Skip to main content
HashnodeConeds NewsConeds News

Command Palette

Search for a command to run...

Ciberataques 2025: Riscos, Impactos e Defesas Essenciais para o Mercado Brasileiro

Published
13 min read
M
Matheus Banhos

Ciberataques 2025: Riscos, Impactos e Defesas Essenciais para o Mercado Brasileiro

Meta descrição: Analisamos os ciberataques mais recentes de dezembro de 2025, destacando ameaças como supply chain e engenharia social com IA. Estratégias de defesa essenciais.

O cenário da cibersegurança global nunca esteve tão dinâmico e desafiador quanto em dezembro de 2025. Com a proliferação de tecnologias avançadas e a interconectividade sem precedentes, as organizações se veem em uma corrida contínua contra adversários cada vez mais sofisticados. Para CISOs, gestores de TI e analistas de segurança no Brasil, a compreensão das ameaças emergentes e das vulnerabilidades exploradas em ataques recentes é crucial para a proteção de dados e infraestruturas críticas. As notícias dos últimos dias revelam uma intensificação das táticas de ransomware, a pervasividade dos ataques à cadeia de suprimentos e o uso alarmante da Inteligência Artificial para potencializar golpes de engenharia social.

Neste artigo, a Coneds, sua parceira em educação e inteligência em cibersegurança, mergulha nos incidentes mais recentes, fornecendo uma análise técnica aprofundada e recomendações práticas. Nosso foco é munir os profissionais brasileiros com o conhecimento necessário para enfrentar esses desafios, garantir a conformidade com a LGPD e fortalecer a resiliência de suas empresas. A complexidade dos ataques atuais exige uma abordagem multifacetada, combinando tecnologia de ponta, processos robustos e, acima de tudo, capacitação humana contínua. As ameaças de hoje são apenas um prenúncio do que virá; preparar-se agora é uma questão de sobrevivência e sustentabilidade para qualquer negócio no ambiente digital.

⚡ Resumo Executivo

  • Cadeia de Suprimentos: Ataques a fornecedores e vulnerabilidades em softwares de terceiros (ex: Oracle EBS, SonicWall) são vetores críticos de comprometimento.
  • Engenharia Social com IA: O uso de deepfakes e LLMs para criar phishing e vishing hiper-realistas eleva o risco de comprometimento de credenciais e fraude.
  • Setor Financeiro e Saúde: Continuam sendo os alvos mais lucrativos para ransomware e roubo de dados, com impactos regulatórios severos (LGPD, BACEN).
  • Vulnerabilidades Ativas: A exploração rápida de CVEs recém-descobertos em softwares amplamente utilizados exige patching imediato e gestão proativa de vulnerabilidades.

Ataques à Cadeia de Suprimentos: A Fragilidade do Elo Mais Fraco

Ataques à cadeia de suprimentos tornaram-se uma das táticas mais eficazes e insidiosas para cibercriminosos em 2025, transformando um ponto de falha em um vetor de comprometimento massivo. Em vez de atacar diretamente alvos bem-defendidos, os adversários miram em fornecedores e softwares de terceiros, que muitas vezes possuem controles de segurança mais brandos. Uma vez comprometidos, esses elos mais fracos servem como porta de entrada para uma vasta rede de clientes.

Um exemplo contundente dessa tendência foi a campanha generalizada do grupo Cl0p, que continuou a explorar vulnerabilidades em plataformas de software empresarial, como o Oracle E-Business Suite (EBS). Em dezembro de 2025, diversas instituições, incluindo grandes universidades e corporações como Canon, Mazda e Logitech, divulgaram incidentes relacionados a essa campanha, iniciada em outubro-novembro de 2025. A vulnerabilidade central explorada foi a CVE-2025-61882, classificada com um CVSS de 9.8 (Crítica), permitindo que os atacantes acessassem dados pessoais e financeiros através de sistemas Oracle EBS usados para funções críticas de negócio. Essa vulnerabilidade, descoberta e explorada por meses antes de ser publicamente divulgada e corrigida, permitiu a exfiltração de informações altamente sensíveis, como números de Seguridade Social e dados bancários.

