Ataques Cibernéticos em Ascensão: Ransomware, Credenciais e SAP em Foco no Brasil

Meta descrição: Analise os recentes ataques KillSec no setor de saúde, a escalada de credenciais vazadas e a vulnerabilidade crítica no SAP S/4HANA, e como impactam empresas brasileiras.

O cenário da cibersegurança global em 2025 continua a evoluir em ritmo alarmante, e o Brasil, infelizmente, não é uma exceção. Com a digitalização acelerada de diversos setores, as superfícies de ataque aumentaram exponencialmente, tornando as empresas brasileiras alvos cada vez mais atraentes para cibercriminosos. O que observamos nas últimas semanas, especificamente em setembro de 2025, é uma confluência de ameaças maduras, como o ransomware, com táticas emergentes e sofisticadas, como o uso de inteligência artificial em campanhas de phishing e a exploração de vulnerabilidades em sistemas críticos.

A resiliência cibernética deixou de ser um diferencial para se tornar um imperativo de negócios. CISOs, gestores de TI e analistas de segurança em todo o país enfrentam o desafio contínuo de proteger dados sensíveis, manter a continuidade operacional e garantir a conformidade regulatória em um ambiente de ameaças dinâmicas. Incidentes recentes, como o ataque direcionado ao setor de saúde brasileiro e o aumento exponencial de credenciais vazadas, sublinham a urgência de uma postura proativa e multifacetada. Este artigo aprofunda-se nos vetores de ataque mais críticos observados, fornecendo análises técnicas e recomendações práticas para fortalecer as defesas cibernéticas das organizações no Brasil.

⚡ Resumo Executivo

• Ransomware KillSec: Ataque direto a provedor de software de saúde brasileiro, MedicSolution, vazando 34GB de dados sensíveis de pacientes via S3 buckets mal configurados.
• Credenciais Vazadas: Aumento de 160% em 2025, impulsionado por phishing com IA e infostealers, culminando em ataques de tomada de conta e roubo de tokens OAuth (ex: Salesloft Drift).
• Vulnerabilidade SAP S/4HANA: Exploração ativa de falhas críticas em sistemas SAP essenciais para muitas operações empresariais brasileiras, exigindo patch imediato.
• Impacto Abrangente: Setores críticos como saúde, financeiro e governo no Brasil são os mais visados, com repercussões severas em termos de dados, conformidade com a LGPD e continuidade dos negócios.

Ransomware KillSec: O Ataque ao Coração do Setor de Saúde Brasileiro

Em 15 de setembro de 2025, o grupo de ransomware KillSec reivindicou a autoria de um ataque devastador contra a MedicSolution, uma proeminente provedora de software para o setor de saúde no Brasil. Este incidente representa um marco preocupante na escalada dos ataques cibernéticos contra infraestruturas críticas no país, destacando a vulnerabilidade da cadeia de suprimentos de tecnologia e a gravidade das consequências para a privacidade dos pacientes.

A análise da Resecurity revelou que o ataque resultou na exfiltração de mais de 34 GB de dados altamente sensíveis, distribuídos em mais de 94.000 arquivos. Estes incluíam resultados de exames laboratoriais, imagens de raios-X, imagens de pacientes não editadas e registros de menores, expondo informações médicas confidenciais de milhares de indivíduos. A causa raiz foi atribuída à má configuração de buckets AWS S3, demonstrando que falhas básicas na gestão de segurança na nuvem podem ter repercussões catastróficas.

O grupo KillSec, que transita entre ativismo e cibercriminalidade, tem direcionado crescentemente seus ataques a recursos de nuvem expostos, especialmente na América Latina, devido à rápida digitalização e às significativas mudanças econômicas na região. Este modus operandi de explorar fornecedores de software, que são "elementos-chave" na cadeia de suprimentos de tecnologia, permite aos atacantes comprometer múltiplos alvos de forma eficiente. Ao atingir a MedicSolution, o KillSec não apenas comprometeu a empresa, mas também colocou em risco uma vasta rede de clínicas e consultórios médicos que dependem de seus serviços em nuvem para gerenciar operações.

