Cibersegurança: Ransomware e IA Remodelam Ameaças em Fev/2026

Meta descrição: Análise crítica das ameaças persistentes de ransomware (Medusa) e a evolução do phishing com IA em fevereiro de 2026. Coneds oferece insights e recomendações para o Brasil.

A paisagem da cibersegurança global nunca esteve tão dinâmica e desafiadora. Em fevereiro de 2026, não observamos apenas a continuidade de ameaças já conhecidas, mas uma sofisticação sem precedentes impulsionada pela inteligência artificial e pela resiliência tática dos cibercriminosos. Para CISOs, gestores de TI e analistas de segurança no Brasil, a urgência em compreender e mitigar esses riscos é palpável, especialmente com a proximidade de grandes eventos e a constante adaptação das legislações como a LGPD.

O que antes era uma preocupação predominantemente técnica, hoje se manifesta como um risco estratégico direto aos negócios, com ataques capazes de paralisar operações críticas, comprometer dados sensíveis e corroer a reputação de empresas nacionais. Incidentes recentes, como a persistência de grupos de ransomware com táticas de tripla extorsão e a ascensão do phishing hiper-realista gerado por IA, exigem uma reavaliação fundamental de nossas defesas. A Coneds, atenta a essas transformações, traz uma análise aprofundada dos perigos mais prementes e oferece caminhos práticos para fortalecer a resiliência cibernética no cenário brasileiro. É hora de ir além da conformidade básica e investir em uma postura proativa e adaptativa.

⚡ Resumo Executivo

• Ransomware Medusa e Tripla Extorsão: O grupo Medusa Ransomware-as-a-Service (RaaS) continua ativo, com táticas de extorsão que vão além da criptografia, incluindo a ameaça de contatar terceiros e revitimizar dados.
• Phishing e BEC turbinados por IA: Ataques de phishing e Business Email Compromise (BEC) estão se tornando hiper-personalizados e multicanais, com a IA generativa eliminando as deficiências gramaticais e tornando as iscas quase indetectáveis.
• Cadeia de Suprimentos sob Ataque: Vulnerabilidades em fornecedores de software e serviços de TI persistem como um vetor crítico, facilitando a movimentação lateral de atacantes e o acesso a múltiplos clientes.
• Impacto no Brasil: Setores como saúde, financeiro e infraestrutura crítica estão sob crescente pressão, necessitando de adequação contínua à LGPD e de planos de resposta robustos.
• Defesa Adaptativa: A defesa eficaz exige mais do que ferramentas; requer higiene cibernética fundamental, MFA em todos os níveis, segmentação de rede, gerenciamento de privilégios e treinamento contínuo para os colaboradores.

A Persistente Ameaça do Ransomware Medusa (AA25-071A) e a Tripla Extorsão em 2026

O ransomware, longe de ser uma ameaça em declínio, continua a se reinventar, solidificando sua posição como um dos vetores de ataque mais devastadores para organizações em todo o mundo, incluindo o Brasil. Em fevereiro de 2026, grupos como o Medusa Ransomware-as-a-Service (RaaS) demonstram uma resiliência e adaptabilidade preocupantes, conforme detalhado no alerta de cibersegurança AA25-071A, divulgado pelo Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA) e Multi-State Information Sharing and Analysis Center (MS-ISAC) em 12 de março de 2025, com investigações recentes até fevereiro de 2025. Este relatório ressalta a importância de entender as Táticas, Técnicas e Procedimentos (TTPs) evoluídos desses atores maliciosos.

O Medusa RaaS, identificado pela primeira vez em junho de 2021, opera com um modelo de afiliação, onde desenvolvedores principais licenciam seu malware a outros atores, conhecidos como afiliados. Essa estrutura de "serviço" democratiza o acesso a ferramentas sofisticadas de ataque, permitindo que um número maior de cibercriminosos execute campanhas complexas. Até fevereiro de 2025, o Medusa já havia impactado mais de 300 vítimas em diversos setores de infraestrutura crítica, incluindo saúde, educação, jurídico, seguros, tecnologia e manufatura.

