Skip to main content
HashnodeConeds NewsConeds News

Command Palette

Search for a command to run...

Cibersegurança 2025: Supply Chain, Extorsão e Phishing em Destaque

Published
14 min read
M
Matheus Banhos

Cibersegurança 2025: Supply Chain, Extorsão e Phishing em Destaque

Meta descrição: Análise das ameaças mais urgentes em cibersegurança para o Brasil em Nov/2025: supply chain, ransomware e phishing. Proteja sua empresa agora!

Em um cenário global cada vez mais interconectado, a cibersegurança se mantém como um pilar essencial para a resiliência corporativa. No Brasil, essa realidade se intensifica diante de um ambiente regulatório amadurecido pela LGPD e pela crescente sofisticação dos ataques. À medida que nos aproximamos do final de 2025, observamos uma persistência preocupante de vetores de ataque tradicionais, como phishing e ransomware, que continuam a evoluir, mas também uma escalada alarmante em novas frentes, como os ataques à cadeia de suprimentos e as violações de dados através de serviços de terceiros. A capacidade de adaptação dos cibercriminosos desafia constantemente as defesas corporativas, exigindo dos CISOs e gestores de TI uma vigilância contínua e estratégias proativas. O mês de novembro de 2025 tem sido particularmente revelador, expondo vulnerabilidades críticas em plataformas amplamente utilizadas e solidificando a tendência da extorsão como um modelo de ataque dominante. Entender essas dinâmicas é fundamental para proteger ativos críticos e manter a confiança de clientes e parceiros no volátil panorama digital brasileiro.

⚡ Resumo Executivo

  • Cadeia de Suprimentos: Ataques a terceiros, como o comprometimento de OAuth tokens da Salesloft Drift afetando dados do Salesforce e a plataforma MySonicWall.com, representam um risco sistêmico crescente.
  • Ransomware em Evolução: O relatório DBIR 2024 da Verizon confirma a transição do ransomware para a "extorsão pura", onde a exfiltração de dados substitui a criptografia como principal tática.
  • Engenharia Social Constante: Phishing permanece como vetor inicial para a maioria das violações, com usuários clicando em links maliciosos em segundos, conforme destacado pelo DBIR 2024.
  • Impacto na LGPD: As violações de dados via terceiros e a extorsão pura amplificam os riscos de conformidade com a LGPD, exigindo maior diligência na gestão de fornecedores e proteção de dados.

Cadeia de Suprimentos: O Calcanhar de Aquiles das Empresas Modernas

Os últimos dias de novembro de 2025 trouxeram à tona uma verdade inconveniente: a segurança de uma organização é tão forte quanto o elo mais fraco de sua cadeia de suprimentos. Incidentes recentes destacam a crescente sofisticação dos atacantes em explorar vulnerabilidades em softwares e serviços de terceiros, causando um efeito cascata que pode impactar milhões de usuários e empresas. Dois exemplos notáveis ilustram essa tendência alarmante: o comprometimento da plataforma MySonicWall.com e a exploração de tokens OAuth da Salesloft Drift, que culminou na exposição de bilhões de registros do Salesforce.

No início de novembro de 2025, foi revelado que a plataforma MySonicWall.com foi alvo de um ataque por um ator de estado-nação, resultando no roubo de backups e configurações de firewalls SonicWall. Embora detalhes específicos sobre CVEs não tenham sido divulgados na data, a natureza do ataque sugere uma falha crítica na segurança da plataforma de gerenciamento em nuvem ou um comprometimento de credenciais em larga escala. Firewalls são a primeira linha de defesa para muitas redes corporativas; ter suas configurações expostas ou roubadas oferece aos adversários um mapa detalhado da infraestrutura de segurança de suas vítimas, permitindo ataques direcionados e altamente eficazes. Empresas brasileiras que dependem de soluções SonicWall devem estar em alerta máximo, verificando a integridade de suas configurações, implementando autenticação multifator rigorosa e monitorando ativamente qualquer atividade incomum em suas redes. A reavaliação dos processos de backup e recuperação de desastres também se torna imperativa.

