Skip to main content
HashnodeConeds NewsConeds News

Command Palette

Search for a command to run...

Cibersegurança 2025: Ameaças na Cadeia e a Ascensão da IA Maliciosa

Published
17 min read
M
Matheus Banhos

Cibersegurança 2025: Ameaças na Cadeia e a Ascensão da IA Maliciosa

Meta descrição: Análise das ciberameaças mais urgentes para empresas no Brasil em 2025: ataques à cadeia de suprimentos e engenharia social com IA. Proteja seu negócio.

No cenário atual de cibersegurança, a complexidade e a interconectividade dos ecossistemas digitais expõem as organizações a riscos sem precedentes. À medida que nos aproximamos do final de 2025, observamos uma intensificação nas táticas dos cibercriminosos, que se aproveitam não apenas de vulnerabilidades técnicas, mas também da dimensão humana e das intrincadas teias de fornecedores. A fronteira de defesa de uma empresa não se limita mais aos seus próprios perímetros; ela se estende a cada parceiro, cada software de terceiros e, alarmantemente, a cada interação humana que pode ser manipulada. No Brasil, essa realidade se choca com a necessidade urgente de conformidade com a LGPD e outras regulamentações, que elevam a barra da responsabilidade corporativa. Incidentes recentes, tanto globais quanto com reflexos locais, acendem um alerta crítico: as cadeias de suprimentos e a engenharia social, agora potencializadas pela Inteligência Artificial, são os campos de batalha onde a resiliência cibernética será verdadeiramente testada. Profissionais de TI, CISOs e gestores precisam urgentemente compreender essas dinâmicas para proteger dados, operações e a reputação de seus negócios.

⚡ Resumo Executivo

  • Cadeias de Suprimentos Sob Ataque: A dependência de fornecedores e softwares SaaS se tornou um vetor crítico para grandes violações de dados, exigindo vigilância redobrada.
  • Exploração de Zero-Days: Vulnerabilidades em softwares amplamente utilizados, como o Oracle E-Business Suite (CVE-2025-61882), são rapidamente exploradas por grupos como o Clop, com impactos cascata.
  • Ascensão da Engenharia Social com IA: Deepfakes e técnicas de phishing hiper-realistas, alimentadas por Inteligência Artificial, tornam a manipulação humana mais sofisticada e difícil de detectar.
  • Risco Contínuo de Ransomware: Os ataques de ransomware persistem, utilizando novas táticas de extorsão e exploração de terceiros para maximizar lucros e impacto.
  • Impacto da LGPD: A legislação brasileira de proteção de dados exige que as empresas aprofundem sua análise de risco de terceiros e melhorem a resposta a incidentes.

A Fragilidade da Cadeia de Suprimentos e as Vulnerabilidades Exploradas

A complexidade das operações modernas resultou em uma vasta e interconectada cadeia de suprimentos digital, onde cada elo representa um potencial ponto de falha. Em 2025, essa realidade se manifesta com incidentes de grande escala, demonstrando que a segurança de uma organização é tão forte quanto o elo mais fraco de sua rede de fornecedores e softwares.

Um exemplo contundente dessa vulnerabilidade é a série de incidentes envolvendo plataformas como o Salesforce, um CRM de nuvem utilizado por inúmeras empresas globalmente. Em meados de novembro de 2025, foi revelado que hackers conseguiram roubar dados hospedados no Salesforce de mais de 200 empresas ao comprometer aplicativos de terceiros, como os desenvolvidos pela Gainsight. O grupo "Scattered Lapsus Hunters" reivindicou a autoria, listando gigantes como Atlassian, GitLab e SonicWall entre as vítimas. A gravidade reside no fato de que o ataque não explorou falhas na plataforma central do Salesforce, mas sim nas conexões de aplicativos externos, que, embora parte do ecossistema, não são controlados diretamente pelo provedor principal. Essa dinâmica é particularmente perigosa, pois muitas empresas confiam cegamente na segurança de seus parceiros de SaaS, negligenciando a auditoria das integrações e permissões concedidas. A Qantas, por exemplo, também sofreu um vazamento de dados em outubro de 2025, com informações de 5,7 milhões de clientes expostas através de uma plataforma de atendimento ao cliente hospedada no Salesforce, reforçando a amplitude do problema.