Uma das características mais alarmantes do Medusa é seu modelo de dupla e, em alguns casos, tripla extorsão. Inicialmente, os atacantes criptografam os dados da vítima, exigindo um resgate para a chave de descriptografia. No entanto, o elemento de extorsão vai além: eles também exfiltram (roubam) dados sensíveis e ameaçam publicá-los em seus leak sites na dark web se o resgate não for pago. O alerta AA25-071A descreve que, em uma das investigações do FBI, uma vítima que pagou o resgate foi contatada por um ator diferente do Medusa, alegando que o negociador havia roubado o valor já pago e exigindo metade do pagamento novamente para fornecer o "verdadeiro descriptografador", indicando um esquema de tripla extorsão. Essa tática intensifica a pressão sobre as vítimas, que se veem diante de danos financeiros, operacionais e de reputação.

Para obter acesso inicial, os afiliados do Medusa frequentemente utilizam campanhas de phishing para roubar credenciais (T1566) e explorar vulnerabilidades de software não corrigidas, as chamadas n-day vulnerabilities. Exemplos citados no alerta incluem a vulnerabilidade ScreenConnect CVE-2024-1709 (Autenticação Bypass usando um caminho ou canal alternativo) e a vulnerabilidade de injeção SQL no Fortinet EMS CVE-2023-48788. Uma vez dentro da rede, eles empregam técnicas de "living off the land" (LoTL), utilizando ferramentas legítimas como PowerShell e Windows Command Prompt para reconhecimento de rede e sistema, e softwares de acesso remoto (AnyDesk, Atera, ConnectWise, etc.) para movimentação lateral. A exfiltração de dados é frequentemente realizada com ferramentas como Rclone para servidores C2 do Medusa.

A capacidade do Medusa de inabilitar ferramentas de detecção e resposta de endpoint (EDR) e de excluir cópias de sombra (T1490) antes da criptografia aumenta a complexidade da recuperação. A demanda por resgate, que deve ser feita em criptomoedas via Tor ou Tox em até 48 horas, adiciona a urgência e a dificuldade de rastreamento. A evolução do ransomware exige das organizações uma abordagem multifacetada, com foco em prevenção robusta, detecção contínua e um plano de resposta a incidentes bem testado.

O Renascimento do Phishing e Ataques à Cadeia de Suprimentos com a IA Generativa

Se o ransomware continua a ser uma força destrutiva, a inteligência artificial (IA) generativa está redefinindo a sofisticação dos ataques de phishing e Business Email Compromise (BEC), e, por extensão, as vulnerabilidades na cadeia de suprimentos. Um estudo recente da Osterman Research, comissionado pela IRONSCALES e publicado em 29 de janeiro de 2026, destaca que 88% das organizações sofreram pelo menos um incidente de segurança que minou a confiança nas comunicações digitais nos últimos 12 meses, impulsionado por ataques baseados em IA.

O analista principal da Osterman Research, Michael Sampson, afirmou: "A curva de ameaças acaba de ser redefinida. Tipos de ataque mesmo 'resolvidos' como phishing e Business Email Compromise se tornaram imaturos novamente. Ataques BEC de 2025 pouco se assemelham aos de 2020 – agora são hiper-personalizados, multicanal e podem ser lançados autonomamente em escala." As ferramentas de IA generativa eliminaram as barreiras linguísticas e gramaticais, permitindo que os atacantes criem e-mails de phishing e mensagens de BEC com gramática impecável, contexto relevante e mimetizando a linguagem de executivos ou parceiros de negócios de forma convincente. Relatórios da Dark Reading em 2 de fevereiro de 2026, por exemplo, descrevem campanhas de phishing "malware-free" que utilizam iscas de PDF falsas para roubar credenciais do Dropbox, explorando a confiança e a desatenção dos usuários.

