Novo malware destrói dados de setor de energia na Venezuela
Pesquisadores da Kaspersky identificaram um novo wiper chamado Lotus Wiper, voltado para o setor de energia e utilidades na Venezuela, com artefatos carregados em um recurso público em meados de dezembro de 2025, conforme análise publicada pela Kaspersky. O malware não possui instruções de pagamento ou mecanismos de extorsão, indicando ausência de motivação financeira e objetivo de apagar permanentemente os dados dos dispositivos. Cadeia de execução em duas fases Dois scripts batch são responsáveis por iniciar a fase destrutiva. O primeiro arquivo, OhSyncNow.bat, tenta desabilitar o serviço UI0Detect (presente em versões antigas do Windows) para evitar alertas visíveis. Em seguida, verifica a existência de um arquivo XML remoto em um compartilhamento NETLOGON – cujo caminho inclui o nome da organização alvo – que atua como gatilho de rede para iniciar a execução em sistemas do domínio. O segundo script, notesreg.bat, enumera contas de usuário locais (exceto algumas, incluindo o nome do departamento de TI da empresa alvo), altera suas senhas para strings aleatórias e as marca como inativas. Em seguida, desabilita logons em cache, encerra sessões ativas, desativa interfaces de rede, executa o comando diskpart clean all para zerar discos, e copia binários do Windows para um diretório de trabalho. Implantação final O script executa o binário nstats.exe (disfarçado como executável legítimo do HCL Domino) com os argumentos nevent.exe e ndesign.exe. O primeiro argumento refere-se a um arquivo com criptografia XOR; o conteúdo descriptografado é salvo no segundo arquivo – o wiper final. O nstats.exe tem a única função de descriptografar e restaurar o wiper. Capacidades destrutivas do Lotus Wiper Compilado em final de setembro de 2025, o wiper carrega dinamicamente a DLL srclient.dll e utiliza as funções SRSetRestorePoint e SRRemoveRestorePoint para deletar todos os pontos de restauração do sistema. Em seguida, varre todos os discos físicos e escreve zeros em cada setor usando o código IOCTL IOCTL_DISK_GET_DRIVE_GEOMETRY_EX. O processo de zeragem ocorre no início e no final da execução. Entre as ondas de zeragem, o wiper identifica cada volume montado usando FindFirstVolumeW e FindNextVolumeW, e para cada arquivo (não diretórios) utiliza o código FSCTL_SET_ZERO_DATA para preencher a região do arquivo com zeros. Em seguida, renomeia o arquivo com um nome hexadecimal aleatório e o deleta com DeleteFileW. Se a deleção falha, chama MoveFileExW para mover o arquivo para um destino NULL, com flag para atrasar a deleção até a reinicialização do sistema. Recomendações da Kaspersky A Kaspersky recomenda auditoria de permissões e atividades de arquivos em compartilhamentos de domínio, monitoramento do NETLOGON para alterações não autorizadas, e busca por uso incomum de ferramentas nativas do sistema como fsutil, robocopy e diskpart. A empresa também sugere garantir que sistemas vitais e dados possam ser restaurados rapidamente. fonte https://santotech.com.br/novo-malware-destroi-dados-de-setor-de-energia-na-venezuela/
De “região esquecida” a novo bairro: moradores de Florianópolis dividem opiniões sobre o Jardim Capoeiras
O mais novo bairro de Florianópolis se chama Jardim Capoeiras. O novo território, na região continental, agradou parte da população, que até então relatava esquecimento por parte da gestão municipal. Localizado no limite com São José, o bairro Jardim Capoeiras foi oficializado por meio do decreto divulgado no dia 10 de abril, pela Prefeitura de Florianópolis. Antes parte do bairro Capoeiras, o novo território é delimitado pela rodovia BR-282, em trecho conhecido como Via Expressa. Além disso, faz limite com o bairro Abraão ao sudeste. (Confira a matéria completa em CBN Total, 22/04/2026) Publicado em 22 abril de 2026 fonte https://floripamanha.org/2026/04/de-regiao-esquecida-a-novo-bairro-moradores-de-florianopolis-dividem-opinioes-sobre-o-jardim-capoeiras/
