Skip to main content
HashnodeConeds NewsConeds News

Command Palette

Search for a command to run...

Cibersegurança 2025: Ransomware, Phishing e Vulnerabilidades Críticas no Brasil

Published
13 min read
M
Matheus Banhos

Cibersegurança 2025: Ransomware, Phishing e Vulnerabilidades Críticas no Brasil

Meta descrição: Explore os recentes ataques de ransomware KillSec, a exploração de CVEs antigos pelo Ghost Ransomware e o avanço do phishing impulsionado por IA que ameaçam empresas brasileiras e exigem medidas de proteção urgentes.

O cenário de cibersegurança global e, em particular, brasileiro, está em constante ebulição. Em 3 de outubro de 2025, observamos uma intensificação nas táticas de ataque, com grupos cibercriminosos aprimorando a engenharia social e explorando vulnerabilidades conhecidas com uma persistência alarmante. A digitalização acelerada, impulsionada em parte pela adoção massiva de tecnologias de nuvem e trabalho remoto, abriu novas fronteiras para invasores que buscam dados, interrupção operacional e lucro financeiro. Empresas brasileiras, desde pequenas e médias até grandes corporações nos setores financeiro, de saúde e infraestrutura crítica, enfrentam um ambiente de ameaças cada vez mais complexo. A conformidade com a LGPD e outras regulamentações se torna um desafio ainda maior diante da sofisticação e volume desses ataques. Este artigo visa dissecar os incidentes mais recentes e as tendências emergentes, fornecendo uma análise técnica aprofundada e recomendações práticas para proteger sua organização. A Coneds, como especialista em educação em cibersegurança, enfatiza a necessidade de proatividade e um preparo contínuo para mitigar os riscos e fortalecer a resiliência cibernética.

⚡ Resumo Executivo

  • Ransomware KillSec: Ataque direcionado a um provedor de software de saúde no Brasil em 15 de setembro de 2025, ressaltando a vulnerabilidade do setor.
  • Ghost Ransomware: Continua a explorar CVEs conhecidos em Fortinet, Microsoft SharePoint e Exchange, com um alerta da CISA e FBI em 19 de fevereiro de 2025.
  • Phishing Aprimorado por IA: O surgimento de serviços como RaccoonO365 e VoidProxy em setembro de 2025 demonstra a sofisticação da engenharia social via IA.
  • Impacto Regulatorio: A LGPD impõe severas penalidades, tornando a resposta a incidentes e a proteção de dados ainda mais críticas para empresas no Brasil.

Ransomware no Brasil: O Ataque KillSec e a Persistência do Ghost Ransomware

O ransomware continua a ser uma das maiores ameaças digitais, com impactos devastadores em organizações de todos os portes. No Brasil, o setor de saúde foi recentemente alvo de um incidente significativo: o grupo KillSec Ransomware atacou um provedor de software de saúde brasileiro em 15 de setembro de 2025. Detalhes específicos sobre o modus operandi exato do KillSec neste caso ainda estão sob investigação, mas a natureza dos ataques de ransomware geralmente envolve a criptografia de dados críticos e a extorsão, ameaçando a divulgação de informações sensíveis se o resgate não for pago. Setores como saúde, que lidam com dados altamente sensíveis (prontuários de pacientes, informações financeiras), são alvos preferenciais devido à maior probabilidade de pagamento do resgate para evitar a interrupção de serviços vitais e a conformidade regulatória.

Paralelamente, a persistência de grupos como o Ghost Ransomware demonstra que a exploração de vulnerabilidades conhecidas e muitas vezes antigas continua sendo um vetor de ataque eficaz. Um relatório conjunto do FBI e da Cybersecurity and Infrastructure Security Agency (CISA), divulgado em 19 de fevereiro de 2025, alertou que os operadores do Ghost Ransomware têm comprometido vítimas em mais de 70 países, explorando serviços de internet desatualizados e firmware antigo. Entre as vulnerabilidades ativamente exploradas estão:

  • Fortinet FortiOS: CVE-2018-13379, uma falha de path traversal que permite o acesso não autenticado a arquivos do sistema.
  • Adobe ColdFusion: CVE-2010-2861 e CVE-2009-3960, que são vulnerabilidades de execução remota de código e divulgação de informações.
  • Microsoft SharePoint: CVE-2019-0604, uma falha de execução remota de código.
  • Microsoft Exchange: Uma série de vulnerabilidades, incluindo CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207, conhecidas como "ProxyShell", que permitem a execução remota de código.

