Skip to main content
HashnodeConeds NewsConeds News

Command Palette

Search for a command to run...

Cibersegurança 2025: Ransomware, Phishing e IA Elevam o Risco no Brasil

Published
13 min read
M
Matheus Banhos

Cibersegurança 2025: Ransomware, Phishing e IA Elevam o Risco no Brasil

Meta descrição: Analisamos as ameaças mais urgentes de cibersegurança em setembro de 2025, focando em ransomware, ataques de phishing como VoidProxy e o impacto da IA no cenário brasileiro.

A paisagem da cibersegurança global está em constante mutação, e o Brasil, com sua digitalização acelerada e crescente interconexão, não é exceção. À medida que nos aproximamos do final de 2025, as organizações brasileiras enfrentam um ecossistema de ameaças cada vez mais sofisticado, onde a engenharia social se consolida como o vetor inicial predominante, o ransomware continua a paralisar setores críticos e a Inteligência Artificial emerge como um catalisador tanto para defensores quanto para atacantes. Ignorar essas tendências não é mais uma opção; é um convite ao desastre.

As últimas semanas, especialmente em setembro de 2025, trouxeram à tona incidentes e campanhas que reforçam a urgência de uma postura de segurança proativa e resiliente. Desde operações de phishing altamente direcionadas que exploram plataformas ubíquas como Microsoft 365 e Google Workspace, até a intensificação de ataques de ransomware contra infraestruturas essenciais, o cenário exige uma reavaliação contínua das estratégias de defesa. Profissionais de TI, CISOs e gestores devem compreender a profundidade dessas ameaças e, mais importante, as ações concretas necessárias para mitigar os riscos e proteger ativos valiosos em um mercado cada vez mais regulado, como o imposto pela LGPD. Este artigo visa fornecer uma análise aprofundada das ameaças mais prementes e oferecer recomendações práticas para fortalecer a resiliência cibernética no contexto brasileiro.

⚡ Resumo Executivo

  • Phishing Avançado: Campanhas como VoidProxy (Set/2025) usam técnicas 'adversary-in-the-middle' para roubar credenciais e MFA de Microsoft 365/Google.
  • Ransomware Persistente: Ataques continuam a mirar infraestruturas críticas, com engenharia social como vetor principal.
  • AI como Acelerador de Ameaças: Ferramentas de IA generativa são usadas para criar phishing mais convincente e explorar vulnerabilidades.
  • Ataques à Cadeia de Suprimentos: Grupos APTs focam em provedores de serviços de TI para acessar alvos governamentais e corporativos.

A Ascensão do Phishing Inteligente: A Operação VoidProxy e o Desafio da MFA

Setembro de 2025 marca um período de alerta intenso para as equipes de segurança, impulsionado, em parte, pela emergência e consolidação de operações de phishing de nova geração. Um dos exemplos mais proeminentes é a campanha conhecida como VoidProxy, detectada em meados de setembro de 2025. Esta operação representa uma evolução significativa em relação aos ataques de phishing tradicionais, focando na exploração de vulnerabilidades humanas e tecnológicas em ambientes amplamente utilizados por empresas brasileiras: Microsoft 365 e Google Workspace.

A campanha VoidProxy não é um ataque de phishing comum. Ela se destaca pelo uso de técnicas de "adversary-in-the-middle" (AiTM), onde os atacantes atuam como um proxy entre a vítima e o serviço legítimo. Isso permite que os cibercriminosos interceptem e roubem não apenas credenciais de login, mas também códigos de autenticação multifator (MFA) e tokens de sessão. Em um cenário onde a MFA é frequentemente vista como a "bala de prata" contra o roubo de credenciais, as táticas do VoidProxy representam um golpe preocupante na eficácia dessa camada de segurança. Ao capturar tokens de sessão, os atacantes podem manter o acesso a contas comprometidas por longos períodos, mesmo após a expiração dos códigos de MFA únicos, sem a necessidade de reautenticação.

A sofisticação do VoidProxy reside em sua capacidade de contornar defesas que dependem apenas da detecção de páginas de login falsas. Ao invés disso, a vítima interage com um servidor proxy controlado pelos atacantes, que retransmite as credenciais para o serviço legítimo (Microsoft 365 ou Google) e, em seguida, captura os tokens de sessão gerados. Isso torna a detecção muito mais difícil para usuários e para alguns sistemas de segurança baseados em assinaturas ou URLs suspeitas. A proliferação dessas táticas avançadas de engenharia social é um reflexo direto do investimento dos grupos cibercriminosos em métodos que exploram a confiança e a rotina dos usuários, transformando-os no elo mais fraco da cadeia de segurança.

