A Nova Era do Cibercrime no Brasil: Ransomware, Deepfakes e Vulnerabilidades

Meta descrição: Analisamos as ameaças mais urgentes para CISOs e gestores no Brasil: ransomware, deepfakes, e falhas em software, com ações práticas da Coneds.

O cenário da cibersegurança global e, em particular, no Brasil, está em constante mutação. Em dezembro de 2025, observamos uma intensificação e sofisticação das táticas de ataque, impulsionadas pela proliferação da inteligência artificial e pela crescente interconexão de sistemas. Para profissionais de TI, CISOs, analistas de segurança e gestores, entender as ameaças emergentes não é apenas uma questão de conformidade, mas de sobrevivência dos negócios. Violações de dados não causam apenas perdas financeiras, mas erodem a confiança, afetam a reputação e podem paralisar operações essenciais. De acordo com o relatório "Cost of a Data Breach 2025" da IBM, o custo médio global de uma violação de dados atingiu US$ 4,44 milhões, com setores como saúde e financeiro enfrentando valores ainda mais altos, refletindo a criticidade dos dados comprometidos. No Brasil, a situação é igualmente preocupante, com a complexidade regulatória da LGPD adicionando camadas de responsabilidade e penalidades. Este artigo aprofunda-se nas tendências mais críticas que moldarão 2025, oferecendo insights e recomendações práticas para fortalecer as defesas de sua organização.

⚡ Resumo Executivo

• Ransomware em Ascensão: Ataques a cadeias de suprimentos e serviços críticos se tornam mais caros e disruptivos, com exemplos globais de alto impacto.
• Deepfakes e BEC Aprimorados: A Inteligência Artificial eleva o nível da engenharia social, tornando golpes de phishing e Business Email Compromise (BEC) quase indistinguíveis.
• Vulnerabilidades Críticas: Falhas em softwares populares e sistemas legados (como Oracle E-Business Suite e Microsoft Teams) continuam sendo portas de entrada exploradas ativamente.
• Terceiros e Nuvem: A gestão de risco de terceiros e a configuração segura de ambientes em nuvem são pontos cegos frequentes que resultam em grandes vazamentos.
• Conformidade Regulatórias: A LGPD, em conjunto com outras regulamentações (BACEN, PCI DSS), exige uma postura de segurança robusta e proativa para evitar sanções severas.

Ransomware e Ataques à Cadeia de Suprimentos: O Elo Fraco que Custa Bilhões

Os ataques de ransomware deixaram de ser incidentes isolados para se tornarem uma epidemia, com uma taxa de crescimento alarmante. Em 2025, o foco dos criminosos se ampliou para as cadeias de suprimentos, onde a exploração de um único elo fraco pode impactar centenas ou milhares de organizações. O setor de saúde, em particular, continua sendo um alvo preferencial devido à criticidade dos dados e à pressão por continuidade de serviços, que muitas vezes leva ao pagamento do resgate.

Um dos casos mais emblemáticos recentes é o ataque à Change Healthcare, uma subsidiária da UnitedHealth Group nos EUA, ocorrido em fevereiro de 2024. Este incidente, que começou com a exploração de um servidor de acesso remoto mal configurado e sem autenticação multifator (MFA), culminou no roubo de dados de aproximadamente 190 milhões de indivíduos – quase metade da população americana. O impacto foi devastador, paralisando farmácias e hospitais em todo o país, evidenciando a fragilidade da infraestrutura de saúde interconectada. Embora o ataque tenha ocorrido nos EUA, a metodologia e o impacto em cascata servem de alerta para o mercado brasileiro, especialmente considerando a digitalização acelerada do setor de saúde e a sensibilidade dos dados de pacientes (LGPD).

No setor financeiro, que no Brasil é altamente regulado pelo BACEN e PCI DSS, incidentes como o sofrido pela Marquis Software Solutions em agosto de 2025, nos EUA, demonstram a vulnerabilidade da cadeia de suprimentos. Um ataque de ransomware explorou falhas em um firewall SonicWall, afetando mais de 400.000 usuários de 74 bancos e cooperativas de crédito. A exploração de vulnerabilidades como CVE-2024-40766 e CVE-2024-53704, que permitem o bypass de autenticação e o roubo de credenciais via VPN SSL, ressalta a necessidade crítica de gerenciamento rigoroso de patches e configurações, mesmo em appliances de perímetro.

