Skip to main content
HashnodeConeds NewsConeds News

Command Palette

Search for a command to run...

Foco em Supply Chain e Ransomware no Brasil: Desafios 2025

Published
12 min read
M
Matheus Banhos

Foco em Supply Chain e Ransomware no Brasil: Desafios 2025

Meta descrição: Análise urgente das principais ameaças de cibersegurança no Brasil: supply chain, ransomware e engenharia social. Saiba como proteger sua empresa e dados sensíveis em 2025.

A paisagem da cibersegurança global e, por extensão, brasileira, está em constante mutação, com ameaças que se tornam cada vez mais sofisticadas e impactantes. Para CISOs, gestores de TI e analistas de segurança, manter-se atualizado não é apenas uma boa prática, mas uma necessidade estratégica para a resiliência dos negócios. Em 5 de novembro de 2025, observamos uma intensificação notável em duas frentes de ataque que demandam atenção imediata: os complexos supply chain attacks direcionados à cadeia de software e a persistente, porém evoluída, ameaça de ransomware impulsionada por táticas de engenharia social. Esses vetores não apenas causam interrupções operacionais e perdas financeiras substanciais, mas também expõem dados sensíveis, resultando em severas implicações de compliance, especialmente sob a ótica da Lei Geral de Proteção de Dados (LGPD) no Brasil. A compreensão profunda dessas tendências e a implementação de defesas proativas são cruciais para qualquer organização que busque proteger seus ativos digitais e a confiança de seus clientes.

⚡ Resumo Executivo

  • Supply Chain em Risco: Incidentes recentes, como o via Salesloft Drift, demonstram a vulnerabilidade inerente à dependência de terceiros e a necessidade de governança rigorosa.
  • Ransomware Persistente: Ataques de ransomware continuam a evoluir, utilizando a engenharia social como vetor principal para penetrar defesas robustas e causar interrupções massivas.
  • Impacto da LGPD: Violações de dados decorrentes dessas ameaças acarretam multas pesadas e danos reputacionais no Brasil, reforçando a urgência da conformidade.
  • IA na Guerra Cibernética: A inteligência artificial está sendo usada tanto por defensores quanto por atacantes, elevando o nível de sofisticação de campanhas de phishing e desenvolvimento de malware.

Supply Chain Attacks e a Segurança da Cadeia de Software

Os ataques à cadeia de suprimentos de software representam uma das ameaças mais insidiosas e difíceis de mitigar na atualidade. A complexidade do ecossistema de software moderno, com a proliferação de bibliotecas de código aberto, APIs de terceiros e ferramentas de desenvolvimento interconectadas, oferece aos atacantes múltiplos pontos de entrada. Um único componente comprometido em um elo da cadeia pode ter um efeito cascata devastador, comprometendo inúmeras organizações que utilizam esse software ou serviço.

Um exemplo notável, ocorrido em setembro de 2025, foi a violação de segurança envolvendo a plataforma Salesloft Drift, um fornecedor de serviços amplamente utilizado. Este incidente resultou na compromissão de dados de clientes de grandes players do mercado de cibersegurança, como Zscaler e Palo Alto Networks. Embora os detalhes técnicos exatos do vetor inicial não tenham sido totalmente divulgados com um CVE específico, a investigação apontou para a exploração de credenciais de funcionários e o uso de táticas de engenharia social direcionadas ao suporte técnico (help-desk) como forma de obter acesso inicial. Uma vez dentro do ambiente do fornecedor, os atacantes puderam se mover lateralmente, exfiltrar dados e potencialmente comprometer a confiança na integridade da cadeia de software. Este caso sublinha que mesmo empresas líderes em segurança não estão imunes a riscos inerentes à sua própria cadeia de suprimentos e à exploração do elo humano.

Ainda no front da cadeia de software, a segurança de repositórios de pacotes, como o NPM para JavaScript, continua a ser um ponto cego para muitas organizações. Em setembro de 2025, discussões na comunidade de segurança destacaram a crescente ameaça de pacotes maliciosos, que podem se comportar como "worms auto-replicáveis". Estes pacotes, muitas vezes disfarçados de bibliotecas legítimas ou úteis, são carregados por desenvolvedores desavisados e, uma vez integrados a projetos, podem roubar credenciais, injetar backdoors ou exfiltrar dados durante o processo de desenvolvimento e build. A natureza viral desses "worms" permite que se espalhem rapidamente entre os projetos e organizações, criando um vasto ataque vetorial que pode comprometer infraestruturas inteiras sem que as vulnerabilidades sejam identificadas por scanners tradicionais de segurança de aplicações. A ausência de um CVE centralizado para cada pacote malicioso dificulta a rastreabilidade e a resposta, tornando a educação dos desenvolvedores e a higiene de segurança da cadeia de suprimentos ainda mais cruciais.