O uso contínuo desses CVEs, alguns com mais de cinco anos, sublinha a falha generalizada em aplicar patches e atualizações de segurança em tempo hábil. Muitas organizações ainda operam com infraestruturas legadas ou ignoram a importância da gestão de patches, criando janelas de oportunidade para grupos como o Ghost Ransomware. Os ataques de ransomware resultam em perdas financeiras significativas, desde custos de recuperação e multas regulatórias até a perda de reputação e confiança do cliente. A interrupção dos negócios pode paralisar operações essenciais, afetando a cadeia de suprimentos e serviços públicos, como visto em incidentes recentes que afetaram distritos escolares e operadores de aviação.

Táticas de Extorsão e Impacto Financeiro

Além da criptografia, o KillSec e outros grupos de ransomware frequentemente empregam a tática de dupla extorsão, onde os dados são primeiro exfiltrados e depois criptografados. Isso significa que, mesmo que uma organização consiga restaurar seus dados a partir de backups, ela ainda enfrenta a ameaça de divulgação pública de informações confidenciais, o que pode levar a enormes prejuízos reputacionais e financeiros, especialmente sob a rigorosa legislação da LGPD no Brasil. A média de perdas de um ataque de ransomware em 2024 foi de US$ 292.000, com interrupção dos negócios sendo a maior fonte de prejuízo, custando em média US$ 102.000. Embora os valores de resgate tenham diminuído, o custo total de recuperação permanece elevado devido à complexidade de restaurar sistemas e garantir a integridade dos dados.

Engenharia Social Aprimorada por IA: A Nova Fronteira do Phishing

A engenharia social sempre foi um pilar fundamental nos ataques cibernéticos, explorando o elo mais fraco da segurança: o fator humano. No entanto, a ascensão da Inteligência Artificial (IA) está elevando essa ameaça a um novo patamar de sofisticação e escala. A IA generativa, em particular, permite que os atacantes criem campanhas de phishing e spear-phishing mais convincentes e personalizadas, tornando a detecção cada vez mais difícil para os usuários finais e, por vezes, para as próprias soluções de segurança.

Em setembro de 2025, vimos o desmantelamento do serviço de phishing RaccoonO365 pela Microsoft e Cloudflare, em coordenação com autoridades policiais. Este serviço de Phishing-as-a-Service (PaaS) utilizava técnicas avançadas para comprometer contas Microsoft 365. Ataques como esses permitem que cibercriminosos obtenham credenciais, acessem sistemas corporativos e lancem ataques secundários, como Business Email Compromise (BEC) ou implantação de ransomware. A complexidade do RaccoonO365 residia em sua capacidade de automatizar a criação de páginas de login falsas e contornar medidas de segurança, aproveitando-se da familiaridade dos usuários com plataformas populares.

Outro serviço preocupante que emergiu no início de 2025, com relatórios detalhados em 15 de setembro de 2025, é o VoidProxy. Esta nova operação de phishing-as-a-service (PaaS) tem como alvo contas de Microsoft 365 e Google em diversos setores, usando técnicas de Adversary-in-the-Middle (AiTM). O VoidProxy é capaz de roubar não apenas credenciais, mas também códigos de Multi-Factor Authentication (MFA) e tokens de sessão, contornando uma das defesas mais robustes contra o roubo de credenciais. A capacidade de sequestrar sessões autenticadas representa um risco enorme, pois os atacantes podem operar dentro do ambiente da vítima sem precisar reautenticar, mimetizando perfeitamente um usuário legítimo.