Outro incidente notável que reforça a gravidade dos ataques à cadeia de suprimentos é o comprometimento da Marquis Software Solutions, divulgado em dezembro de 2025. Uma intrusão de ransomware, que teve sua origem detectada em 14 de agosto de 2025, explorou uma falha de firewall SonicWall, especificamente as vulnerabilidades CVE-2024-40766 e CVE-2024-53704. Essas falhas, que permitem o bypass de autenticação e o roubo de credenciais de VPN e IDs de sessão, foram usadas para acessar sistemas que continham registros financeiros de 788.000 clientes, espalhados por 74 bancos e cooperativas de crédito. A exploração dessas vulnerabilidades permitiu aos atacantes o acesso a nomes, detalhes de contato, datas de nascimento, números de identificação fiscal (como SSNs nos EUA e possivelmente CPF no Brasil para análogos) e informações de contas, sem códigos de segurança. A demora na notificação dos indivíduos impactados pela Marquis Software gerou questionamentos sobre a conformidade regulatória, um ponto de atenção para a LGPD no Brasil.

A escala e o impacto desses ataques são vastos. Quando um fornecedor central ou uma plataforma de software amplamente utilizada é comprometida, o efeito cascata pode ser devastador, atingindo centenas ou milhares de organizações downstream que confiam na segurança do provedor. Estes incidentes demonstram que a postura de segurança de uma empresa é tão forte quanto o elo mais fraco em sua cadeia de suprimentos digital. A complexidade das integrações e a dependência de serviços externos exigem uma reavaliação contínua e aprofundada da segurança de terceiros, bem como a implementação de estratégias robustas de gerenciamento de risco de fornecedores.

A Profundidade da Ameaça de Software de Terceiros

As vulnerabilidades como CVE-2025-61882 no Oracle EBS e CVE-2024-40766, CVE-2024-53704 no SonicWall destacam como mesmo produtos de segurança renomados ou sistemas empresariais críticos podem se tornar vetores de ataque se não forem rigorosamente gerenciados e atualizados. A exploração bem-sucedida dessas falhas muitas vezes não requer ataques de "dia zero" completamente desconhecidos, mas sim a rápida capitalização de vulnerabilidades recém-divulgadas ou configurações inadequadas. A CVE-2025-61882, por exemplo, ilustra a capacidade de grupos de ransomware de não apenas roubar dados, mas também de desestabilizar operações críticas, forçando empresas a lidarem com interrupções significativas e custos de recuperação exorbitantes. A negligência no patching e na aplicação de configurações seguras é um convite aberto para esses ataques.

Engenharia Social Impulsionada por IA: A Nova Fronteira da Decepção

A engenharia social sempre foi uma das ferramentas mais eficazes dos cibercriminosos, explorando a psicologia humana para contornar as defesas tecnológicas. Em 2025, a ascensão da Inteligência Artificial generativa (GenAI), incluindo Large Language Models (LLMs) e tecnologias de deepfake, elevou essa ameaça a um patamar sem precedentes. A IA não apenas aumenta o volume e a velocidade dos ataques, mas também aprimora sua qualidade e poder de persuasão, tornando-os quase indistinguíveis de comunicações legítimas.

Os criminosos estão utilizando LLMs para criar e-mails de phishing (spear phishing) hiper-realistas, mensagens de texto (smishing) e até mesmo roteiros para chamadas de voz (vishing). Em vez dos antigos e-mails com erros gramaticais e contextos genéricos, a IA permite a geração de conteúdo contextualizado, personalizado e linguisticamente impecável, imitando perfeitamente o estilo de escrita de um colega, gerente ou fornecedor. Isso cria um senso de urgência e legitimidade que dificulta a detecção por parte dos usuários. Incidentes recentes, como o "Harvard Donor Data Breach", revelam como ataques baseados em phishing telefônico (vishing) e engenharia social conseguem obter credenciais de acesso, resultando no comprometimento de registros de doadores e dados de contato sensíveis, destacando a vulnerabilidade mesmo em instituições altamente seguras.

