Skip to main content
HashnodeConeds NewsConeds News

Command Palette

Search for a command to run...

Desvendando as Ameaças de 2025: Ransomware, Supply Chain e a Evolução da Engenharia Social no Brasil

Published
13 min read
M
Matheus Banhos

Desvendando as Ameaças de 2025: Ransomware, Supply Chain e a Evolução da Engenharia Social no Brasil

Meta descrição: Análise das ameaças de cibersegurança mais urgentes para empresas brasileiras em 2025: ransomware, supply chain e engenharia social.

Em um cenário digital em constante e frenética mutação, a cibersegurança nunca foi tão crítica para a saúde e a sobrevivência das empresas brasileiras. À medida que avançamos em outubro de 2025, o panorama de ameaças se torna mais complexo e multifacetado, exigindo que CISOs, gestores de TI e analistas de segurança estejam não apenas atualizados, mas proativamente preparados. Os incidentes recentes globalmente servem como um doloroso lembrete de que a superfície de ataque expandiu-se exponencialmente, e as táticas dos cibercriminosos estão se sofisticando a um ritmo alarmante.

O Relatório de Investigações de Violação de Dados (DBIR) de 2024 da Verizon já apontava tendências preocupantes, que se consolidam e evoluem em 2025. A exploração de vulnerabilidades, o ransomware — agora com uma crescente preferência pela extorsão pura — e a onipresença da engenharia social continuam a ser os pilares das campanhas de ataque. Além disso, a inteligência artificial, antes vista como uma ferramenta puramente defensiva, emerge como um vetor de ameaças, usada para orquestrar golpes mais convincentes e automatizar a busca por brechas. Para o Brasil, onde o arcabouço regulatório da LGPD amadurece e a digitalização de setores-chave como finanças e governo se aprofunda, a compreensão e a mitigação dessas ameaças são imperativos estratégicos, não meras preocupações técnicas.

Este artigo se aprofunda nos desafios mais prementes que o mercado brasileiro de cibersegurança enfrenta hoje, oferecendo uma análise técnica aprofundada e recomendações práticas para fortalecer suas defesas contra as ameaças de 2025.

⚡ Resumo Executivo

  • Ransomware em Evolução: Ataques de extorsão pura superam o ransomware tradicional, focando na exfiltração de dados sensíveis para chantagem, com a recusa de pagamento resultando em vazamento.
  • Supply Chain Crítico: A exploração de vulnerabilidades em softwares de terceiros e na cadeia de suprimentos continua a ser um vetor de ataque dominante, com um aumento significativo nos últimos anos.
  • Engenharia Social Aprimorada por IA: O erro humano permanece a principal causa de violações, e a IA generativa está sendo utilizada para criar campanhas de phishing e spear-phishing mais críveis e eficazes.
  • Infraestrutura Crítica sob Ataque: Setores como saúde, telecomunicações e manufatura são alvos preferenciais devido ao alto impacto de suas interrupções.

A Ascensão da Extorsão Pura: Um Novo Paradigma no Ransomware

Historicamente, o ransomware era sinônimo de criptografia de dados, com os atacantes exigindo um resgate para liberar os arquivos. No entanto, o cenário em 2025 testemunha uma mudança tática significativa: a ascensão da "extorsão pura". Conforme detalhado pelo Relatório de Investigações de Violação de Dados (DBIR) de 2024 da Verizon, houve uma ligeira diminuição nos ataques de ransomware tradicionais, mas um aumento notável nas campanhas de extorsão pura. Nesse modelo, os cibercriminosos focam primariamente na exfiltração de grandes volumes de dados sensíveis e ameaçam publicá-los caso o resgate não seja pago, sem necessariamente criptografar os sistemas da vítima.

