Skip to main content
HashnodeConeds NewsConeds News

Command Palette

Search for a command to run...

Cibercrime 2025: Ransomware, Supply Chain e a Escalada da Engenharia Social no Brasil

Published
13 min read
M
Matheus Banhos

Cibercrime 2025: Ransomware, Supply Chain e a Escalada da Engenharia Social no Brasil

Meta descrição: Analise as tendências do cibercrime em 2025, com foco em ransomware, ataques à cadeia de suprimentos e engenharia social. Saiba como CISOs e gestores de TI brasileiros podem proteger suas empresas contra as ameaças mais recentes, cumprindo a LGPD.

A paisagem da cibersegurança global está em constante mutação, e 2025 não é exceção. Para profissionais de TI, CISOs e gestores de segurança no Brasil, a compreensão das ameaças emergentes e a implementação de defesas proativas são mais críticas do que nunca. Não estamos apenas lutando contra ataques isolados; enfrentamos um ecossistema de cibercrime cada vez mais sofisticado, onde a inteligência artificial amplifica táticas antigas e novas vulnerabilidades surgem a uma velocidade alarmante. No último ano, vimos uma consolidação de métodos de ataque eficazes, com o ransomware continuando a ser uma praga devastadora, muitas vezes facilitado por comprometimentos na cadeia de suprimentos. Paralelamente, a engenharia social se mantém como o vetor de ataque inicial mais prevalente, enganando a "última linha de defesa": o ser humano. Enquanto regulamentações como a LGPD amadurecem, a pressão para garantir a conformidade e a resiliência operacional aumenta. Este artigo se aprofunda nos desafios mais urgentes, oferecendo uma análise técnica e recomendações práticas para fortalecer a postura de segurança de sua organização no cenário brasileiro atual.

⚡ Resumo Executivo

  • Ransomware e Cadeia de Suprimentos: Ataques continuam a ser uma ameaça primordial, com grupos como RansomHub preenchendo o vácuo de operações desmanteladas, e a cadeia de suprimentos sendo um vetor de entrada crítico.
  • Engenharia Social Aprimorada por IA: Phishing, BEC e outras táticas de engenharia social são a raiz da maioria dos ataques, agora potencializadas pela capacidade da IA de criar fraudes mais convincentes e em larga escala.
  • Vulnerabilidades de Dispositivos e Software: Lacunas em firewalls Zyxel (CVEs: CVE-2023-6397, CVE-2023-6399, CVE-2023-6764, CVE-2023-6398) exemplificam a persistência de falhas em infraestruturas críticas e a necessidade de gestão de patches rigorosa.
  • Resiliência Cibernética: É imperativo ir além da prevenção, focando na capacidade de recuperação rápida e eficaz de incidentes para minimizar o impacto financeiro e operacional.

A Ascensão Inabalável do Ransomware e a Fragilidade da Cadeia de Suprimentos

O ano de 2025 reafirma o ransomware como uma das maiores ameaças ao cenário corporativo global e, consequentemente, ao brasileiro. Longe de ser uma onda passageira, ele evoluiu para um modelo de negócio altamente lucrativo para os criminosos, com a proliferação de Ransomware-as-a-Service (RaaS) democratizando o acesso a ferramentas de ataque sofisticadas. Recentemente, observamos a rápida ascensão de novas gangues, como a RansomHub, que preencheram o vácuo deixado pelo desmantelamento de grupos outrora dominantes como BlackCat/ALPHV e LockBit em 2024. Isso demonstra não apenas a persistência da ameaça, mas também a resiliência e adaptabilidade dos operadores de ransomware.

A estratégia de "dupla extorsão", onde os atacantes roubam dados antes de criptografá-los, continua a ser amplamente empregada, adicionando uma camada extra de pressão sobre as vítimas para pagar o resgate, a fim de evitar a exposição de dados sensíveis. Incidentes em setores críticos, como saúde e infraestrutura, destacam o potencial paralisante desses ataques, que não apenas causam perdas financeiras massivas (com custos de recuperação médios atingindo milhões de dólares, segundo relatórios de 2024), mas também podem ter impactos humanos e operacionais severos.