A ausência de conscientização sobre a violação por parte dos pacientes, conforme revelado pela investigação da Resecurity, é um fator alarmalmente comum em incidentes de grande escala e ressalta a importância de mecanismos robustos de notificação e transparência. Este ataque não é um evento isolado; o Health-ISAC registrou quase 6.000 eventos de ransomware em infraestruturas críticas em 2024, com 446 apenas no setor de saúde, e os números para 2025 já superam os do ano anterior. Isso solidifica o ransomware como a ameaça cibernética mais prejudicial, especialmente quando impacta operações de cuidado ao paciente.

Consequências da Má Configuração de S3 Buckets

A exploração de buckets AWS S3 mal configurados é uma vulnerabilidade clássica, mas persistentemente comum. No caso da MedicSolution, essa falha fundamental permitiu a exfiltração de dados em larga escala. BUCKETS S3, quando configurados incorretamente (por exemplo, com acesso público irrestrito ou permissões excessivas), podem se tornar pontos de entrada fáceis para atacantes. Este vetor de ataque é particularmente perigoso em ambientes de nuvem, onde a complexidade da gestão de identidades e acessos (IAM) e a vasta gama de configurações podem levar a erros. A simplicidade de explorar tais falhas contrasta diretamente com a sofisticação e o impacto dos ataques de ransomware que se seguem.

Aumento Exponencial de Credenciais Vazadas e o Avanço do Phishing com IA

Relatórios recentes indicam um aumento alarmante de 160% nas credenciais vazadas em 2025 em comparação com o ano anterior, conforme estudo da Cyberint. Este dado, corroborado pelo Verizon Data Breach Investigations Report de 2025 que atribuiu 22% das violações a credenciais roubadas em 2024, destaca a identidade como o novo perímetro de segurança e um dos principais alvos dos cibercriminosos.

A automação e a inteligência artificial estão catalisando essa tendência. Malwares "infostealers", vendidos como serviço, permitem que até mesmo atacantes com pouca habilidade coletem dados de login de navegadores e memória. Além disso, campanhas de phishing geradas por IA são capazes de imitar com precisão o tom, a linguagem e a identidade visual de marcas e comunicações corporativas, tornando-as quase indistinguíveis de interações legítimas. Isso facilita a engenharia social, um vetor de ataque que tem se mostrado extremamente eficaz, como no caso do grupo Scattered Spider, conhecido por suas táticas de smishing e vishing contra administradores de TI e equipes de segurança em setores financeiros e de seguros.

Um exemplo notável da sofisticação desses ataques foi a campanha de cadeia de suprimentos Salesloft Drift (agosto de 8 a 18 de 2025), na qual tokens OAuth foram roubados pela operação de ameaças UNC6395. Isso permitiu a exfiltração de dados de mais de 700 organizações que utilizam sistemas Salesforce, incluindo gigantes como Zscaler e Palo Alto Networks. O roubo de tokens OAuth é particularmente perigoso, pois pode contornar a autenticação multifator (MFA), fornecendo acesso persistente e privilegiado. A Black Hat 2025 reforçou a ideia de que, embora a MFA seja crucial, sua implementação inconsistente e a evolução das táticas de ataque (como MFA fatigue e session hijacking) a tornam menos infalível.

A proliferação de identidades não-humanas (NHIs), como agentes de IA, contas de serviço e chaves de API, que superam os usuários humanos em uma proporção estimada de 40.000 para 1, expande ainda mais a superfície de ataque. Cada uma dessas identidades representa um ponto potencial de comprometimento se não for gerenciada e protegida adequadamente.

