Skip to main content
HashnodeConeds NewsConeds News

Command Palette

Search for a command to run...

Cibersegurança 2025: Ransomware, Engenharia Social e a Teia da Cadeia de Suprimentos no Brasil

Published
17 min read
M
Matheus Banhos

Cibersegurança 2025: Ransomware, Engenharia Social e a Teia da Cadeia de Suprimentos no Brasil

Meta descrição: Análise das ameaças de cibersegurança mais urgentes para empresas brasileiras em novembro de 2025, focando em ransomware, engenharia social e riscos da cadeia de suprimentos, com recomendações práticas para CISOs e gestores de TI.

Em um mundo onde a conectividade é a espinha dorsal de qualquer negócio, a cibersegurança nunca foi tão crítica. Em novembro de 2025, o cenário de ameaças digitais continua a evoluir em um ritmo implacável, desafiando a resiliência de organizações em todos os setores. No Brasil, essa realidade é ainda mais acentuada, com a combinação de um ambiente regulatório em amadurecimento (como a LGPD) e um apetite crescente de criminosos cibernéticos por alvos lucrativos. CISOs, gestores de TI e analistas de segurança enfrentam a tarefa monumental de proteger ativos digitais contra ataques cada vez mais sofisticados, que visam não apenas dados, mas a própria continuidade dos negócios.

Os últimos meses revelaram uma constante: a engenharia social persiste como o vetor de ataque inicial mais eficaz, alimentando campanhas de ransomware devastadoras e explorando fragilidades na complexa cadeia de suprimentos. Incidentes que paralisam operações, vazam dados sensíveis e geram prejuízos multimilionários não são mais manchetes distantes, mas uma ameaça tangível que bate à porta das empresas brasileiras. Entender as táticas dos adversários e fortalecer as defesas proativamente é, portanto, não apenas uma boa prática, mas uma necessidade estratégica para a sobrevivência e prosperidade digital. Este artigo aprofunda-se nas ameaças mais prementes e oferece um guia prático para navegá-las.

⚡ Resumo Executivo

  • Ransomware Persistente: Continua a ser uma das maiores preocupações, com ataques que afetam gravemente setores como saúde e infraestrutura crítica, gerando custos de recuperação crescentes.
  • Engenharia Social Dominante: Phishing, Business Email Compromise (BEC) e outras táticas de manipulação humana são a causa raiz da maioria dos incidentes, exigindo foco contínuo em conscientização.
  • Riscos na Cadeia de Suprimentos: A dependência de terceiros eleva a superfície de ataque, tornando a gestão de riscos de fornecedores um imperativo para a proteção de dados e sistemas.
  • Vulnerabilidades Inexploradas: A falta de aplicação de patches e a gestão ineficaz de vulnerabilidades em softwares comuns e infraestrutura são portas abertas para exploração.

A Persistência Implacável do Ransomware e a Evolução das Táticas

O ransomware, há anos no topo da lista de preocupações em cibersegurança, não mostra sinais de recuo. Pelo contrário, em 2025, as gangues de ransomware refinaram suas táticas, tornando-se mais evasivas, orientadas a dados e focadas em alvos de alto valor. Setores como saúde, infraestrutura crítica, manufatura e serviços financeiros continuam sendo os mais visados, devido à criticidade de seus dados e sistemas, que aumenta a probabilidade de pagamento do resgate.

Uma tendência notável é a especialização e a profissionalização dos grupos de ransomware. Operações de Ransomware-as-a-Service (RaaS) facilitam que mais atores maliciosos lancem ataques, democratizando o acesso a ferramentas e técnicas avançadas. Além disso, a "dupla extorsão" tornou-se um padrão: além de criptografar os dados, os criminosos também os roubam e ameaçam publicá-los caso o resgate não seja pago. Isso aumenta a pressão sobre as vítimas, que agora enfrentam não apenas a interrupção operacional, mas também o risco de vazamento de dados sensíveis e as pesadas multas regulatórias associadas.