Essa nova era de phishing e BEC não se limita a e-mails. A IA possibilita a criação de deepfakes de áudio e vídeo, que podem ser usados em ataques de vishing (phishing por voz) ou smishing (phishing por SMS) para enganar funcionários a realizar transferências financeiras ou conceder acesso a sistemas. A preocupação com a IA-generativa é tão grande que 70% das organizações consideram a detecção de ataques de personificação de áudio deepfake como "extremamente importante".

A relação entre essas ameaças e a cadeia de suprimentos é intrínseca. Um ataque de phishing bem-sucedido pode comprometer as credenciais de um funcionário de um fornecedor, dando aos atacantes o acesso inicial a uma rede confiável. Esse foi um fator crucial em incidentes de alto perfil, como o ataque ao Change Healthcare em 2024, que, embora não diretamente relacionado à IA generativa, demonstrou a cascata de impactos de uma falha de segurança em um terceiro – neste caso, a falta de MFA em um portal de acesso remoto que levou à exposição de dados de 190 milhões de pessoas. A CISA e o HHS, em 20 de fevereiro de 2026, já intensificaram a fiscalização da cibersegurança de fornecedores terceirizados em resposta a esses riscos sistêmicos.

A exploração da cadeia de suprimentos por estados-nação também é uma tendência crescente, onde a meta é infiltrar-se em empresas menores que fornecem software ou serviços a grandes corporações e governos, como alertado pelo Microsoft Digital Defense Report (dezembro de 2022, mas com insights que se estendem para 2026). Essas vulnerabilidades não apenas expõem dados, mas podem permitir a inserção de backdoors ou a sabotagem de infraestruturas críticas.

A complexidade desses ataques, onde a inteligência humana se alia à capacidade escalável da IA, exige que as organizações elevem drasticamente suas defesas em relação à identidade, à validação de comunicações e à visibilidade sobre sua cadeia de suprimentos.

🇧🇷 Impacto no Cenário Brasileiro

No Brasil, o cenário de cibersegurança é agravado por fatores específicos que tornam as empresas particularmente vulneráveis às ameaças de ransomware e phishing impulsionadas por IA. A combinação de um parque tecnológico muitas vezes heterogêneo, a carência de profissionais de segurança qualificados e o desafio de manter a conformidade com uma regulamentação em constante evolução, como a LGPD, cria um ambiente fértil para os cibercriminosos.

Setores Mais Afetados: O setor de saúde continua a ser um alvo prioritário, devido à criticidade dos dados de pacientes (altamente valorizados no mercado negro) e à dependência de sistemas legados. Casos de hospitais e clínicas brasileiras paralisados por ransomware são frequentes, resultando em interrupção de serviços, perda de agendamentos e, em alguns casos, comprometimento da vida dos pacientes. O setor financeiro, embora mais maduro em segurança, enfrenta a sofisticação dos ataques de BEC e phishing direcionados, que visam fraudes financeiras e roubo de credenciais bancárias. A complexidade do ambiente regulatório do Banco Central do Brasil (BACEN) para instituições financeiras exige uma conformidade rigorosa, mas os ataques evoluem mais rápido que a capacidade de adaptação de muitas empresas. A infraestrutura crítica, incluindo energia, água e transporte, também está sob crescente ameaça, com riscos de interrupção de serviços essenciais e impacto direto na população.

Dados Locais e LGPD: A LGPD (Lei Geral de Proteção de Dados) impôs um novo nível de responsabilidade às empresas brasileiras no tratamento de dados pessoais. Incidentes de ransomware e violações de dados, como os causados por phishing, não resultam apenas em perdas financeiras e operacionais, mas também em pesadas multas da Autoridade Nacional de Proteção de Dados (ANPD) e danos irreparáveis à reputação. A falta de um plano de resposta a incidentes de segurança cibernética (PIR) robusto e testado, que contemple a notificação de autoridades e titulares dos dados dentro dos prazos legais, pode agravar significativamente as consequências. A média de tempo para detecção e contenção de um ataque no Brasil ainda é alta, o que aumenta o custo e o impacto de cada incidente.

