A multinacional neerlandesa AkzoNobel confirmou ter sofrido uma intrusão informática na rede de um dos seus centros nos Estados Unidos, uma situação que atraiu a atenção do setor pelo volume e a natureza dos dados que o grupo por trás do incidente assegura ter exfiltrado. De acordo com a informação divulgada por meios especializados, o ator responsável, conhecido como o grupo Anubis, publicou em seu site de vazamento uma amostra do sutraído e reivindica ter obtido ao redor dela. 170 GB e quase 170.000 arquivos, entre os quais figurariam contratos confidenciais com clientes, correios privados, digitalização de passaportes e documentação técnica interna.
Desde AkzoNobel – empresas com presença global e marcas reconhecidas em pinturas e revestimentos – transmitiram que o incidente foi localizado em uma instalação concreta dos Estados Unidos e que as medidas de contenção foram executadas para limitar seu alcance. A empresa assegura que o impacto é acotado e que estão notificando e apoiando as partes interessadas, além de cooperar com as autoridades competentes, de acordo com declarações recolhidas por meios que cobrem cibersegurança. Em seu comunicado, AkzoNobel não descreveu se se entablou negociação ou algum tipo de contato com os atacantes.
A relevância do caso não reside apenas no tamanho do volcado presumido, mas na composição dos arquivos publicados: contratos com clientes de alto perfil, dados de contato, correspondência interna e documentação sensível sobre materiais e especificações técnicas. Essa combinação converte a filtração não só em risco para a privacidade de pessoas concretas, mas em um possível dano reputacional, comercial e operacional para a empresa e seus parceiros.
O grupo Anubis, identificado nos últimos meses como uma operação tipo “ransomware-as-a-service” (RaaS), apresentou-se no final de 2024 oferecendo aos seus afiliados uma parte maioritária dos resgates cobrados, e desde então foi ganhando visibilidade em fóruns do cibercrime. Relatórios sobre a sua evolução apontam que, em 2025, expandiram o seu programa de afiliados e, mais recentemente, incorporaram ferramentas destrutivas - um “wiper” que apaga dados -, o que eleva o risco de perda irreversível de informação se um incidente deriva em sabotagem além de exfiltração. Para aqueles que querem aprofundar a origem e as táticas desta ameaça, há análises públicas que documentam sua aparição e evolução, como os publicados por especialistas em inteligência de ameaças ( KELA) e acompanhamento em meios de segurança informática ( BleepingComputer).
Este episódio serve como lembrete de que mesmo organizações grandes e com controles estabelecidos não são imunes a campanhas direcionadas. Quando os atacantes combinam exfiltração maciça de dados com táticas de pressão e extorsão, a resposta exige tanto ações técnicas imediatas como uma gestão coordenada de comunicação e cumprimento normativo. A contenção num único local pode minimizar a afectação operacional, mas não elimina o risco resultante da divulgação pública de informações sensíveis.
Para as empresas do sector industrial e de fabrico, as implicações são várias: a divulgação de especificações técnicas ou resultados de ensaios pode erosionar vantagem competitiva; os dados pessoais expostos obrigam a activar protocolos de notificação a afetados e autoridades; e as fugas de contratos podem gerar disputas comerciais. Além disso, a existência de um wiper no arsenal do atacante converte a recuperação num desafio maior se as cópias de apoio não estiverem segregadas, desligadas e verificadas.
No plano mais amplo, ataques como este alimentam a pressão regulatória e ampliam a responsabilidade dos responsáveis pela segurança. Organismos como a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA oferecem guias práticas sobre prevenção e resposta a ransomware que são úteis para qualquer organização preocupada com estes cenários ( CISA - Ransomware Guidance).
Enquanto algumas questões permanecem abertas — por exemplo, o alcance real dos dados comprometidos, se houve pagamento de resgate ou se o ator lançou mais peças de informação—, o caso de AkzoNobel ilustra duas realidades do panorama atual: por um lado, a profissionalização e especialização das bandas de ransomware que operam mediante modelos RaaS; por outro, a necessidade de as empresas combinarem medidas técnicas com planos de resposta e comunicação previamente preparados. A cibersegurança, hoje, é tanto uma questão de tecnologia como de processos e relações com clientes, fornecedores e reguladores.
Para os utilizadores e trabalhadores ligados a empresas potencialmente afectadas, a recomendação habitual é manter uma posição vigilante: verificar comunicações oficiais da empresa, extremar precauções perante e-mails inesperados que solicitem informações e mudar senhas se houver suspeita de exposição. Para os responsáveis pela TI, a aprendizagem é clara: segmentação da rede, cópias de segurança offline, testes de recuperação e monitoramento constante continuam sendo as melhores defesas frente à crescente sofisticação dos ataques.
O episódio ainda está em desenvolvimento e provavelmente veremos mais detalhes nas próximas horas e dias. Enquanto isso, aqueles que seguirem este caso podem encontrar cobertura e atualizações em mídia de referência em cibersegurança e nos canais oficiais da empresa afetada; e para entender a natureza técnica e organizacional desse tipo de ameaças, é útil consultar as análises especializadas disponíveis na rede.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
YellowKey A falha do BitLocker que poderia permitir a um atacante desbloquear sua unidade com apenas acesso físico
A Microsoft publicou uma mitigação para uma vulnerabilidade de omissão de segurança de BitLocker conhecida como YellowKey (CVE-2026-45585), depois de seu teste de conceito ser d...