Paralelamente, o cenário testemunhou um incidente de proporções ainda maiores envolvendo a plataforma Salesloft Drift. O grupo de hackers ShinyHunters, também conhecido como UNC6040, explorou tokens OAuth roubados da Salesloft Drift, uma ferramenta de automação de vendas e marketing. Este comprometimento resultou no acesso e subsequente roubo de mais de 1.5 bilhão de registros do Salesforce de 760 organizações, conforme noticiado em 7 de novembro de 2025. A gravidade deste incidente reside em vários fatores: primeiro, a escala massiva da violação, afetando um número gigantesco de registros; segundo, a natureza dos dados expostos, que em sistemas como Salesforce geralmente inclui informações sensíveis de clientes, leads e operações comerciais; e terceiro, a demonstração de como a segurança de uma aplicação de terceiros pode comprometer a integridade de dados armazenados em plataformas críticas como o Salesforce, que é amplamente utilizado por empresas de diversos setores no Brasil para CRM e gestão de clientes.

Esses ataques ressaltam a necessidade urgente de as empresas aprimorarem suas estratégias de gestão de risco de terceiros (TPRM). Não basta apenas confiar na reputação do fornecedor; é crucial implementar auditorias de segurança contínuas, exigir relatórios detalhados de conformidade e incidentes, e garantir que contratos com fornecedores incluam cláusulas robustas de responsabilidade cibernética. A visibilidade sobre a postura de segurança de cada elo da cadeia de suprimentos, do SaaS ao hardware de infraestrutura, é agora um diferencial competitivo e uma exigência regulatória (LGPD).

Ransomware: Da Criptografia à Extorsão Pura – Análise do DBIR 2024

O cenário de ransomware continua a evoluir rapidamente, e o Verizon Data Breach Investigations Report (DBIR) de 2024, cujos insights foram analisados recentemente, oferece uma perspectiva crucial sobre as mudanças nas táticas dos cibercriminosos. A principal revelação é a crescente predominância da "extorsão pura" sobre a criptografia tradicional. Em 2023, a exploração de vulnerabilidades para acesso inicial quase triplicou, e a extorsão pura, que era relativamente rara no final de 2022, representou 9% das violações em 2023. Quando combinada com os ataques de ransomware tradicionais, a extorsão demonstra uma trajetória ascendente, indicando uma mudança estratégica dos atacantes.

Antigamente, o modus operandi clássico do ransomware envolvia a criptografia de dados e sistemas, tornando-os inacessíveis até o pagamento de um resgate. Embora essa tática ainda seja utilizada, os grupos de ransomware perceberam que a mera exfiltração de dados sensíveis e a ameaça de publicá-los (ou vendê-los na dark web) são, muitas vezes, mais eficazes para forçar o pagamento. Isso se deve, em grande parte, à crescente conscientização sobre a importância da privacidade de dados e às severas multas impostas por regulamentações como a LGPD no Brasil.

O relatório DBIR 2024 aponta que essa transição não significa uma diminuição das ameaças, mas sim uma adaptação dos grupos de ransomware. Eles estão capitalizando sobre a pressão de compliance e os danos à reputação que uma violação de dados pode causar. O incidente do estado de Nevada, revelado em 6 de novembro de 2025, exemplifica essa nova realidade. Embora um ataque de ransomware tenha sido descoberto em agosto, a intrusão estava em andamento desde maio, com atores de ameaça criando túneis criptografados, movendo-se lateralmente e infiltrando o servidor de cofres de senhas do estado. Os atacantes exfiltraram dados sensíveis para um arquivo ZIP, sem focar primariamente na criptografia dos sistemas. Os custos de recuperação foram estimados em US$ 1.5 milhão, principalmente para remediação, e não para pagamento de resgate pela criptografia.

Outro exemplo é o grupo Rhysida, que em 7 de novembro de 2025, publicou 1.9 TB de dados supostamente roubados da Gemini Group, uma fabricante dos EUA. Este incidente destaca como a exfiltração de um volume massivo de dados se tornou a principal alavanca para a extorsão, mesmo que a criptografia dos sistemas não seja o foco principal ou nem ocorra.

