Skip to main content
HashnodeConeds NewsConeds News

Command Palette

Search for a command to run...

Cibersegurança 2025: Ransomware, Phishing e Supply Chain Ameaçam o Brasil

Published
13 min read
M
Matheus Banhos

Cibersegurança 2025: Ransomware, Phishing e Supply Chain Ameaçam o Brasil

Meta descrição: Analisamos as últimas ameaças de cibersegurança (setembro/2025): phishing avançado, ransomware e ataques à supply chain, com foco no impacto e recomendações para empresas brasileiras.

O cenário de cibersegurança global continua a evoluir em ritmo acelerado, com atores de ameaças constantemente aprimorando suas táticas. Para profissionais de TI, CISOs, analistas de segurança e gestores no Brasil, compreender as tendências emergentes não é apenas uma questão de conhecimento, mas de sobrevivência operacional e compliance. O que observamos nos últimos dias e semanas de setembro de 2025 é uma intensificação de ataques que exploram a intersecção entre a falha humana e a complexidade da infraestrutura digital moderna. Desde campanhas de phishing que burlam autenticação multifator até o comprometimento silencioso de cadeias de suprimentos de software, as organizações brasileiras precisam estar mais vigilantes do que nunca. A sofisticação crescente do ransomware, o uso de inteligência artificial para engenharia social e a persistência de vulnerabilidades em ecossistemas de terceiros exigem uma reavaliação contínua das estratégias de defesa. Este artigo detalha os incidentes mais recentes e urgentes, fornecendo uma análise crítica e recomendações práticas para proteger seus ativos mais valiosos em um ambiente de ameaças cada vez mais hostil e regulado pela LGPD, PCI-DSS e BACEN. A Coneds, como especialista em educação em cibersegurança, tem o compromisso de trazer informações que não apenas alertam, mas capacitam a comunidade de segurança brasileira a agir de forma proativa.

⚡ Resumo Executivo

  • Phishing Avançado: Novas operações como VoidProxy e RaccoonO365 empregam táticas sofisticadas (AiTM, roubo de tokens de sessão) para comprometer contas de Microsoft 365 e Google.
  • Ransomware Persistente: O ransomware continua sendo uma ameaça dominante, com grupos como Interlock intensificando ataques e visando infraestruturas críticas.
  • Cadeia de Suprimentos Vulnerável: Incidentes como o da Salesloft Drift demonstram como o comprometimento de um único fornecedor pode expor múltiplos clientes, incluindo gigantes da segurança.
  • Impacto no Brasil: Empresas brasileiras, especialmente nos setores financeiro e de saúde, são alvos atraentes, exigindo conformidade rigorosa com a LGPD e o fortalecimento das defesas.
  • IA na Cibersegurança: A inteligência artificial é cada vez mais utilizada tanto por atacantes (geração de conteúdo malicioso) quanto por defensores (detecção e resposta).

A Onda de Phishing Avançado e Ransomware: Novas Táticas de Infiltração

Nos últimos dias de setembro de 2025, o cenário de ameaças foi marcado pela ascensão de operações de phishing que transcendem as táticas tradicionais, mirando plataformas corporativas ubíquas como Microsoft 365 e Google. As operações VoidProxy e RaccoonO365 Phishing Service, noticiadas em 15 e 17 de setembro, respectivamente, exemplificam essa evolução preocupante.

O VoidProxy, um novo serviço de Phishing-as-a-Service (PhaaS), está sendo explorado por cibercriminosos para atacar contas do Microsoft 365 e Google. Sua inovação reside no uso de técnicas de Adversário-no-Meio (AiTM - Adversary-in-the-Middle). Em vez de simplesmente roubar credenciais estáticas, o AiTM permite que os atacantes interceptem e retransmitam as credenciais de login e, crucialmente, os códigos de Autenticação Multifator (MFA) e tokens de sessão em tempo real. Isso significa que, mesmo com o MFA ativado, os usuários podem ser comprometidos, pois o atacante efetivamente se posiciona entre a vítima e o serviço legítimo. Uma vez obtido o token de sessão, o atacante pode contornar futuras solicitações de MFA e manter o acesso persistente à conta da vítima, exfiltrando dados e lançando ataques subsequentes.

Similarmente, a interrupção do RaccoonO365 Phishing Service pela Microsoft em 17 de setembro revelou uma infraestrutura de phishing sofisticada, utilizada para roubar credenciais e dados de contas do Microsoft 365. Embora os detalhes técnicos completos ainda estejam sendo analisados, a coordenação entre a Microsoft e outras empresas de segurança para derrubar mais de 300 websites relacionados indica a escala e o impacto dessa operação. Tais serviços de PhaaS democratizam o acesso a ferramentas de ataque avançadas, permitindo que cibercriminosos com menor conhecimento técnico lancem campanhas altamente eficazes.