Outro vetor de ataque igualmente preocupante é a exploração de vulnerabilidades de dia zero em softwares de uso massivo. O caso da Logitech, em novembro de 2025, ilustra essa ameaça. A empresa reportou uma violação de segurança decorrente da exploração de uma falha de dia zero em uma plataforma de software de terceiros, o que permitiu a cópia de dados de seus sistemas internos de TI. Posteriormente, o renomado grupo de ransomware Clop reivindicou o ataque, alegando ter acessado a Logitech através de um zero-day no Oracle E-Business Suite. Essa vulnerabilidade, identificada como CVE-2025-61882 e classificada com uma severidade CVSS de 9.8 (Crítica), permite upload de arquivos não autenticados e execução remota de código. Pesquisadores do Google Threat Intelligence Group acreditam que a exploração começou em julho de 2025, dando aos atacantes meses de vantagem antes da correção ser disponibilizada. A Allianz UK foi outra vítima confirmada, com seus sistemas de seguro residencial, automotivo, animal de estimação e viagens afetados pela mesma falha.

Esses incidentes sublinham uma verdade incômoda: a postura de segurança de uma organização está intrinsecamente ligada à de seus fornecedores e aos softwares que integra. Mesmo com defesas internas robustas, uma única falha em um sistema de terceiros pode abrir as portas para um comprometimento em larga escala. A explosão do modelo "as-a-Service" (XaaS) e a adoção de plataformas em nuvem amplificaram essa superfície de ataque, tornando a gestão de riscos de terceiros não apenas uma prática recomendada, mas uma imperativa estratégica e regulatória.

A rapidez com que os cibercriminosos, especialmente grupos bem organizados como o Clop, identificam e exploram essas vulnerabilidades é alarmante. Eles não apenas buscam dados para extorsão ou venda, mas também utilizam o acesso inicial para posicionamento estratégico, visando ataques mais profundos ou de maior impacto. A interconexão desses sistemas significa que um ataque a um fornecedor pode ter um efeito dominó, comprometendo múltiplos clientes em diferentes setores.

Ameaças em Softwares Amplamente Usados: O Caso Oracle E-Business Suite

O Oracle E-Business Suite (EBS) é uma plataforma de ERP (Enterprise Resource Planning) amplamente adotada por grandes corporações em diversos setores, incluindo finanças, manufatura e governo. A descoberta e exploração da vulnerabilidade CVE-2025-61882 representam um risco significativo devido à criticidade dos dados processados por esses sistemas. Com uma pontuação CVSS de 9.8, a falha permite a execução remota de código, o que significa que um atacante pode obter controle total sobre o sistema afetado sem a necessidade de autenticação. Isso pode levar à exfiltração de dados sensíveis, interrupção de processos de negócios e até mesmo à implantação de ransomware.

A exploração dessa vulnerabilidade pelo grupo Clop destaca a preferência de cibercriminosos por alvos de alto valor e por plataformas com grande base instalada. O ataque à Logitech e à Allianz UK serve como um lembrete vívido de que softwares de missão crítica, mesmo de fornecedores renomados, não estão imunes a falhas que, uma vez descobertas, podem ser rapidamente exploradas em campanhas globais.

A Era da Engenharia Social com IA: Deepfakes e Phishing Hiper-realista

Enquanto as vulnerabilidades técnicas continuam sendo um vetor crítico, a engenharia social permanece a porta de entrada mais eficaz para muitos ataques, e a Inteligência Artificial está elevando essa ameaça a um novo patamar de sofisticação. Em 2025, não estamos mais falando de e-mails com erros de português; a IA generativa permite a criação de iscas tão convincentes que desafiam até mesmo os profissionais mais céticos.

O incidente com a DoorDash, ocorrido em outubro de 2025 e divulgado em 18 de novembro de 2025, é um claro exemplo da persistência e eficácia da engenharia social. Um funcionário da empresa de entrega de alimentos foi vítima de um golpe de engenharia social, concedendo acesso a sistemas internos que continham nomes, números de telefone, endereços físicos e detalhes de e-mail de um número não divulgado de clientes. Embora dados sensíveis como números de CPF/SSN ou informações de cartão de crédito não tenham sido acessados, a exposição de dados de contato já é suficiente para habilitar campanhas de phishing e smishing altamente direcionadas, aumentando o risco de fraudes futuras para as vítimas. Este é o terceiro incidente de violação da DoorDash em seis anos, evidenciando a dificuldade de combater a engenharia social, mesmo com a implementação de novos controles e treinamentos.