Um vetor de entrada cada vez mais explorado pelos operadores de ransomware é a cadeia de suprimentos. Ao comprometer um fornecedor ou parceiro de software, os atacantes conseguem uma "porta dos fundos" para múltiplos alvos. A complexidade das dependências de código aberto e a vasta rede de parceiros de negócios tornam a cadeia de suprimentos um alvo atraente e difícil de proteger. Empresas frequentemente desconhecem a extensão total de seus fornecedores terceirizados, criando pontos cegos significativos na sua postura de segurança. A exploração de vulnerabilidades em softwares ou dispositivos utilizados por um elo da cadeia pode, inadvertidamente, expor toda uma rede de empresas, ressaltando a interconexão do risco cibernético. A vigilância contínua sobre a superfície de ataque digital da cadeia de suprimentos e a due diligence robusta com terceiros são agora indispensáveis.

Engenharia Social e a Era da Manipulação Impulsionada por IA

Se o ransomware é a arma, a engenharia social é, na vasta maioria dos casos, o gatilho. Relatórios recentes de segurança cibernética continuam a apontar a engenharia social – incluindo phishing, smishing, vishing e Business Email Compromise (BEC) – como a principal causa raiz de violações de dados e ataques bem-sucedidos. Os atacantes exploram o elo mais fraco de qualquer sistema: o fator humano. Distrações, falta de treinamento, pressa ou simplesmente a crença de que "isso não acontecerá comigo" são elementos explorados com maestria pelos cibercriminosos.

O que torna essa ameaça ainda mais premente em 2025 é a integração da Inteligência Artificial (IA) nas táticas de engenharia social. Ferramentas de IA generativa permitem que criminosos criem e-mails de phishing e mensagens de texto com uma autenticidade e personalização sem precedentes, dificultando a detecção até mesmo por usuários mais vigilantes. A IA pode ser usada para:

  • Gerar textos perfeitos e contextuais: Criando e-mails sem erros gramaticais ou de digitação, com linguajar que se assemelha ao de uma comunicação legítima da empresa, tornando-os mais convincentes.
  • Criar deepfakes de voz e imagem: Utilizados em ataques de vishing e BEC, onde a voz de um executivo ou a imagem de um colega pode ser falsificada para induzir ações fraudulentas.
  • Personalização em massa: A capacidade de processar grandes volumes de dados de reconhecimento (OSINT) e personalizar ataques para indivíduos específicos, tornando as iscas irresistíveis.

A vulnerabilidade humana, combinada com a capacidade da IA de escalar e refinar essas manipulações, exige uma mudança de paradigma nas estratégias de conscientização e treinamento de segurança. Não basta apenas ensinar a identificar e-mails suspeitos; é preciso construir uma cultura de desconfiança zero e verificação constante, especialmente em um ambiente de trabalho híbrido onde as fronteiras entre o pessoal e o profissional são frequentemente borradas. A negligência com práticas básicas de higiene cibernética, como senhas fracas ou reutilizadas, e a falta de autenticação multifator (MFA) resistente a phishing, continuam a ser falhas críticas exploradas por esses ataques.

Falhas Críticas em Dispositivos de Infraestrutura: O Caso Zyxel

Além dos vetores humanos, as vulnerabilidades em dispositivos de infraestrutura de rede continuam a ser portas de entrada para ataques sofisticados. Um exemplo notável, apesar de as patches terem sido lançadas, são as múltiplas vulnerabilidades críticas encontradas em firewalls e pontos de acesso da Zyxel. Estas incluem falhas de Execução Remota de Código (RCE) e desvio de autenticação que, se não corrigidas, podem dar aos atacantes controle total sobre os dispositivos.

As vulnerabilidades conhecidas incluem:

  • CVE-2023-6397, CVE-2023-6399, CVE-2023-6764: Falhas de segurança aplicáveis especificamente aos produtos de firewall da Zyxel.
  • CVE-2023-6398: Uma vulnerabilidade que afeta tanto firewalls quanto pontos de acesso.