A lição é clara: a segurança de uma organização não se limita mais aos seus próprios perímetros. A dependência de software de terceiros, componentes de código aberto e serviços baseados em nuvem introduz uma superfície de ataque expandida que exige uma abordagem mais holística e transparente. A verificação rigorosa de fornecedores, a análise contínua de componentes de software e a implementação de práticas de desenvolvimento seguras são imperativas para mitigar os riscos cada vez maiores associados aos ataques à cadeia de suprimentos.

Ransomware e Engenharia Social: A Raiz dos Ataques Persistentes

O ransomware, embora não seja uma ameaça nova, continua a evoluir em sua sofisticação e impacto, mantendo-se como uma das maiores preocupações para as empresas em 2025. O que diferencia a onda atual de ataques de ransomware é a intrínseca dependência da engenharia social como principal vetor de infecção. A tecnologia de segurança pode ser robusta, mas o fator humano permanece o elo mais vulnerável da corrente.

As táticas de engenharia social se tornaram mais persuasivas e personalizadas, aproveitando informações públicas e dados vazados (OSINT) para criar iscas de phishing, vishing (phishing por voz) e smishing (phishing por SMS) altamente convincentes. Em vez de e-mails genéricos, os atacantes agora utilizam a inteligência artificial (IA) para gerar comunicações que imitam perfeitamente colegas de trabalho, fornecedores ou autoridades, explorando a confiança e o senso de urgência das vítimas. Por exemplo, campanhas recentes observadas em 2025 têm utilizado IA generativa para criar e-mails com linguagem impecável e até mesmo para simular vozes em chamadas de vishing, tornando extremamente difícil para os funcionários discernir a fraude. O objetivo é sempre o mesmo: levar o usuário a clicar em um link malicioso, baixar um anexo infectado, fornecer credenciais ou aprovar uma solicitação de MFA fraudulenta.

Incidentes de alto perfil em 2024 e 2025, embora muitos não sejam publicamente detalhados com CVEs específicos para o vetor de engenharia social em si, ilustram a eficácia contínua dessas táticas. Em maio de 2024, o ataque de ransomware à Ascension Health nos EUA, um dos maiores sistemas de saúde sem fins lucrativos, paralisou sistemas de TI em vários estados, afetando 5,6 milhões de pacientes. Relatórios indicam que o acesso inicial foi obtido por meio de credenciais de acesso remoto mal protegidas, frequentemente resultantes de ataques de phishing ou credenciais comprometidas em vazamentos anteriores e reutilizadas.

Além da infecção inicial, os grupos de ransomware aprimoraram suas operações com táticas de "dupla extorsão", onde, além de criptografar os dados, também os exfiltram e ameaçam publicá-los caso o resgate não seja pago. Essa abordagem aumenta significativamente a pressão sobre as vítimas, especialmente em setores regulados como saúde e finanças, onde a LGPD no Brasil impõe sérias penalidades por vazamento de dados. Ameaças de "vivendo da terra" (living off the land), onde os atacantes usam ferramentas legítimas já presentes na rede da vítima para se moverem lateralmente e permanecerem indetectados, tornam a detecção e a resposta ainda mais desafiadoras.

A resiliência contra ransomware e engenharia social não reside apenas em soluções tecnológicas, mas em uma defesa em profundidade que prioriza o elemento humano. A conscientização contínua e o treinamento de segurança são essenciais para capacitar os funcionários a identificar e resistir a essas táticas. A adoção de autenticação multifator (MFA) robusta e resistente a phishing, juntamente com a segmentação de rede e planos de recuperação de desastres bem testados, são pilares fundamentais para mitigar os riscos e minimizar o impacto de um ataque bem-sucedido.

🇧🇷 Impacto no Cenário Brasileiro

O Brasil, com sua economia digital em expansão e uma vasta infraestrutura interconectada, é um alvo cada vez mais atraente para ciberataques. As tendências globais de supply chain attacks e ransomware impulsionado por engenharia social reverberam com força no cenário nacional, apresentando desafios únicos para as empresas brasileiras.