Mais alarmante ainda é a ascensão dos deepfakes e do phishing hiper-realista, impulsionados pela IA. Em fevereiro de 2025, um caso notório em Hong Kong revelou a capacidade devastadora dessa tecnologia. Um funcionário de finanças de uma empresa multinacional foi enganado e transferiu aproximadamente US$25,6 milhões após participar de uma videoconferência onde todos os participantes, incluindo o suposto Chief Financial Officer (CFO), eram deepfakes. Inicialmente cético, o funcionário foi convencido pela aparente autenticidade da chamada, que utilizava recriações realistas de colegas, feitas a partir de imagens e áudios publicamente disponíveis. A fraude só foi descoberta após o funcionário verificar a solicitação com a sede da empresa.

Este caso, que parece saído de um filme de ficção científica, demonstra que a IA generativa não apenas melhora a escala e a qualidade das mensagens de phishing (tornando-as indistinguíveis de comunicações legítimas), mas também permite a criação de cenários de engenharia social multimídia que podem contornar as verificações humanas mais básicas. A capacidade de imitar vozes, rostos e até mesmo padrões de fala de executivos pode levar a comprometimentos de e-mail corporativo (BEC) de valores astronômicos, autorizações fraudulentas e vazamentos de informações confidenciais.

A IA também está sendo utilizada para otimizar o processo de ataque, desde a fase de reconhecimento, onde a IA pode analisar grandes volumes de dados públicos e roubados para identificar alvos e vetores, até a execução, criando malwares polimórficos que evadem detecção e automatizando movimentos laterais dentro de redes comprometidas. A barreira de entrada para cibercriminosos menos sofisticados está diminuindo, permitindo que eles lancem ataques antes restritos a grupos de ameaças persistentes avançadas (APTs).

A velocidade e a adaptabilidade da IA na criação de novos vetores de ataque significam que as defesas tradicionais baseadas em assinaturas e detecção de padrões fixos estão se tornando rapidamente obsoletas. A ameaça não é apenas a violação, mas a manipulação da percepção e da confiança, que são a base de qualquer operação de negócios.

🇧🇷 Impacto no Cenário Brasileiro

No Brasil, as tendências globais de ciberameaças se manifestam com particular intensidade devido a uma combinação de fatores, incluindo a digitalização acelerada, a complexidade regulatória da LGPD e, em alguns casos, a falta de investimentos proporcionais em cibersegurança. Para CISOs, analistas de segurança e gestores de TI brasileiros, compreender o impacto local é crucial.

Cadeia de Suprimentos: Empresas brasileiras, de bancos a grandes varejistas e indústrias, dependem maciçamente de sistemas ERP como SAP e Oracle EBS, além de uma vasta gama de softwares SaaS. A vulnerabilidade CVE-2025-61882 no Oracle E-Business Suite, por exemplo, é uma preocupação direta, já que muitos desses sistemas estão presentes em infraestruturas críticas nacionais. Um ataque bem-sucedido a um provedor de software ou serviço de nuvem pode ter repercussões severas em múltiplos setores, paralisando operações, comprometendo dados de clientes e gerando perdas financeiras substanciais. A falta de diligência na avaliação de segurança de fornecedores, algo comum em ecossistemas de TI fragmentados, amplifica o risco. A LGPD exige que as empresas sejam responsáveis pelos dados sob sua custódia, mesmo que processados por terceiros, o que significa que um incidente na cadeia de suprimentos pode resultar em multas pesadas e danos reputacionais.