Além disso, a Oracle Health (antiga Cerner), provedora de tecnologia de informação em saúde, reportou uma violação de dados em seus servidores legados em janeiro de 2025. O ataque resultou em extorsão e roubo de credenciais que, segundo relatos, foram usadas para acessar dados de registros eletrônicos de saúde. Este incidente destaca a persistência de vulnerabilidades em sistemas antigos, que muitas empresas brasileiras ainda utilizam, tornando-os alvos fáceis para grupos de ransomware. A dificuldade de migrar ou atualizar esses sistemas representa um desafio significativo e um risco contínuo para a segurança da informação. A lição é clara: a segurança da sua organização depende não apenas de suas próprias defesas, mas também da resiliência de cada um dos seus fornecedores e parceiros de negócio.

Engenharia Social e Deepfakes: A Manipulação com Toque de IA

A engenharia social sempre foi uma das táticas mais eficazes dos cibercriminosos, explorando o elo mais fraco em qualquer sistema de segurança: o fator humano. Em 2025, a chegada da Inteligência Artificial (IA) generativa amplificou essa ameaça a um nível sem precedentes. Ataques de phishing e Business Email Compromise (BEC) estão se tornando cada vez mais sofisticados, personalizados e difíceis de detectar, com a IA permitindo a criação de iscas convincentes em massa.

Um estudo recente da SentinelOne aponta um aumento de 1.265% em ataques de phishing impulsionados por IA, em comparação com anos anteriores. Isso significa que as mensagens fraudulentas são mais gramaticalmente corretas, contextualmente relevantes e, em alguns casos, adaptadas ao perfil da vítima, tornando a identificação de um golpe uma tarefa árdua até para os profissionais mais treinados. Ferramentas de IA generativa, como modelos de linguagem avançados, podem produzir milhares de e-mails de phishing altamente críveis em questão de minutos.

O uso de deepfakes, vídeos ou áudios manipulados por IA, adiciona uma camada ainda mais perigosa à engenharia social. Em fevereiro de 2025, um caso chocante em Hong Kong revelou a perda de aproximadamente US$ 25,6 milhões por um funcionário de finanças de uma multinacional. O colaborador foi enganado em uma videochamada onde todos os participantes, incluindo o suposto CFO, eram deepfakes realistas de executivos da empresa. A vítima, inicialmente cética, foi convencida pela aparente autenticidade das "imagens" e realizou a transferência fraudulenta. Este incidente demonstra como os deepfakes podem ser usados para superar a desconfiança inicial e contornar controles de segurança baseados em verificação visual ou auditiva.

Para empresas brasileiras, essa evolução da engenharia social é particularmente crítica. A cultura de proximidade e a dependência de comunicação por e-mail em muitos ambientes corporativos tornam as organizações vulneráveis a esses ataques aprimorados por IA. A LGPD, com suas exigências de notificação de incidentes e proteção de dados pessoais, impõe um ônus ainda maior às empresas que falham em proteger seus colaboradores contra essas táticas de manipulação avançadas. O roubo de credenciais, informações confidenciais ou fundos pode ter consequências catastróficas, tanto financeiras quanto reputacionais, no rigoroso cenário regulatório brasileiro.

Vulnerabilidades Críticas em Softwares e Sistemas Legados

A gestão de vulnerabilidades continua sendo um pilar fundamental da cibersegurança, e em 2025, a exploração de falhas em softwares populares e sistemas legados permanece um vetor de ataque persistente e de alto risco. Mesmo com a crescente adoção da nuvem, muitas organizações ainda dependem de infraestruturas on-premises e aplicações legadas, que se tornam alvos fáceis se não forem devidamente mantidas e atualizadas.