Para as empresas brasileiras, a mudança para a extorsão pura é um alerta vermelho. A proteção de dados sensíveis e a detecção rápida de exfiltração de dados devem ser prioridades absolutas. A LGPD impõe obrigações rigorosas de notificação em caso de incidentes com dados pessoais, e a extorsão pura garante que, mesmo sem interrupção operacional por criptografia, a organização enfrentará sérias consequências legais e de reputação. Investir em ferramentas de Prevenção de Perda de Dados (DLP), monitoramento de rede avançado e inteligência de ameaças para detectar movimentação lateral e exfiltração é mais crítico do que nunca.

Engenharia Social Implacável: O Elo Mais Fraco Ainda é o Humano

Apesar de todas as inovações tecnológicas em cibersegurança, o fator humano continua sendo o elo mais vulnerável da corrente. O Verizon DBIR 2024 enfatiza que o erro humano ainda está presente na maioria das violações (68%), e o phishing se mantém como o vetor inicial de ataque mais comum. O relatório revela um dado alarmante: a mediana de tempo para um usuário clicar em um link de phishing simulado é de apenas 21 segundos, e para submeter dados sensíveis, 28 segundos. Essa velocidade de comprometimento sublinha a eficácia das táticas de engenharia social e a necessidade premente de uma defesa em camadas que inclua forte conscientização e treinamento.

Os cibercriminosos exploram a natureza humana – a curiosidade, a pressa, o medo e a falta de atenção – para manipular indivíduos e obter acesso a sistemas ou dados. A campanha de phishing que mimetizou o site do Departamento de Educação dos EUA, detalhada em julho de 2025, é um exemplo claro de como os atacantes criam réplicas quase perfeitas de portais legítimos para roubar credenciais de profissionais da educação e administradores de subsídios. Embora este incidente seja nos EUA, a tática é universal e frequentemente observada no Brasil, onde sites de bancos, serviços governamentais (como Receita Federal ou INSS) e grandes empresas são constantemente falsificados.

No contexto brasileiro, a engenharia social se manifesta através de diversos canais: e-mails de phishing com temas de comprovantes de pagamento, multas, ou atualizações cadastrais de bancos populares; smishing (phishing via SMS) com falsas promoções ou alertas de segurança; e vishing (phishing via voz) com golpistas se passando por funcionários de suporte técnico ou instituições financeiras. A complexidade dessas fraudes, muitas vezes com um alto grau de personalização e baseadas em informações previamente vazadas (que, por sua vez, são um risco de LGPD), torna a detecção um desafio para o usuário comum.

A rápida propagação de ataques de engenharia social é facilitada pela falta de vigilância e pelo estresse no ambiente de trabalho, que podem levar a decisões precipitadas. A cultura de "clicar primeiro, pensar depois" é um prato cheio para os atacantes. Por isso, a reiteração do treinamento de conscientização em segurança é vital, não como um evento anual, mas como um programa contínuo e dinâmico que se adapta às novas táticas de ataque.

🇧🇷 Impacto no Cenário Brasileiro

Os incidentes globais de cibersegurança têm um eco direto no Brasil, amplificando os desafios para CISOs, gestores de TI e profissionais de segurança. A interconexão digital significa que as vulnerabilidades em plataformas globais, como o Salesforce e SonicWall, afetam diretamente as empresas brasileiras que as utilizam.

  1. LGPD e Responsabilidade Ampliada: A Lei Geral de Proteção de Dados (LGPD) torna as empresas brasileiras diretamente responsáveis pela proteção dos dados pessoais que coletam, armazenam e processam, mesmo que esses dados estejam hospedados em plataformas de terceiros. A violação da Salesloft Drift, por exemplo, que expôs bilhões de registros, gera uma complexa teia de responsabilidades para as empresas brasileiras que são controladoras ou operadoras desses dados através do Salesforce. A falha em garantir a segurança adequada dos fornecedores ou em ter planos de resposta a incidentes robustos pode resultar em multas pesadas e danos reputacionais irreparáveis. O comprometimento da plataforma MySonicWall.com também levanta questões sobre a proteção de dados de rede e configurações sensíveis.

