Skip to main content
HashnodeConeds NewsConeds News

Command Palette

Search for a command to run...

Cibersegurança 2025: Desafios Urgentes para Lideranças de TI no Brasil

Published
13 min read
M
Matheus Banhos

Cibersegurança 2025: Desafios Urgentes para Lideranças de TI no Brasil

Meta descrição: Analisamos os ataques mais críticos de 2025: exploração do Oracle EBS, falhas na cadeia de suprimentos e deepfakes com IA. Entenda o impacto no Brasil e aprenda a se proteger com a Coneds.

No vibrante e complexo cenário digital de 2025, a cibersegurança deixou de ser uma preocupação meramente técnica para se consolidar como um pilar estratégico incontornável para qualquer organização. Hoje, 19 de dezembro de 2025, o custo anual do cibercrime globalmente se aproxima de impressionantes US$ 10,5 trilhões, evidenciando uma economia subterrânea robusta e cada vez mais sofisticada. Para CISOs, gestores de TI e analistas de segurança no Brasil, a paisagem de ameaças é dinâmica e exige vigilância constante, adaptabilidade e conhecimento aprofundado sobre as táticas emergentes dos adversários.

A interconectividade global, impulsionada pela nuvem e pela dependência de ecossistemas digitais complexos, transformou a superfície de ataque das empresas. Não se trata mais apenas de proteger o perímetro, mas de gerenciar riscos que se estendem por toda a cadeia de valor, incluindo fornecedores, parceiros e até mesmo as próprias identidades digitais de funcionários e clientes. Incidentes recentes em nível mundial servem como um alerta para o mercado brasileiro, que, com sua crescente digitalização e rigor regulatório imposto pela LGPD (Lei Geral de Proteção de Dados), não pode se dar ao luxo de ignorar essas tendências. Este artigo detalha as ameaças mais urgentes que marcaram 2025, seu impacto potencial no Brasil e as estratégias práticas que a Coneds recomenda para fortalecer suas defesas.

⚡ Resumo Executivo

  • Ataques à Cadeia de Suprimentos e SaaS: Vulnerabilidades em provedores de serviços e software (SaaS) de terceiros resultaram em vazamentos massivos de dados para centenas de empresas globalmente.
  • Exploração Crítica do Oracle EBS (CVE-2025-61882): Uma vulnerabilidade zero-day no Oracle E-Business Suite foi ativamente explorada, afetando grandes corporações e instituições de ensino, expondo dados sensíveis.
  • Ascensão dos Deepfakes com IA: A engenharia social foi revolucionada por deepfakes de voz e vídeo baseados em IA, enganando funcionários e resultando em perdas financeiras multimilionárias.
  • Custo Escalado do Cibercrime: O custo médio global de uma violação de dados em 2025 atingiu US$ 4,44 milhões, com a resiliência e a velocidade de resposta se tornando fatores cruciais para a mitigação.

Exploração Crítica no Oracle E-Business Suite: O CVE-2025-61882 em Foco

O ano de 2025 foi marcado pela exploração ativa de vulnerabilidades em sistemas de gestão empresarial (ERPs) amplamente utilizados, e o Oracle E-Business Suite (EBS) esteve no centro de uma campanha de ataques sofisticados. A vulnerabilidade CVE-2025-61882, descoberta e explorada ativamente por grupos como o Cl0p e outros, revelou a fragilidade de muitos ambientes corporativos, mesmo aqueles que se consideram bem protegidos. Esta falha, que permite a execução remota de código (RCE) e escalonamento de privilégios, representa um risco crítico devido à natureza sensível dos dados e das operações gerenciadas por um ERP.

A campanha de exploração da CVE-2025-61882 teve início em julho de 2025, com atacantes explorando a falha de forma silenciosa por meses, antes que a Oracle pudesse lançar as correções. Os patches foram disponibilizados em 4 de outubro de 2025, no entanto, muitas organizações só detectaram a intrusão quando e-mails de extorsão começaram a surgir, especialmente em novembro e dezembro de 2025. Entre as vítimas confirmadas globalmente, destacam-se a Universidade da Pensilvânia e a Universidade de Phoenix, que tiveram dados pessoais e financeiros de estudantes e funcionários expostos. Empresas como o Washington Post, GlobalLogic (com 10.500 funcionários afetados) e Logitech também foram atingidas, revelando que a vulnerabilidade não se limitava ao setor acadêmico. A Allianz UK, por exemplo, confirmou um incidente cibernético ligado à exploração do CVE-2025-61882 em seus sistemas que gerenciam apólices de seguro.

