Cadastre-se
Contato

Ameaças Cibernéticas

Ameaças Cibernéticas

3.736 ataques por semana: por que o setor financeiro brasileiro nunca foi tão visado pelo cibercrime

/

O setor financeiro não é apenas mais um alvo do cibercrime organizado, ele é o principal, e os dados de 2026 deixam isso inequívoco. Segundo levantamento da Check Point Research divulgado em fevereiro de 2026, organizações brasileiras sofreram em média 3.736 ataques cibernéticos por semana, crescimento de 37% em relação ao mesmo período do ano anterior. O número ganha outro peso quando lido junto ao Relatório Global de Gerenciamento de Exposição do Setor Financeiro, publicado pela mesma Check Point: os ataques direcionados a esse setor saltaram de 864 ocorrências em 2024 para 1.858 em 2025, crescimento de 115% em apenas um ano. Esses números são a materialização de uma realidade que CISOs, CTOs e líderes de tecnologia do setor financeiro enfrentam diariamente: ambientes sob pressão constante, superfícies de ataque em expansão e grupos criminosos cada vez mais profissionalizados. Além de ataques oportunistas, o setor financeiro brasileiro enfrenta operações conduzidas por grupos especializados em fraude bancária, infostealers, ransomware e ataques à cadeia de suprimentos. Organizações criminosas exploram credenciais vazadas, malware bancário, engenharia social e comprometimento de fornecedores para obter acesso inicial e monetizar rapidamente os ambientes comprometidos. Principais grupos e ameaças que atuam contra o setor financeiro brasileiro PLUMP SPIDER (Brasil) Grupo especializado em fraudes financeiras, comprometimento de contas corporativas e ataques direcionados a instituições financeiras e fintechs. É conhecido por explorar engenharia social, comprometimento de credenciais e abuso de acessos legítimos. Grandoreiro Trojan bancário de origem brasileira que integra o ecossistema conhecido como “Tetrade”. Atua por meio de campanhas de phishing, malware bancário e captura de credenciais, afetando bancos em diversos países da América Latina e Europa. Guildma Malware bancário brasileiro focado em roubo de credenciais, autenticações multifator e informações financeiras. Utiliza campanhas massivas de e-mail malicioso e técnicas avançadas de evasão. Mekotio Trojan bancário amplamente distribuído na América Latina. Tem histórico de ataques contra clientes de instituições financeiras, capturando credenciais bancárias e realizando fraudes eletrônicas. Casbaneiro (Metamorfo) Malware bancário brasileiro que monitora atividades financeiras das vítimas e executa ações fraudulentas em sessões bancárias comprometidas. Blind Eagle (APT-C-36) Grupo latino-americano conhecido por campanhas de espionagem e roubo de informações. Embora seu foco principal não seja exclusivamente financeiro, frequentemente utiliza campanhas de phishing que atingem instituições financeiras e seus clientes. Lumma Stealer e RedLine Stealer Famílias de infostealers amplamente comercializadas em fóruns clandestinos. São responsáveis por grande parte das credenciais corporativas e bancárias encontradas em mercados da dark web, representando uma ameaça significativa para bancos e fintechs. LockBit, Akira, Play, Qilin e Medusa Grupos de ransomware que frequentemente atacam organizações financeiras, seguradoras e processadoras de pagamento. Além da criptografia dos dados, utilizam extorsão baseada em vazamento de informações sensíveis. Um dos casos mais emblemáticos dos últimos anos foi a fraude milionária que afetou uma instituição financeira brasileira por meio do comprometimento de um fornecedor integrado ao sistema financeiro. O incidente resultou no desvio de centenas de milhões de reais e demonstrou como vulnerabilidades na cadeia de suprimentos podem impactar diretamente operações financeiras críticas, mesmo quando os controles internos da instituição permanecem íntegros. Por que o setor financeiro concentra os incidentes de maior impacto A resposta é direta: liquidez imediata, dados altamente sensíveis e infraestrutura crítica amplamente conectada. Nenhum outro segmento reúne esses três atributos com a mesma intensidade. Segundo análise publicada pelo portal IPNews em maio de 2026, o setor financeiro liderou os ataques cibernéticos no Brasil pelo segundo ano consecutivo, concentrando mais de 20% de todos os incidentes registrados no país em 2025. Em 2024, essa participação já era de 19,76%. Não se trata de variação pontual, mas de uma tendência estrutural que se aprofunda a cada ciclo. O que torna essa concentração ainda mais crítica é a combinação de três fatores. O primeiro é a monetização direta: diferente de outros setores, onde o criminoso precisa percorrer etapas intermediárias para converter dados roubados em ganho financeiro, uma invasão bem-sucedida a uma instituição financeira pode resultar em transferências fraudulentas em tempo real. O segundo é a pressão regulatória: as exigências do Banco Central do Brasil (BACEN) e da Lei Geral de Proteção de Dados (LGPD) ampliam a exposição legal das instituições, tornando qualquer incidente em um evento com repercussão que vai além do técnico. O terceiro é a complexidade da infraestrutura: bancos, fintechs, seguradoras e processadoras de pagamento operam com ambientes híbridos, APIs em escala crescente e múltiplos fornecedores conectados, cada um representando um vetor potencial de entrada. Segundo a Vantico, no relatório Inside Pentesting 2026, as APIs dobraram como superfície de ataque entre 2024 e 2025, subindo de 5,6% para 11,2% dos projetos analisados. No setor financeiro, onde o Open Finance e as integrações via Pix multiplicam as APIs expostas, esse crescimento é ainda mais pronunciado. Os vetores que grupos criminosos mais exploram no setor financeiro 1- Credenciais comprometidas e abuso de identidade O roubo e o uso de credenciais válidas seguem como a principal porta de entrada para atacantes. Quando um colaborador de uma instituição financeira ou de um fornecedor terceirizado tem suas credenciais comprometidas, o atacante ganha acesso a sistemas internos sem precisar explorar nenhuma vulnerabilidade técnica, uma rota silenciosa e eficaz. Os números evidenciam a escala do problema: segundo dados da Avant Services com base em análises da Check Point Research, 98% das contas em nuvem de empresas brasileiras operam sem autenticação multifator (MFA) e 91% com privilégios excessivos. Em ambientes financeiros onde uma única credencial privilegiada pode dar acesso a sistemas de pagamento ou bases de dados de clientes, essa lacuna representa risco imediato. O próprio Banco Central alertou que grupos criminosos demonstram conhecimento avançado sobre a operação do sistema financeiro nacional, chegando a cooptar colaboradores das próprias instituições ou de prestadores de serviço contratados por elas. Enquanto a fraude por identidade sintética representa 11% dos casos globalmente, na América Latina esse índice chega a 48,3%, segundo levantamento do CISO Advisor de 2026. 2- Engenharia social associada ao Pix A adoção massiva do Pix criou uma nova camada de exposição. O sistema de pagamentos instantâneos tornou-se também um vetor de engenharia social: criminosos exploram a

