Skip to main content
HashnodeConeds NewsConeds News

Command Palette

Search for a command to run...

Cibersegurança 2025: Ransomware, Supply Chain e IA no Brasil

Published
12 min read
M
Matheus Banhos

Cibersegurança 2025: Ransomware, Supply Chain e IA no Brasil

Meta descrição: Analisamos os ataques de ransomware, vulnerabilidades na cadeia de suprimentos e o uso da IA por cibercriminosos, com foco no impacto e regulamentação brasileira.

A paisagem da cibersegurança global e, em particular, brasileira, está em constante mutação, com ameaças se tornando cada vez mais sofisticadas e disruptivas. O ano de 2025 tem sido um campo fértil para a inovação tecnológica e, infelizmente, também para o avanço das táticas cibercriminosas. Se antes o ransomware era uma preocupação primária, a ascensão da inteligência artificial (IA) como ferramenta tanto para defensores quanto para atacantes, juntamente com a persistente vulnerabilidade das cadeias de suprimentos, redefine o panorama de riscos para CISOs, gestores de TI e analistas de segurança no Brasil. Estamos em um momento crucial onde a reatividade cede lugar à necessidade urgente de proatividade e resiliência. As organizações não podem mais se dar ao luxo de ignorar os elos mais fracos em sua estrutura digital, desde o fator humano até a segurança de seus parceiros de negócios. A compreensão aprofundada dessas tendências não é apenas uma vantagem competitiva, mas uma exigência para a sobrevivência e a conformidade em um ambiente regulatório como a LGPD, que impõe responsabilidades claras sobre a proteção de dados. Este artigo explora os incidentes mais recentes e as vulnerabilidades emergentes, destacando como eles impactam o cenário brasileiro e o que pode ser feito para mitigar esses riscos.

⚡ Resumo Executivo

  • Ransomware em Ascensão: Ataques aumentaram 73% no primeiro trimestre de 2025, com custos de recuperação disparando.
  • Supply Chain Crítico: Incidentes como o da Ingram Micro e Serviceaide demonstram a fragilidade de fornecedores e o impacto cascata.
  • Phishing por IA: A inteligência artificial está sendo weaponizada para criar ataques de engenharia social mais convincentes e eficientes.
  • Fator Humano Persistente: A engenharia social continua sendo a principal porta de entrada para a maioria dos ataques cibernéticos.

A Onda Contínua do Ransomware e a Engenharia Social Aprimorada

O ransomware permanece uma das ameaças mais persistentes e financeiramente devastadoras para organizações em todo o mundo, e o Brasil não é exceção. Dados recentes de setembro de 2025 indicam um aumento alarmante de 73% nas intrusões de ransomware no primeiro trimestre do ano, com os custos de recuperação subindo 17% em relação ao ano anterior. Esse crescimento é alimentado pela sofisticação das táticas dos atacantes, que cada vez mais utilizam a engenharia social como principal vetor de ataque.

Um exemplo notório de como a engenharia social se tornou uma ferramenta central para os grupos de ransomware é a operação Phobos, mencionada em um relatório de abril de 2024, que utilizou uma combinação de phishing e anexos maliciosos para violar organizações. Embora este seja um incidente de 2024, a metodologia persiste e evolui. Mais recentemente, em setembro de 2025, observamos a emergência de serviços de Phishing-as-a-Service (PhaaS), como o VoidProxy, que visam contas populares como Microsoft 365 e Google. Este serviço utiliza técnicas de "adversary-in-the-middle" para roubar credenciais, códigos de autenticação multifator (MFA) e tokens de sessão. Isso significa que, mesmo com MFA implementado, usuários desavisados podem ser enganados a fornecer informações que permitem a um atacante contornar essa camada de segurança.

A sofisticação não para por aí. A inteligência artificial, antes vista como uma ferramenta de defesa, agora está sendo ativamente utilizada por cibercriminosos para aprimorar suas campanhas de engenharia social. Ferramentas de IA generativa permitem a criação de e-mails de phishing mais realistas, "deepfakes" de voz e vídeo para ataques de Business Email Compromise (BEC) altamente direcionados, e a rápida identificação de vulnerabilidades em sistemas. Um estudo de maio de 2025 revelou que, pela primeira vez em anos, a preocupação com ameaças impulsionadas por IA superou o ransomware nas listas de administradores de TI. Embora a IA não seja a ameaça em si, ela é o meio pelo qual as ameaças são entregues e aprimoradas, tornando os ataques de phishing e spear-phishing mais volumosos e eficazes.