Além disso, a tecnologia de deepfake adiciona uma camada ainda mais complexa e perigosa. Com ela, os atacantes podem criar vídeos e áudios falsos que replicam vozes e imagens de pessoas reais com impressionante fidelidade. Imagine um golpista usando a voz clonada de um CEO para autorizar uma transferência bancária fraudulenta ou um deepfake de vídeo em uma chamada de conferência para legitimar uma solicitação maliciosa. Em fevereiro de 2025, um caso notório em Hong Kong viu um funcionário de finanças transferir cerca de 25,6 milhões de dólares após participar de uma videochamada onde todos os participantes, incluindo o suposto CFO, eram deepfakes. Essa capacidade de criar ilusões convincentes é um diferencial que torna os ataques de vishing e business email compromise (BEC) muito mais difíceis de serem detectados, mesmo por funcionários céticos.

A velocidade com que a IA generativa está sendo adotada por cibercriminosos é alarmante. Relatórios indicam que o volume de ataques de phishing aumentou em 1.265%, e os ataques de vishing impulsionados por IA subiram 442% entre o primeiro e o segundo semestre de 2024. Isso significa que os ataques não são apenas mais convincentes, mas também mais frequentes, sobrecarregando as defesas tradicionais e a capacidade de discernimento dos usuários. A "Shadow AI" – o uso não autorizado de ferramentas de GenAI por funcionários – também representa um risco crescente, pois dados proprietários podem ser inadvertidamente carregados em chatbots públicos ou assistentes de IA não auditados, criando vastas avenidas não monitoradas para vazamento de informações.

🇧🇷 Impacto no Cenário Brasileiro

O Brasil, com sua vasta digitalização e um histórico de alta incidência de golpes de engenharia social, está particularmente vulnerável às tendências de ciberataques observadas em dezembro de 2025. A combinação de ataques à cadeia de suprimentos e engenharia social impulsionada por IA apresenta um risco elevado para empresas de todos os portes e setores, desde o financeiro ao de saúde, passando por governamental e varejo.

Setores Mais Afetados:

  • Setor Financeiro (Bancos e Fintechs): A exploração de vulnerabilidades em fornecedores de software e plataformas, como visto no incidente da Marquis Software (com falhas SonicWall CVE-2024-40766, CVE-2024-53704), representa um perigo iminente. Bancos e cooperativas de crédito brasileiros que utilizam firewalls SonicWall ou dependem de softwares de terceiros para processamento de dados financeiros podem ser alvos diretos ou indiretos. A LGPD exige a proteção rigorosa dos dados bancários e transacionais, e um vazamento pode gerar multas milionárias e perda de confiança. As regulamentações do BACEN (Banco Central do Brasil) sobre cibersegurança e proteção de dados no setor financeiro, como a Resolução BCB nº 65, de 26 de agosto de 2021, tornam a atenção a essas vulnerabilidades ainda mais crítica.
  • Setor de Saúde: Já um dos alvos mais caros e visados globalmente, o setor de saúde brasileiro lida com um volume imenso de dados sensíveis. A exploração de vulnerabilidades em sistemas Oracle EBS (CVE-2025-61882), como a campanha do Cl0p, ou a exposição de PHI (Informações de Saúde Protegidas) via fornecedores (como no caso SimonMed Imaging), teriam sérias implicações para hospitais, clínicas e operadoras de planos de saúde no Brasil. Além das multas da LGPD, a interrupção de serviços essenciais e o impacto na vida dos pacientes são consequências diretas.
  • Governo e Empresas de Serviços Essenciais: A dependência de sistemas ERP, plataformas de gestão e infraestrutura de TI de terceiros é uma realidade em órgãos governamentais e empresas de utilities. Um ataque bem-sucedido à cadeia de suprimentos pode paralisar serviços públicos, vazar dados de cidadãos e comprometer a segurança nacional. A engenharia social, especialmente com o toque de IA, pode ser usada para comprometer funcionários de alto nível e obter acesso privilegiado a sistemas sensíveis.

Dados Locais e Contexto Regulatório (LGPD, BACEN): A LGPD (Lei Geral de Proteção de Dados) no Brasil estabelece requisitos rigorosos para a proteção de dados pessoais e impõe penalidades severas em caso de violação. Vazamentos de dados como CPF, números de contas, endereços e informações de saúde – categorias frequentemente expostas nos ataques de supply chain e engenharia social – podem resultar em multas de até 2% do faturamento da empresa no ano anterior, limitada a R$ 50 milhões por infração. A reputação e a confiança do cliente também são ativos inestimáveis que podem ser irremediavelmente perdidos. O Brasil tem uma cultura digital onde a proliferação de golpes via WhatsApp, e-mail e SMS já é massiva, e a IA só tornará esses golpes ainda mais convincentes e difíceis de serem detectados, exigindo uma abordagem de defesa mais robusta e treinamento contínuo.