A natureza da CVE-2025-61882 como uma falha de "Use-After-Free" em componentes do Oracle EBS permitiu aos invasores manipular a memória para executar código arbitrário. Uma vez dentro do sistema, os atacantes podiam roubar dados de identificação pessoal (PII) e informações financeiras, ou até mesmo persistir na rede para futuros ataques. Este tipo de vulnerabilidade é particularmente perigoso porque visa o coração das operações de negócio, onde dados críticos são processados e armazenados. A exploração prolongada e a notificação tardia das vítimas demonstram a capacidade dos grupos de ameaça de permanecerem indetectados por longos períodos, aumentando o impacto e o custo das violações. Para organizações que dependem do Oracle EBS, a lição é clara: a atualização imediata e a gestão rigorosa de vulnerabilidades são imperativas.

Cadeia de Suprimentos Sob Ataque: O Elo Mais Fraco na Era do Cloud

Em 2025, os ataques à cadeia de suprimentos e a provedores de serviços em nuvem (SaaS) se consolidaram como uma das principais vias de acesso para cibercriminosos, demonstrando que a segurança de uma empresa é tão forte quanto o elo mais fraco de seu ecossistema digital. A crescente dependência de plataformas SaaS e integrações de terceiros introduziu uma superfície de ataque expandida, onde a falha de segurança em um único fornecedor pode ter um efeito cascata devastador.

Um dos exemplos mais proeminentes dessa tendência foi a série de incidentes envolvendo plataformas integradas ao Salesforce, como o serviço Drift da Salesloft. Em agosto de 2025, uma campanha de ataque sofisticada, atribuída ao grupo UNC6395, comprometeu tokens OAuth de acesso, permitindo que os atacantes acessassem dados do Salesforce de centenas de clientes da Salesloft. Este incidente, que impactou mais de 700 organizações, incluindo gigantes como Zscaler, Google e Stellantis, expôs informações sensíveis de clientes, tokens de autenticação, chaves de API e até chaves AWS. O caso da Qantas Airlines, em outubro de 2025, que resultou no vazamento de dados de 5,7 milhões de clientes após o roubo de dados de uma plataforma de atendimento ao cliente baseada em Salesforce, ressalta como a recusa em pagar resgates por vezes leva à exposição pública de dados.

Outros incidentes recentes reforçam a criticidade da gestão de risco de terceiros. A Marquis Software, uma provedora de serviços para bancos e cooperativas de crédito, sofreu uma intrusão de ransomware, divulgada em dezembro de 2025, que comprometeu dados de 788.000 clientes após a exploração de uma falha de firewall SonicWall. Da mesma forma, a Asus reportou em 5 de dezembro de 2025 que um de seus fornecedores de software foi alvo de ransomware, resultando no roubo de 1 TB de dados, incluindo código-fonte de câmeras de seus telefones. Tais ataques demonstram que mesmo empresas com defesas robustas podem ser comprometidas por meio de seus fornecedores, exigindo uma reavaliação completa das estratégias de due diligence e monitoramento de terceiros. A capacidade de um único ponto de falha em uma aplicação ou provedor de serviço se transformar em um vetor de ataque em massa torna a segurança da cadeia de suprimentos uma prioridade máxima.

🇧🇷 Impacto no Cenário Brasileiro

O cenário de cibersegurança global de 2025 ecoa com particular urgência para o Brasil, um país em rápida digitalização e com um ecossistema empresarial cada vez mais interconectado. As ameaças observadas em âmbito internacional, como a exploração de ERPs, a fragilidade da cadeia de suprimentos e a ascensão da engenharia social com IA, encontram terreno fértil no mercado brasileiro, impactando setores estratégicos e levantando sérias preocupações de compliance com a LGPD.

Empresas brasileiras, de grandes conglomerados financeiros a pequenas e médias empresas, utilizam sistemas ERPs como o Oracle E-Business Suite. A exploração da CVE-2025-61882 representa um risco direto, pois a maioria dessas organizações processa dados sensíveis de clientes e funcionários que, em caso de vazamento, geram multas significativas sob a LGPD, além de danos reputacionais e financeiros. A cultura de atraso na aplicação de patches e a falta de visibilidade em ambientes legados tornam as empresas brasileiras especialmente vulneráveis a ataques que exploram falhas conhecidas.

A dependência de provedores de SaaS e TI de terceiros é uma realidade inegável no Brasil. Bancos, varejistas, empresas de logística e até órgãos governamentais integram uma miríade de serviços em nuvem e aplicações que, por sua vez, dependem de outros fornecedores. Os incidentes envolvendo roubo de tokens OAuth em integrações com Salesforce, como os que afetaram Qantas e Stellantis, servem de alerta máximo. Uma falha em um provedor de CRM, plataforma de marketing ou sistema de gerenciamento de pagamentos pode expor milhões de dados de consumidores brasileiros, acionando não apenas a LGPD, mas também outras regulamentações setoriais (BACEN para financeiras, por exemplo). A complexidade do ambiente de TI brasileiro, com sistemas on-premise e cloud híbridos, agrava a dificuldade de ter uma visão completa dos riscos de terceiros.