  2. Setores Mais Afetados: O setor de Saúde (com o contínuo foco em ransomware e extorsão de dados de pacientes), Financeiro (alvo constante de phishing e extorsão devido ao valor dos dados), Varejo (impactado por ataques à cadeia de suprimentos e vazamento de dados de clientes, como visto nos casos Adidas e Pandora globalmente), e Governo (visado por engenharia social e ransomware) são os mais vulneráveis. No Brasil, ERPs e sistemas bancários são alvos constantes, e a interdependência com serviços de nuvem e SaaS como Salesforce eleva o risco de violações em cadeia.

  3. Contexto Regulatório e Fiscalização: Além da LGPD, o Banco Central do Brasil (BACEN) e a Autoridade Nacional de Proteção de Dados (ANPD) estão cada vez mais rigorosos na fiscalização. Incidentes de segurança, especialmente aqueles que envolvem extorsão de dados, exigem notificação imediata às autoridades e aos titulares dos dados. A ausência de um plano de resposta a incidentes bem definido e testado, alinhado com as exigências regulatórias, pode agravar significativamente as consequências de um ataque.

  4. Desafios Culturais e de Conscientização: A persistência da engenharia social como vetor de ataque primário no Brasil reflete a necessidade de um investimento cultural contínuo em cibersegurança. Muitas empresas ainda encaram o treinamento de segurança como uma formalidade, e não como uma defesa crítica. A falta de conhecimento sobre golpes e táticas recentes entre os funcionários pode anular investimentos significativos em tecnologia de segurança.

Em resumo, o cenário brasileiro exige uma abordagem holística e adaptativa. A proteção não se limita mais aos perímetros internos da empresa, mas se estende por toda a sua cadeia de valor digital, incluindo fornecedores, parceiros e, crucialmente, seus próprios colaboradores.

🔒 Recomendações Práticas da Coneds

  1. Ação Imediata: Revisão de Segurança de Terceiros (TPRM): Mapeie todos os fornecedores críticos de SaaS e infraestrutura (ex: Salesforce, plataformas de segurança como SonicWall). Revise os contratos para cláusulas de segurança, realize auditorias de conformidade e valide a implementação de MFA e controles de acesso rigorosos. Para soluções SonicWall, verifique imediatamente a integridade das configurações e adote o princípio do menor privilégio.
  2. Curto Prazo (1-4 semanas): Fortalecer Defesas contra Extorsão: Implemente ou aprimore soluções de Prevenção de Perda de Dados (DLP) em endpoints e na rede. Intensifique o monitoramento de tráfego de saída para detecção de exfiltração de dados. Revise e teste planos de resposta a incidentes para cenários de extorsão pura, com foco na contenção e notificação rápida.
  3. Médio Prazo (1-3 meses): Programa de Conscientização Continuada: Desenvolva e implemente um programa de treinamento de conscientização de segurança contínuo e adaptativo, com simulações de phishing frequentes e baseadas nas táticas mais recentes (ex: ClickFix, temas de governo/bancos). Foque na identificação de engenharia social e na cultura de "parar, pensar, clicar".
  4. Estratégia Long-term: Arquitetura Zero Trust e Segmentação: Avance na implementação de uma arquitetura Zero Trust, minimizando a confiança implícita em qualquer usuário, dispositivo ou aplicação. Segmente rigorosamente as redes, especialmente entre sistemas críticos e áreas com maior exposição (e.g., equipes de vendas com acesso a CRM na nuvem).
  5. Governança: Comitê de Risco Cibernético e Compliance: Estabeleça ou fortaleça um comitê de risco cibernético com participação da alta direção para revisar periodicamente a postura de segurança, o status de conformidade (LGPD, BACEN) e a gestão de riscos de terceiros. Garanta que o orçamento de cibersegurança reflita a criticidade das ameaças emergentes.
  6. Treinamento: Capacitação Especializada: Invista na capacitação técnica das equipes de TI e segurança em detecção de ameaças avançadas, resposta a incidentes de ransomware/extorsão e gestão de segurança em nuvem e APIs. Aprofunde o conhecimento sobre frameworks como NIST e ISO 27001 para fortalecer a governança e os controles.

