Skip to main content
HashnodeConeds NewsConeds News

Command Palette

Search for a command to run...

Cibersegurança 2025: Ransomware, Phishing e Supply Chain Ameaçam o Brasil

Published
12 min read
M
Matheus Banhos

Cibersegurança 2025: Ransomware, Phishing e Supply Chain Ameaçam o Brasil

Meta descrição: Análise crítica das ameaças de cibersegurança mais urgentes no Brasil em Outubro de 2025: KillSec no setor de saúde, phishing avançado e resiliência da supply chain.

O cenário de cibersegurança no Brasil, em outubro de 2025, é mais complexo e desafiador do que nunca. Enquanto empresas de todos os portes investem cada vez mais em tecnologia de ponta, os cibercriminosos aprimoram suas táticas, explorando vulnerabilidades humanas e sistêmicas com uma sofisticação crescente. Não se trata apenas de ataques genéricos, mas de campanhas altamente direcionadas que visam setores críticos como saúde, finanças e infraestrutura, com impactos devastadores na operação, reputação e, crucialmente, na conformidade com regulamentações como a LGPD. A linha entre crime cibernético e ciberguerra patrocinada por estados-nação torna-se cada vez mais tênue, exigindo dos CISOs e gestores de TI uma vigilância constante e estratégias de defesa proativas. Os incidentes recentes, tanto globais quanto locais, servem como um lembrete severo de que a resiliência cibernética não é um luxo, mas uma necessidade fundamental para a continuidade dos negócios e a proteção de dados sensíveis em um mundo hiperconectado. Este artigo se aprofunda nas ameaças mais prementes e oferece um guia prático para fortalecer a postura de segurança de sua organização.

⚡ Resumo Executivo

  • Ransomware KillSec ataca saúde brasileira: Exposição de dados sensíveis ressalta fragilidade no setor e falhas na segurança de supply chain.
  • Phishing e RMMs: Novos vetores de acesso: Campanhas sofisticadas de phishing, como VoidProxy, exploram identidades e ferramentas de gestão remota.
  • Supply Chain como alvo prioritário: Ataques a fornecedores terceirizados amplificam o risco e exigem uma nova abordagem de governança.
  • Impacto da LGPD e regulamentações: Aumento da pressão regulatória e custos de recuperação exigem conformidade e resiliência.
  • Ações proativas são cruciais: Patch management, MFA, treinamento contínuo e arquiteturas Zero Trust são defesas indispensáveis.

Ransomware KillSec e a Fragilidade da Saúde Brasileira

Em um incidente que ecoou fortemente no setor de saúde brasileiro, o grupo de ransomware KillSec realizou um ataque devastador contra a MedicSolution, uma provedora de software para hospitais e clínicas no país. O ataque, reportado em abril de 2024 e com ramificações contínuas em outubro de 2025, não apenas paralisou operações, mas resultou na exposição de uma vasta quantidade de dados sensíveis de pacientes, incluindo avaliações médicas, resultados de exames laboratoriais, radiografias e até imagens não anonimizadas. A exfiltração de dados ocorreu de um bucket AWS S3 configurado de forma insegura, um vetor de ataque comum que sublinha a persistência de vulnerabilidades básicas em infraestruturas complexas.

Este incidente é um exemplo claro de um ataque à cadeia de suprimentos (supply chain), onde a vulnerabilidade de um fornecedor terceirizado afeta diretamente seus clientes. A MedicSolution, como provedora de serviços essenciais, se tornou um ponto de entrada para comprometer a integridade e a privacidade dos dados de inúmeras instituições de saúde. O grupo KillSec, com um histórico de operações no Brasil, já havia vazado dados pessoais e corporativos de recursos governamentais, indicando uma preferência por alvos com informações de alto valor e potencial de extorsão.

A complexidade dos sistemas de saúde, com a interconexão de prontuários eletrônicos (EHRs), sistemas de agendamento, faturamento e plataformas de imagem, cria uma superfície de ataque vasta e tentadora para cibercriminosos. A exploração de falhas de configuração em serviços de nuvem, como um bucket S3 desprotegido, demonstra que mesmo as tecnologias mais modernas exigem uma rigorosa disciplina de segurança e gerenciamento de configuração. A facilidade com que dados foram exfiltrados, sem detecção imediata, aponta para lacunas nos controles de monitoramento e resposta a incidentes.

Ataques como o da KillSec não se limitam apenas à interrupção de serviços; eles representam uma ameaça direta à segurança do paciente e à conformidade regulatória. A LGPD, no Brasil, impõe sanções severas para o tratamento inadequado de dados pessoais, especialmente os sensíveis. A exposição de informações médicas pode levar a fraudes de identidade, extorsão e, no pior dos cenários, comprometer o cuidado ao paciente, como visto em outros ataques globais a sistemas de saúde que forçaram hospitais a operar manualmente, atrasando cirurgias e tratamentos críticos. A recuperação de um incidente dessa magnitude é custosa, demorada e pode abalar permanentemente a confiança dos pacientes e do público.