O ponto crítico aqui é que, mesmo com patches disponíveis (versão de firmware ZLD V5.37 Patch 2 para firewalls e versões 6.29 ou 6.70 para APs, com alguns hotfixes diretos da Zyxel), muitas organizações podem não ter atualizado seus sistemas. Além disso, a Zyxel desabilitou completamente o Zero Touch Provisioning (ZTP) a partir do V5.37 patch 1, uma medida que indica a severidade das vulnerabilidades exploradas. A falta de emissão de CVEs para algumas dessas vulnerabilidades por parte da Zyxel, sob o argumento de que não estavam presentes nas versões mais recentes de firmware, cria um problema de conscientização: muitas empresas podem não ter sido alertadas sobre a necessidade crítica de atualização, expondo-se a riscos desnecessários. Isso ressalta a importância de um processo de gerenciamento de patches robusto e a monitorização ativa de alertas de segurança de todos os fornecedores de infraestrutura.

🇧🇷 Impacto no Cenário Brasileiro

O Brasil é um alvo fértil para as táticas de cibercrime discutidas. A digitalização acelerada de serviços, a vasta quantidade de dados pessoais e financeiros, e uma cultura de cibersegurança ainda em amadurecimento em muitas organizações criam um cenário propício para ataques.

  • Setores Mais Afetados: Os setores financeiro, de saúde, governo e varejo no Brasil são particularmente visados. O setor financeiro, regulado pelo Banco Central (BACEN), e a saúde, com dados sensíveis de milhões de pacientes, são alvos primordiais para ransomware e vazamentos de dados devido ao alto valor das informações. Empresas de médio porte, que frequentemente possuem menos recursos de segurança do que grandes corporações, são especialmente vulneráveis a ataques de ransomware.
  • Dados Locais e LGPD: A Lei Geral de Proteção de Dados (LGPD), em vigor desde setembro de 2020, impõe penalidades severas para o tratamento inadequado e o vazamento de dados pessoais. Incidentes de ransomware e engenharia social que resultam em comprometimento de dados podem acarretar multas milionárias, além de danos irreparáveis à reputação. A necessidade de notificação rápida e transparente de violações de dados, conforme a LGPD, coloca uma pressão adicional sobre as equipes de segurança para detecção e resposta ágeis.
  • Contexto Regulatório: Além da LGPD, o Brasil possui regulamentações setoriais importantes, como as circulares do BACEN para instituições financeiras e normas da ANS para operadoras de saúde. Essas regulamentações exigem uma postura de segurança robusta, incluindo gestão de riscos, planos de resposta a incidentes e treinamentos de conscientização. A proliferação de ataques de engenharia social e ransomware destaca a lacuna entre a conformidade documental e a resiliência operacional real.
  • Desafios Culturais e de Conscientização: A cultura de segurança cibernética no Brasil ainda precisa de aprimoramento. Muitos funcionários, e até mesmo gestores, subestimam o risco de clicar em um link malicioso ou de fornecer credenciais. A ausência de programas de treinamento contínuos e eficazes é um fator contribuinte para o sucesso dos ataques de engenharia social. A falta de investimento em ferramentas de segurança avançadas e equipes qualificadas também agrava o cenário.

Apesar da crescente conscientização, a adaptabilidade dos cibercriminosos e a complexidade do ambiente de TI exigem uma abordagem multifacetada e em constante evolução para proteger os ativos digitais e garantir a continuidade dos negócios no Brasil.

🔒 Recomendações Práticas da Coneds

Para enfrentar a complexidade das ameaças de ransomware, ataques à cadeia de suprimentos e a crescente sofisticação da engenharia social, as organizações brasileiras precisam adotar uma abordagem estratégica e multifacetada. A Coneds recomenda as seguintes ações práticas:

  1. Ação Imediata:

    • Patch Management Rigoroso: Priorize a aplicação de patches e atualizações de segurança para todos os sistemas, softwares e dispositivos de rede, com foco especial em vulnerabilidades críticas como as da Zyxel (CVE-2023-6397, CVE-2023-6399, CVE-2023-6764, CVE-2023-6398). Automatize esse processo sempre que possível.
    • Autenticação Multifator (MFA) Robusta: Implemente MFA resistente a phishing para todos os acessos, especialmente para contas privilegiadas e serviços externos. Utilize tokens de hardware ou aplicativos autenticadores em vez de SMS.