Ameaças Cibernéticas

Quando o seu assistente de IA vira um insider: os riscos que ninguém está medindo em 2026

/

Durante anos, o debate em torno da inteligência artificial corporativa girou em torno de uma única preocupação: o que acontece quando o modelo erra a resposta? A alucinação textual, aquela saída imprecisa que um LLM gera com aparente confiança, foi o risco central de toda uma geração de projetos de IA. Em 2026, esse problema ainda existe. Só que ele ficou secundário diante de algo substancialmente mais grave. Os agentes autônomos de IA não apenas respondem a perguntas. Eles executam tarefas, acessam sistemas, movimentam dados, disparam processos e tomam decisões, tudo isso sem que um ser humano aprove cada etapa. O risco deixou de ser uma resposta errada em um chat e passou a ser uma ação irreversível executada em velocidade de máquina dentro da infraestrutura da sua empresa. Esse é o cenário que CTOs e CISOs brasileiros enfrentam agora: uma pressão crescente para adotar IA com agilidade, enquanto os frameworks de governança e os controles de segurança ainda tratam esses agentes como se fossem usuários comuns, ou, pior, como se simplesmente não existissem. A nova categoria de risco que a maioria das empresas ignora Agentes autônomos operam com identidades próprias. Eles possuem credenciais, acessam APIs, consultam bases de dados, executam fluxos de negócio e até orquestram outros agentes. Cada um desses agentes representa o que a literatura técnica chama de Identidade Não Humana (NHI – Non-Human Identity). Segundo dados publicados pelo portal Ramos da Informática, as NHIs já superam as identidades humanas nas grandes organizações numa proporção estimada de 80 para 1. Apesar disso, a maioria das empresas ainda não tem governança formal sobre essas identidades. Não há inventário, não há ciclo de vida definido, não há política de revogação. O agente existe, age e acumula privilégios, muitas vezes sem que o time de segurança sequer saiba que ele está lá. A consequência direta disso é o que pesquisadores chamam de “alucinação de ação”: em vez de gerar um texto incorreto, o agente mal configurado ou comprometido executa uma transferência fraudulenta, escala privilégios ou vaza dados sensíveis, e faz tudo isso com a velocidade e a persistência que nenhum atacante humano conseguiria sustentar. Os três vetores de ataque que definem o novo perímetro 1. Prompt Injection: quando o conteúdo vira uma arma O prompt injection abuso de permissões, identidades não humanas e excesso de agência são riscos reais em LLMs/agentes. A OWASP lista prompt injection, excessive agency, supply chain e data poisoning entre os principais riscos para aplicações LLM/GenAI. O NIST AI 600-1 também reconhece prompt injection, data poisoning e vazamento de dados como riscos relevantes de GenAI,  hoje um dos vetores mais relevantes mais discutido contra agentes de IA. A lógica é elegante na sua perversidade: em vez de atacar o sistema diretamente, o adversário embute instruções maliciosas dentro de conteúdo aparentemente legítimo: um e-mail, um ticket de suporte, uma nota fiscal, um documento PDF processado pelo agente. Quando o agente consome esse conteúdo como parte do seu contexto operacional, ele interpreta as instruções plantadas como comandos válidos e começa a executá-las. Segundo análise publicada pelo Stellar Cyber, um dos riscos mais sérios nesse cenário é o goal hijacking: o agente tem sua lógica original substituída por um objetivo injetado pelo atacante, podendo executar transferências financeiras ou exfiltrar dados sem nenhuma intervenção humana. A diferença crítica em relação a um ataque convencional está na escala e na velocidade. Um agente comprometido pode processar centenas de solicitações maliciosas por hora, enquanto qualquer tentativa equivalente por parte de um humano seria detectada imediatamente pelo comportamento anômalo. 