Para o ambiente corporativo brasileiro, onde a dependência de plataformas de colaboração em nuvem (como Microsoft 365 e Google Workspace) é crescente, a ameaça de PhaaS como VoidProxy é imediata. A simples existência de um serviço que facilita o bypass de MFA é um sinal de alerta grave. Isso exige uma reavaliação contínua das estratégias de conscientização e treinamento de segurança, focando não apenas no reconhecimento de e-mails suspeitos, mas também na compreensão dos mecanismos avançados de ataque que exploram a confiança e a desatenção humana. A falha em reconhecer e mitigar essas ameaças não só leva a perdas financeiras e interrupção de negócios, mas também a sérias implicações legais sob a LGPD, devido ao vazamento de dados pessoais.

O Calcanhar de Aquiles: Vulnerabilidades na Cadeia de Suprimentos

A interconectividade do mundo dos negócios moderno transformou a cadeia de suprimentos em um vetor de ataque cada vez mais explorado por cibercriminosos. Um incidente em um único fornecedor pode ter um efeito cascata devastador em múltiplos clientes, expondo dados sensíveis e interrompendo operações críticas. O ataque à Ingram Micro em julho de 2025 pelo grupo de ransomware SafePay é um exemplo claro dessa vulnerabilidade. A invasão de um distribuidor de TI central, que afeta sua capacidade de processamento de pedidos e cumprimento, demonstra o quão impactante pode ser um ataque a um elo crítico da cadeia de suprimentos.

Outro caso relevante, em maio de 2025, foi a violação de dados na empresa de serviços de TI Serviceaide, que expôs informações de mais de 483.000 pacientes da Catholic Health. A investigação indicou que a brecha foi resultado de uma possível vulnerabilidade de "Insecure Direct Object Reference" (IDOR) em seu banco de dados Elasticsearch. Embora não haja um CVE específico divulgado para este incidente em particular nos resultados da pesquisa, vulnerabilidades IDOR (como as que podem ser classificadas sob CVEs genéricos de má configuração ou falhas de controle de acesso) permitem que um atacante manipule identificadores de recursos para acessar dados sem autorização. Para fins de ilustração de como falhas em sistemas podem ser exploradas em larga escala, podemos referenciar o CVE-2020-12271, uma falha de injeção SQL zero-day no firewall Sophos XG, explorada pelo ransomware Ragnarok em 2020 para comprometer infraestruturas críticas. Embora não diretamente ligada ao incidente Serviceaide, serve como exemplo da criticidade de vulnerabilidades em componentes-chave da infraestrutura. A exposição na Serviceaide incluiu nomes, números de CPF, datas de nascimento, números de prontuário médico, informações de saúde, nome do provedor, localização do provedor e até e-mails/nomes de usuário e senhas. Este incidente ressalta a responsabilidade solidária que as empresas brasileiras têm com seus fornecedores, conforme estipulado pela LGPD.

A complexidade das cadeias de suprimentos digitais modernas, com a proliferação de SaaS, APIs e serviços de nuvem de terceiros, cria uma vasta superfície de ataque. Os cibercriminosos exploram a confiança inerente entre parceiros de negócios, buscando o elo mais fraco para penetrar em redes maiores. Para as empresas brasileiras, que dependem fortemente de sistemas ERP, plataformas bancárias e governamentais, a segurança de seus provedores de serviços e software é tão crucial quanto a sua própria segurança interna. A falta de visibilidade e controle sobre as práticas de segurança de terceiros é uma lacuna que precisa ser urgentemente preenchida. Além disso, a rápida disseminação de explorações de vulnerabilidades conhecidas, muitas vezes zero-days que são rapidamente weaponizadas, exige um programa robusto de gerenciamento de patches e vulnerabilidades que se estenda por toda a cadeia de suprimentos.

🇧🇷 Impacto no Cenário Brasileiro

O Brasil, com sua economia em rápida digitalização e um volume crescente de dados pessoais e sensíveis, é um alvo atraente para os cibercriminosos que exploram as tendências globais. A LGPD (Lei Geral de Proteção de Dados) intensificou a necessidade de conformidade e a responsabilidade das empresas em proteger os dados que processam.