Engenharia Social e IA Maliciosa: A cultura brasileira de forte interação social e a rápida adoção de tecnologias digitais criam um terreno fértil para ataques de engenharia social. A sofisticação trazida pela IA, com deepfakes e phishing hiper-realista, é uma ameaça especialmente perigosa. Imagine um CFO de uma grande empresa brasileira recebendo uma "chamada de emergência" de um "CEO" gerado por IA solicitando uma transferência urgente. Ou e-mails de phishing que imitam perfeitamente a comunicação interna de um banco ou órgão governamental, aproveitando o contexto cultural e até mesmo gírias para ganhar credibilidade. A falta de treinamento contínuo e a baixa conscientização em todos os níveis da empresa podem transformar deepfakes em vetores de fraudes milionárias.

Setores Mais Afetados:

  • Setor Financeiro: Bancos e cooperativas de crédito são alvos prioritários devido ao potencial de ganho financeiro direto. A dependência de ERPs e sistemas legados, além da intensa regulamentação (BACEN, LGPD), torna a resiliência um desafio constante. Um incidente como o da Marquis Software Solutions, que afetou bancos nos EUA, poderia ter um efeito devastador no Brasil.
  • Saúde: Hospitais, clínicas e operadoras de saúde lidam com um volume imenso de dados sensíveis (prontuários, informações de pagamento), tornando-os alvos lucrativos para ransomware e exfiltração de dados. A conformidade com a LGPD para dados de saúde é ainda mais rigorosa.
  • Governo: Sistemas governamentais contêm dados estratégicos e pessoais de cidadãos, sendo alvos de espionagem e ataques disruptivos. A integridade desses sistemas é vital para a confiança pública e a continuidade dos serviços.
  • Varejo e Logística: Empresas com grandes bases de clientes, como a DoorDash (que tem atuação no Brasil indiretamente através de parcerias e tendências de mercado), são vulneráveis a vazamentos de dados que podem levar a fraudes de identidade e campanhas de phishing contra seus consumidores.

Contexto Regulatório (LGPD, BACEN): A LGPD (Lei Geral de Proteção de Dados) no Brasil impõe obrigações rigorosas para o tratamento de dados pessoais. Violações, especialmente as resultantes de falhas em terceiros ou engenharia social, podem acarretar multas de até 2% do faturamento da empresa, limitadas a R$50 milhões por infração, além de sanções administrativas e danos reputacionais irreparáveis. A responsabilidade solidária em ataques à cadeia de suprimentos significa que a empresa controladora de dados não pode simplesmente culpar seu fornecedor.

O BACEN (Banco Central do Brasil), por sua vez, estabelece regras de cibersegurança para instituições financeiras, como a Resolução Conjunta nº 6, de 2023, que exige a implementação de uma política de segurança cibernética robusta e a gestão de riscos de terceiros. Incidentes de ransomware que afetam sistemas bancários, como o ataque ao Habib Bank (Suíça), seriam investigados sob essas diretrizes no Brasil.

Em resumo, o cenário brasileiro exige uma abordagem proativa e adaptativa. A simples conformidade não é suficiente; é preciso construir uma cultura de segurança robusta, com foco na conscientização, na gestão de riscos de terceiros e na capacidade de resposta rápida a incidentes, especialmente aqueles amplificados pelas novas capacidades da Inteligência Artificial.

🔒 Recomendações Práticas da Coneds

Para navegar com segurança no complexo cenário de ciberameaças de 2025, empresas brasileiras precisam adotar uma abordagem multifacetada e proativa. A Coneds recomenda as seguintes ações práticas:

  1. Ação Imediata: Revisão e Hardening da Cadeia de Suprimentos:

    • Auditoria de Terceiros: Faça uma revisão urgente de todos os fornecedores críticos, especialmente aqueles que acessam seus sistemas ou dados sensíveis (e.g., CRM, ERP, provedores de nuvem).
    • Acordos de Nível de Serviço (SLAs) de Segurança: Garanta que os contratos com fornecedores incluam cláusulas claras sobre responsabilidades de segurança, planos de resposta a incidentes e direito a auditorias.
    • Gerenciamento de Vulnerabilidades em Software de Terceiros: Identifique todos os softwares de terceiros (incluindo SaaS e APIs integradas) e estabeleça um processo rigoroso de monitoramento de vulnerabilidades, como a CVE-2025-61882 (Oracle EBS), e aplicação de patches.