Um estudo recente (Fonte 1, publicado em outubro de 2025) aponta que, embora o volume geral de ataques de ransomware possa ter diminuído ligeiramente em alguns setores, a taxa de criptografia de dados em ataques bem-sucedidos atingiu 98% em organizações governamentais, e os custos de recuperação mais que dobraram em 2024, chegando a uma média de US$ 2,83 milhões. Isso demonstra que os ataques estão se tornando mais eficazes e custosos. A cadeia de saúde, em particular, continua a ser um alvo prioritário. Notícias de setembro e outubro de 2025 (Fonte 2) relatam incidentes em que ataques de ransomware impactaram diretamente o atendimento ao paciente, causando atrasos em procedimentos, estadias hospitalares mais longas e, em casos extremos, um aumento nas taxas de mortalidade. A natureza crítica desses sistemas e a pressão para restaurar a funcionalidade rapidamente tornam as organizações de saúde vulneráveis.

As táticas de acesso inicial para o ransomware permanecem consistentes: engenharia social (especialmente phishing), exploração de vulnerabilidades em softwares desatualizados e o uso de credenciais roubadas. A disruptura da gangue LockBit (Fonte 3), uma das mais prolíficas, por uma operação policial internacional em fevereiro de 2025, foi um golpe significativo. No entanto, o grupo tem tentado se reorganizar e reafirmar sua presença, demonstrando a resiliência e adaptabilidade desses atores de ameaças. É fundamental que as empresas compreendam que o ransomware é mais do que apenas um malware; é um modelo de negócio criminoso que se adapta e persiste, exigindo uma postura de segurança igualmente adaptável e robusta.

Vetores Comuns e Ameaças Futuras

Ainda que não tenhamos observado CVEs específicos do ransomware nos últimos dias que sejam diretamente exploráveis por si só, é crucial entender que o ransomware se vale de falhas existentes. Em um cenário futuro, a inteligência artificial (IA) é vista como um catalisador para a sofisticação dos ataques de ransomware. A IA pode ser usada para automatizar a criação de e-mails de phishing mais convincentes, identificar vulnerabilidades de sistema de forma mais eficiente e até mesmo orquestrar ataques em larga escala com maior precisão (Fonte 4, artigo publicado em outubro de 2025). Embora a IA não seja a ameaça em si, ela é a ferramenta que aprimora as táticas existentes, tornando a detecção e a resposta ainda mais desafiadoras.

Engenharia Social: A Porta de Entrada Mais Comum

A engenharia social continua sendo o elo mais fraco na cadeia de segurança de qualquer organização. Em novembro de 2025, a sofisticação das táticas de manipulação humana atinge níveis sem precedentes, muitas vezes superando as defesas tecnológicas mais avançadas. Phishing, spear phishing, Business Email Compromise (BEC) e vishing são as principais ferramentas empregadas por atacantes para obter acesso inicial a redes corporativas. Relatórios recentes (Fonte 5, publicado em outubro de 2025) indicam que a engenharia social figura proeminentemente na maioria dos ataques de ransomware, incidentes na cadeia de suprimentos e golpes de BEC.

A CISA e o FBI, em um comunicado recente (Fonte 6, publicado em setembro de 2025), destacaram as metodologias de ataque usadas por atores de ameaças, incluindo a criação de perfis de vítimas por meio de busca de informações, varredura de portas RDP vulneráveis e, crucialmente, o phishing para obter acesso a essas portas. Uma vez que a fase de reconhecimento é concluída, os atacantes conseguem acesso inicial por meio de contas válidas (credenciais de usuário exploradas), serviços remotos expostos ou anexos de phishing. O ponto em comum em todas essas abordagens? A engenharia social.

A eficácia do phishing é alarmante. Embora a autenticação multifator (MFA) seja uma defesa robusta, o phishing-resistente MFA pode não ser suficiente contra ataques que combinam phishing com anexos maliciosos (Fonte 6). Se um usuário é enganado e executa o malware, o jogo geralmente está perdido, independentemente da MFA. Além disso, um estudo de 2021 (Fonte 7, que ainda ressoa em 2025 devido à sua natureza fundamental) revelou que 83% das organizações sofreram um ataque de phishing baseado em e-mail, um aumento de 46% em relação ao ano anterior. 78% experimentaram um ataque de ransomware onde o e-mail de phishing foi o vetor de infecção inicial, e 77% relataram um incidente de BEC relacionado a phishing.