  2. Curto Prazo (1-4 semanas):

    • Simulações de Phishing e Conscientização: Realize campanhas de simulação de phishing regulares e treinamentos de conscientização focados nas táticas mais recentes de engenharia social, incluindo exemplos de ataques impulsionados por IA. Eduque os funcionários sobre como identificar e reportar tentativas de fraude.
    • Segmentação de Rede e Princípio do Menor Privilégio: Implemente a segmentação da rede para conter a propagação de ataques e garanta que os usuários e sistemas operem com o menor nível de privilégio necessário para suas funções.

  3. Médio Prazo (1-3 meses):

    • Backup e Plano de Recuperação de Desastres: Mantenha backups regulares, isolados e testados de todos os dados críticos. Desenvolva e teste um plano de recuperação de desastres abrangente para ransomware, garantindo a capacidade de restaurar operações rapidamente.
    • Avaliação de Segurança da Cadeia de Suprimentos: Realize avaliações de risco de segurança cibernética em fornecedores e parceiros críticos. Estabeleça requisitos de segurança claros nos contratos e monitore sua conformidade.
    • Monitoramento Ativo e Detecção de Ameaças: Implemente soluções de EDR (Endpoint Detection and Response) e SIEM (Security Information and Event Management) para monitorar atividades suspeitas em tempo real e detectar anomalias que possam indicar um ataque.

  4. Estratégia Long-term:

    • Arquitetura Zero Trust: Adote uma arquitetura Zero Trust, verificando a identidade e o contexto de cada solicitação de acesso, independentemente da localização do usuário ou do dispositivo.
    • Inteligência de Ameaças Contínua: Invista em inteligência de ameaças para se manter atualizado sobre táticas, técnicas e procedimentos (TTPs) dos adversários, especialmente aqueles relevantes para o mercado brasileiro.

  5. Governança:

    • Políticas e Procedimentos Claros: Estabeleça políticas de segurança cibernética claras e abrangentes, cobrindo áreas como uso aceitável, gestão de senhas, resposta a incidentes e proteção de dados. Revise-as e atualize-as regularmente.
    • Conformidade com Regulamentações: Garanta que todas as práticas de segurança estejam alinhadas com a LGPD, regulamentações do BACEN e outras normas aplicáveis, demonstrando um compromisso com a proteção de dados e a governança.

  6. Treinamento:

    • Programas de Conscientização Gamificados: Considere programas de conscientização gamificados e interativos para engajar os funcionários e melhorar a retenção do conhecimento em segurança cibernética.
    • Treinamento para Equipes Técnicas: Ofereça treinamento técnico aprofundado para as equipes de segurança, capacitando-as a lidar com incidentes de ransomware, realizar análises forenses e implementar defesas avançadas.

❓ Perguntas Frequentes

P: Como a IA está mudando a engenharia social e o que podemos fazer?

R: A IA generativa está permitindo que os cibercriminosos criem ataques de phishing e BEC mais sofisticados e personalizados, com textos sem erros e até deepfakes de voz/imagem. Para combater isso, é crucial intensificar o treinamento de conscientização com foco em exemplos reais de ataques impulsionados por IA, enfatizar a verificação cruzada de informações e implementar MFA resistente a phishing.

P: Qual o papel da LGPD e outras regulamentações brasileiras frente a esses ataques?

R: A LGPD exige que as empresas protejam dados pessoais e reportem violações. Ataques de ransomware e engenharia social que comprometem esses dados podem resultar em multas pesadas e danos à reputação. Regulamentações do BACEN, por exemplo, também impõem requisitos rigorosos para instituições financeiras. A conformidade não é apenas uma questão legal, mas um imperativo para a resiliência dos negócios no Brasil.