Essas campanhas de phishing avançado são frequentemente o ponto de entrada para ataques de ransomware. O grupo Interlock ransomware, ativo desde julho de 2025, tem intensificado suas investidas contra setores de infraestrutura crítica e empresas. Eles utilizam uma combinação de "drive-by downloads" e táticas de engenharia social, como a falsa atualização de navegadores (ClickFix), para obter o acesso inicial. Uma vez dentro da rede, o Interlock é capaz de distribuir payloads de roubo de informações como Lumma e Berserk, comprometendo credenciais e escalando privilégios antes de criptografar os dados. Este ciclo vicioso – phishing para acesso inicial, roubo de credenciais para movimento lateral e, finalmente, ransomware para extorsão – é um modus operandi comum e altamente destrutivo.

A combinação dessas ameaças ressalta a importância de ir além da proteção tradicional. A engenharia social, amplificada pela IA generativa que permite a criação de mensagens de phishing cada vez mais convincentes e personalizadas ("spear-phishing"), continua sendo a principal porta de entrada. A capacidade de roubar tokens de sessão após um login autenticado com MFA é um divisor de águas, exigindo que as defesas se concentrem não apenas na autenticação inicial, mas na validação contínua da sessão e no comportamento do usuário.

O Risco Silencioso da Cadeia de Suprimentos: Lições do Incidente Salesloft Drift

Além das ameaças diretas de phishing e ransomware, a segurança da cadeia de suprimentos emergiu como um vetor de ataque crítico, capaz de impactar até mesmo as organizações mais protegidas. O incidente envolvendo Zscaler e Palo Alto Networks, comprometidas via Salesloft Drift, noticiado em 2 de setembro de 2025, serve como um alerta contundente para todas as empresas, especialmente no Brasil.

A Salesloft Drift é uma plataforma de automação de marketing e vendas, amplamente utilizada por diversas empresas para comunicação com clientes e prospecção. O comprometimento dessa plataforma de terceiros resultou em uma violação de dados que afetou indiretamente grandes empresas de cibersegurança. Embora os detalhes específicos da vulnerabilidade ou da exploração ainda estejam sob investigação, o incidente ilustra uma falha crítica: a segurança de uma organização é tão forte quanto o elo mais fraco de sua cadeia de suprimentos.

Ataques à cadeia de suprimentos não são novos, mas sua frequência e sofisticação têm aumentado exponencialmente. Nesses ataques, os cibercriminosos visam fornecedores e parceiros com menos robustez de segurança para, a partir daí, infiltrar as redes de seus alvos principais. O impacto é multifacetado:

  • Acesso a Dados Confidenciais: Dados de clientes, parceiros e até mesmo informações internas podem ser exfiltrados através do comprometimento de um fornecedor. No caso de Salesloft Drift, isso poderia envolver informações de contato e interações de vendas, que podem ser usadas para futuras campanhas de engenharia social altamente direcionadas.
  • Injeção de Código Malicioso: Em casos mais graves, o comprometimento de software ou serviços de terceiros pode levar à injeção de código malicioso nos produtos ou serviços dos clientes. Embora não explicitamente detalhado para o caso Salesloft Drift, incidentes anteriores como o SolarWinds demonstraram o poder devastador dessa tática.
  • Deterioração da Confiança: Um ataque bem-sucedido na cadeia de suprimentos não apenas causa danos operacionais e financeiros, mas também erode a confiança entre empresas e seus fornecedores, um pilar fundamental em qualquer ecossistema de negócios.

O fato de empresas líderes em cibersegurança como Zscaler e Palo Alto Networks terem sido afetadas por meio de um fornecedor demonstra que nenhuma organização está imune. Isso reforça a necessidade de uma diligência rigorosa na seleção e monitoramento de terceiros, que vá além das avaliações de segurança iniciais e se estenda por todo o ciclo de vida do relacionamento. A complexidade de gerenciar a segurança de dezenas, centenas ou até milhares de fornecedores é um desafio monumental, mas inadiável.

🇧🇷 Impacto no Cenário Brasileiro

Para o Brasil, essas tendências globais de cibersegurança adquirem contornos específicos e amplificam desafios já existentes. A dependência de software e serviços de terceiros é uma realidade em praticamente todos os setores, desde o bancário e financeiro até o governamental e de saúde. A LGPD (Lei Geral de Proteção de Dados) eleva a responsabilidade das empresas na proteção de dados pessoais, tornando as violações de phishing, ransomware e supply chain ainda mais críticas.