Ataques Ransomware no setor automotivo mais que dobrou em 2025
Os ataques de ransomware contra o setor automotivo mais que dobraram em 2025, saltando para 44% de todos os incidentes cibernéticos na indústria, conforme relatório da Halcyon. O crescimento reflete uma mudança estratégica de criminosos, que passaram a enxergar montadoras, fornecedores e concessionárias como alvos lucrativos. Três fatores explicam a vulnerabilidade O relatório aponta três razões principais para o aumento. Primeiro, a expansão da superfície de ataque digital: veículos conectados, atualizações over-the-air (OTA) e arquiteturas em nuvem abriram novos pontos de entrada. Em 2025, sistemas telemáticos, APIs e plataformas de nuvem foram os vetores iniciais em 67% dos incidentes. Segundo, o ecossistema fragmentado de fornecedores. A maioria dos ataques em 2024 atingiu fornecedores terceiros, não os fabricantes originais (OEMs). Fornecedores menores mantêm acesso privilegiado aos sistemas das montadoras, mas não têm recursos para implementar segurança robusta. Terceiro, a baixa tolerância a paradas. Linhas de produção e sistemas de concessionárias não podem ficar offline por muito tempo. Qualquer interrupção gera perda financeira imediata – o que torna o setor especialmente atraente para extorsão. Jaguar Land Rover perdeu US$ 2,5 bilhões em um ataque Em outubro de 2025, a Jaguar Land Rover sofreu um ataque de ransomware que paralisou toda a produção global por mais de três semanas. O prejuízo econômico no Reino Unido chegou a US$ 2,5 bilhões, afetando 104 mil trabalhadores da cadeia de suprimentos. As vendas da empresa caíram 43% no período. Em janeiro de 2026, o grupo Everest roubou 900 GB de dados de uma montadora global, incluindo registros de concessionárias. Em junho de 2024, um ataque ao principal provedor de software de gestão de concessionárias nos EUA derrubou 15 mil lojas por duas semanas. O prejuízo total foi estimado em US$ 1 bilhão, incluindo um resgate de US$ 25 milhões em Bitcoin. Veículos também foram sequestrados remotamente Em meados de 2025, invasores na Rússia assumiram o controle remoto de veículos, trancando proprietários, controlando janelas, portas e partidas, e exigindo pagamento para liberar o acesso. A falha estava em práticas frágeis de registro de aplicativos. Como se proteger O relatório recomenda medidas específicas para o setor. Implementar soluções dedicadas anti-ransomware que detectem comportamentos anteriores à criptografia – como movimentação lateral, coleta de credenciais e desativação de ferramentas de segurança. Priorizar a correção de ativos expostos na internet, incluindo VPNs (Fortinet, SonicWall), firewalls e sistemas ERP (SAP, Oracle). Adotar autenticação multifator resistente a phishing em todos os acessos remotos e contas privilegiadas. Manter backups imutáveis e offline, com testes regulares de restauração. E, por fim, estabelecer requisitos mínimos de segurança para fornecedores críticos. FONTE: CISO ADVISOR fonte https://santotech.com.br/ataques-ransomware-no-setor-automotivo-mais-que-dobrou-em-2025/
Florianópolis avança no monitoramento da arborização urbana
Florianópolis tem avançado na gestão da arborização urbana com o uso de monitoramento e planejamento técnico, buscando reduzir riscos como quedas de árvores e melhorar a qualidade dos espaços públicos. (Balanço Geral, 20/04/2026) Publicado em 22 abril de 2026 fonte https://floripamanha.org/2026/04/florianopolis-avanca-no-monitoramento-da-arborizacao-urbana/
Empresa dos EUA compra mineradora brasileira de terras raras