Essa evolução representa um desafio ainda maior para as organizações. A decisão de pagar o resgate torna-se mais complexa, pois a integridade dos dados já foi comprometida. Mesmo que os sistemas não sejam criptografados, o vazamento de informações confidenciais pode acarretar danos reputacionais irreversíveis, multas regulatórias pesadas (especialmente sob a LGPD no Brasil) e perda de confiança dos clientes. Grupos de ransomware-as-a-service (RaaS), como o Qilin (responsável por um recente ataque à Asahi Group Holdings em outubro de 2025 que resultou na potencial exfiltração de 27 GB de dados financeiros e de funcionários), continuam a refinar suas operações, tornando a entrada para novos cibercriminosos mais fácil e expandindo o alcance das ameaças.

A exfiltração de dados é frequentemente seguida por ameaças diretas de publicação em fóruns da dark web, como visto no incidente da Telecom Namibia em janeiro de 2025, onde a recusa em negociar levou ao vazamento de dados de clientes. Isso demonstra a ousadia dos atacantes e a necessidade de as empresas considerarem a prevenção da exfiltração de dados como uma prioridade máxima, ao lado da proteção contra a criptografia.

Táticas de Extorsão em Destaque

As táticas empregadas nesses ataques incluem:

  • Roubo de Credenciais: Muitas vezes, o acesso inicial é obtido através de credenciais roubadas, permitindo que os atacantes naveguem lateralmente na rede antes de identificar e exfiltrar dados valiosos.
  • Exploração de Vulnerabilidades: Falhas em softwares e sistemas desatualizados continuam sendo um ponto de entrada comum, especialmente para escalar privilégios e acessar dados sensíveis.
  • Dupla e Tripla Extorsão: Embora o foco esteja na extorsão pura, alguns grupos ainda combinam a exfiltração com a criptografia (dupla extorsão) ou adicionam uma terceira camada, visando a chantagem de indivíduos específicos cujos dados foram roubados.

O impacto desses ataques vai além do custo financeiro do resgate ou da recuperação. A interrupção das operações, a necessidade de notificar autoridades e clientes sobre a violação de dados, e o trabalho intensivo de resposta a incidentes consomem recursos e minam a produtividade. A sofisticação crescente das campanhas, muitas vezes potencializada pelo uso de IA, exige uma postura de defesa adaptável e multicamadas.

Vulnerabilidades na Cadeia de Suprimentos: O Elo Fraco no Ecossistema Digital

A complexidade das arquiteturas de TI modernas, com sua dependência crescente de fornecedores e serviços de terceiros, transformou a cadeia de suprimentos em um alvo atraente para cibercriminosos. O DBIR 2024 da Verizon revelou um aumento alarmante de 180% na exploração de vulnerabilidades para acesso inicial, com as violações da cadeia de suprimentos respondendo por 15% de todos os incidentes, um salto de 68% em relação ao ano anterior. Este crescimento contínuo sublinha a realidade de que a segurança de uma organização é tão forte quanto o elo mais fraco de sua rede de parceiros.

Um exemplo notável, que ressoa fortemente com o mercado brasileiro, foi a exploração da vulnerabilidade zero-day MOVEit em 2023, que levou à violação de mais de mil organizações globalmente através de um software de transferência de arquivos amplamente utilizado. Embora esse incidente não seja de 2025, ele ilustra perfeitamente a gravidade das vulnerabilidades na cadeia de suprimentos. Mais recentemente, em setembro de 2025, a Wealthsimple, uma plataforma de gestão de investimentos, confirmou uma violação de dados de terceiros que afetou informações de clientes, incluindo números de identificação governamental e endereços IP, reforçando a natureza contínua e generalizada dessa ameaça.

Outro caso relevante, que exemplifica as falhas críticas que podem ser exploradas em softwares populares, foi a série de vulnerabilidades descobertas na ConnectWise ScreenConnect em fevereiro de 2024:

  • CVE-2024-1709 (CVSS: 10.0 - Crítica): Uma falha de bypass de autenticação que permitia acesso não autorizado.
  • CVE-2024-1708 (CVSS: 8.4 - Alta): Uma vulnerabilidade de path-traversal. Essas vulnerabilidades permitiram a exploração em massa por grupos de ransomware e operadores de acesso inicial, comprometendo a segurança de organizações e seus clientes downstream. A rapidez com que essas falhas foram exploradas demonstra a agilidade dos atacantes em capitalizar novas vulnerabilidades e a necessidade urgente de gerenciamento de patches e atualizações.

