Um erro crítico de autenticação no cPanel/WHM, registrado como CVE-2026-41940, está sendo explorado em massa e já está ligado a campanhas de ransomware dirigidas a servidores Linux que hospedam sites. A vulnerabilidade permite a atacantes contornar os controles de acesso do painel de controle e obter privilégios administrativos sobre sites, e-mails e bases de dados gerenciados com cPanel/WHM; por isso a atualização de emergência publicada no final de abril é prioritária para qualquer administrador de hospedagem. Você pode consultar a notificação oficial e a atualização no portal do cPanel: actualização da segurança do cPanel.
Os registros de telemetria e relatórios comunitários mostram que a exploração não é teórica: foi aproveitada como um zero-day desde pelo menos final de fevereiro e, segundo Shadowserver, dezenas de milhares de IPs com cPanel foram comprometidas nesta onda inicial ( Relatório de Shadowserver). Os atacantes estão a encriptar uma encriptação escrita em Go chamada "Sorry", centrada em ambientes Linux e que modifica extensões de arquivos, deixando um aviso de resgate por pasta.
Do ponto de vista técnico, o código malicioso relatado usa ChaCha20 para cifrar o conteúdo e protege a chave com uma chave pública RSA-2048 integrada, o que implica que a recuperação de dados sem a chave privada é praticamente impossível Salvo disposição em cópias de segurança válidas ou recuperação da chave privada do atacante. Uma amostragem do binário foi aumentada para plataformas de análise como VírusTotal, o que facilita a detecção para equipamentos de resposta: exemplo de amostra no VírusTotal.
Se administrar cPanel/WHM, a acção imediata Os servidores devem ser atualizados para a versão adesivo fornecida pelo cPanel antes de qualquer outra tarefa de mitigação, porque a vulnerabilidade permite acesso administrativo direto. Após adesivos, isolam os servidores comprometidos da rede, preservem evidências de logs e processos e não reiniciem máquinas críticas sem o coordenar com a equipe forense, pois a volatilidade pode eliminar traços importantes para determinar o ponto de entrada e o alcance do ataque.
Para detecção e contenção, verifiquem os sistemas em busca de indicadores: arquivos criptografados com a extensão '.sorry' (reportes sugerem que a extensão pode ser adicionada repetidamente), presença de notas README.md com instruções de contato, processos anormais em execução, entradas crontab ou tarefas agendadas novas e webshells em diretórios públicos. Complementem com digitalização de integridade sobre arquivos web e bases de dados, análise de contas com privilégios, mudanças em chaves SSH e rotação imediata de credenciais expostas. Não paguem o resgate como primeira opção; contactem as autoridades e a sua equipe legal e de segurança para avaliar opções, e considerem que a única maneira confiável de restaurar é de backups validados.
No plano preventivo e de resistência, os provedores de hospedagem e administradores devem fortalecer políticas de acesso: limitar o acesso a portos administrativos apenas a endereços IP permitidos, ativar autenticação multifator onde possível, revisar e endurecer regras de firewall e WAF, e aplicar segmentação de rede para que um painel comprometido não derive na perda total de outras máquinas. Também é crítico validar que as cópias de segurança estejam fora de linha ou inacessíveis para o usuário que executa o painel, e praticar restaurações periódicas para garantir a integridade dos backups.
Para equipas de resposta intermediários e clientes em causa, planifiquem uma comunicação transparente: informem clientes e partes interessadas sobre o alcance e as acções em curso, documentando quais dados podem ter sido expostos e quais medidas estão a ser tomadas. As organizações com grandes superfícies de ataque deveriam considerar um barrido de busca de IOCs a nível de provedor e coordenar com equipes de inteligência sobre ameaças para bloquear comandos e domínios associados à campanha.
Esta campanha demonstra como uma vulnerabilidade em um componente central de gestão pode rapidamente escalar perdas de dados generalizadas. A lição operacional É priorizar atualizações de segurança em ferramentas de infraestrutura, manter cópias de segurança segregadas e automatizar a detecção de mudanças em ambientes produtivos. Espere que a exploração aumente nos próximos dias e semanas: agir rapidamente e método reduz a probabilidade de se tornar a próxima vítima.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...