A IA desempenha um papel crucial nesta evolução. Ela pode ser utilizada para:

  • Gerar textos perfeitos: Criar e-mails de phishing sem erros gramaticais ou de contexto, imitando a linguagem corporativa ou de contatos confiáveis.
  • Deepfakes de voz: Simular vozes de executivos para ataques de "CEO fraud" ou vishing.
  • Automação de reconhecimento: Automatizar a coleta de informações sobre alvos (OSINT) para criar ataques de spear-phishing altamente direcionados.
  • Evasão de detecção: Desenvolver variações de malware e técnicas de evasão que são mais difíceis de serem detectadas por sistemas de segurança tradicionais.

A principal conclusão é que, embora as ferramentas de IA sejam neutras, seu uso por atores de ameaça as transforma em armas poderosas. A prevalência da engenharia social como vetor de ataque primário (entre 80% e 95% dos ataques cibernéticos começam com engenharia social) exige que as organizações invistam em defesa baseada no fator humano, para além das soluções tecnológicas.

🇧🇷 Impacto no Cenário Brasileiro

O Brasil é um campo fértil para ataques cibernéticos, impulsionado por uma série de fatores que amplificam a relevância dos incidentes descritos. A combinação de uma infraestrutura digital em expansão, a baixa maturidade em cibersegurança em muitos setores e a existência de regulamentações como a Lei Geral de Proteção de Dados (LGPD) cria um ambiente de alto risco e custo.

O ataque do KillSec Ransomware a um provedor de software de saúde no Brasil é um alerta claro para o setor. Hospitais, clínicas e laboratórios lidam com dados pessoais sensíveis, que sob a LGPD (Lei nº 13.709/2018), exigem um nível máximo de proteção. Vazamentos ou indisponibilidades causadas por ransomware podem resultar em multas que chegam a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração, além de sanções administrativas como a publicização da infração e a proibição parcial ou total de atividades de tratamento de dados. A interrupção de sistemas de saúde não só afeta a prestação de serviços essenciais, como também pode colocar vidas em risco, aumentando a pressão sobre as organizações para que paguem o resgate, mesmo que isso não garanta a recuperação total ou a não divulgação dos dados.

A exploração de CVEs antigos pelo Ghost Ransomware em sistemas amplamente utilizados como Fortinet, Adobe ColdFusion, Microsoft SharePoint e Exchange ressoa profundamente no Brasil. Muitas empresas brasileiras, inclusive governamentais e financeiras, ainda dependem de sistemas legados ou demoram a implementar atualizações críticas. Essa negligência cria uma vasta superfície de ataque. A CVE-2018-13379 em Fortinet, por exemplo, afeta firewalls de rede, portões de acesso para a infraestrutura corporativa. A exploração de falhas no Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) permite o comprometimento de e-mails corporativos, um vetor crucial para ataques de Business Email Compromise (BEC) e roubo de informações. A LGPD exige que as organizações adotem medidas de segurança técnicas e administrativas para proteger os dados pessoais, e a falha em manter sistemas atualizados é uma violação direta desse princípio.

No que tange à engenharia social e phishing aprimorados por IA, o impacto no Brasil é imenso. A cultura de uso intensivo de redes sociais e aplicativos de mensagens, combinada com a ainda limitada educação em cibersegurança para muitos funcionários, torna as empresas brasileiras particularmente vulneráveis. O uso de IA para criar e-mails de phishing impecáveis ou deepfakes de voz pode enganar até mesmo os usuários mais cautelosos. Bancos e instituições financeiras no Brasil são constantemente alvos de fraudes de phishing e BEC, que agora se tornam ainda mais difíceis de serem identificadas. A LGPD também responsabiliza as empresas pela proteção dos dados pessoais de seus clientes e funcionários contra acessos não autorizados ou incidentes de segurança decorrentes de falhas humanas exploradas por engenharia social. O custo de um incidente de phishing pode ser altíssimo, incluindo perdas financeiras diretas, custos de investigação, remediação e o impacto na reputação.