A ascensão de ferramentas de IA generativa pode exacerbar ainda mais esse problema. A capacidade de gerar textos convincentes, personalizar mensagens e até mesmo criar deepfakes de voz ou vídeo torna os ataques de engenharia social mais difíceis de detectar. Os atacantes podem criar cenários de fraude mais críveis, explorando o fator humano com uma precisão sem precedentes.

A lição é clara: nenhuma tecnologia de segurança é infalível se os usuários não estiverem preparados. A conscientização em segurança, treinamentos regulares e simulações de phishing são essenciais para transformar os funcionários de possíveis vulnerabilidades em uma linha de defesa robusta. É um investimento contínuo, mas indispensável, na proteção dos ativos mais valiosos de uma organização.

Ameaças na Cadeia de Suprimentos e Vulnerabilidades em Softwares Comuns

A interconexão do ecossistema digital global significa que a segurança de uma organização é tão forte quanto o seu elo mais fraco, frequentemente encontrado na cadeia de suprimentos. Em novembro de 2025, os ataques à cadeia de suprimentos continuam sendo um vetor de alto impacto, permitindo que cibercriminosos atinjam múltiplas vítimas ao comprometer um único fornecedor. A complexidade das cadeias de suprimentos modernas, com inúmeros fornecedores de software, serviços em nuvem e hardware, cria uma superfície de ataque vasta e muitas vezes invisível para as empresas.

Um exemplo notório dessa vulnerabilidade foi o recente incidente envolvendo a Okta, uma gigante em gestão de identidade e acesso (IAM). Em novembro de 2023 (Fonte 8), a Okta revelou que dados de seus funcionários foram comprometidos através de um de seus fornecedores terceirizados, a Rightway Healthcare. Embora a Okta tenha afirmado que os dados de seus clientes não foram diretamente afetados por este incidente específico, a recorrência de problemas de segurança na empresa, incluindo violações anteriores de suas próprias plataformas e ataques a clientes como MGM Resorts e 1Password, levanta sérias questões sobre a postura de segurança da cadeia de suprimentos. Para o mercado brasileiro, que depende cada vez mais de soluções SaaS e serviços de terceiros, a lição é clara: a segurança de um fornecedor é a segurança da sua empresa.

Além dos ataques diretos a fornecedores, as vulnerabilidades em softwares amplamente utilizados representam um risco constante. A falta de um processo de gestão de patches rigoroso é uma das principais causas de muitas violações. Como exemplo, a Zyxel, uma fornecedora de equipamentos de rede, lançou atualizações em fevereiro de 2024 para corrigir múltiplas vulnerabilidades em seus firewalls e APs (CVE-2023-6397, CVE-2023-6398, CVE-2023-6399, CVE-2023-6764) (Fonte 9). Essas falhas, que incluíam execução remota de código, demonstram como um componente de infraestrutura aparentemente benigno pode se tornar um ponto de entrada crítico se não for devidamente atualizado. A negligência na aplicação de patches, mesmo para vulnerabilidades conhecidas, cria janelas de oportunidade para os atacantes.

Outro caso relevante é a vulnerabilidade de injeção SQL não autenticada no plugin Ultimate Member do WordPress, corrigida em fevereiro de 2024 (Fonte 10). Embora não tenha um CVE globalmente impactante como o da Zyxel, a existência dessa falha em um plugin popular do WordPress, uma plataforma amplamente utilizada por empresas brasileiras de todos os portes para sites e blogs, ilustra a ubiquidade das vulnerabilidades em softwares comuns. Essas falhas podem ser exploradas para roubar informações do banco de dados, comprometer sites e, por sua vez, servir como porta de entrada para ataques mais amplos à rede da empresa.

A vigilância contínua sobre a cadeia de suprimentos, a implementação de políticas rigorosas de gestão de patches e a verificação constante de vulnerabilidades em softwares e sistemas são medidas essenciais para mitigar esses riscos.