🔒 Recomendações Práticas da Coneds

Para mitigar os riscos apresentados pelas ameaças mais recentes, a Coneds recomenda as seguintes ações práticas:

  1. Ação Imediata (Patching e Atualização): Mantenha todos os sistemas, especialmente firewalls, ERPs (como Oracle EBS), sistemas operacionais (Windows, Linux), navegadores (Chrome) e plataformas de colaboração (Microsoft Teams) rigorosamente atualizados. Priorize a aplicação de patches para vulnerabilidades críticas como CVE-2025-61882 (Oracle EBS), CVE-2024-40766 e CVE-2024-53704 (SonicWall).
  2. Curto Prazo (1-4 semanas - Revisão de Segurança de Terceiros): Realize uma auditoria completa dos fornecedores e parceiros da cadeia de suprimentos. Revise contratos, avalie as posturas de segurança dos terceiros e implemente controles de acesso e monitoramento rigorosos para qualquer sistema ou plataforma que se conecte à sua rede ou processe seus dados.
  3. Médio Prazo (1-3 meses - Treinamento Anti-IA para Engenharia Social): Desenvolva e implemente programas de treinamento de conscientização em segurança com foco específico em ataques de engenharia social impulsionados por IA, incluindo deepfakes e vishing. Eduque os funcionários sobre a detecção de áudios/vídeos alterados, e-mails de phishing ultra-realistas e as táticas mais recentes para evitar o comprometimento de credenciais.
  4. Estratégia Long-term (Zero Trust e Monitoramento Contínuo): Adote uma arquitetura de segurança Zero Trust, onde nenhum usuário ou dispositivo é confiável por padrão, mesmo dentro do perímetro da rede. Implemente soluções de detecção e resposta estendidas (XDR) e análise de comportamento de usuários e entidades (UEBA) para identificar atividades anômalas que possam indicar um comprometimento, mesmo que malware não seja utilizado.
  5. Governança (Políticas para Shadow AI e Resposta a Incidentes): Crie e faça cumprir políticas claras sobre o uso de ferramentas de IA generativa por funcionários, especialmente no que se refere ao upload de dados corporativos para plataformas públicas. Desenvolva e teste regularmente um plano de resposta a incidentes que contemple ataques à cadeia de suprimentos e cenários de engenharia social avançada, garantindo conformidade com a LGPD e outras regulamentações aplicáveis.
  6. Autenticação Reforçada (MFA e Passwordless): Implemente autenticação multifator (MFA) resistente a phishing (ex: chaves de segurança FIDO2) para todos os acessos, especialmente para contas privilegiadas. Considere a transição para soluções de autenticação sem senha (passwordless) para reduzir o risco associado a credenciais comprometidas.

❓ Perguntas Frequentes

P: Como a IA generativa está mudando a natureza dos ataques de phishing?

R: A IA generativa permite que os atacantes criem e-mails e mensagens de phishing com linguagem impecável, contextualizada e personalizada, que imita perfeitamente as comunicações legítimas. Isso aumenta drasticamente a taxa de sucesso dos golpes e dificulta a detecção por humanos e sistemas de segurança tradicionais.

P: Quais são os principais riscos dos ataques à cadeia de suprimentos para empresas brasileiras?

R: Empresas brasileiras que dependem de fornecedores de software, plataformas de cloud ou serviços de TI de terceiros estão em risco de ter seus dados ou operações comprometidos se esses fornecedores forem atacados. Isso pode resultar em vazamento de dados pessoais (com multas da LGPD), interrupção de serviços e perda de reputação, afetando setores como financeiro, saúde e governo.

P: Como a Coneds pode ajudar minha equipe a se preparar para essas novas ameaças?