Setores Mais Afetados:

  • Financeiro: Bancos, fintechs e seguradoras são alvos primários para o roubo de credenciais e dados financeiros, visando fraudes e movimentações ilícitas. A regulamentação do BACEN (Banco Central do Brasil) para segurança cibernética exige resiliência robusta. As operações de phishing como VoidProxy e RaccoonO365, que visam contas de Microsoft 365 e Google, são extremamente perigosas, pois muitas instituições financeiras utilizam esses serviços para comunicação interna e gestão.
  • Saúde: Hospitais, clínicas e operadoras de planos de saúde detêm um volume massivo de dados sensíveis (histórico médico, informações financeiras). Ataques de ransomware, como o do grupo Interlock, podem não apenas extorquir as instituições, mas também comprometer a continuidade do atendimento e a vida dos pacientes. A LGPD impõe penalidades severas para o vazamento de dados de saúde.
  • Varejo e E-commerce: A grande quantidade de dados de clientes e transações financeiras faz desses setores um alvo constante para o roubo de dados, frequentemente via phishing e comprometimento de sistemas de parceiros (cadeia de suprimentos). A conformidade com PCI-DSS, para processamento de pagamentos, é fundamental.
  • Governo: Órgãos governamentais são visados para roubo de dados de cidadãos, interrupção de serviços públicos e espionagem. O phishing direcionado e ataques à cadeia de suprimentos podem comprometer sistemas críticos e bases de dados nacionais.

Dados Locais e Contexto Regulatório: Embora os dados recentes de ataques com CVEs confirmados sejam predominantemente de fontes internacionais, a dinâmica de ataque via engenharia social e exploração de terceiros é universal. No Brasil, observamos um aumento contínuo no volume e na sofisticação das tentativas de phishing, muitas vezes com temas contextualizados para o público local (e.g., promoções falsas de grandes varejistas, comunicados de bancos brasileiros, avisos de órgãos públicos). A cultura de uso de plataformas de produtividade em nuvem, como Microsoft 365 e Google Workspace, é disseminada, tornando as empresas brasileiras igualmente vulneráveis a operações como VoidProxy e RaccoonO365.

A LGPD é o principal pilar regulatório, exigindo que as empresas implementem medidas de segurança adequadas para proteger os dados pessoais. Violações resultantes de phishing ou falhas na cadeia de suprimentos podem levar a multas substanciais da ANPD (Autoridade Nacional de Proteção de Dados), além de danos irreparáveis à reputação. O BACEN, por sua vez, possui regulamentações específicas para o setor financeiro (e.g., Resolução Conjunta nº 6, Resolução BCB nº 182), que exigem uma gestão robusta de riscos cibernéticos e segurança de terceiros. A conformidade com o PCI-DSS permanece essencial para qualquer empresa que processe, armazene ou transmita dados de cartões de pagamento.

A escassez de profissionais qualificados em cibersegurança no Brasil agrava a situação, tornando a implementação de defesas eficazes um desafio ainda maior. A complexidade de monitorar e gerenciar a segurança de um ecossistema de fornecedores em um país de dimensões continentais adiciona camadas de dificuldade.

🔒 Recomendações Práticas da Coneds

Para mitigar os riscos apresentados por phishing avançado, ransomware e vulnerabilidades na cadeia de suprimentos, a Coneds recomenda as seguintes ações concretas:

  1. Ação Imediata: Implemente e reforce MFA phishing-resistente para todas as contas críticas, especialmente Microsoft 365 e Google Workspace. Considere o uso de chaves de segurança físicas (FIDO2) ou MFA baseada em certificados, que são mais robustas contra ataques AiTM e roubo de tokens de sessão.
  2. Curto Prazo (1-4 semanas): Realize treinamentos de conscientização de segurança simulando ataques de phishing avançados, incluindo cenários com roubo de MFA e tokens de sessão. Eduque os usuários sobre os perigos de clicar em links suspeitos e baixar anexos não verificados, mesmo de fontes aparentemente confiáveis.
  3. Médio Prazo (1-3 meses): Desenvolva um programa robusto de gestão de riscos de terceiros. Inclua auditorias de segurança regulares para fornecedores críticos, cláusulas contratuais claras sobre responsabilidade de segurança e requisitos de notificação de incidentes. Implemente soluções de "Cloud Access Security Broker" (CASB) ou "Zero Trust Network Access" (ZTNA) para monitorar e controlar o acesso a serviços em nuvem utilizados por terceiros e funcionários.
  4. Estratégia Long-term: Adote uma arquitetura de segurança "Zero Trust". Verifique implicitamente cada usuário e dispositivo antes de conceder acesso aos recursos da rede, independentemente de estarem dentro ou fora do perímetro tradicional. Invista em plataformas de Detecção e Resposta Estendidas (XDR) e Security Information and Event Management (SIEM) para visibilidade abrangente e detecção de anomalias de comportamento.
  5. Governança: Estabeleça um comitê de segurança formal para revisar e atualizar continuamente as políticas de segurança. Garanta que a conformidade com a LGPD, PCI-DSS e regulamentações do BACEN seja incorporada aos processos de segurança, com auditorias internas e externas regulares.
  6. Treinamento: Capacite sua equipe de segurança com as mais recentes técnicas de defesa contra phishing avançado, análise de ransomware e gestão de riscos de supply chain. A compreensão aprofundada das táticas dos adversários é fundamental para construir defesas eficazes.

❓ Perguntas Frequentes

P: Como o phishing avançado contorna o MFA tradicional?

R: O phishing avançado, como as operações AiTM (Adversary-in-the-Middle) do VoidProxy, atua como um intermediário entre a vítima e o serviço legítimo. Ele captura tanto as credenciais quanto os códigos de MFA em tempo real, retransmitindo-os para o serviço. Uma vez que o login é bem-sucedido, o atacante rouba o token de sessão, que permite acesso contínuo sem a necessidade de novas autenticações, contornando o MFA baseado em senhas únicas ou aplicativos.

P: Qual o papel da Coneds na capacitação para enfrentar essas novas ameaças?

R: A Coneds oferece treinamentos especializados e consultoria para empresas e profissionais, focados em ameaças emergentes como phishing avançado, ransomware e segurança da cadeia de suprimentos. Nossos cursos abordam desde a conscientização para usuários finais até técnicas avançadas de detecção, resposta a incidentes e implementação de arquiteturas Zero Trust, garantindo que sua equipe esteja preparada para os desafios do mercado brasileiro e global.

P: O que são os "tokens de sessão" e por que seu roubo é tão perigoso?

R: Um token de sessão é uma credencial temporária emitida por um servidor após a autenticação bem-sucedida de um usuário. Ele permite que o usuário acesse recursos sem precisar se autenticar novamente a cada requisição. O roubo de um token de sessão é perigoso porque permite que o atacante "seja" o usuário legítimo por um período, acessando todas as informações e funcionalidades que o usuário possui, mesmo que a senha original tenha sido alterada ou o MFA ativado. Ele efetivamente ignora a necessidade de credenciais e MFA para o atacante.

Conclusão

As recentes ameaças de cibersegurança, caracterizadas pelo phishing avançado, ransomware persistente e a crescente vulnerabilidade da cadeia de suprimentos, demonstram um cenário desafiador para empresas brasileiras. A capacidade dos atacantes de contornar defesas tradicionais, como o MFA, e de explorar elos mais fracos em ecossistemas de terceiros, exige uma abordagem mais proativa e multifacetada. A conformidade regulatória, como a LGPD, PCI-DSS e as diretrizes do BACEN, não deve ser vista apenas como um fardo, mas como um catalisador para a melhoria contínua da postura de segurança.

A segurança cibernética deixou de ser um problema meramente técnico para se tornar uma questão estratégica de negócios e de governança. Líderes de TI e CISOs precisam investir não apenas em tecnologia, mas na capacitação de suas equipes e na conscientização de todos os colaboradores. A adoção de princípios de Zero Trust, a implementação de MFA phishing-resistente e uma gestão rigorosa de riscos de terceiros são imperativos. A colaboração e o compartilhamento de inteligência de ameaças também são cruciais para enfrentar adversários cada vez mais organizados. A Coneds está aqui para ser sua parceira nessa jornada, fornecendo o conhecimento e as ferramentas necessárias para construir uma resiliência cibernética robusta e adaptável às realidades do mercado brasileiro. Não espere o próximo incidente; prepare-se agora.

📚 Aprenda mais: Eleve a segurança da sua empresa com os treinamentos especializados em Gestão de Riscos Cibernéticos e Engenharia Social da Coneds. Visite coneds.com.br para mais informações e para agendar uma consultoria. 🔗 Fontes:

#ciberseguran-a#coneds#cyber-attacks#infosec#seguran-a-digital

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

C

Coneds News

251 posts