A ameaça à cadeia de suprimentos também se manifesta em setores específicos. O setor da educação, por exemplo, viu 77% das instituições sofrerem ataques cibernéticos nos últimos 12 meses (Netwrix, agosto de 2024), com incidentes como o da PowerSchool em janeiro de 2025 expondo dados de milhões de estudantes e professores. Isso é um alerta para instituições brasileiras que dependem de sistemas ERP e plataformas educacionais de terceiros.

A interconexão e a dependência de softwares e serviços de terceiros tornam as empresas vulneráveis a ataques que não visam diretamente suas próprias infraestruturas, mas sim as de seus fornecedores menos seguros. A exploração de credenciais fracas, configurações incorretas e falta de autenticação multifator robusta são vetores comuns nesses ataques.

🇧🇷 Impacto no Cenário Brasileiro

O Brasil, com sua economia em rápida digitalização e um ambiente regulatório cada vez mais rigoroso, é um alvo constante para as ameaças de cibersegurança. As tendências globais de ransomware, ataques à cadeia de suprimentos e engenharia social têm reflexos diretos e amplificados no contexto nacional.

A LGPD (Lei Geral de Proteção de Dados), em vigor desde 2020, elevou o patamar de exigência para a proteção de dados pessoais. Violações de dados resultantes de ataques de extorsão ou falhas na cadeia de suprimentos, como as observadas em outros países, podem acarretar multas milionárias e sérios danos à reputação das empresas brasileiras. A fiscalização da ANPD (Autoridade Nacional de Proteção de Dados) está se tornando mais ativa em 2025, e a falta de conformidade ou uma resposta inadequada a incidentes são fatores que podem agravar as penalidades. Setores como o financeiro (BACEN), saúde e governo, que detêm vastos volumes de dados sensíveis, são particularmente visados.

No que tange ao ransomware e extorsão pura, empresas brasileiras, de grandes corporações a pequenas e médias empresas, são alvos constantes. A cultura de pagamento de resgates, embora desaconselhada pelas autoridades, ainda é uma realidade para muitas que se veem sem alternativas diante da paralisação de suas operações. A mudança para a extorsão pura agrava a situação, pois mesmo com backups, o vazamento de dados pode ser devastador, especialmente com a sensibilidade regulatória da LGPD. Casos de empresas de logística, saúde e varejo brasileiras que sofreram com ransomware e extorsão nos últimos anos demonstram a persistência e a evolução dessa ameaça.

As vulnerabilidades na cadeia de suprimentos representam um risco sistêmico no Brasil. Muitas empresas utilizam softwares ERP (como SAP, Oracle, Totvs), sistemas bancários core e plataformas de gestão governamental que, se comprometidos em qualquer parte da cadeia de desenvolvimento ou distribuição, podem expor milhares de organizações. A falta de diligência adequada na avaliação de segurança de terceiros e a dificuldade em gerenciar patches e atualizações em ambientes complexos exacerbam essa vulnerabilidade. A dependência de fornecedores de TI terceirizados para manutenção e desenvolvimento de sistemas também abre portas para ataques.

A engenharia social, potencializada pela IA, encontra um terreno fértil no Brasil. Campanhas de phishing, smishing (phishing via SMS) e vishing (phishing por voz) são extremamente comuns e visam desde usuários finais até executivos de alto nível. Com a IA generativa, e-mails e mensagens fraudulentas tornam-se linguisticamente mais precisos e contextualmente mais convincentes, dificultando a detecção. O país já lida com um alto volume de fraudes digitais, e a sofisticação trazida pela IA apenas intensificará esse desafio. O fator humano continua sendo o elo mais fraco, e a conscientização em cibersegurança precisa ser contínua e adaptada à realidade brasileira, incluindo golpes específicos que exploram eventos locais ou serviços públicos populares.