R: A Coneds oferece treinamentos especializados em cibersegurança, incluindo módulos focados em gestão de riscos de terceiros, detecção e resposta a engenharia social avançada (com IA), e conformidade com a LGPD. Nossos programas são desenhados para capacitar profissionais de TI, CISOs e gestores com o conhecimento técnico e as estratégias práticas necessárias para defender suas organizações.

Conclusão

O panorama da cibersegurança em dezembro de 2025 é um testemunho da evolução implacável das ameaças digitais. A complexidade dos ataques à cadeia de suprimentos e a sofisticação da engenharia social impulsionada pela Inteligência Artificial não são apenas tendências distantes, mas realidades que batem à porta das empresas brasileiras. Os incidentes recentes em organizações globais servem como um alerta claro: a proatividade, a vigilância e a educação contínua são os pilares de uma defesa eficaz. A conformidade regulatória, como a LGPD no Brasil e as normas do BACEN, não deve ser vista apenas como uma obrigação, mas como uma estratégia fundamental para proteger os ativos mais valiosos de uma organização: seus dados e a confiança de seus clientes.

É imperativo que líderes e profissionais de segurança invistam na atualização de suas defesas, adotando tecnologias avançadas, revisando processos e, crucialmente, capacitando suas equipes. A inteligência artificial, embora seja uma ferramenta poderosa nas mãos dos atacantes, também oferece soluções inovadoras para os defensores, desde que implementada de forma estratégica e governada por políticas claras. A resiliência cibernética de uma organização não se mede apenas pela capacidade de prevenir ataques, mas pela rapidez e eficácia com que consegue detectá-los, contê-los e se recuperar. A jornada para uma cibersegurança robusta é contínua e exige um compromisso inabalável com a excelência.

📚 Aprenda mais: Eleve a segurança da sua empresa com os treinamentos especializados da Coneds. Explore nossos cursos sobre Gestão de Riscos de Terceiros e Defesa contra Engenharia Social com IA em coneds.com.br/treinamentos.

🔗 Fontes:

  • Bright Defense. (Updated December 11, 2025). List of Recent Data Breaches in 2025. Disponível em: https://www.brightdefense.com/resources/recent-data-breaches/ (Acessado em 13 de dezembro de 2025).
  • SC World. (December 4, 2025). Ransomware attack on Marquis Software Solutions targeted 74 banks. Disponível em: https://www.scworld.com/news/ransomware-attack-on-marquis-software-solutions-targets-74-banks (Acessado em 13 de dezembro de 2025).
  • Security Week. (December 3, 2025). Penn and Phoenix Universities Disclose Data Breach After Oracle Hack. Disponível em: https://www.securityweek.com/penn-and-phoenix-universities-disclose-data-breach-after-oracle-hack/ (Acessado em 13 de dezembro de 2025).
  • CyberPress. (Novembro de 2025). Allianz UK Joins Expanding Oracle E-Business Suite Attack Victims, Clop Exploits CVE-2025-61882. Disponível em: https://cyberpress.org/joins-expanding-oracle-e-busines/ (Acessado em 13 de dezembro de 2025).
  • The Harvard Crimson. (November 22, 2025). Harvard Donor Data Breach Follows 3 Ivy Attacks in 2025. Disponível em: https://www.thecrimson.com/article/2025/11/22/alumni-affairs-data-breach/ (Acessado em 13 de dezembro de 2025).
  • DeepStrike. (November 29, 2025). Cybersecurity Statistics 2025: Key Trends & Breach Costs. Disponível em: https://deepstrike.io/blog/cybersecurity-statistics-2025-threats-trends-challenges (Acessado em 13 de dezembro de 2025).
  • Dark Reading. (May 22, 2025). 3AM Ransomware Adopts Email Bombing, Vishing Combo Attack. Disponível em: https://www.darkreading.com/threat-intelligence/3am-ransomware-adopts-email-bombing-vishing (Acessado em 13 de dezembro de 2025).
  • IBM. (2025). Cost of a Data Breach Report 2025. Disponível em: https://www.ibm.com/reports/data-breach (Acessado em 13 de dezembro de 2025).
  • NVD - National Vulnerability Database. https://nvd.nist.gov/ (Para consulta de CVEs - Acessado em 13 de dezembro de 2025).
#ciberseguran-a#coneds#cyber-attacks#infosec#seguran-a-digital

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

C

Coneds News

251 posts