  2. Curto Prazo (1-4 semanas): Fortalecimento Contra Engenharia Social e IA:

    • Treinamento de Conscientização Avançado: Implemente treinamentos regulares e interativos para todos os funcionários, com foco em reconhecimento de phishing, smishing, vishing e, crucialmente, ameaças de deepfake e IA generativa.
    • Autenticação Multifator (MFA) Ubíqua: Exija MFA em todas as contas corporativas e sistemas críticos, sem exceções, especialmente para acessos remotos e a plataformas de terceiros.
    • Protocolos de Verificação para Transações Críticas: Estabeleça e comunique claramente procedimentos de verificação fora de banda (e.g., segunda chamada telefônica para número conhecido) para autorizações financeiras ou mudanças de alto impacto, prevenindo golpes de deepfake.

  3. Médio Prazo (1-3 meses): Governança e Resiliência Ativa:

    • Simulações de Ataque e Testes de Penetração: Realize testes de penetração e exercícios de "red team" com foco em ataques à cadeia de suprimentos e engenharia social (incluindo tentativas de deepfake/phishing com IA) para identificar lacunas.
    • Segmentação de Rede e Princípio do Menor Privilégio: Implemente uma arquitetura de rede segmentada e adote o princípio do menor privilégio para limitar o acesso de usuários e sistemas apenas aos recursos essenciais, minimizando o impacto de uma violação.
    • Plano de Resposta a Incidentes (IRP) com Cenários de IA e Terceiros: Atualize seu IRP para incluir cenários específicos de comprometimento da cadeia de suprimentos, vazamentos por deepfake e incidentes envolvendo dados de terceiros, com papéis e responsabilidades bem definidos.

  4. Estratégia Long-term: Adotando Inteligência e Automação para Defesa:

    • Inteligência de Ameaças (CTI) Focada no Brasil: Invista em CTI que forneça informações relevantes sobre grupos de ameaça, táticas e vulnerabilidades com impacto no cenário brasileiro, incluindo o monitoramento da dark web.
    • Soluções de Segurança Baseadas em IA/ML: Implemente ferramentas de segurança que utilizem IA e Machine Learning para detecção de anomalias comportamentais, análise de tráfego de rede e identificação de ameaças avançadas, incluindo deepfakes.
    • Zero Trust (Confiança Zero): Adote gradualmente uma arquitetura de confiança zero, verificando continuamente todas as solicitações de acesso, independentemente da origem, para fortalecer a resiliência contra acessos não autorizados.

  5. Governança: Compromisso e Alinhamento:

    • Comitê de Segurança e Privacidade: Forme um comitê multidisciplinar com representantes da alta gestão, jurídico, TI e segurança para supervisionar a estratégia de cibersegurança e garantir a conformidade com a LGPD e outras regulamentações.
    • Indicadores de Desempenho e Risco (KPIs e KRIs): Monitore regularmente KPIs e KRIs de segurança para avaliar a eficácia das defesas e a postura de risco da organização.

  6. Treinamento:

    • Cultura de Cibersegurança: Fomente uma cultura organizacional onde a cibersegurança é uma responsabilidade compartilhada por todos, desde o estagiário até a diretoria, com programas de treinamento contínuos e adaptados.

❓ Perguntas Frequentes

P: Qual o principal risco da engenharia social com o uso de IA no Brasil?

R: O principal risco é a capacidade de criar ataques de phishing, smishing e vishing (por voz) extremamente convincentes e personalizados. Com deepfakes, criminosos podem imitar vozes e imagens de executivos ou autoridades, enganando funcionários para realizar transferências financeiras fraudulentas ou divulgar informações sensíveis, como visto na fraude de US$25 milhões em Hong Kong.

P: Como a LGPD afeta a responsabilidade de uma empresa brasileira em caso de um ataque à cadeia de suprimentos?

R: A LGPD impõe responsabilidade solidária. Se um provedor de serviços terceirizado sofrer uma violação de dados que afete os dados pessoais sob custódia da sua empresa, sua organização também poderá ser responsabilizada pelas sanções e multas da LGPD, além dos danos reputacionais. É crucial auditar e monitorar a segurança de todos os seus fornecedores.

P: O que são vulnerabilidades de dia zero (zero-day) e por que são tão perigosas?