❓ Perguntas Frequentes

P: Como a LGPD afeta a resposta a um ataque de extorsão pura de dados?

R: A LGPD exige que as empresas notifiquem a ANPD e os titulares dos dados afetados em caso de incidentes que possam acarretar risco ou dano relevante. Em um ataque de extorsão pura, onde os dados são exfiltrados mas não criptografados, a obrigação de notificação é imediata, e as consequências (multas e danos reputacionais) podem ser tão severas quanto em um ataque de ransomware tradicional, pois a privacidade dos dados foi comprometida.

P: Nossos fornecedores de SaaS (como Salesforce) são responsáveis pela segurança dos meus dados?

R: Sim, em parte. Os provedores de SaaS são responsáveis pela segurança da infraestrutura e do software que fornecem (segurança "da nuvem"). No entanto, a segurança dos dados que você insere neles e a configuração correta da plataforma (segurança "na nuvem") são responsabilidade sua como cliente. É crucial revisar os termos de serviço e realizar a devida diligência para garantir que as práticas de segurança do seu fornecedor estejam alinhadas às suas exigências regulatórias e de risco.

P: Qual o papel do treinamento da Coneds na mitigação de ataques de engenharia social?

R: Os treinamentos especializados da Coneds são desenhados para ir além da teoria, focando em cenários reais e adaptados ao contexto brasileiro. Capacitamos profissionais de TI e colaboradores em geral para identificar táticas de phishing, smishing e vishing, promovendo uma cultura de segurança proativa e reduzindo significativamente a taxa de sucesso de ataques de engenharia social. Nossos módulos incluem simulações práticas e as últimas tendências de ataque para manter sua equipe sempre um passo à frente.

Conclusão

O cenário de cibersegurança em novembro de 2025 é um testemunho da dinâmica e implacável evolução das ameaças. A complexidade crescente dos ataques à cadeia de suprimentos, a transição do ransomware para táticas de extorsão pura e a persistência da engenharia social como vetor de comprometimento demandam uma vigilância constante e uma postura de segurança adaptativa. Para CISOs, gestores de TI e profissionais de segurança no Brasil, a lição é clara: a proteção não se resume a ferramentas, mas a uma estratégia integrada que abrange tecnologia, processos e, fundamentalmente, pessoas.

A conformidade com a LGPD e outras regulamentações setoriais exige não apenas a implementação de controles técnicos, mas também a gestão rigorosa de riscos de terceiros e a capacidade de resposta rápida a incidentes. A detecção precoce de exfiltração de dados e a educação contínua dos colaboradores são defesas primárias que nenhuma organização pode se dar ao luxo de negligenciar. Investir em conhecimento, capacitação e inteligência de ameaças é o caminho para construir uma resiliência cibernética duradoura. A Coneds está comprometida em apoiar sua jornada, fornecendo o conhecimento e as ferramentas necessárias para navegar com segurança neste ambiente desafiador. Não espere o próximo incidente; prepare-se agora.

📚 Aprenda mais: Treinamentos de Gestão de Riscos e Resposta a Incidentes da Coneds 🔗 Fontes:

  • Dark Reading: "SonicWall Firewall Backups Stolen by Nation-State Actor" (Nov 6, 2025)
  • Dark Reading: "Nikkei Suffers Breach Via Slack Compromise" (Nov 5, 2025)
  • SC World: "Over 1.5B Salesforce records impacted by ShinyHunters’ Salesloft Drift hack" (Nov 7, 2025)
  • SC World: "Report: Nevada breached months before ransomware attack discovery" (Nov 6, 2025)
  • SC World: "Rhysida spills purportedly stolen Gemini Group data" (Nov 7, 2025)
  • SC World: "Verizon’s 2024 Data Breach Investigations Report: 5 key takeaways" (data de análise recente, referente a dados de Nov 2022 a Out 2023)
  • Dark Reading: "Department of Education Site Mimicked in Phishing Scheme" (July 23, 2025)
#ciberseguran-a#coneds#cyber-attacks#infosec#seguran-a-digital

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

C

Coneds News

251 posts

Cibersegurança 2025: Supply Chain, Extorsão e Phishing em Destaque