Setores Mais Afetados:

  • Saúde: Como visto nos casos de Serviceaide/Catholic Health e Community Health Center (EUA), o setor de saúde é um alvo preferencial devido à riqueza e sensibilidade dos dados de pacientes. No Brasil, hospitais, clínicas e operadoras de planos de saúde são constantemente visados, com vazamentos podendo levar a multas pesadas e danos reputacionais irrecuperáveis.
  • Setor Financeiro: Bancos e instituições financeiras são alvos constantes de ataques de phishing e ransomware, com a intenção de roubo de credenciais e fraude financeira. A sofisticação do PhaaS VoidProxy é um perigo direto para a segurança de transações e dados bancários. O BACEN (Banco Central do Brasil) tem reforçado a regulamentação para a segurança cibernética neste setor, exigindo medidas rigorosas de proteção.
  • Setor Governamental e Infraestrutura Crítica: Órgãos governamentais e empresas de infraestrutura crítica no Brasil, como energia e telecomunicações, são vulneráveis a ataques de ransomware que visam interrupção de serviços e extorsão. Incidentes em grandes provedores de serviços de TI, como Ingram Micro, podem ter repercussões severas em entes governamentais que utilizam esses serviços.
  • Pequenas e Médias Empresas (PMEs): Frequentemente, as PMEs são o elo mais fraco na cadeia de suprimentos, com menos recursos para investir em cibersegurança robusta. Elas se tornam um ponto de entrada fácil para atacantes que visam atingir seus clientes maiores.

Contexto Regulatório (LGPD, PCIDSS, BACEN): A LGPD no Brasil impõe obrigações claras sobre a proteção de dados pessoais, incluindo a necessidade de relatar incidentes de segurança e aplicar medidas técnicas e administrativas para proteger os dados. As multas podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. Ataques de ransomware e violações da cadeia de suprimentos que resultam em vazamento de dados estão diretamente sujeitos a essas penalidades.

Para o setor financeiro, as regulamentações do BACEN, como a Resolução Conjunta nº 6, de 23 de maio de 2023, estabelecem requisitos rigorosos para a cibersegurança, incluindo a necessidade de planos de resposta a incidentes, testes de intrusão e monitoramento contínuo. A conformidade com o PCI DSS é essencial para empresas que processam dados de cartões de pagamento, e a engenharia social é frequentemente o primeiro passo para comprometer esses ambientes.

A crescente utilização da IA por criminosos exige que as empresas brasileiras não apenas reforcem suas defesas tradicionais, mas também invistam em soluções e estratégias que possam combater as ameaças impulsionadas por IA. A conscientização sobre "deepfakes" e phishing altamente personalizados é vital.

🔒 Recomendações Práticas da Coneds

  1. Ação Imediata: Revisão e Fortalecimento de MFA e Conscientização: Implemente MFA forte (phishing-resistant) em todas as contas e realize campanhas de conscientização imediatas sobre as táticas mais recentes de phishing e engenharia social (incluindo deepfakes), com simulações regulares.
  2. Curto Prazo (1-4 semanas): Varredura e Mitigação de Vulnerabilidades Conhecidas: Realize varreduras de vulnerabilidades em todos os sistemas (incluindo aplicações web para IDOR e outras falhas de controle de acesso) e priorize a aplicação de patches e correções, especialmente em softwares e serviços populares.
  3. Médio Prazo (1-3 meses): Gestão de Riscos de Terceiros e Cadeia de Suprimentos: Desenvolva um programa robusto de gestão de riscos de terceiros, incluindo auditorias de segurança, cláusulas contratuais claras sobre responsabilidade cibernética e monitoramento contínuo da postura de segurança dos fornecedores.
  4. Estratégia Long-term: Arquitetura Zero Trust e Resiliência Cibernética: Adote uma arquitetura Zero Trust, com validação contínua de usuários e dispositivos, independentemente de estarem dentro ou fora do perímetro da rede. Invista em planos de resposta a incidentes abrangentes e testados.
  5. Governança: Adaptação à LGPD e Regulamentações Específicas: Mantenha a conformidade com a LGPD e outras regulamentações setoriais (BACEN, PCIDSS) como um pilar central da estratégia de cibersegurança, com avaliações de impacto à proteção de dados (DPIAs) regulares e um DPO atuante.
  6. Treinamento: Capacitação Contínua da Equipe de TI e Liderança: Invista em treinamentos técnicos avançados para sua equipe de segurança (CISOs, analistas, desenvolvedores) e sessões de conscientização estratégica para a alta gerência e conselho, enfatizando o risco de negócios.