Vulnerabilidade Crítica no SAP S/4HANA Sob Ataque Ativo

Em 5 de setembro de 2025, foi emitida uma alerta urgente sobre uma vulnerabilidade crítica no SAP S/4HANA que está sob ataque ativo. Embora o CVE específico não tenha sido detalhado nas notícias recentes, a gravidade e a exploração em andamento exigem atenção imediata das organizações. O SAP S/4HANA é um dos sistemas de planejamento de recursos empresariais (ERP) mais utilizados globalmente e no Brasil, gerenciando operações críticas de negócios, finanças, cadeia de suprimentos e recursos humanos em empresas de grande e médio porte.

A exploração de uma falha em um sistema tão central pode ter consequências devastadoras, incluindo interrupção de negócios, roubo de dados financeiros e sensíveis, manipulação de processos e comprometimento da integridade dos dados. Empresas que dependem do SAP S/4HANA para suas operações diárias precisam agir com extrema rapidez para mitigar esse risco. Isso inclui a aplicação imediata de patches de segurança fornecidos pela SAP, a revisão das configurações de segurança e o monitoramento rigoroso para qualquer atividade anômala.

A natureza crítica dos dados e processos gerenciados pelo SAP S/4HANA o torna um alvo de alto valor para cibercriminosos. Uma vulnerabilidade sob ataque ativo significa que os atacantes já desenvolveram e estão utilizando métodos para explorar a falha. A demora na aplicação de patches pode expor as organizações a riscos significativos de violação de dados e impactos operacionais. Além disso, a complexidade dos ambientes SAP exige equipes de segurança altamente especializadas para garantir que as atualizações sejam aplicadas corretamente e que as configurações de segurança estejam otimizadas para proteger contra vetores de ataque conhecidos e emergentes.

🇧🇷 Impacto no Cenário Brasileiro

Os incidentes e tendências descritos acima têm um impacto direto e profundo no cenário de cibersegurança brasileiro, especialmente para CISOs e gestores de TI.

O ataque de ransomware KillSec à MedicSolution é um alerta contundente para todo o setor de saúde brasileiro. A exposição de dados de pacientes no Brasil é uma violação grave da LGPD (Lei Geral de Proteção de Dados), que impõe sanções severas e danos reputacionais significativos. Hospitais, clínicas e provedores de software de saúde devem urgentemente reavaliar suas defesas contra ransomware, a segurança da cadeia de suprimentos e a configuração de ambientes em nuvem, como os buckets S3. A interrupção dos serviços de saúde devido a ransomware pode levar a consequências diretas para a vida dos pacientes, elevando a gravidade do risco.

O aumento de credenciais vazadas e ataques de phishing impulsionados por IA é uma ameaça transversal que atinge todos os setores no Brasil. Empresas do setor financeiro (BACEN), e-commerce, serviços e governo são particularmente vulneráveis. A engenharia social em português brasileiro, o uso de deepfakes e campanhas de phishing altamente personalizadas representam um desafio complexo para a conscientização dos funcionários e para as tecnologias de detecção. O roubo de tokens OAuth e o comprometimento de identidades (humanas e não-humanas) podem levar a acessos não autorizados a sistemas críticos, fraudes financeiras e roubo de dados que, novamente, violam diretamente a LGPD. A necessidade de uma gestão de identidade e acesso (IAM) robusta e de Autenticação Multifator (MFA) resistente a phishing é mais crítica do que nunca.

A vulnerabilidade crítica no SAP S/4HANA impacta diretamente grandes empresas e órgãos governamentais no Brasil que utilizam esse ERP para gerenciar suas operações. Setores como indústria, varejo, agronegócio e setor público dependem fortemente do SAP. Uma exploração bem-sucedida pode paralisar cadeias de produção, sistemas financeiros e plataformas de governo eletrônico, resultando em perdas financeiras massivas, danos à infraestrutura e comprometimento da confiança pública. A falta de patching e a visibilidade limitada sobre as vulnerabilidades em sistemas legados ou complexos são desafios comuns enfrentados pelas equipes de TI brasileiras.