A relevância do VoidProxy para o Brasil é imensa. Microsoft 365 e Google Workspace são plataformas corporativas padrão em organizações de todos os portes e setores. Pequenas e médias empresas, muitas vezes com recursos de segurança limitados, são alvos particularmente vulneráveis. A engenharia social continua a ser o vetor de ataque inicial para uma esmagadora maioria dos incidentes, e campanhas como VoidProxy demonstram que essa ameaça está se tornando mais técnica e evasiva. A necessidade de treinamentos de conscientização aprimorados e a implementação de MFA resistente a phishing (como chaves de segurança FIDO2) nunca foram tão críticas.

Ransomware em Escalada: Paralisando Infraestruturas e Desvendando Vulnerabilidades Críticas

Enquanto o phishing avança em sofisticação, o ransomware mantém sua posição como uma das ameaças mais destrutivas e financeiramente impactantes para as empresas. O ano de 2025 tem sido marcado por uma escalada contínua de ataques de ransomware, com um foco preocupante em infraestruturas críticas. Incidentes como o que paralisou o distrito escolar de Uvalde, no Texas (reportado em 16 de setembro de 2025), demonstram o impacto direto na vida cotidiana e a fragilidade de setores essenciais. Embora este incidente específico não tenha ocorrido no Brasil, ele ecoa o tipo de ataque que já vimos e continuamos a ver em hospitais, concessionárias de serviços públicos e órgãos governamentais brasileiros.

A raiz desses ataques de ransomware frequentemente se encontra em falhas básicas de segurança ou, mais comumente, na engenharia social. A exploração de credenciais fracas ou roubadas (muitas vezes via phishing como o VoidProxy), software desatualizado e dispositivos expostos com portas abertas continuam a ser os principais vetores de entrada. Uma vez dentro da rede, os atacantes utilizam técnicas de "living off the land" (LotL), empregando ferramentas legítimas do sistema operacional para se movimentar lateralmente, escalar privilégios e, eventualmente, implantar o ransomware. Este método torna a detecção mais difícil, pois as atividades maliciosas se camuflam em operações de sistema normais.

No cenário global de 2024, já observamos grupos de ransomware como o BlackCat/ALPHV e o Black Basta causando estragos em grandes redes de saúde, como a Change Healthcare e a Ascension Health nos EUA, expondo milhões de registros de pacientes e causando interrupções massivas nos serviços. Esses ataques não só resultam em perdas financeiras substanciais (como o resgate de US$ 22 milhões pago pela Change Healthcare), mas também em sérios riscos à segurança e à vida dos pacientes. No Brasil, o setor da saúde, com sua vasta quantidade de dados sensíveis e, por vezes, infraestruturas legadas, permanece um alvo primário e altamente vulnerável.

Ataques à cadeia de suprimentos também estão se tornando um método preferencial para grupos de ransomware e atores estatais. Ao invés de atacar diretamente o alvo final, os cibercriminosos comprometem um fornecedor de software ou serviço de TI, utilizando essa porta de entrada para atingir múltiplos clientes. Isso se manifestou em incidentes como o comprometimento de sistemas de gerenciamento remoto e monitoramento (RMM) em setembro de 2025, onde criminosos induziram usuários a baixar software RMM malicioso via phishing, ganhando controle sobre os sistemas das vítimas. Essa tática é particularmente perigosa porque explora a confiança entre as empresas e seus fornecedores, criando um efeito cascata em caso de sucesso.

🇧🇷 Impacto no Cenário Brasileiro

O Brasil, com sua complexidade regulatória e sua economia em rápida digitalização, é um alvo atraente para os cibercriminosos. As ameaças de phishing avançado, ransomware e ataques à cadeia de suprimentos têm um impacto direto e profundo em nosso cenário nacional:

  • Setores mais afetados:

    • Financeiro: Bancos e fintechs são constantemente visados por operações de phishing e ransomware, dadas as exigências do BACEN e o volume de dados financeiros. As novas campanhas de phishing que bypassam MFA são uma preocupação aguda.
    • Saúde: Hospitais, clínicas e laboratórios lidam com dados altamente sensíveis (prontuários médicos) e muitas vezes possuem infraestruturas legadas. Ataques de ransomware podem causar interrupções críticas no atendimento, expondo dados de pacientes e resultando em multas pesadas sob a LGPD.
    • Governo e Serviços Públicos: Órgãos governamentais e empresas de serviços públicos (energia, água, transporte) são alvos de alto impacto. Um ataque bem-sucedido pode desestabilizar serviços essenciais e comprometer a segurança nacional.
    • Varejo: Grandes varejistas e e-commerces são visados para roubo de dados de clientes (informações pessoais, dados de cartão de crédito), com consequências significativas para a reputação e multas da LGPD.
    • Educação: Instituições de ensino, como visto no incidente de Uvalde, armazenam grandes volumes de dados de alunos e funcionários, tornando-se alvos para ransomware e exfiltração de dados.