Anatomia da Exfiltração via AWS S3 Inseguro

A exposição de dados em buckets S3 não configurados corretamente é um problema recorrente. O acesso a esses buckets, muitas vezes públicos ou com permissões excessivamente permissivas, permite que atacantes listem e copiem objetos, resultando na exfiltração maciça de dados. Em muitos casos, a falta de políticas de controle de acesso granular (IAM), a ausência de criptografia em repouso e em trânsito, e a falha em implementar monitoramento contínuo para configurações de segurança são os principais fatores que contribuem para essas brechas. Para a MedicSolution, a falha em proteger um recurso tão crítico tornou-se o calcanhar de Aquiles da sua postura de segurança, impactando diretamente a privacidade de milhões de brasileiros.

A Ascensão do Phishing Avançado e Exploração de RMMs

Em paralelo à ameaça persistente do ransomware, as táticas de phishing continuam a evoluir, tornando-se mais personalizadas e difíceis de detectar. Notícias recentes de setembro de 2025 destacam duas tendências preocupantes: a operação de phishing VoidProxy e a exploração de ferramentas de Monitoramento e Gerenciamento Remoto (RMM).

A operação VoidProxy tem como alvo contas de Microsoft 365 e Google, utilizando técnicas de adversary-in-the-middle (AitM) para roubar credenciais, códigos de autenticação multifator (MFA) e tokens de sessão. Este Phishing-as-a-Service (PaaS) demonstra um salto na sofisticação, contornando defesas tradicionais de MFA que não são "resistentes a phishing". Ao capturar tokens de sessão, os atacantes podem manter o acesso mesmo após a vítima ter alterado a senha, tornando a detecção e remediação muito mais desafiadoras. A prevalência de Microsoft 365 e Google Workspace em empresas brasileiras torna esta ameaça particularmente relevante, pois um comprometimento dessas contas pode levar a Business Email Compromise (BEC), exfiltração de dados e lateralização dentro da rede corporativa.

Simultaneamente, a exploração de ferramentas de RMM em novas campanhas de phishing tem se mostrado um vetor de ataque eficaz. Ferramentas RMM são amplamente utilizadas por equipes de TI e provedores de serviços gerenciados (MSPs) para administrar remotamente sistemas e redes. Quando um atacante consegue enganar um usuário para baixar e executar software de RMM malicioso (ou obter acesso a uma instalação legítima e comprometê-la), ele ganha controle persistente sobre o endpoint, permitindo a instalação de malware, a exfiltração de dados e o movimento lateral na rede. Esta técnica é insidiosa porque aproveita a confiança em ferramentas legítimas, dificultando a detecção por soluções de segurança que podem não sinalizar atividades de um software "conhecido".

A engenharia social é o fio condutor dessas campanhas. Os atacantes investem tempo na criação de e-mails e páginas de login convincentes, muitas vezes aproveitando eventos atuais ou temas de interesse da vítima para aumentar a taxa de sucesso. Com o avanço da IA generativa, a capacidade de criar e-mails de phishing impecáveis e personalizados em larga escala está crescendo exponencialmente, tornando a detecção ainda mais complicada para o usuário final. Isso reforça a necessidade de uma defesa em camadas que vá além da tecnologia, incluindo a conscientização e o treinamento contínuo dos funcionários.

A combinação de phishing avançado com a exploração de RMMs e o roubo de tokens de sessão representa um desafio significativo. Não se trata mais apenas de identificar e-mails suspeitos, mas de reconhecer táticas que subvertem mecanismos de segurança robustos e de monitorar anomalias no comportamento do usuário e do sistema. A proteção de identidades e o controle de acesso se tornam os pilares centrais para mitigar esses riscos.

🇧🇷 Impacto no Cenário Brasileiro

As tendências globais de cibersegurança, como o ransomware, o phishing avançado e os ataques à supply chain, têm um impacto amplificado no Brasil devido a uma combinação de fatores:

  • Maturidade Digital e Legado: Muitas empresas brasileiras estão em diferentes estágios de transformação digital, com uma coexistência de sistemas legados e novas tecnologias. Essa heterogeneidade cria um ambiente complexo e com mais pontos de vulnerabilidade. Sistemas ERP e sistemas de gestão em setores como o bancário e governamental, muitas vezes antigos ou com personalizações extensas, podem ser alvos atrativos se não forem mantidos atualizados.
  • LGPD e Responsabilização: A Lei Geral de Proteção de Dados (LGPD) intensifica a responsabilidade das organizações sobre a proteção dos dados pessoais. Incidentes como o ataque da KillSec no setor de saúde resultam em multas pesadas, danos reputacionais e a necessidade de comunicar a violação, gerando um custo operacional e legal significativo. O não cumprimento de requisitos de segurança e privacidade em contratos com fornecedores terceirizados também pode levar a ações legais.
  • Cenário Regulatório Específico: Além da LGPD, o Brasil possui regulamentações setoriais como as do Banco Central (BACEN) para instituições financeiras e a PCI-DSS para empresas que processam pagamentos com cartão. Essas regulamentações exigem controles rigorosos de segurança e relatórios de conformidade, e um incidente em um elo da supply chain pode ter um efeito cascata em todo o ecossistema regulado.
  • Setores Mais Afetados: O setor de saúde, como demonstrado pelo caso KillSec, é um alvo constante devido ao valor e à sensibilidade dos dados. Instituições financeiras, e-commerce e empresas de serviços essenciais (energia, água, telecomunicações) também são visadas, seja por motivação financeira ou por interrupção de infraestrutura crítica. A dependência crescente de fornecedores de software e serviços na nuvem (MSPs, SaaS) significa que uma falha em um desses elos pode comprometer centenas de empresas brasileiras simultaneamente.
  • Engenharia Social e Cultura de Segurança: A cultura de segurança ainda é um desafio em muitas organizações. Campanhas de phishing bem elaboradas, muitas vezes utilizando temas locais (impostos, notícias regionais, ofertas de emprego falsas), são extremamente eficazes. A falta de treinamento contínuo e a baixa conscientização dos funcionários continuam sendo o "calcanhar de Aquiles" para a defesa cibernética.

A crescente profissionalização do cibercrime, aliada à capacidade de exploração de vulnerabilidades conhecidas (como exemplificado pelos CVEs antigos explorados pelo grupo Ghost em servidores com software desatualizado como o Adobe ColdFusion, CVE-2010-2861 e CVE-2009-3960, e falhas em Fortinet FortiOS, CVE-2018-13379), exige que as empresas brasileiras adotem uma postura de segurança mais robusta e adaptável.

🔒 Recomendações Práticas da Coneds

Para enfrentar o cenário de ameaças atual, CISOs e gestores de TI devem priorizar as seguintes ações práticas:

  1. Ação Imediata: Gestão de Patches e Vulnerabilidades: Mantenha todos os sistemas, aplicações e equipamentos de rede atualizados. Priorize patches para vulnerabilidades críticas em softwares amplamente utilizados e em tecnologias de borda (firewalls, VPNs, RMMs). Utilize ferramentas de varredura de vulnerabilidades e automação de patches.
  2. Curto Prazo (1-4 semanas): Fortalecimento de Identidade e Acesso: Implemente MFA resistente a phishing (baseado em hardware tokens ou FIDO2) para todas as contas privilegiadas e de alto risco (administradores, executivos, acesso a nuvem). Revise e fortaleça políticas de senhas, e monitore ativamente tentativas de roubo de credenciais e anomalias de login.
  3. Médio Prazo (1-3 meses): Programa Robusto de Conscientização: Invista em treinamentos contínuos de segurança cibernética que simulem ataques de phishing e engenharia social. O foco deve ser em educar os usuários sobre as táticas mais recentes, como ataques de troca de SIM, vishing e iscas de AI generativa. Realize campanhas de conscientização regulares com métricas claras de engajamento e redução de incidentes.
  4. Estratégia Long-term: Arquitetura Zero Trust: Inicie a transição para um modelo de segurança Zero Trust, verificando continuamente a identidade de cada usuário e dispositivo antes de conceder acesso aos recursos da rede, independentemente de sua localização. Segmente a rede e implemente controles de micro-segmentação.
  5. Governança: Segurança da Supply Chain e Contratos: Avalie rigorosamente a postura de segurança de todos os fornecedores terceirizados, especialmente aqueles que têm acesso aos seus dados ou sistemas críticos. Inclua cláusulas de segurança cibernética e requisitos de auditoria nos contratos, exigindo conformidade com padrões reconhecidos e planos de resposta a incidentes.
  6. Resposta a Incidentes e Backups: Desenvolva e teste regularmente um plano de resposta a incidentes de cibersegurança. Garanta que os backups sejam feitos de forma consistente, sejam imutáveis, isolados da rede de produção e testados para restauração, seguindo a regra 3-2-1.
  7. Monitoramento e Detecção Contínuos: Implemente soluções SIEM/SOAR e EDR/XDR para monitorar atividades suspeitas em endpoints, redes e nuvem. Utilize inteligência de ameaças para identificar indicadores de comprometimento (IoCs) e comportamentos anômalos em tempo real.