Setores Mais Afetados: Os setores financeiro, de saúde, governo e varejo continuam a ser os principais alvos no Brasil. Empresas financeiras lidam com grandes volumes de dados sensíveis e transações de alto valor, tornando-as um alvo lucrativo para grupos de ransomware e roubo de credenciais. O setor de saúde, por sua vez, armazena informações pessoais e de saúde altamente confidenciais, com interrupções nos serviços que podem ter consequências diretas na vida de pacientes, aumentando a probabilidade de pagamento de resgate. Órgãos governamentais e estatais, embora muitas vezes com defesas mais robustas, são frequentemente visados por sua riqueza de dados de cidadãos e informações estratégicas, além de serem alvos de campanhas de desinformação através de engenharia social.

Dados Locais e Contexto Regulatório (LGPD): A Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018), em vigor desde setembro de 2020, elevou significativamente a responsabilidade das empresas brasileiras pela proteção de dados pessoais. Incidentes de supply chain attacks e ransomware que resultam em vazamento de dados pessoais podem levar a multas que chegam a 2% do faturamento da empresa no Brasil, limitadas a R$ 50 milhões por infração, além de sanções como a publicização da infração e o bloqueio de dados. A conformidade com a LGPD não é apenas uma questão legal, mas um imperativo estratégico para evitar danos financeiros e reputacionais severos.

A complexidade da cadeia de software brasileira, muitas vezes dependente de fornecedores globais e nacionais, amplifica o risco de ataques à cadeia de suprimentos. Pequenas e médias empresas (PMEs), que compõem a maior parte do tecido empresarial brasileiro, são particularmente vulneráveis devido a recursos de segurança limitados e à falta de processos maduros de avaliação de fornecedores. A engenharia social, por sua vez, é uma técnica que explora a cultura e o idioma local. E-mails de phishing em português bem elaborados, que exploram eventos atuais, feriados ou temas de interesse nacional, são altamente eficazes no Brasil, enganando funcionários e comprometendo sistemas.

Em 2025, o aumento do trabalho híbrido e remoto no Brasil também expandiu a superfície de ataque, com mais funcionários acessando redes corporativas de ambientes menos controlados. Isso torna os ataques de engenharia social ainda mais perigosos, pois os limites entre a vida pessoal e profissional podem se confundir. A preparação e a resiliência cibernética, com foco nas especificidades do cenário brasileiro e em total conformidade com a LGPD, são fundamentais para a sobrevivência e o sucesso das empresas no país.

🔒 Recomendações Práticas da Coneds

Para mitigar os riscos crescentes de ataques à cadeia de software, ransomware e engenharia social, a Coneds recomenda as seguintes ações práticas:

  1. Ação Imediata: Revisão e Fortalecimento da Higiene Cibernética Base (HCB): Implemente imediatamente autenticação multifator (MFA) em todas as contas e sistemas críticos, priorizando opções resistentes a phishing. Reforce a política de senhas fortes e únicas, utilizando gerenciadores de senhas.
  2. Curto Prazo (1-4 semanas): Programa Intensivo de Conscientização em Engenharia Social: Realize simulações de phishing, vishing e smishing direcionadas e personalizadas, com feedback imediato e treinamento contextualizado. Eduque os colaboradores sobre as táticas mais recentes, incluindo o uso de IA por atacantes, e a importância de verificar a autenticidade das comunicações.
  3. Médio Prazo (1-3 meses): Governança e Segurança da Cadeia de Software (SSCS): Desenvolva um programa robusto de gestão de riscos de terceiros. Mapeie todos os fornecedores de software e serviços, avaliando suas práticas de segurança e exigindo cláusulas contratuais de segurança e responsabilidade. Implemente ferramentas de análise de composição de software (SCA) para identificar vulnerabilidades em bibliotecas de código aberto e pacotes NPM.
  4. Estratégia Long-term: Implementação de Arquitetura Zero Trust: Adote e evolua para uma arquitetura Zero Trust, onde nenhum usuário, dispositivo ou aplicação é confiável por padrão, independentemente de sua localização. Isso minimiza o movimento lateral de atacantes e o impacto de credenciais comprometidas.
  5. Governança: Plano de Resposta a Incidentes e Conformidade LGPD: Desenvolva e teste um Plano de Resposta a Incidentes (PRI) detalhado, incluindo cenários de supply chain attack e ransomware. Certifique-se de que o PRI contemple a comunicação obrigatória e os prazos da LGPD em caso de vazamento de dados. Realize auditorias regulares de conformidade com a LGPD.
  6. Treinamento: Capacitação Técnica Contínua: Invista na capacitação técnica de suas equipes de segurança e desenvolvimento. Treinamentos especializados em segurança de aplicações (AppSec), análise de vulnerabilidades, resposta a incidentes e inteligência de ameaças são essenciais para construir uma defesa cibernética proativa e adaptativa.