  • Dados locais e contexto regulatório (LGPD): A Lei Geral de Proteção de Dados (LGPD) no Brasil impõe rigorosas obrigações de proteção de dados e notificação de incidentes. Violações resultantes de phishing ou ransomware não só acarretam danos financeiros e de reputação, mas também multas que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. A crescente sofisticação dos ataques significa que a conformidade não é apenas uma formalidade, mas uma necessidade estratégica. As empresas brasileiras precisam demonstrar que implementaram medidas de segurança adequadas e que possuem planos de resposta a incidentes robustos. O caso da "insider breach" afetando a American First Finance (Set/2025), onde dados de quase 700 mil indivíduos foram comprometidos por uma falha de terceiro, ressalta a importância da gestão de risco de fornecedores e da vigilância contínua, pilares essenciais da LGPD.

  • Inteligência Artificial (IA) no ataque e na defesa: A IA está redefinindo o jogo. Enquanto cibercriminosos utilizam IA para gerar conteúdo de phishing mais convincente (como vistos em campanhas de spear-phishing com IDs militares falsos em setembro de 2025) e automatizar a busca por vulnerabilidades, empresas brasileiras devem investir em soluções de segurança baseadas em IA para detecção de anomalias, análise de comportamento de usuários e resposta a incidentes. A falta de investimento nesse campo colocará as empresas em desvantagem crítica.

🔒 Recomendações Práticas da Coneds

Para navegar neste cenário de ameaças complexo, a Coneds recomenda as seguintes ações práticas, focadas na resiliência e na preparação contínua:

  1. Ação Imediata: Fortalecer a Defesa contra Phishing Avançado.

    • Implemente MFA resistente a phishing (como chaves de segurança FIDO2) em todas as contas críticas, especialmente Microsoft 365 e Google Workspace.
    • Realize simulações de phishing contínuas e personalizadas, com relatórios detalhados para identificar e educar usuários vulneráveis.
    • Configure e monitore rigorosamente os logs de autenticação para identificar padrões de acesso incomuns ou tentativas de bypass de MFA.

  2. Curto Prazo (1-4 semanas): Revisão e Hardening da Infraestrutura.

    • Patch Management: Garanta que todos os sistemas operacionais, aplicações e softwares (especialmente RMM e ERPs) estejam atualizados com os últimos patches de segurança para mitigar vulnerabilidades conhecidas.
    • Segmentação de Rede: Implemente e reforce a segmentação de rede para limitar o movimento lateral de atacantes em caso de comprometimento.
    • Backups Imutáveis e Isolados: Crie e teste regularmente backups de dados críticos, garantindo que sejam imutáveis e armazenados em locais isolados da rede primária, para recuperação eficaz após um ataque de ransomware.

  3. Médio Prazo (1-3 meses): Gestão de Acesso e Zero Trust.

    • Princípios de Zero Trust: Inicie a implementação de uma arquitetura Zero Trust, verificando cada solicitação de acesso, independentemente da localização do usuário ou do dispositivo.
    • Gestão de Privilégios: Implemente soluções de Gerenciamento de Acesso Privilegiado (PAM) e Least Privilege para restringir o acesso a sistemas e dados apenas ao estritamente necessário.
    • Monitoramento Contínuo: Invista em soluções SIEM/SOAR para coleta centralizada de logs, detecção de ameaças e automação de resposta.

  4. Estratégia Long-term: Resiliência da Cadeia de Suprimentos e IA.

    • Avaliação de Fornecedores: Conduza auditorias de segurança rigorosas em todos os fornecedores de TI e prestadores de serviços, garantindo que eles atendam aos seus padrões de segurança.
    • Segurança em Nuvem: Implemente políticas e ferramentas de segurança específicas para ambientes de nuvem, dada a migração crescente de dados e serviços.
    • Inteligência de Ameaças (Threat Intelligence): Assine feeds de inteligência de ameaças relevantes para o mercado brasileiro, para se manter atualizado sobre novas táticas, técnicas e procedimentos (TTPs) de atacantes.