Em resumo, o cenário brasileiro exige uma abordagem multifacetada que combine tecnologia de ponta, processos de segurança robustos e, crucially, uma forte cultura de conscientização e treinamento em cibersegurança. A conformidade com a LGPD não é apenas uma obrigação legal, mas uma estratégia essencial para a sobrevivência e a reputação das empresas em um ambiente de ameaças em constante evolução.

🔒 Recomendações Práticas da Coneds

  1. Ação Imediata: Gestão de Patches e Atualizações Críticas: Priorize a aplicação imediata de patches para vulnerabilidades conhecidas, especialmente em firewalls, servidores de e-mail (Exchange), plataformas de colaboração (SharePoint) e sistemas de ERP/CRM. Ferramentas de gerenciamento de vulnerabilidades são essenciais.
  2. Curto Prazo (1-4 semanas): Fortaleça a Detecção e Resposta a Ransomware: Implemente soluções EDR/XDR, segmente a rede para limitar a propagação de ransomware e mantenha backups de dados críticos isolados e testados regularmente (regra 3-2-1).
  3. Médio Prazo (1-3 meses): Treinamento Contínuo e Simulações de Phishing: Invista em programas de conscientização e treinamento em segurança cibernética que incluam simulações de phishing e engenharia social (inclusive vishing e smishing) para educar os funcionários sobre as táticas mais recentes, inclusive aquelas aprimoradas por IA.
  4. Estratégia Long-term: Adote uma Cultura de Zero Trust e MFA Forte: Implemente uma arquitetura Zero Trust, verificando cada usuário e dispositivo antes de conceder acesso. Utilize MFA resistente a phishing (como chaves de segurança físicas FIDO2) para todos os sistemas críticos, especialmente e-mail e acessos remotos.
  5. Governança: Plano de Resposta a Incidentes (PRI) e Testes de BCDR: Desenvolva e teste regularmente um Plano de Resposta a Incidentes (PRI) abrangente e um Plano de Continuidade de Negócios e Recuperação de Desastres (BCDR) para ransomware e vazamento de dados, envolvendo todas as partes interessadas.
  6. Proteção de Endpoints e E-mail: Utilize soluções avançadas de segurança de endpoints com capacidade de detecção de comportamento malicioso e gateways de e-mail robustos para filtrar ameaças de phishing e malware antes que cheguem aos usuários.
  7. Monitoramento Ativo e Threat Intelligence: Implemente um sistema SIEM/SOAR para monitorar logs de segurança, correlacionar eventos e integrar feeds de inteligência de ameaças para identificar e responder rapidamente a atividades suspeitas, incluindo indicadores de comprometimento (IoCs) de grupos de ransomware.

❓ Perguntas Frequentes

P: Como a LGPD impacta diretamente os incidentes de ransomware e vazamento de dados no Brasil?

R: A LGPD impõe a responsabilidade de proteger dados pessoais. Em casos de ransomware, a criptografia e, principalmente, a exfiltração de dados podem configurar um vazamento, sujeitando a empresa a multas significativas (até R$ 50 milhões), publicização do incidente e outras sanções administrativas, além de ações judiciais dos titulares dos dados. A conformidade exige notificação às autoridades e aos titulares e medidas de segurança robustas.

P: Minha empresa já usa MFA. Ainda estamos vulneráveis a ataques de phishing aprimorados por IA?

R: Sim, dependendo do tipo de MFA. MFA baseado em SMS ou aplicativos geradores de código pode ser suscetível a ataques de "MFA fatigue" ou "AiTM phishing" (como o VoidProxy), que roubam tokens de sessão ou enganam o usuário para aprovar a autenticação. É crucial adotar MFA resistente a phishing, como chaves de segurança físicas (FIDO2), que criptografam a comunicação entre o dispositivo e o servidor.