Um exemplo recente de alto impacto é a exploração da vulnerabilidade CVE-2025-61882 no Oracle E-Business Suite. Classificada com um score CVSS de 9.8 (Crítica), essa falha permite uploads de arquivos não autenticados e execução remota de código. O grupo de ransomware Clop foi associado à exploração ativa dessa vulnerabilidade em julho e outubro de 2025, afetando diversas organizações, incluindo a Allianz UK. Para empresas no Brasil que dependem do Oracle E-Business Suite para suas operações críticas (financeiro, RH, logística), esta vulnerabilidade representa um risco existencial. A falta de aplicação de patches em tempo hábil para falhas críticas em sistemas ERP pode levar a vazamentos massivos de dados, interrupção de negócios e multas regulatórias significativas.

Outra área de preocupação são as plataformas de colaboração, que se tornaram centrais para o trabalho híbrido. Em agosto de 2025, a Microsoft corrigiu uma vulnerabilidade de alta gravidade em seu serviço Microsoft Teams, rastreada como CVE-2025-53783. Esta falha de estouro de buffer (heap-based buffer overflow) poderia permitir a execução remota de código e o acesso, leitura, escrita e exclusão de mensagens e outros dados de usuários. Embora a exploração exija uma cadeia de ataque complexa e interação do usuário, a ubiquidade do Teams em ambientes corporativos no Brasil torna essa vulnerabilidade um risco considerável. O comprometimento de uma plataforma de comunicação central pode levar ao roubo de informações confidenciais, espionagem corporativa e uso indevido de identidade.

A recorrência de tais vulnerabilidades, combinada com a complexidade de ambientes de TI heterogêneos e a falta de recursos para aplicar patches e atualizações de forma consistente, cria um terreno fértil para cibercriminosos. A detecção tardia dessas explorações, como visto em muitos incidentes, permite que os atacantes permaneçam nas redes por longos períodos, maximizando o roubo de dados e o impacto. Para o mercado brasileiro, onde sistemas legados são comuns em bancos, governo e grandes empresas, a priorização da gestão de vulnerabilidades e a migração segura para soluções mais modernas são imperativas.

🇧🇷 Impacto no Cenário Brasileiro

O Brasil, com sua economia digital em expansão e uma população cada vez mais conectada, apresenta um cenário fértil para as ameaças cibernéticas destacadas. A convergência de setores altamente visados – como o financeiro (um dos mais digitalizados do mundo), o de saúde (rico em dados sensíveis) e o varejo (com grande volume de transações) – com um ambiente regulatório em amadurecimento (LGPD) e a persistência de sistemas legados, cria um caldo complexo de riscos.

A LGPD (Lei Geral de Proteção de Dados), em vigor desde 2020, elevou significativamente a barra para a proteção de dados pessoais. Incidentes como o da Change Healthcare nos EUA, se replicados no Brasil, teriam consequências financeiras e reputacionais gravíssimas, culminando em multas que podem chegar a 2% do faturamento anual ou até R$ 50 milhões por infração. A complexidade do manejo de dados de saúde, que são considerados sensíveis pela LGPD, amplifica a criticidade desses ataques.

No setor financeiro, a regulamentação do BACEN (Banco Central do Brasil) exige robustez nos sistemas de segurança. Ataques à cadeia de suprimentos como o da Marquis Software Solutions, onde vulnerabilidades em terceiros comprometem dados bancários, são um pesadelo para instituições financeiras brasileiras, que investem pesado em segurança, mas podem ter seu perímetro estendido por fornecedores menos preparados. A conformidade com o PCI DSS (Payment Card Industry Data Security Standard) é outra camada essencial para empresas que processam dados de cartões, tornando qualquer violação um risco direto de não conformidade e perdas financeiras.

A crescente sofisticação dos ataques de engenharia social, impulsionados por deepfakes e IA, representa uma ameaça direta a empresas brasileiras de todos os portes. O "golpe do CEO" ou BEC (Business Email Compromise) já é uma realidade no Brasil, e com a capacidade de criar vozes e vídeos falsos de diretores, a autenticidade das comunicações internas se torna um desafio crítico. Funcionários desinformados ou mal treinados são alvos fáceis, resultando em fraudes financeiras e vazamentos de informações sensíveis.