🇧🇷 Impacto no Cenário Brasileiro

O cenário de cibersegurança no Brasil é influenciado por uma série de fatores que tornam as ameaças de ransomware, engenharia social e ataques à cadeia de suprimentos particularmente relevantes e perigosas. A maturidade digital crescente das empresas brasileiras, aliada a um ambiente regulatório mais robusto, como a Lei Geral de Proteção de Dados Pessoais (LGPD), amplifica o impacto de qualquer incidente de segurança.

A LGPD, em vigor desde setembro de 2020, impôs um novo patamar de responsabilidade sobre as organizações que tratam dados pessoais. Um incidente de ransomware que resulte em vazamento de dados, por exemplo, não acarreta apenas o custo de resgate e recuperação, mas também multas que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração, além de danos reputacionais e ações judiciais de titulares de dados. A Autoridade Nacional de Proteção de Dados (ANPD) tem intensificado sua fiscalização, tornando a conformidade com a LGPD um pilar inegociável para a segurança da informação.

Setores Mais Afetados:

  • Saúde: Assim como globalmente, o setor de saúde no Brasil é um alvo constante. Hospitais, clínicas e laboratórios detêm um vasto volume de dados sensíveis (prontuários, informações financeiras) e a interrupção de seus serviços pode ter consequências graves para a vida dos pacientes. A dependência de sistemas de TI para agendamentos, diagnósticos e gestão de medicamentos torna-os vulneráveis a ataques de ransomware.
  • Serviços Financeiros: Bancos, fintechs e seguradoras são alvos atrativos devido aos dados financeiros e à criticidade de suas operações. Embora frequentemente possuam defesas mais robustas, a engenharia social ainda representa um risco significativo para seus funcionários e clientes. As regulamentações do Banco Central do Brasil (BACEN) para o setor financeiro exigem altos padrões de segurança e governança, e um incidente pode resultar em sanções severas.
  • Varejo e E-commerce: Com o grande volume de transações e dados de clientes, o setor de varejo é propenso a ataques de roubo de dados e BEC. A conformidade com o PCI DSS (Payment Card Industry Data Security Standard) é crucial para empresas que processam pagamentos com cartão, e uma violação pode levar à perda de certificação e multas pesadas.
  • Indústria e Infraestrutura Crítica: Empresas de energia, saneamento, transporte e manufatura estão cada vez mais conectadas, tornando seus sistemas de Tecnologia Operacional (OT) e Tecnologia da Informação (TI) vulneráveis. Um ataque de ransomware ou à cadeia de suprimentos pode paralisar a produção, afetar serviços essenciais e causar danos físicos e ambientais, com repercussões nacionais.

A falta de profissionais qualificados em cibersegurança no Brasil (um déficit global, mas particularmente agudo na região) agrava o cenário. Muitas empresas, especialmente PMEs, lutam para implementar e manter defesas eficazes, tornando-se alvos mais fáceis para criminosos. A proliferação de credenciais vazadas e o uso de senhas fracas por parte dos usuários brasileiros, muitas vezes devido à falta de conscientização, são fatores que facilitam os ataques de engenharia social.

A dependência crescente de provedores de serviços em nuvem e softwares de terceiros (como ERPs e CRMs, muitos deles de empresas globais) também expõe as empresas brasileiras a riscos na cadeia de suprimentos. Um incidente em um fornecedor internacional pode ter um efeito cascata em organizações brasileiras, exigindo uma diligência robusta na seleção e monitoramento desses parceiros.

Em suma, o contexto brasileiro exige uma abordagem de cibersegurança que vá além da tecnologia. É preciso um olhar estratégico para a gestão de riscos, a conformidade regulatória, a capacitação de pessoas e a construção de uma cultura de segurança robusta em toda a organização e sua cadeia de valor.