P: Por que a Coneds enfatiza tanto o treinamento contínuo?

R: Na Coneds, acreditamos que a tecnologia é apenas parte da solução. O fator humano é frequentemente o elo mais fraco. Treinamentos contínuos e atualizados, alinhados às ameaças mais recentes, capacitam os colaboradores a se tornarem a primeira linha de defesa, transformando o risco humano em resiliência. É um investimento fundamental para qualquer estratégia de cibersegurança eficaz.

Conclusão

O panorama da cibersegurança em 2025 exige uma vigilância incessante e uma capacidade de adaptação. O ransomware, com sua natureza destrutiva e modelos de ataque em constante evolução, continua a ser uma ameaça de ponta, frequentemente capitalizando vulnerabilidades na complexa teia da cadeia de suprimentos. Paralelamente, a engenharia social, amplificada pelas capacidades da Inteligência Artificial, explora as falhas humanas com uma precisão e escala nunca antes vistas. As violações em infraestruturas críticas, como firewalls Zyxel, servem como um lembrete severo de que a gestão de vulnerabilidades e a aplicação de patches não podem ser negligenciadas.

No contexto brasileiro, a relevância dessas ameaças é ainda maior, dada a sensibilidade dos dados regulamentados pela LGPD e a criticidade de setores como financeiro e saúde. A resiliência cibernética, a capacidade de resistir, detectar e se recuperar rapidamente de um ataque, tornou-se tão crucial quanto a prevenção. É um esforço contínuo que transcende a tecnologia, exigindo um compromisso organizacional profundo com a segurança. Apenas com uma abordagem holística, que combine soluções tecnológicas robustas, processos bem definidos e, acima de tudo, uma força de trabalho bem treinada e consciente, as organizações brasileiras poderão navegar com segurança neste cenário de ameaças em constante mudança.

📚 Aprenda mais: Eleve a segurança da sua equipe com os treinamentos especializados em Engenharia Social e Resposta a Incidentes da Coneds. Visite coneds.com.br e descubra como podemos fortalecer a postura de cibersegurança da sua empresa. 🔗 Fontes:

  • SC Media: "Ransomware 2024: A year of tricks, traps, wins and losses" (Publicado em 2024, data de acesso: 09 de novembro de 2025)
  • SC Media: "What security agencies, regulators, and businesses get wrong about cybersecurity" (Publicado em 2024, data de acesso: 09 de novembro de 2025)
  • SC Media: "Ransomware takes a back seat to AI on IT administrator worry lists" (Publicado em 2025, data de acesso: 09 de novembro de 2025)
  • SC Media: "Social Engineering: AI & Living Off The Land – Jayson E. Street – PSW #818" (Publicado em 28 de fevereiro de 2024, com discussões de vulnerabilidades relevantes para 2025, data de acesso: 09 de novembro de 2025)
  • Eclypsium Blog: "Don’t Play with Fire: Prioritize Zyxel Firewall Update to Fix Unreported Vulnerability" (Discute vulnerabilidades Zyxel com CVEs como CVE-2023-6397, CVE-2023-6399, CVE-2023-6764, CVE-2023-6398, data de acesso: 09 de novembro de 2025)
  • Dark Reading: "Change Healthcare Breach Impact Doubles to 190M People" (Publicado em 27 de janeiro de 2025, data de acesso: 09 de novembro de 2025)
  • Dark Reading: "More Orgs Suffered Successful Phishing Attacks in 2021 Than in 2020" (Publicado em 22 de fevereiro de 2022, dados ainda relevantes sobre a persistência do phishing, data de acesso: 09 de novembro de 2025)
  • SC Media: "Proactive law enforcement takedowns in 2024 reshaped the cybercrime ecosystem" (Publicado em 2024, data de acesso: 09 de novembro de 2025)
#ciberseguran-a#coneds#cyber-attacks#infosec#seguran-a-digital

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

C

Coneds News

251 posts