A empresa brasileira Serra Verde, que atua com mineração de terras raras, foi adquirida pela empresa USA Rare Earth (USAR), mineradora norte-americana, em negociação equivalente a cerca de US$ 2,8 bilhões. A compra foi anunciada nesta segunda-feira (20) pelas companhias. Serra Verde opera a mina de Pela Ema, em Minaçu (GO), a única mina de argilas iônicas ativa do Brasil, em produção desde 2024. É também a única produtora das quatro terras raras pesadas mais críticas e valiosas fora da Ásia: Disprosio (Dy), Térbio (Tb) e Ítrio (Y). Mais de 90% da extração de terras raras mundiais são realizadas na China. Os materiais são usados para fabricação de ímãs permanentes utilizados em veículos elétricos, turbinas eólicas, robôs, drones, aparelhos de ar-condicionado de alta eficiência, como nas áreas de semicondutores, defesa, nuclear e aeroespacial. De acordo com a mineradora brasileira, o negócio possibilitará a criação da maior empresa global do ramo. A produção em Goiás está em fase um e ainda é considerada modesta, mas a expectativa é dobrar em 2030. “As operações de mineração e processamento da Serra Verde terão um papel central no estabelecimento da primeira cadeia de suprimentos de terras raras da mina ao ímã fora da Ásia, quando combinadas com as capacidades de mineração e “downstream” da USAR”, informou o grupo Serra Verde, em declaração ao mercado. Contrato de 15 anos O contrato prevê o fornecimento de 15 anos para abastecer uma Empresa de Propósito Específico (“SPV”), capitalizada por diversas agências do governo dos Estados Unidos, bem como por fontes de capital privado, para 100% de sua produção da Fase I com preços mínimos garantidos para as terras raras magnéticas. “O Acordo de Fornecimento proporciona fluxos de caixa seguros e previsíveis para a Serra Verde, reduzindo riscos, apoiando investimentos e apoiando seu desenvolvimento com sucesso”, afirma a nota do USAR. Segundo o comunicado, o acordo possibilitará a criação de “uma empresa multinacional líder em terras raras de mineração de mina ao ímã, com oito operações, no Brasil, EUA, França e Reino Unido e com capacidades operacionais ativas em toda a cadeia de suprimentos de terras raras leves e pesadas, incluindo mineração, processamento, separação, metalização e fabricação de ímãs.” “Esses marcos são um ponto positivo significativo para o Brasil e demonstram a capacidade do país de desempenhar um papel de liderança no desenvolvimento das cadeias globais de suprimentos de terras raras. As garantias de fornecimento, assim como a combinação com a USAR, validam a qualidade da Serra Verde: nossa operação única, nossos colaboradores e seu compromisso com práticas responsáveis”, disse Ricardo Grossi, presidente da Serra Verde Pesquisa e Mineração e COO do Grupo Serra Verde. O mercado recebeu bem o anúncio. Por volta das 15h30, as ações da USAR na Nasdaq registravam alta de mais de 8%. A aquisição mantém a equipe da empresa brasileira, com dois de seus executivos incorporados na diretoria da USAR, Sir Mick Davis e Thras Moraitis, respectivamente o Presidente do Conselho e o CEO do Grupo Serra Verde. Em vários discursos, Donald Trump tem abordado a questão das terras raras e criticado a dependência mundial da produção chinesa, o que tem gerado divergências com Pequim. FONTE: AGENCIA BRASIL fonte https://santotech.com.br/empresa-dos-eua-compra-mineradora-brasileira-de-terras-raras/
Campanha NGate tem como alvo o Brasil, para roubar dados NFC e PINs
Pesquisadores de segurança cibernética descobriram uma nova versão de uma família de malware para Android chamada NGate , que foi identificada como exploradora de um aplicativo legítimo chamado HandyPay, em vez do NFCGate. “Os agentes maliciosos pegaram o aplicativo, usado para transmitir dados NFC, e o modificaram com um código malicioso que parece ter sido gerado por inteligência artificial”, disse o pesquisador de segurança da ESET, Lukáš Štefanko , em um relatório compartilhado com o The Hacker News. “Assim como em versões anteriores do NGate, o código malicioso permite que os invasores