Em termos de regulamentação, a LGPD é o pilar central que exige das empresas brasileiras a proteção dos dados pessoais. Os incidentes de ransomware e vazamento de credenciais resultam em violações diretas da LGPD, implicando multas pesadas (até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração), a obrigação de comunicar o incidente aos titulares dos dados e à Autoridade Nacional de Proteção de Dados (ANPD), além de ações judiciais e danos à reputação. Para o setor financeiro, o BACEN impõe regulamentações adicionais de cibersegurança que exigem a proteção de dados e sistemas financeiros. A falha em cumprir essas regulamentações não apenas expõe as empresas a riscos legais, mas também a descredibilidade no mercado.

🔒 Recomendações Práticas da Coneds

Diante do cenário de ameaças em constante evolução, a Coneds reforça a importância de uma abordagem estratégica e ações concretas para proteger seu ambiente digital:

1. Ação Imediata: Patching e Resposta a Incidentes de Ransomware: Priorize a aplicação imediata de patches para vulnerabilidades críticas, como no SAP S/4HANA e em sistemas de provedores de software. Desenvolva e teste um plano de resposta a incidentes de ransomware que inclua backups offline e imutáveis, procedimentos de isolamento e recuperação, e comunicação clara com stakeholders e autoridades (ANPD).
2. Curto Prazo (1-4 semanas): Fortalecimento da Gestão de Identidade e Acesso (IAM): Implemente MFA robusta (preferencialmente sem SMS, focando em tokens de hardware ou aplicativos) para todos os usuários, especialmente para contas privilegiadas. Revise e reforce políticas de senhas complexas e utilize gerenciadores de senhas corporativos. Inicie programas de treinamento de conscientização sobre phishing, com simulações regulares para testar a resiliência dos funcionários.
3. Médio Prazo (1-3 meses): Auditoria de Segurança em Nuvem e Cibersegurança da Cadeia de Suprimentos: Realize auditorias de configuração em ambientes de nuvem (AWS S3, Azure, Google Cloud) para identificar e corrigir buckets e recursos mal configurados que possam expor dados. Implemente uma gestão de riscos de terceiros, avaliando a postura de segurança de todos os fornecedores críticos, especialmente aqueles que acessam ou armazenam dados sensíveis.
4. Estratégia Long-term: Adotar uma Arquitetura Zero Trust e Proteção de Identidades Não-Humanas: Evolua para um modelo de segurança Zero Trust, verificando cada solicitação de acesso independentemente da origem. Implemente soluções de Gerenciamento de Acesso Privilegiado (PAM) para controlar e monitorar identidades humanas e não-humanas (APIs, contas de serviço, agentes de IA). Invista em inteligência de ameaças para monitorar domínios de typosquatting e campanhas de phishing direcionadas.
5. Governança: Compliance com LGPD e Regulamentações Setoriais: Garanta que suas políticas e procedimentos de cibersegurança estejam alinhados com a LGPD e outras regulamentações específicas do seu setor (ex: BACEN para o financeiro). Realize avaliações de impacto à proteção de dados (DPIA) e mantenha um DPO (Data Protection Officer) ativo para guiar a conformidade e a resposta a incidentes.
6. Treinamento: Capacitação Contínua da Equipe: Invista em programas de treinamento especializado em cibersegurança para toda a equipe, desde usuários finais até equipes de TI e segurança. Foco em tópicos como detecção de phishing avançado, segurança em nuvem, gestão de identidade e resposta a incidentes.

❓ Perguntas Frequentes

P: Qual a principal lição do ataque KillSec à MedicSolution?

R: A principal lição é a criticidade da segurança da cadeia de suprimentos e a correta configuração de ambientes em nuvem. Mesmo empresas com boas defesas podem ser comprometidas via terceiros ou por falhas básicas como buckets S3 expostos, resultando em vazamento massivo de dados sensíveis e violação da LGPD.

P: Como as empresas brasileiras podem se proteger contra o aumento das credenciais vazadas e o phishing com IA?