Além disso, a persistência de sistemas legados e a dificuldade em manter patches atualizados em softwares críticos, como o Oracle E-Business Suite ou componentes amplamente utilizados como o Microsoft Teams, são problemas transversais. Muitas empresas brasileiras ainda operam com infraestruturas que acumulam dívidas técnicas em segurança, tornando-as vulneráveis a explorações de CVEs conhecidas que, se não corrigidas, podem ser a porta de entrada para ataques destrutivos. A Coneds observa que a falta de um plano de gestão de vulnerabilidades proativo e automatizado é uma das maiores falhas em empresas brasileiras. A interconexão entre sistemas, o uso massivo de terceiros e a pressão para digitalização sem a devida priorização da segurança criam um ambiente de alto risco.

🔒 Recomendações Práticas da Coneds

1. Ação Imediata: Revisão e Hardening de Acessos Remotos e MFA. Priorize a revisão de todos os pontos de acesso remoto (VPNs, RDP) e garanta que a Autenticação Multifator (MFA) esteja ativada e seja robusta para todos os usuários, especialmente administradores e em sistemas críticos. Monitore logs de autenticação para atividades anômalas.
2. Curto Prazo (1-4 semanas): Programa de Conscientização Anti-Deepfake e BEC. Implemente treinamentos simulados de phishing e BEC, incluindo exemplos de deepfakes (áudio e vídeo), para educar os colaboradores sobre as novas táticas dos atacantes. Crie canais claros para relatar e-mails e comunicações suspeitas.
3. Médio Prazo (1-3 meses): Gestão Proativa de Vulnerabilidades e Patches. Mantenha um inventário atualizado de todos os softwares e sistemas, priorizando a aplicação de patches de segurança para vulnerabilidades críticas (CVEs com CVSS alto), especialmente em ERPs, sistemas de nuvem e ferramentas de colaboração (ex: Oracle EBS, Microsoft Teams). Considere automação para esse processo.
4. Estratégia Long-term: Implementação de Zero Trust e Segmentação de Rede. Adote um modelo de segurança Zero Trust, onde nenhum usuário ou dispositivo é confiável por padrão. Segmente a rede para isolar sistemas críticos e limitar o movimento lateral de atacantes em caso de comprometimento.
5. Governança: Fortalecimento da Gestão de Risco de Terceiros (GRC). Desenvolva e implemente um programa robusto de gestão de risco de terceiros, incluindo auditorias de segurança regulares, cláusulas contratuais de segurança da informação e avaliações contínuas de segurança dos fornecedores.
6. Treinamento: Capacitação Especializada em Cloud Security e Resposta a Incidentes. Invista na formação contínua das equipes de TI e segurança em segurança de nuvem, DevSecOps e planos de Resposta a Incidentes (IR), com simulados práticos para garantir a agilidade e eficácia na contenção e recuperação de ataques.

❓ Perguntas Frequentes

P: Como posso proteger minha empresa contra ataques de ransomware que vêm de terceiros?

R: A proteção começa com uma due diligence rigorosa sobre seus fornecedores, incluindo auditorias de segurança e cláusulas contratuais que exijam conformidade com padrões de segurança. Implemente segmentação de rede para limitar o acesso de terceiros a sistemas críticos e utilize soluções de monitoramento contínuo para detectar atividades anômalas.

P: Qual o papel da Inteligência Artificial nos ataques de engenharia social e como posso me defender?

R: A IA é usada para criar e-mails de phishing mais convincentes, deepfakes de áudio/vídeo e personalização de golpes (BEC). A defesa exige treinamento contínuo e atualizado da equipe sobre as últimas táticas de engenharia social, além de MFA forte e políticas de verificação rigorosas para transações financeiras e mudanças em credenciais de acesso.

P: Minha empresa usa sistemas legados. Quais são os riscos e como a Coneds pode ajudar?

R: Sistemas legados são alvos fáceis para atacantes devido à falta de patches e suporte de segurança. Os riscos incluem vulnerabilidades conhecidas (CVEs) que podem ser exploradas, dificultando a conformidade com a LGPD. A Coneds oferece consultoria para avaliação de risco de sistemas legados e treinamentos especializados em migração segura para a nuvem e DevSecOps para modernizar a segurança da sua infraestrutura.

