para notificar e apoiar as partes potencialmente afetadas.
FonteComo isso pode afetar sua empresa
Grupos de ransomware como o Anubis operam sob um modelo de ransomware como serviço (RaaS), reduzindo as barreiras ao crime cibernético e facilitando que até mesmo criminosos com menos conhecimentos técnicos lancem ataques sofisticados. Para combater esse cenário crescente de ameaças de ransomware, as organizações devem implementar um monitoramento proativo de ameaças, manter backups criptografados e testados regularmente e garantir que os sistemas possam ser restaurados rapidamente sem depender do pagamento de resgates.
Estados Unidos
LexisNexis Jurídico e Profissional
A gigante de análise de dados LexisNexis confirmou que sua divisão Legal & Professional sofreu um incidente de segurança cibernética depois que o grupo de cibercriminosos Fulcrumsec assumiu a responsabilidade pelo ataque à empresa.
Em 3 de março, o grupo de cibercriminosos alegou ter roubado 2 GB de dados da LexisNexis Legal & Professional, incluindo dados de contas corporativas, credenciais de funcionários, segredos de desenvolvimento de software e informações pessoais pertencentes a 400.000 indivíduos. No dia seguinte, 4 de março, a empresa confirmou o incidente e afirmou ter contido a violação, acrescentando que nem seus produtos nem seus serviços foram comprometidos. De acordo com a empresa, apenas um número limitado de servidores foi acessado, e os dados armazenados neles consistiam principalmente em informações antigas e obsoletas anteriores a 2020.
Segundo relatos, os invasores extraíram os arquivos de uma instância da LexisNexis na AWS ao explorar uma vulnerabilidade não corrigida do React2Shell.
FonteComo isso pode afetar sua empresa
Este incidente destaca a importância de uma gestão proativa de patches, uma vez que vulnerabilidades não corrigidas continuam sendo um ponto de entrada comum para os invasores. As organizações devem automatizar a aplicação rotineira de patches, priorizar atualizações baseadas no risco para sistemas críticos e utilizar ferramentas de automação inteligente para identificar e corrigir vulnerabilidades de alto risco antes que elas possam ser exploradas.