R: Vulnerabilidades de dia zero são falhas de segurança em software ou hardware que são desconhecidas pelos desenvolvedores e, portanto, não possuem correção disponível. Elas são extremamente perigosas porque os atacantes podem explorá-las antes que qualquer patch seja lançado, como a CVE-2025-61882 no Oracle E-Business Suite. Isso as torna vetores de ataque muito eficazes e difíceis de detectar por defesas tradicionais.

P: Como a Coneds pode ajudar minha empresa a se proteger contra essas ameaças?

R: A Coneds oferece treinamentos especializados para CISOs, analistas de segurança e equipes de TI, cobrindo as mais recentes ameaças como ataques à cadeia de suprimentos, engenharia social avançada por IA e a gestão de conformidade com a LGPD. Nossos cursos práticos e atualizados capacitam seus profissionais a identificar, prevenir e responder a esses desafios, fortalecendo a postura de segurança da sua organização.

Conclusão

O ano de 2025 solidifica um cenário de cibersegurança onde as fronteiras tradicionais são fluidas e as ameaças evoluem a uma velocidade sem precedentes. Os ataques à cadeia de suprimentos e a ascensão da engenharia social impulsionada pela Inteligência Artificial não são meros incidentes isolados; eles representam uma transformação fundamental nas táticas adversárias. Empresas brasileiras, em particular, precisam encarar essa realidade com seriedade, reconhecendo que a dependência de terceiros e a manipulação humana são os calcanhares de Aquiles a serem protegidos com máxima prioridade. A conformidade com a LGPD não é apenas uma questão legal, mas um reflexo da maturidade da sua postura de segurança, exigindo uma visão holística que englobe não só seus próprios sistemas, mas todo o ecossistema de parceiros e a capacitação de seus colaboradores.

A inação ou a complacência diante dessas ameaças emergentes podem resultar em perdas financeiras catastróficas, danos irreparáveis à reputação e sérias implicações legais. A hora de agir é agora. É imperativo que líderes de TI e segurança invistam proativamente em estratégias de defesa robustas, que incluam a avaliação contínua de fornecedores, a implementação de controles rigorosos e, fundamentalmente, o desenvolvimento de uma cultura de cibersegurança que permeie toda a organização. A Inteligência Artificial, embora seja uma ferramenta poderosa nas mãos dos atacantes, também oferece soluções avançadas para a defesa, mas sua eficácia depende da capacitação humana para implementá-la e gerenciá-la de forma estratégica.

A Coneds está comprometida em ser sua parceira nessa jornada. Nossos treinamentos são desenhados para equipar seus profissionais com o conhecimento técnico e as habilidades práticas necessárias para enfrentar os desafios mais complexos do cenário atual. Não deixe que a próxima manchete seja sobre sua empresa. Invista na capacitação de sua equipe e fortaleça suas defesas.

📚 Aprenda mais: Eleve a expertise da sua equipe com nosso treinamento especializado em Gestão de Riscos Cibernéticos e Segurança da Cadeia de Suprimentos e Defesa contra Engenharia Social com IA em coneds.com.br. 🔗 Fontes:

  • BrightDefense.com. "List of Recent Cybersecurity Data Breaches in 2025." Atualizado em 28 de novembro de 2025.
  • CybersecurityNews.com. "Logitech Confirms Zero Day Breach After Clop Claims Data Theft." Publicado em novembro de 2025.
  • CyberPress.org. "Allianz UK Targeted in Clop’s Oracle E-Business Suite Attack." Publicado em novembro de 2025.
  • SCWorld.com. "Ransomware attack on Marquis Software Solutions targets 74 banks." Publicado em 4 de dezembro de 2025.
  • DarkReading.com. "Deepfake Scams Cost Hong Kong Firm $25 Million." Publicado em fevereiro de 2025.
  • Infosecurity-Magazine.com. "DoorDash Confirms Data Breach Exposing Customer Contact Data." Publicado em 18 de novembro de 2025.
  • National Institute of Standards and Technology (NIST). "National Vulnerability Database (NVD)". Dados de vulnerabilidades, incluindo CVEs.
#ciberseguran-a#coneds#cyber-attacks#infosec#seguran-a-digital

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

C

Coneds News

251 posts