Vulnerabilidades Comuns: Muitas empresas brasileiras ainda lutam com o básico:

• Sistemas desatualizados e não corrigidos: A cultura de patch management e vulnerability management ainda é imatura em muitas organizações, deixando portas abertas para exploits conhecidos, como os explorados pelo Medusa (e.g., CVE-2024-1709).
• Falta de MFA e Gerenciamento de Identidade: O roubo de credenciais continua a ser um vetor de ataque primário, exacerbado pela ausência de autenticação multifator (MFA) robusta em todos os acessos e um gerenciamento de identidade e acesso (IAM) inadequado.
• Conscientização limitada: Apesar dos treinamentos, a sofisticação do phishing por IA exige uma conscientização contínua e aprofundada, pois o elo humano continua sendo o ponto mais fraco.

O Brasil precisa de uma estratégia de cibersegurança que vá além da reatividade, focando na resiliência, na educação e na colaboração entre o setor público e privado para enfrentar essas ameaças emergentes e persistentes.

🔒 Recomendações Práticas da Coneds

Para fortalecer a postura de cibersegurança frente às ameaças de ransomware e phishing impulsionadas por IA, a Coneds recomenda as seguintes ações concretas:

1. Ação Imediata: Implementação e Reforço da MFA: Exija autenticação multifator (MFA) para todos os acessos, especialmente para contas privilegiadas, VPNs, sistemas em nuvem e e-mails. Priorize métodos de MFA resistentes a phishing (U2F/FIDO2).
2. Curto Prazo (1-4 semanas): Treinamento Contínuo e Simulações de Phishing: Invista em treinamentos de conscientização de segurança regulares e dinâmicos, com foco nas novas táticas de phishing impulsionadas por IA (deepfakes, BEC hiper-personalizado). Realize simulações de phishing de forma consistente para testar e educar os colaboradores.
3. Médio Prazo (1-3 meses): Gerenciamento de Vulnerabilidades e Patches Agressivo: Mantenha todos os sistemas operacionais, aplicações e softwares de terceiros atualizados. Priorize a aplicação de patches para vulnerabilidades conhecidas (CVEs) em sistemas expostos à internet e em componentes da cadeia de suprimentos. Utilize ferramentas de varredura de vulnerabilidades e teste de penetração.
4. Estratégia Long-term: Arquitetura Zero Trust e Segmentação de Rede: Adote o princípio do menor privilégio e uma arquitetura de confiança zero (Zero Trust). Segmente rigorosamente as redes (TI e OT), limitando a movimentação lateral de atacantes e o impacto de um possível comprometimento.
5. Governança: Plano de Resposta a Incidentes (PIR) e Testes Contínuos: Desenvolva, documente e teste regularmente um Plano de Resposta a Incidentes (PIR) de segurança cibernética. Inclua cenários de ransomware e violação de dados, com responsabilidades claras para comunicação, contenção e recuperação, em conformidade com a LGPD e outras regulamentações.
6. Proteção de Dados e Backup Imutável: Implemente uma estratégia de backup 3-2-1, garantindo que pelo menos uma cópia dos dados críticos seja imutável e armazenada offline, em um local fisicamente separado. Criptografe todos os dados sensíveis em repouso e em trânsito.

❓ Perguntas Frequentes

P: Como a IA generativa está tornando os ataques de phishing mais perigosos?

R: A IA generativa permite que os atacantes criem e-mails e mensagens de phishing com gramática perfeita, linguagem contextualizada e imitação de voz/vídeo (deepfakes), tornando as iscas muito mais convincentes e difíceis de serem detectadas por humanos e por soluções de segurança tradicionais.