transfiram dados NFC do cartão de pagamento da vítima para o próprio dispositivo e os usem para saques sem contato em caixas eletrônicos e pagamentos não autorizados.” Além disso, a carga maliciosa é capaz de capturar o PIN do cartão de pagamento da vítima e enviá-lo para o servidor de comando e controle (C2) do agente da ameaça. O NGate, também conhecido como NFSkate, foi documentado publicamente pela primeira vez pela empresa eslovaca de cibersegurança em agosto de 2024, detalhando sua capacidade de realizar ataques de retransmissão para extrair dados de pagamento sem contato das vítimas com o objetivo de realizar transações fraudulentas. Um ano depois, a empresa holandesa de segurança móvel ThreatFabric detalhou uma ameaça com o codinome RatOn que usava aplicativos dropper, imitando versões adultas do TikTok, para implantar o NGate e realizar ataques de retransmissão NFC . A versão mais recente do NGate detectada pela ESET teve como alvo principal usuários no Brasil, marcando a primeira campanha desse tipo a visar especificamente o país sul-americano. O aplicativo HandyPay, infectado por um trojan, é distribuído por meio de sites que se fazem passar pelo Rio de Prêmios, uma loteria administrada pela loteria do estado do Rio de Janeiro, e por uma página da Google Play Store para um suposto aplicativo de proteção de cartões. O site falso de loteria tenta convencer o usuário a clicar em um botão para enviar uma mensagem pelo WhatsApp e reivindicar o prêmio, momento em que ele é direcionado a baixar uma versão infectada do aplicativo HandyPay. Independentemente do método utilizado, o aplicativo solicita ser definido como o aplicativo de pagamento padrão após a instalação. Em seguida, a vítima é solicitada a inserir o PIN do cartão de pagamento no aplicativo e encostar o cartão na parte traseira do smartphone com NFC. Assim que essa etapa é realizada, o malware utiliza o HandyPay para capturar e transmitir os dados do cartão NFC para um dispositivo controlado pelo invasor, permitindo que ele use as informações roubadas para fazer saques em caixas eletrônicos. Acredita-se que a campanha ativa tenha começado por volta de novembro de 2025. A versão maliciosa do HandyPay nunca foi disponibilizada na Google Play Store, o que significa que os atacantes estão usando os métodos mencionados como mecanismos de distribuição para enganar usuários desavisados e levá-los a baixá-la. O HandyPay já iniciou uma investigação interna sobre o assunto. A ESET observou que os preços de assinatura mais baixos do HandyPay podem ter levado os operadores da campanha a optarem por essa solução, em vez de manterem as soluções prontas para uso existentes, que custam mais de US$ 400 por mês. “Além do preço, o HandyPay não exige nenhuma permissão nativamente, apenas que seja definido como o aplicativo de pagamento padrão, o que ajuda os agentes maliciosos a evitarem levantar suspeitas”, destacou a empresa. Uma análise do artefato revelou a presença de emojis em mensagens de depuração e notificações, destacando o possível uso de um modelo de linguagem de grande porte (LLM, na sigla em inglês) para gerar ou modificar o código-fonte. Embora a comprovação definitiva ainda seja difícil, esse desenvolvimento está alinhado a uma tendência mais ampla de cibercriminosos que se apropriam da inteligência artificial (IA) generativa para produzir malware mesmo com pouca ou nenhuma experiência técnica. “Com o surgimento de mais uma campanha do NGate, fica evidente que a fraude por NFC está em ascensão”, afirmou a ESET. “Desta vez, em vez de usar uma solução consolidada como o NFCGate ou um serviço de MaaS (Mobile at a Service), os criminosos virtuais optaram por infectar o HandyPay, um aplicativo com funcionalidade de retransmissão NFC já existente.” fonte https://santotech.com.br/campanha-ngate-tem-como-alvo-o-brasil-para-roubar-dados-nfc-e-pins/