❓ Perguntas Frequentes

P: Como a IA está mudando a dinâmica dos ataques de ransomware e phishing?

R: A IA está sendo usada por atacantes para criar campanhas de phishing e engenharia social mais convincentes e personalizadas (como deepfakes de voz e vídeo), além de automatizar a descoberta e exploração de vulnerabilidades, tornando os ataques mais difíceis de detectar por métodos tradicionais.

P: Qual o papel da LGPD na mitigação dos riscos de ataques à cadeia de suprimentos?

R: A LGPD impõe responsabilidade solidária, o que significa que uma empresa pode ser responsabilizada por violações de dados ocorridas em seus fornecedores. Isso força as empresas a serem mais diligentes na avaliação e monitoramento da segurança de seus parceiros, exigindo contratos robustos e auditorias de segurança.

P: A Coneds oferece treinamentos específicos para lidar com ameaças de engenharia social avançada e segurança da cadeia de suprimentos?

R: Sim, a Coneds oferece treinamentos especializados que abordam desde a conscientização para usuários finais sobre táticas de engenharia social (incluindo as impulsionadas por IA) até cursos avançados para equipes de segurança sobre gestão de riscos de terceiros, auditoria de segurança em fornecedores e implementação de arquiteturas Zero Trust.

P: Qual a importância de um plano de resposta a incidentes robusto no cenário atual?

R: Em um cenário onde 100% de prevenção é praticamente impossível, um plano de resposta a incidentes bem definido, testado e atualizado é crucial. Ele minimiza o tempo de inatividade, o impacto financeiro e reputacional de um ataque, garantindo uma recuperação rápida e eficiente.

Conclusão

O panorama da cibersegurança em outubro de 2025 é inegavelmente complexo, marcado pela ascensão do ransomware, a exploração crescente das vulnerabilidades na cadeia de suprimentos e a perigosa dualidade da inteligência artificial. Para empresas brasileiras, a urgência é amplificada pela rigorosidade da LGPD e a constante pressão para manter a conformidade em um ambiente de ameaças em evolução. Não se trata mais de se uma empresa será atacada, mas quando e como ela estará preparada para responder. A proatividade, a resiliência e a educação contínua emergem como os pilares de uma defesa cibernética eficaz. É imperativo que líderes de TI e segurança invistam em estratégias que abordem o fator humano, reforcem a segurança de parceiros e adotem tecnologias que possam combater as ameaças mais avançadas. A colaboração entre o setor público e privado, a troca de informações sobre ameaças e a capacitação de profissionais são essenciais para construir um ecossistema digital mais seguro no Brasil.

A Coneds está comprometida em capacitar profissionais e empresas para enfrentar esses desafios. Nossos treinamentos são projetados para equipar sua equipe com o conhecimento e as habilidades necessárias para proteger seus ativos mais valiosos em um cenário de ameaças em constante mudança. Não espere o próximo incidente. Fortaleça suas defesas e sua equipe hoje mesmo.

📚 Aprenda mais: Explore nossos treinamentos em Gestão de Riscos, Resposta a Incidentes e Segurança da Cadeia de Suprimentos na coneds.com.br 🔗 Fontes:

  • SC Media, "VoidProxy phishing operation targets Microsoft 365, Google accounts," September 15, 2025.
  • SC Media, "Report: Ransomware, phishing top threats to businesses in first half," September 10, 2025.
  • SC Media, "Why MSPs are the new favorite target of cybercriminals," July 2025 (menciona SafePay ransomware attack on Ingram Micro).
  • SC Media, "Serviceaide data breach exposed info of 483K Catholic Health patients," May 19, 2025.
  • SC Media, "Ransomware takes a back seat to AI on IT administrator worry lists," May 20, 2025.
  • Dark Reading, "Community Health Center Data Breach Affects 1M Patients," January 31, 2025.
  • SC Media, "What security agencies, regulators, and businesses get wrong about cybersecurity," April 9, 2024.
  • Regulamentação Brasileira (LGPD, BACEN, PCI DSS).
  • CVE-2020-12271 (exemplo histórico de exploração de vulnerabilidade em firewall Sophos XG por Ragnarok ransomware).
#ciberseguran-a#coneds#cyber-attacks#infosec#seguran-a-digital

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

C

Coneds News

251 posts