❓ Perguntas Frequentes

P: Como a IA generativa está impactando os ataques de phishing?

R: A IA generativa permite que os atacantes criem e-mails e mensagens de phishing extremamente convincentes e personalizados em grande escala, com gramática impecável e contexto relevante para a vítima. Isso torna a detecção mais difícil para os usuários e para algumas ferramentas de segurança baseadas em assinaturas, exigindo uma abordagem mais comportamental e de análise de anomalias.

P: Quais são os principais desafios da segurança da supply chain no Brasil?

R: Os desafios incluem a falta de visibilidade sobre a postura de segurança de fornecedores menores, a complexidade de gerenciar múltiplos fornecedores com diferentes níveis de maturidade em segurança, e a dificuldade em impor requisitos de segurança rigorosos em contratos. A interconexão entre sistemas, especialmente em setores críticos, amplifica o risco.

P: A Coneds oferece treinamentos específicos para ataques de ransomware e phishing avançado?

R: Sim, a Coneds oferece treinamentos especializados que cobrem desde a conscientização básica sobre phishing e engenharia social até cursos avançados para equipes de segurança sobre detecção, resposta e remediação de ataques de ransomware, além de estratégias para proteger a supply chain e implementar arquiteturas Zero Trust. Nossos programas são atualizados constantemente para refletir as ameaças emergentes no cenário brasileiro e global.

Conclusão

O panorama da cibersegurança em outubro de 2025 reforça uma verdade inegável: a ameaça cibernética é constante, evolutiva e altamente adaptável. Os incidentes recentes, como o ataque KillSec ao setor de saúde brasileiro e a proliferação de campanhas de phishing avançadas utilizando táticas como a VoidProxy e a exploração de RMMs, sublinham a necessidade urgente de uma postura de defesa proativa e multifacetada. A proteção não se limita mais a soluções tecnológicas robustas; ela se estende à vigilância contínua da supply chain, à educação e conscientização de cada funcionário, e à capacidade de adaptar-se rapidamente a novas táticas adversárias.

Para CISOs e gestores de TI no Brasil, a conformidade com a LGPD e outras regulamentações setoriais exige não apenas a implementação de controles técnicos, mas uma governança sólida e a capacidade de demonstrar resiliência em face de um incidente. A complacência não é uma opção. É imperativo que as organizações invistam em gestão de vulnerabilidades, autenticação robusta, treinamento de segurança e na construção de uma arquitetura Zero Trust. A segurança cibernética é uma jornada contínua, não um destino, e a prontidão para o próximo ataque é a chave para a sobrevivência digital.

Capacite sua equipe com o conhecimento e as ferramentas necessárias para construir defesas cibernéticas eficazes.

📚 Aprenda mais: Nossos cursos de "Gestão de Vulnerabilidades e Patch Management", "Segurança da Supply Chain" e "Resposta a Incidentes Cibernéticos" são essenciais para proteger sua organização. Visite coneds.com.br para mais informações e inscrições. 🔗 Fontes:

  • SC Media. "KillSec ransomware targets healthcare industry in Brazil". Publicado em 04 de abril de 2024. Disponível em: https://www.scworld.com/brief/killsec-ransomware-targets-healthcare-industry-in-brazil (Acesso em 05 de outubro de 2025).
  • SC Media. "VoidProxy phishing operation targets Microsoft 365, Google accounts". Publicado em 15 de setembro de 2025. Disponível em: https://www.scworld.com/news/voidproxy-phishing-operation-targets-microsoft-365-google-accounts (Acesso em 05 de outubro de 2025).
  • SC Media. "RMM tools exploited in new phishing campaigns". Publicado em 16 de setembro de 2025. Disponível em: https://www.scworld.com/brief/rmm-tools-exploited-in-new-phishing-campaigns (Acesso em 05 de outubro de 2025).
  • SC Media. "Ransomware 2024: A year of tricks, traps, wins and losses". Publicado em 31 de dezembro de 2024. Disponível em: https://www.scworld.com/feature/ransomware-2024-a-year-of-tricks-traps-wins-and-losses (Acesso em 05 de outubro de 2025).
  • CISA. "FBI, CISA Say Ghost Ransomware Actors Compromised Victims in More Than 70 Countries". Publicado em 19 de fevereiro de 2025. CVEs citados: CVE-2018-13379, CVE-2010-2861, CVE-2009-3960. Disponível em: https://www.scworld.com/news/fbi-cisa-say-ghost-ransomware-actors-compromised-victims-in-more-than-70-countries (Acesso em 05 de outubro de 2025).
#ciberseguran-a#coneds#cyber-attacks#infosec#seguran-a-digital

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

C

Coneds News

251 posts