  5. Governança: Adaptação à LGPD e Normativas.

    • DPO Ativo: Assegure que o Encarregado de Dados (DPO) esteja ativamente envolvido nas decisões de segurança e na gestão de riscos.
    • Planos de Resposta a Incidentes: Desenvolva, teste e revise regularmente um Plano de Resposta a Incidentes (IRP) que contemple a notificação à ANPD e aos titulares dos dados, conforme a LGPD.
    • Auditorias de Compliance: Realize auditorias regulares para garantir a conformidade contínua com LGPD, PCI-DSS (para financeiro) e outras regulamentações setoriais (BACEN para bancos, por exemplo).

  6. Treinamento: Cultura de Segurança.

    • Educação Contínua: Implemente um programa de treinamento em segurança cibernética contínuo e obrigatório para todos os funcionários, abordando os tipos mais recentes de ataques de engenharia social, como phishing e pretexting.
    • Treinamento para Equipes Técnicas: Ofereça treinamento especializado para equipes de TI e segurança em detecção de ameaças avançadas, resposta a incidentes e uso seguro de novas tecnologias, incluindo IA.

❓ Perguntas Frequentes

P: Como o VoidProxy difere do phishing tradicional e o que o torna tão perigoso?

R: O VoidProxy utiliza uma técnica de "adversary-in-the-middle" (AiTM), onde ele atua como um proxy entre a vítima e o site legítimo. Isso permite que os atacantes não apenas roubem credenciais, mas também interceptem e reutilizem códigos de MFA e tokens de sessão em tempo real. A sua periculosidade reside na capacidade de contornar muitas soluções de MFA, que são a primeira linha de defesa contra o roubo de credenciais.

P: Meus dados podem ser roubados se minha empresa for vítima de um ataque à cadeia de suprimentos?

R: Sim, absolutamente. Em um ataque à cadeia de suprimentos, os criminosos comprometem um fornecedor de software ou serviço que sua empresa utiliza. Uma vez que o fornecedor é comprometido, os atacantes podem usar essa relação de confiança para acessar os sistemas dos clientes do fornecedor, incluindo os da sua empresa, resultando em roubo de dados, implantação de ransomware ou outras atividades maliciosas.

P: Qual o papel da Coneds na preparação das empresas para essas ameaças avançadas?

R: A Coneds oferece treinamentos especializados e consultoria para empresas (B2B) e profissionais (B2C) em diversas áreas da cibersegurança. Nossos programas abordam desde a conscientização em engenharia social e melhores práticas de MFA, até treinamentos técnicos aprofundados em resposta a incidentes, segurança em nuvem e implementação de arquiteturas Zero Trust, capacitando as equipes a defenderem-se contra as ameaças mais atuais.

Conclusão

O ano de 2025 solidifica a realidade de que a cibersegurança não é mais uma preocupação secundária, mas um pilar estratégico para a sustentabilidade de qualquer negócio no Brasil. As ameaças como o phishing avançado, exemplificado pela operação VoidProxy, e a persistência destrutiva do ransomware contra infraestruturas críticas, sublinham a necessidade de uma vigilância ininterrupta e de uma adaptação proativa. A crescente influência da Inteligência Artificial, tanto como ferramenta de ataque quanto de defesa, redefine as exigências de investimento e capacitação para as equipes de segurança.

A complacência é o maior inimigo. A aderência aos princípios da LGPD, a proteção ativa contra engenharia social e a fortificação da resiliência da cadeia de suprimentos não são apenas requisitos regulatórios, mas imperativos de negócios. As empresas que negligenciarem essas áreas correm o risco não apenas de perdas financeiras e danos à reputação, mas de interrupções operacionais que podem ser existenciais. É fundamental que CISOs, gestores de TI e profissionais de segurança adotem uma abordagem holística, investindo em tecnologia, processos e, acima de tudo, na capacitação de suas equipes. A segurança cibernética é uma jornada contínua de aprendizado e aprimoramento. A Coneds está pronta para ser seu parceiro nessa jornada, garantindo que sua equipe esteja à frente das ameaças emergentes.

📚 Aprenda mais: [Fortaleça sua defesa contra phishing e ransomware com nossos cursos especializados em coneds.com.br/treinamentos-ciberseguranca] 🔗 Fontes:

#ciberseguran-a#coneds#cyber-attacks#infosec#seguran-a-digital

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

C

Coneds News

251 posts