P: Quais são os primeiros passos para uma pequena ou média empresa no Brasil para se proteger contra ransomware?

R: 1. Backups: Implemente uma política de backup 3-2-1 (3 cópias de dados, em 2 mídias diferentes, 1 off-site e offline). 2. Atualizações: Mantenha todos os sistemas e softwares atualizados. 3. Conscientização: Treine seus funcionários para reconhecer e-mails de phishing. 4. MFA: Ative MFA para todos os serviços, preferencialmente resistente a phishing. 5. Antivírus/EDR: Utilize uma solução de segurança de endpoint confiável.

P: A Coneds oferece treinamentos específicos para lidar com as ameaças de engenharia social e ransomware no contexto da LGPD?

R: Sim, a Coneds oferece treinamentos especializados focados em Engenharia Social e Conscientização em Cibersegurança, bem como cursos aprofundados sobre Resposta a Incidentes de Ransomware e adequação à LGPD. Nossos programas são desenhados para capacitar equipes de TI, CISOs e gestores com o conhecimento técnico e prático necessário para enfrentar essas ameaças no cenário brasileiro.

Conclusão

O cenário cibernético de hoje exige uma vigilância incessante e uma capacidade de adaptação contínua. Os incidentes recentes, como o ataque do KillSec Ransomware no Brasil e a persistência do Ghost Ransomware em explorar vulnerabilidades amplamente conhecidas, servem como lembretes contundentes da fragilidade das defesas cibernéticas quando não são atualizadas e fortalecidas proativamente. A sofisticação crescente das campanhas de phishing e engenharia social, potencializadas pela Inteligência Artificial e serviços como RaccoonO365 e VoidProxy, demonstra que o fator humano continua a ser o principal vetor de ataque.

Para as empresas brasileiras, a urgência é ainda maior, dadas as exigências da LGPD e as pesadas consequências de um incidente de segurança. Não se trata apenas de evitar prejuízos financeiros e reputacionais, mas de garantir a continuidade dos negócios e a confiança dos clientes e parceiros. É imperativo que líderes de TI e segurança adotem uma postura proativa, investindo em gestão robusta de vulnerabilidades, soluções de segurança avançadas, e, acima de tudo, na capacitação de suas equipes. A segurança cibernética não é um produto, mas um processo contínuo que exige educação, resiliência e a adoção de melhores práticas. A Coneds está comprometida em ser seu parceiro nessa jornada, fornecendo o conhecimento e as ferramentas necessárias para construir uma defesa cibernética sólida e adaptável às ameaças futuras.

📚 Aprenda mais: Eleve sua defesa contra ransomware e phishing com os cursos especializados da Coneds em coneds.com.br. 🔗 Fontes:

  • Dark Reading - 'Klopatra' Trojan Makes Bank Transfers While You Sleep (30 de setembro de 2025)
  • Dark Reading - Sneaky, Malicious MCP Server Exfiltrates Secrets via BCC (29 de setembro de 2025)
  • Dark Reading - KillSec Ransomware Hits Brazilian Healthcare Software Provider (15 de setembro de 2025)
  • SC Media - Ghost ransomware actors compromised victims in more than 70 countries (19 de fevereiro de 2025)
  • SC Media - Ransomware takes a back seat to AI on IT administrator worry lists (20 de maio de 2025)
  • SC Media - Microsoft, Cloudflare coordinate takedown of RaccoonO365 phishing infrastructure (17 de setembro de 2025)
  • SC Media - VoidProxy phishing operation targets Microsoft 365, Google accounts (15 de setembro de 2025)
  • Dark Reading - Cisco's Wave of Actively Exploited Zero-Day Bugs Targets Firewalls, IOS (25 de setembro de 2025)
  • SC Media - What security agencies, regulators, and businesses get wrong about cybersecurity (9 de abril de 2024) - Menciona 80-95% dos ataques começando com engenharia social.
#ciberseguran-a#coneds#cyber-attacks#infosec#seguran-a-digital

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

C

Coneds News

251 posts