🔒 Recomendações Práticas da Coneds

Para fortalecer sua postura de cibersegurança em face das ameaças atuais, a Coneds recomenda as seguintes ações práticas:

  1. Ação Imediata: Revisão e Reforço da Gestão de Patches:

    • Priorize a aplicação de patches e atualizações de segurança para todos os sistemas operacionais, softwares (especialmente navegadores, clientes de e-mail e plugins de CMS como WordPress) e dispositivos de rede (firewalls, roteadores). Dê atenção especial a vulnerabilidades críticas como as da Zyxel (CVE-2023-6397, CVE-2023-6398, CVE-2023-6399, CVE-2023-6764).
    • Automatize o processo de patching sempre que possível e estabeleça janelas de manutenção regulares.

  2. Curto Prazo (1-4 semanas): Fortalecimento da Defesa contra Engenharia Social:

    • Lance campanhas intensivas e contínuas de conscientização e treinamento em segurança para todos os funcionários, focando em identificar e-mails de phishing, spear phishing e golpes de BEC.
    • Implemente simulações de phishing regulares para testar a resiliência dos usuários e identificar pontos fracos, oferecendo feedback construtivo.
    • Adote MFA (Autenticação Multifator) resistente a phishing para todos os sistemas críticos.

  3. Médio Prazo (1-3 meses): Gestão de Riscos da Cadeia de Suprimentos (Third-Party Risk Management):

    • Desenvolva um programa robusto de avaliação e gestão de riscos para todos os fornecedores terceirizados, especialmente aqueles com acesso a dados ou sistemas críticos (ex: provedores SaaS, serviços gerenciados).
    • Inclua cláusulas de segurança da informação e auditorias regulares nos contratos com fornecedores, exigindo evidências de suas práticas de segurança e planos de resposta a incidentes.
    • Mapeie e compreenda as dependências de segurança de seus fornecedores para identificar pontos de falha potenciais.

  4. Estratégia Long-term: Resiliência contra Ransomware e Resposta a Incidentes:

    • Implemente uma estratégia de backup 3-2-1 (três cópias de dados, em dois tipos de mídia, com uma cópia off-site/offline/imutável) e teste regularmente a restauração desses backups.
    • Desenvolva e teste um Plano de Resposta a Incidentes (PRI) detalhado para ataques de ransomware e vazamentos de dados, incluindo comunicação com a ANPD e outras partes interessadas.
    • Invista em soluções de detecção e resposta (EDR/XDR) e segmentação de rede para limitar a movimentação lateral de atacantes.

  5. Governança: Compliance e Gestão de Acessos:

    • Mantenha a conformidade com a LGPD e outras regulamentações específicas do seu setor (BACEN, PCI DSS), garantindo que as políticas de privacidade e proteção de dados estejam atualizadas e sejam seguidas.
    • Implemente o princípio do privilégio mínimo (least privilege) para todos os usuários e sistemas, e revise regularmente os acessos, especialmente para contas privilegiadas.

  6. Treinamento: Capacitação Contínua em Cibersegurança:

    • Invista na capacitação técnica de sua equipe de TI e segurança, mantendo-os atualizados sobre as últimas ameaças, vulnerabilidades e ferramentas de defesa, com foco nas realidades do mercado brasileiro.
    • Crie uma cultura de segurança proativa, onde todos os colaboradores compreendem seu papel na proteção da empresa.

❓ Perguntas Frequentes

P: Como a Inteligência Artificial (IA) está mudando o cenário de cibersegurança no Brasil?

R: A IA está acelerando tanto o ataque quanto a defesa. Cibercriminosos a utilizam para criar phishing mais convincente, identificar vulnerabilidades e automatizar ataques de ransomware. Por outro lado, a IA também potencializa ferramentas de segurança para detecção de anomalias, análise de comportamento e resposta a incidentes, tornando-se uma aliada crucial para as defesas. No Brasil, a adoção de IA na segurança ainda está em crescimento, mas é uma tendência irreversível que exige atenção e investimento.

P: Qual é a principal diferença entre um ataque de ransomware e um vazamento de dados sob a perspectiva da LGPD?

R: Um ataque de ransomware geralmente criptografa dados, impedindo o acesso, e pode (mas nem sempre) incluir o vazamento dos dados como tática de extorsão. Um vazamento de dados, por sua vez, é a exposição ou exfiltração de informações sem autorização. Ambos são graves sob a LGPD. O ransomware foca na indisponibilidade e extorsão, enquanto o vazamento foca na confidencialidade dos dados. Ambos podem resultar em multas e danos reputacionais se dados pessoais forem comprometidos.