P: A Coneds oferece treinamentos específicos sobre LGPD e compliance para executivos?

R: Sim, a Coneds possui um portfólio completo de treinamentos em LGPD para diferentes níveis, desde a conscientização geral para todos os colaboradores até cursos aprofundados para CISOs e gestores de TI sobre governança, gestão de riscos e resposta a incidentes, garantindo que sua empresa esteja em conformidade com a legislação brasileira.

Conclusão

O ano de 2025 reforça uma verdade inegável: a cibersegurança não é um custo, mas um investimento estratégico e contínuo. As ameaças de ransomware, a sofisticação da engenharia social com deepfakes e a persistência de vulnerabilidades em softwares críticos demandam uma postura proativa e adaptativa. Para as empresas brasileiras, o cumprimento da LGPD, BACEN e PCI DSS adiciona uma camada de complexidade e urgência, tornando essencial a implementação de defesas robustas e uma cultura de segurança sólida. A complacência é o maior vetor de ataque. Ao investir em tecnologias adequadas, processos eficientes e, principalmente, na capacitação de suas equipes, as organizações podem transformar o desafio da cibersegurança em uma vantagem competitiva, protegendo seus ativos mais valiosos: dados e confiança.

A Coneds está comprometida em capacitar profissionais e organizações para enfrentar esse cenário desafiador. Nossos treinamentos são desenhados para o mercado brasileiro, focando em conhecimento técnico aplicável e estratégias que realmente fazem a diferença.

---

📚 Aprenda mais: Eleve a segurança da sua organização com os cursos especializados da Coneds. Visite coneds.com.br/treinamentos e conheça nossas soluções em Gestão de Vulnerabilidades, Segurança em Nuvem, Engenharia Social e LGPD.

🔗 Fontes:

• IBM. (2025). Cost of a Data Breach Report 2025. Disponível em: https://www.ibm.com/reports/data-breach (Acessado em: 07 de dezembro de 2025).
• Dark Reading. (2025, 27 de janeiro). Change Healthcare Breach Impact Doubles to 190M People. Disponível em: https://www.darkreading.com/cloud-security/change-healthcare-breach-190m-people (Acessado em: 07 de dezembro de 2025).
• SC World. (2025, 28 de novembro). Ransomware attack on Marquis Software Solutions targeted 74 banks. Disponível em: https://www.scworld.com/news/ransomware-attack-on-marquis-software-solutions-targets-74-banks (Acessado em: 07 de dezembro de 2025).
• HIPAA Journal. (2025, 14 de agosto). At Least 14,485 Individuals Known to be Affected by Oracle Health/Cerner Data Breach. Disponível em: https://www.hipaajournal.com/oracle-health-data-breach/ (Acessado em: 07 de dezembro de 2025).
• SentinelOne. (2025, 2 de setembro). Key Cyber Security Statistics for 2025. Disponível em: https://www.sentinelone.com/cybersecurity-101/cybersecurity/cyber-security-statistics/ (Acessado em: 07 de dezembro de 2025).
• TrustNet. (2025, 25 de fevereiro). Employee Tricked by Deepfake Executives in $25M Scam. Disponível em: https://trustnetinc.com/resources/5-breaches-hackers-fear-youll-learn-from/ (Acessado em: 07 de dezembro de 2025).
• CyberPress. (2025, 29 de outubro). Allianz UK Targeted in Clop’s Oracle E-Business Suite Attack. Disponível em: https://cyberpress.org/joins-expanding-oracle-e-busines/ (Acessado em: 07 de dezembro de 2025).
• Cybersecurity News. (2025, 12 de agosto). Microsoft Teams Vulnerability Could Let Attackers Access and Alter Messages. Disponível em: https://cybersecuritynews.com/microsoft-teams-rce-vulnerability/ (Acessado em: 07 de dezembro de 2025).
• Bright Defense. (2025, 28 de novembro). List of Recent Data Breaches in 2025. Disponível em: https://www.brightdefense.com/resources/recent-data-breaches/ (Acessado em: 07 de dezembro de 2025).