R: É fundamental implementar MFA resistente a phishing, educar continuamente os funcionários sobre técnicas de engenharia social (incluindo deepfakes), e adotar uma gestão de identidades e acessos (IAM) robusta. Além disso, monitorar proativamente vazamentos de credenciais corporativas na dark web e utilizar soluções de gerenciamento de acesso privilegiado (PAM) são essenciais.

P: Minha empresa usa SAP. O que devo fazer sobre a vulnerabilidade crítica no S/4HANA?

R: Monitore os avisos de segurança da SAP e aplique imediatamente quaisquer patches de segurança liberados. É crucial ter uma equipe especializada em segurança SAP para avaliar o impacto, testar e implementar as correções de forma eficiente, garantindo a continuidade e a segurança das operações.

P: Como a Coneds pode ajudar minha empresa a fortalecer sua postura de cibersegurança?

R: A Coneds oferece treinamentos especializados e consultoria em cibersegurança focados nas ameaças mais relevantes para o mercado brasileiro. Nossos programas abrangem desde a conscientização de usuários finais até capacitações técnicas avançadas em segurança de nuvem, gestão de identidade, resposta a incidentes e conformidade com a LGPD, capacitando sua equipe para enfrentar os desafios atuais e futuros.

Conclusão

O ano de 2025 tem se mostrado um período de intensa atividade no cenário cibernético, com ameaças como o ransomware KillSec no setor de saúde, o preocupante aumento de credenciais vazadas impulsionado por IA e a exploração ativa de vulnerabilidades em sistemas críticos como o SAP S/4HANA. Estes incidentes não são apenas manchetes distantes; eles representam riscos tangíveis e imediatos para as empresas brasileiras, com potenciais impactos devastadores na operação, na reputação e no cumprimento das exigências regulatórias, especialmente a LGPD.

A era da segurança perimetral está obsoleta. A defesa eficaz exige uma abordagem holística que priorize a identidade como o novo perímetro, a segurança na nuvem como um pilar fundamental e a resiliência contra ransomware como uma capacidade essencial. CISOs e gestores de TI devem liderar a transformação, investindo em tecnologia, processos e, crucialmente, em pessoas. A conscientização e o treinamento contínuos da equipe são a primeira linha de defesa contra táticas de engenharia social cada vez mais sofisticadas.

Não espere pelo próximo incidente para reagir. A proatividade é a chave para a sobrevivência no ambiente cibernético de hoje. Avalie suas vulnerabilidades, reforce suas defesas, capacite sua equipe e adote uma postura de segurança adaptativa. A proteção dos seus dados e a continuidade dos seus negócios dependem disso.

---

📚 Aprenda mais: Eleve sua defesa cibernética com os treinamentos especializados da Coneds em Segurança em Nuvem, Resposta a Incidentes e Conformidade com a LGPD. Visite nosso site e explore nossas soluções em coneds.com.br.

🔗 Fontes:

• Dark Reading: KillSec Ransomware Hits Brazil's Healthcare Sector (September 15, 2025) - https://www.darkreading.com/cyberattacks-data-breaches/killsec-ransomware-brazil-healthcare-software-provider
• SCWorld.com: Leaked credentials increase 160% in 2025, researchers say (March 24, 2025) - https://www.scworld.com/news/leaked-credentials-increase-160-in-2025-researchers-say
• Dark Reading: Critical SAP S/4HANA Vulnerability Under Attack, Patch Now (September 5, 2025) - https://www.darkreading.com/vulnerabilities-threats/sap-4hana-vulnerability-under-attack
• Dark Reading: When One Hospital Gets Ransomware, Others Feel the Pain (August 26, 2025) - https://www.darkreading.com/cybersecurity-operations/hospital-gets-ransomware-others-feel-pain
• SCWorld.com: Black Hat 2025 Insights: Identity's no longer an afterthought (September 9, 2025) - https://www.scworld.com/perspective/black-hat-2025-insights-identitys-no-longer-an-afterthought