P: Qual a diferença entre dupla e tripla extorsão no ransomware?

R: Na dupla extorsão, os atacantes criptografam os dados e ameaçam publicá-los. Na tripla extorsão, além da criptografia e da ameaça de publicação, eles também ameaçam contatar clientes, parceiros de negócios ou a imprensa, ou até mesmo revitimizar os dados para obter mais pagamentos, como observado no caso do ransomware Medusa (AA25-071A).

P: Como a Coneds pode ajudar minha empresa a se proteger contra essas ameaças?

R: A Coneds oferece treinamentos especializados e consultoria em cibersegurança para empresas, focados em temas como resposta a incidentes de ransomware, segurança em nuvem, gestão de identidade e acesso, e conscientização em segurança. Nossos programas são desenhados para o cenário brasileiro, ajudando equipes a desenvolver habilidades práticas e estratégias defensivas eficazes.

Conclusão

O panorama da cibersegurança em fevereiro de 2026 é de constante evolução, com o ransomware e os ataques de phishing e BEC impulsionados por IA representando ameaças de alto impacto para as organizações brasileiras. A persistência de grupos como o Medusa, com suas táticas de multi-extorsão, e a crescente sofisticação das campanhas de engenharia social habilitadas pela IA, exigem uma postura de defesa proativa e resiliente. Não se trata apenas de implementar tecnologias de ponta, mas de cultivar uma cultura de segurança cibernética em toda a organização, desde a alta gerência até o usuário final.

O impacto de uma falha de segurança vai muito além da perda financeira direta, atingindo a reputação, a confiança dos clientes e a conformidade regulatória, com penalidades severas da LGPD. É imperativo que as empresas brasileiras priorizem a higiene cibernética fundamental, o gerenciamento rigoroso de identidades e acessos, a educação contínua dos colaboradores e a construção de planos de resposta a incidentes robustos e testados. A complacência não é uma opção. Aqueles que investem em capacitação e em uma estratégia de segurança adaptativa estarão mais bem preparados para navegar neste ambiente de ameaças em constante mutação e proteger seus ativos mais valiosos.

---

📚 Aprenda mais: Desenvolva as competências necessárias para proteger sua organização contra as ameaças mais recentes. Visite coneds.com.br para conhecer nossos treinamentos especializados em Resposta a Incidentes, Segurança em Nuvem e Gerenciamento de Identidade.

🔗 Fontes:

• Canadian Centre for Cyber Security. (2025, September 4). Ransomware Threat Outlook 2025-2027. https://www.cyber.gc.ca/en/guidance/ransomware-threat-outlook-2025-2027
• CISA. (2025, March 12). #StopRansomware: Medusa Ransomware (AA25-071A). https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-071a
• Dark Reading. (2026, February 2). Attackers Harvest Dropbox Logins Via Fake PDF Lures. https://www.darkreading.com/cloud-security/attackers-harvest-dropbox-logins-fake-pdf-lures
• Dark Reading. (2026, February 5). 3 More Healthcare Orgs Hit by Ransomware Attacks. https://www.darkreading.com/cyberattacks-data-breaches/healthcare-orgs-hit-ransomeware-attacks
• Financial Post. (2026, January 29). The Trust Crisis: 88% of Organizations Breached by AI-Powered Attacks as Legacy Email Security Fails. https://financialpost.com/pmn/business-wire-news-releases-pmn/the-trust-crisis-88-of-organizations-breached-by-ai-powered-attacks-as-legacy-email-security-fails
• SC Media. (2026, February 20). HHS intensifies scrutiny of third-party vendor cybersecurity. https://www.scworld.com/brief/hhs-intensifies-scrutiny-of-third-party-vendor-cybersecurity
• IBM. (2025, September 15). 2025 Cost of a Data Breach Report. https://www.ibm.com/reports/data-breach (Accessed: February 21, 2026)