❓ Perguntas Frequentes

P: Como um "supply chain attack" pode afetar minha empresa, mesmo que ela não seja um alvo direto?

R: Um ataque à cadeia de suprimentos pode comprometer sua empresa de várias maneiras indiretas. Se um software ou serviço que sua empresa utiliza (como uma ferramenta de desenvolvimento, um provedor de nuvem, ou até mesmo uma biblioteca de código aberto) for comprometido, os atacantes podem usar essa brecha para infiltrar seus sistemas. Isso pode levar ao roubo de dados, infecção por ransomware ou outras interrupções, mesmo que sua empresa não seja o alvo principal.

P: Qual a importância da LGPD no contexto de ataques de ransomware e vazamento de dados no Brasil?

R: A LGPD é crucial porque estabelece regras claras sobre como as empresas devem coletar, armazenar e tratar dados pessoais. Em caso de um ataque de ransomware ou vazamento de dados, a não conformidade pode resultar em multas pesadas (até 2% do faturamento ou R$ 50 milhões por incidente), além de danos severos à reputação. A LGPD força as empresas a ter controles de segurança robustos e planos de resposta a incidentes eficazes.

P: Como a IA está sendo utilizada pelos cibercriminosos e como podemos nos defender?

R: Cibercriminosos utilizam a IA para automatizar e aprimorar ataques de engenharia social, criando e-mails de phishing mais realistas, deepfakes de voz e texto, e até desenvolvendo malware mais evasivo. Para se defender, é fundamental investir em treinamento de conscientização que aborde essas novas táticas, utilizar soluções de segurança baseadas em IA para detecção e resposta (EDR/XDR) e implementar MFA resistente a phishing para as contas mais críticas.

P: A Coneds oferece treinamentos específicos para combater ataques de supply chain e engenharia social?

R: Sim, a Coneds oferece treinamentos especializados focados em Segurança da Cadeia de Suprimentos (Software Supply Chain Security), conscientização em Engenharia Social e Resposta a Incidentes de Ransomware. Nossos cursos são desenhados para profissionais de TI, CISOs, desenvolvedores e gestores, com conteúdo técnico e prático aplicável à realidade do mercado brasileiro e em conformidade com a LGPD.

Conclusão

O cenário de cibersegurança em 5 de novembro de 2025 exige uma postura proativa e adaptável das organizações brasileiras. A crescente sofisticação dos supply chain attacks, exemplificada por incidentes recentes que afetam até mesmo líderes do setor de segurança, e a persistência do ransomware com táticas de engenharia social aprimoradas por IA, demonstram que a proteção não é mais apenas uma questão de tecnologia, mas de processos, pessoas e inteligência de ameaças. A conformidade com a LGPD adiciona uma camada crítica de responsabilidade, tornando a mitigação desses riscos um imperativo legal e estratégico.

As empresas que investem em uma cultura de segurança robusta, na capacitação contínua de suas equipes e na implementação de defesas em profundidade estarão mais preparadas para enfrentar os desafios futuros. Não se trata de evitar todos os ataques, mas de construir resiliência para detectá-los, contê-los e recuperar-se rapidamente, minimizando o impacto. A educação é a base dessa resiliência. Convidamos todos os profissionais e gestores de TI a aprofundar seus conhecimentos e fortalecer suas defesas.

📚 Aprenda mais: Eleve a segurança da sua empresa. Explore nossos treinamentos especializados em Software Supply Chain Security e Engenharia Social em coneds.com.br.

🔗 Fontes:

  • SC World. "What security agencies, regulators, and businesses get wrong about cybersecurity". Acesso em 05/11/2025.
  • SC World. "Ransomware 2024: A year of tricks, traps, wins and losses". Acesso em 05/11/2025.
  • Dark Reading. "Zscaler, Palo Alto Networks Breached via Salesloft Drift". Publicado em 02/09/2025. Acesso em 05/11/2025.
  • Dark Reading. "Self-Replicating 'Shai-hulud' Worm Targets NPM Packages". Publicado em 16/09/2025. Acesso em 05/11/2025.
  • SC World. "The cyberattack with the most negative impact to patient care: ransomware". Acesso em 05/11/2025.
  • SC World. "5 scenarios for how we might be attacked in the ongoing cyber war". Acesso em 05/11/2025.
#ciberseguran-a#coneds#cyber-attacks#infosec#seguran-a-digital

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

C

Coneds News

251 posts