P: Minha empresa é pequena. Preciso me preocupar com ataques na cadeia de suprimentos?

R: Sim, absolutamente. Empresas de todos os portes utilizam softwares e serviços de terceiros (contabilidade, RH, CRM, e-commerce, hospedagem de sites). Um ataque a um desses fornecedores pode comprometer seus dados e sistemas. Pequenas e médias empresas (PMEs) são, inclusive, alvos frequentes, pois são vistas como elos mais fracos para acessar clientes maiores. A gestão de riscos de terceiros não é exclusividade de grandes corporações, sendo vital para qualquer negócio conectado.

P: A Coneds oferece treinamentos específicos para a realidade brasileira, incluindo a LGPD?

R: Sim, a Coneds é especialista em educação em cibersegurança no Brasil. Nossos treinamentos são desenvolvidos com foco nas ameaças e regulamentações locais, incluindo cursos aprofundados sobre LGPD, gestão de riscos, resposta a incidentes e segurança de aplicações, adaptados para profissionais de TI, CISOs e gestores no contexto brasileiro.

Conclusão

O cenário de cibersegurança em novembro de 2025 é de constante desafio e adaptação. A prevalência do ransomware, a eficácia contínua da engenharia social e os riscos intrínsecos à complexidade da cadeia de suprimentos exigem uma postura proativa e multifacetada das organizações brasileiras. Não se trata apenas de investir em tecnologia, mas de nutrir uma cultura de segurança que permeie todos os níveis da empresa, do C-Level ao colaborador final. A lição mais valiosa dos incidentes recentes é que a proteção eficaz é uma jornada contínua, que exige vigilância, educação e a capacidade de responder rapidamente às ameaças emergentes.

Ao adotar as recomendações práticas da Coneds – desde a gestão rigorosa de patches e a defesa contra engenharia social, até a robusta gestão de riscos de terceiros e a capacitação contínua – as empresas podem não apenas mitigar riscos, mas também construir resiliência digital. É um investimento no futuro e na sustentabilidade do seu negócio no dinâmico e desafiador ambiente digital brasileiro. Proteja seus ativos, eduque sua equipe e esteja preparado para o que está por vir.

📚 Aprenda mais: Eleve a segurança da sua equipe com os Treinamentos de Gestão de Riscos e Resposta a Incidentes da Coneds no site da coneds.com.br. 🔗 Fontes:

  1. SC World. "Survey data shows decline in ransomware attacks". Link. Publicado em Outubro de 2025.
  2. SC World. "The cyberattack with the most negative impact to patient care: ransomware". Link. Publicado em Outubro de 2025.
  3. SC World. "Lockbit returns after takedown with new extortion threats". Link. Publicado em Fevereiro de 2025.
  4. SC World. "Ransomware takes a back seat to AI on IT administrator worry lists". Link. Publicado em Outubro de 2025.
  5. SC World. "What security agencies, regulators, and businesses get wrong about cybersecurity". Link. Publicado em Outubro de 2025.
  6. SC World. "Phishing, ransomware continue to hinder email security through 2022". Link. Publicado em Outubro de 2025.
  7. Dark Reading. "More Orgs Suffered Successful Phishing Attacks in 2021 Than in 2020". Link. Publicado em Fevereiro de 2022.
  8. Dark Reading. "Okta Data Compromised Through Third-Party Vendor". Link. Publicado em 2 de Novembro de 2023.
  9. SC World. "Zyxel Patches Remote Code Execution Bug in Firewall Products". Link. Publicado em Fevereiro de 2024.
  10. Wordfence. "$2,063 Bounty Awarded for Unauthenticated SQL Injection Vulnerability Patched in Ultimate Member WordPress Plugin". Link. Publicado em Fevereiro de 2024.
#ciberseguran-a#coneds#cyber-attacks#infosec#seguran-a-digital

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

C

Coneds News

251 posts