Por fim, a engenharia social, já uma das principais táticas de ataque no Brasil, ganha uma dimensão alarmante com a proliferação de deepfakes e voz sintética baseada em IA. Fraudes de Business Email Compromise (BEC) e "vishing" (phishing por voz) podem se tornar quase indetectáveis, visando executivos e equipes financeiras para autorizar transferências fraudulentas. O ataque de deepfake de US$ 25 milhões em Hong Kong é um prenúncio do que pode ocorrer em empresas brasileiras, que já lidam com um alto volume de golpes financeiros. A LGPD impõe uma responsabilidade estrita às empresas pela proteção dos dados pessoais, e a não adoção de medidas preventivas adequadas contra essas ameaças emergentes pode levar a sanções severas. A necessidade de uma abordagem proativa e focada na resiliência cibernética é mais premente do que nunca para o mercado nacional.

🔒 Recomendações Práticas da Coneds

Diante do cenário de ameaças cibernéticas de 2025, com a evolução dos ataques à cadeia de suprimentos, a exploração de vulnerabilidades críticas em ERPs e a sofisticação da engenharia social por IA, a Coneds reforça a importância de uma postura de segurança proativa e resiliente. Abaixo, apresentamos recomendações práticas e implementáveis para proteger sua organização no Brasil:

  1. Auditoria e Gestão Robusta de Riscos de Terceiros:
    • Ação Imediata: Mapeie todos os fornecedores críticos de TI e SaaS que acessam seus dados ou sistemas.
    • Curto Prazo (1-4 semanas): Revise contratos com cláusulas de segurança, requisitos de notificação de incidentes e direito a auditorias de segurança. Realize avaliações de segurança em fornecedores de alto risco (pen tests, questionários de segurança).
    • Médio Prazo (1-3 meses): Implemente controles de acesso com privilégio mínimo para integrações de terceiros e monitore atividades anômalas dessas conexões (ex: volume incomum de exportação de dados via API).
  2. Gestão Ativa de Vulnerabilidades e Patch Management:
    • Ação Imediata: Priorize a aplicação de patches de segurança para vulnerabilidades críticas, como o CVE-2025-61882 no Oracle EBS, e outras falhas conhecidas em softwares e sistemas populares.
    • Curto Prazo (1-4 semanas): Mantenha um inventário atualizado de todos os ativos de software e hardware, com foco em sistemas legados e voltados para a internet. Adote um ciclo de varredura de vulnerabilidades contínuo e automatizado.
    • Médio Prazo (1-3 meses): Implemente "virtual patching" via WAF/IPS para proteger sistemas que não podem ser atualizados imediatamente.
  3. Segurança de Identidade e Acesso (IAM) com Zero Trust:
    • Ação Imediata: Implante Autenticação Multifator (MFA) em todos os acessos, especialmente para contas privilegiadas, VPNs, e-mail corporativo e sistemas críticos. Prefira MFA resistente a phishing (tokens de hardware FIDO2).
    • Curto Prazo (1-4 semanas): Adote princípios de Zero Trust, verificando explicitamente cada usuário, dispositivo e acesso, independentemente da localização ou da origem da solicitação.
    • Médio Prazo (1-3 meses): Implemente políticas de privilégio mínimo e segmente a rede para conter movimentos laterais em caso de comprometimento de credenciais.
  4. Conscientização e Treinamento Avançado em Engenharia Social:
    • Ação Imediata: Eduque funcionários sobre as novas táticas de phishing impulsionadas por IA (e-mails com IA, deepfakes de voz/vídeo).
    • Curto Prazo (1-4 semanas): Realize simulações de phishing e vishing (phishing por voz) realistas, com feedback imediato para os participantes. Foco em equipes financeiras e executivas, que são alvos de golpes de BEC com deepfakes.
    • Médio Prazo (1-3 meses): Desenvolva uma cultura de segurança onde relatar e-mails suspeitos seja incentivado e sem culpa, com um botão "Reportar Phishing" fácil de usar.
  5. Plano de Resposta a Incidentes (PRI) e Exercícios de Simulação:
    • Ação Imediata: Revise e atualize seu PRI para incluir cenários de ataque à cadeia de suprimentos, exploração de vulnerabilidades críticas e deepfakes.
    • Curto Prazo (1-4 semanas): Realize exercícios de "tabletop" ou simulações completas para testar a eficácia do PRI e a coordenação entre equipes internas e parceiros externos (jurídico, forense).
    • Médio Prazo (1-3 meses): Estabeleça um plano de comunicação de crise com contatos de backup e canais alternativos (fora da rede corporativa) para garantir a notificação a stakeholders e autoridades (LGPD, BACEN, etc.) dentro dos prazos legais.
  6. Proteção e Governança de Dados na Nuvem:
    • Ação Imediata: Realize auditorias de segurança da postura de nuvem (CSPM) para identificar e corrigir configurações incorretas em serviços IaaS e PaaS (ex: buckets S3 públicos, APIs abertas).
    • Curto Prazo (1-4 semanas): Implemente ferramentas de Data Loss Prevention (DLP) para monitorar e prevenir a exfiltração de dados sensíveis na nuvem e em endpoints.
    • Médio Prazo (1-3 meses): Classifique seus dados na nuvem e aplique criptografia robusta (em repouso e em trânsito) para reduzir o valor de informações roubadas.