A necessidade de uma postura de segurança cibernética resiliente é mais premente do que nunca. Isso inclui não apenas a prevenção, mas a capacidade de detectar, responder e se recuperar rapidamente de incidentes, minimizando o impacto e garantindo a continuidade dos negócios em conformidade com a LGPD e outras regulamentações específicas do setor (como o BACEN para instituições financeiras e o PCI DSS para empresas que lidam com cartões de crédito).

🔒 Recomendações Práticas da Coneds

Para navegar neste cenário de ameaças em evolução, a Coneds recomenda uma abordagem estratégica e multifacetada, com foco em ações concretas e implementáveis:

  1. Ação Imediata: Revisão e Hardening de Acessos Críticos e Múltiplos Fatores de Autenticação (MFA) Resistentes a Phishing. Implemente MFA em todos os sistemas críticos. Priorize soluções de MFA resistentes a phishing (U2F/FIDO2) para administradores e usuários privilegiados, reduzindo a eficácia de ataques de engenharia social. Revise logs de acessos remotos e contas de serviço para atividade anômala.
  2. Curto Prazo (1-4 semanas): Programa Robusto de Gestão de Vulnerabilidades e Patches. Mantenha todos os softwares, sistemas operacionais e equipamentos de rede atualizados. Implemente um programa contínuo de varredura de vulnerabilidades, priorizando as correções para falhas críticas (CVSS 7.0+) em softwares de terceiros e componentes da cadeia de suprimentos.
  3. Médio Prazo (1-3 meses): Treinamento Contínuo e Simulações de Engenharia Social. Desenvolva um programa de conscientização e treinamento em cibersegurança que vá além do básico. Realize simulações regulares de phishing, smishing e vishing, com relatórios detalhados para identificar pontos fracos e reforçar o comportamento seguro dos funcionários, incluindo o uso responsável da IA.
  4. Estratégia Long-term: Arquitetura Zero Trust e Segmentação de Rede. Adote princípios de Zero Trust, verificando cada acesso e transação, independentemente da localização. Implemente segmentação de rede para isolar sistemas críticos, limitando o movimento lateral de atacantes em caso de comprometimento e reduzindo a superfície de ataque.
  5. Governança: Plano de Resposta a Incidentes (PRI) e Backup Imutável. Desenvolva, teste e revise regularmente um PRI detalhado, com foco em cenários de ransomware e vazamento de dados. Mantenha backups imutáveis e offline de dados críticos, testando periodicamente a capacidade de recuperação. Estabeleça políticas claras de comunicação em caso de incidentes.
  6. Gerenciamento de Riscos de Terceiros (TPRM): Avalie a postura de segurança de todos os fornecedores de software e serviços. Inclua cláusulas de segurança robustas em contratos e realize auditorias periódicas para garantir a conformidade com as melhores práticas e regulamentações como a LGPD.
  7. Monitoramento Ativo e Detecção de Ameaças (MDR/XDR): Invista em soluções de Monitoramento e Resposta Gerenciados (MDR) ou Detecção e Resposta Estendidas (XDR) para monitorar proativamente a rede, endpoints, nuvem e e-mail, permitindo a detecção precoce de atividades maliciosas e a resposta rápida a incidentes.

❓ Perguntas Frequentes

P: Como a IA generativa está sendo usada pelos cibercriminosos?

R: A IA generativa está sendo empregada para criar campanhas de engenharia social (phishing, smishing) muito mais convincentes, personalizadas e em larga escala. Ela pode gerar textos e áudios que simulam comunicações legítimas, dificultando a detecção por parte das vítimas. Também pode ser usada para identificar vulnerabilidades e desenvolver malwares de forma mais eficiente.