❓ Perguntas Frequentes

P: Qual o impacto da CVE-2025-61882 para empresas brasileiras?

R: A vulnerabilidade CVE-2025-61882 no Oracle E-Business Suite é de alta gravidade e diretamente relevante para empresas brasileiras que utilizam esse ERP. Sua exploração permite execução remota de código, concedendo aos atacantes acesso a dados financeiros, de clientes e operacionais. A não aplicação urgente dos patches expõe a empresa a invasões, perdas financeiras e multas sob a LGPD, que podem ser milionárias. A Coneds recomenda priorizar a atualização e a varredura de vulnerabilidades em seus ambientes Oracle.

P: Como as deepfakes de IA impactam a segurança corporativa no Brasil?

R: As deepfakes de IA estão tornando os ataques de engenharia social (phishing, vishing, BEC) muito mais sofisticados e difíceis de detectar. No Brasil, onde a engenharia social já é uma ameaça persistente, deepfakes podem ser usados para clonar vozes de executivos em golpes de "vishing" ou criar vídeos falsos para autorizar transações fraudulentas, burlando a confiança e até mesmo a autenticação baseada em voz. É crucial que as empresas reforcem a conscientização e implementem processos de verificação multifator para transações críticas, além de treinar equipes para identificar esses novos vetores de ataque.

P: A Coneds oferece treinamentos sobre como mitigar ataques de cadeia de suprimentos e vulnerabilidades em ERPs?

R: Sim, a Coneds é especialista em educação em cibersegurança e oferece treinamentos focados exatamente nessas áreas críticas. Temos cursos que abordam a Gestão de Riscos de Terceiros e Fornecedores, capacitando sua equipe a avaliar, monitorar e mitigar ameaças na sua cadeia de suprimentos digital. Além disso, nossos treinamentos em Segurança de Aplicações e Hardening de Sistemas incluem módulos específicos sobre como proteger ambientes ERP, como o Oracle E-Business Suite, contra vulnerabilidades e explorações. Nossos programas são projetados para profissionais de TI, CISOs e gestores, com foco em práticas aplicáveis ao mercado brasileiro e alinhadas à LGPD.

Conclusão

O panorama de cibersegurança de 2025, conforme evidenciado pelos ataques e tendências globais, é um lembrete contundente de que a complacência é o maior inimigo da segurança digital. Para as empresas brasileiras, a urgência é amplificada pela crescente digitalização e pela rigorosa legislação de proteção de dados, como a LGPD. Os incidentes envolvendo exploração de vulnerabilidades críticas em ERPs, a fragilidade da cadeia de suprimentos e o uso de deepfakes com IA demonstram que os atacantes estão inovando a um ritmo sem precedentes.

É imperativo que as organizações no Brasil adotem uma abordagem proativa e multicamadas para a cibersegurança. Isso significa ir além das defesas básicas, investindo em uma gestão robusta de riscos de terceiros, priorizando o patch management de vulnerabilidades críticas, implementando uma arquitetura de Zero Trust para identidade e acesso, e capacitando continuamente suas equipes para identificar e neutralizar táticas de engenharia social cada vez mais sofisticadas. A resiliência cibernética não é um luxo, mas uma necessidade fundamental para a continuidade dos negócios e a proteção da reputação. A capacidade de detectar, conter e se recuperar rapidamente de um incidente fará a diferença entre uma interrupção passageira e uma crise existencial. Invista na segurança hoje para garantir o amanhã de sua organização.

📚 Aprenda mais: Eleve a segurança da sua equipe e da sua infraestrutura com o Treinamento Avançado em Gestão de Riscos Cibernéticos e Resposta a Incidentes da Coneds.

🔗 Fontes:

#ciberseguran-a#coneds#cyber-attacks#infosec#seguran-a-digital

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

C

Coneds News

251 posts