P: Qual a diferença entre ransomware tradicional e extorsão pura, e por que isso é relevante?

R: O ransomware tradicional criptografa os dados da vítima e exige resgate para a chave de decifração. A extorsão pura foca na exfiltração de dados sensíveis e ameaça publicá-los, sem necessariamente criptografar os sistemas. É relevante porque, mesmo com backups, o vazamento de dados é um risco grave, com impacto legal (LGPD) e reputacional, tornando a recuperação mais complexa do que a simples restauração de dados.

P: Como a Coneds pode ajudar minha empresa a se defender contra essas ameaças?

R: A Coneds oferece treinamentos especializados para profissionais e equipes, abrangendo desde fundamentos de cibersegurança até tópicos avançados como resposta a incidentes, segurança de aplicações e conformidade com a LGPD. Nossos cursos são projetados para capacitar sua equipe a identificar, prevenir e mitigar as ameaças mais recentes, incluindo ransomware, ataques à supply chain e engenharia social.

Conclusão

O cenário de cibersegurança em outubro de 2025 é inegavelmente desafiador, com ameaças como a extorsão pura, a exploração persistente da cadeia de suprimentos e a engenharia social impulsionada pela IA ditando o ritmo dos ataques. No Brasil, essas tendências se entrelaçam com as demandas da LGPD, o que eleva a aposta para empresas de todos os portes. Não se trata mais de se sua organização será alvo, mas quando e quão bem preparada ela estará para resistir, detectar e se recuperar. A proatividade é a única defesa eficaz.

É imperativo que as organizações brasileiras invistam continuamente em pessoas, processos e tecnologia. Capacitar as equipes com conhecimento atualizado, implementar controles de segurança robustos e desenvolver planos de resposta a incidentes testados e ágeis são passos cruciais. A conformidade regulatória não deve ser vista como um fardo, mas como um guia para uma postura de segurança mais madura e resiliente. Lembre-se: a segurança é uma jornada contínua, não um destino, e a capacidade de adaptação será a chave para proteger seus ativos mais valiosos em um mundo digital cada vez mais hostil. Prepare-se hoje para as batalhas cibernéticas de amanhã.

📚 Aprenda mais: Nossos treinamentos em Análise de Ransomware e Resposta a Incidentes, Segurança na Cadeia de Suprimentos e Conscientização em Cibersegurança para a Era da IA estão disponíveis em coneds.com.br. 🔗 Fontes:

  • Verizon. (2024). 2024 Data Breach Investigations Report (DBIR). [Link]
  • SC Media. (2025, May 20). Ransomware takes a back seat to AI on IT administrator worry lists. [Link]
  • SC Media. (2024, December 31). Ransomware 2024: A year of tricks, traps, wins and losses. [Link]
  • Dark Reading. (2025, January 8). Ransomware Targeting Infrastructure Hits Telecom Namibia. [Link]
  • SC Media. (2025, September 8). Third-party data breach confirmed by Wealthsimple. [Link]
  • Netwrix. (2024, August 27). 77% of Educational Institutions Spotted a Cyberattack Within the Last 12 Months. [Link]
  • SC Media. (2025, October 14). Cyberattack against Asahi may have impacted personal data. [Link]
  • SC Media. (2024, April 9). What security agencies, regulators, and businesses get wrong about cybersecurity. [Link]
  • SC Media. (2025, September 15). VoidProxy phishing operation targets Microsoft 365, Google accounts. [Link]
  • Eclypsium. (2024, February 21). Don't Play with Fire: Prioritize Zyxel Firewall Update to Fix Unreported Vulnerability. [Link]
  • CISA. (2024, February 21). Threat Actors Exploiting ConnectWise ScreenConnect Vulnerabilities (CVE-2024-1709, CVE-2024-1708). [Link]
#ciberseguran-a#coneds#cyber-attacks#infosec#seguran-a-digital

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

C

Coneds News

251 posts