2. Envenenamento de memória: o ataque que dorme antes de agir Sistemas de IA corporativos modernos, especialmente os que utilizam arquiteturas RAG (Retrieval-Augmented Generation), mantêm uma base de conhecimento que o agente consulta antes de agir. Essa memória persistente é um alvo privilegiado. No envenenamento de memória, o atacante não precisa comprometer o agente em tempo real. Ele injeta informações falsas na base de conhecimento, uma política de pagamento fraudulenta, um número de conta alterado, uma regra de negócio corrompida, e aguarda. Semanas depois, quando o agente consulta essa memória para processar uma transação legítima, ele age com base nos dados envenenados. Conforme documentado pelo Stellar Cyber em análise sobre ameaças agentic, esse tipo de ataque cria um “agente adormecido”: o comprometimento ocorre em um momento, o dano se materializa em outro, e a cadeia de causalidade entre os dois eventos é praticamente impossível de rastrear com ferramentas de monitoramento convencionais. 3. Abuso de privilégios: o problema do excesso de permissões Agentes de IA são, por natureza, mal dimensionados em termos de acesso. Para funcionarem com eficiência, eles recebem permissões amplas, acesso a bases de dados, APIs financeiras, sistemas de CRM, repositórios de código. O problema é que esses privilégios raramente são revisados ou calibrados ao mínimo necessário. O resultado é o que a literatura de segurança chama de “blast radius” expandido: qualquer comprometimento do agente dá ao atacante acesso equivalente ao escopo total de permissões concedidas. Em sistemas com dezenas ou centenas de agentes, um único ponto de falha pode comprometer setores inteiros da operação. Segundo análise do Stellar Cyber, um caso real envolveu um agente de reconciliação financeira manipulado para exportar a totalidade de uma base de clientes, simplesmente porque a instrução foi formulada como uma tarefa de negócio legítima, e o agente tinha permissão suficiente para executá-la. Por que os controles atuais não foram feitos para isso Firewalls e antivírus tradicionais operam no nível de rede e assinatura. Um agente de IA que executa uma consulta SQL legítima com credenciais válidas é, para esses sistemas, indistinguível de um usuário humano fazendo a mesma coisa. A diferença está no comportamento semântico, no porquê da ação, não na ação em si. Da mesma forma, os modelos de governança de identidade foram construídos pensando em funcionários humanos com contratos, crachás e datas de desligamento. Um agente autônomo pode ser criado em minutos, operar por semanas e ser descartado sem deixar rastro, e nenhum processo convencional de IAM vai capturar esse ciclo de vida.

imagem representando elo fraco na cadeia de suplimentos, refletindo sobre o risco dos fornecedores como alvo
Ameaças Cibernéticas

A Ilusão do Perímetro: Por Que Sua Segurança Falha Se o Fornecedor For o Alvo

/

Em 1º de julho de 2025, cibercriminosos não precisaram enfrentar o firewall de nenhum grande banco. Eles comprometeram uma empresa de software intermediária responsável por conectar dezenas de instituições financeiras ao Sistema de Pagamentos Brasileiro. O resultado: um prejuízo estimado entre R$ 800 milhões e R$ 1 bilhão, ao menos seis bancos afetados e o Banco Central forçado a suspender temporariamente o acesso da empresa ao SPB. Nenhum sistema bancário central foi atacado diretamente. A porta de entrada foi um elo da cadeia, e esse elo foi suficiente. À medida que organizações Enterprise se tornam mais interconectadas com centenas de fornecedores, parceiros, integrações em nuvem e APIs de terceiros, a superfície de ataque ultrapassa qualquer perímetro que um CISO possa controlar de forma direta. O modelo de segurança baseado em muros internos, firewalls, antivírus, políticas de acesso rígidas para o ambiente próprio, já não reflete a realidade do ambiente digital corporativo. O atacante sofisticado de 2026 não força a entrada pela frente. Ele entra pela lateral, usando a confiança que sua empresa já depositou em um terceiro. O que são Supply Chain Attacks e por que eles crescem Um ataque à cadeia de suprimentos digital, ou Supply Chain Attack, explora o relacionamento de confiança entre uma organização-alvo e seus fornecedores, parceiros ou prestadores de serviço. Em vez de atacar diretamente a empresa com maior maturidade de segurança, o adversário compromete um elo mais vulnerável da rede: uma biblioteca open source usada por um parceiro, um token de integração sem rotação periódica, um pipeline de CI/CD de um integrador ou, as credenciais de um funcionário terceirizado com acesso privilegiado ao sistema. Segundo estudo da Kaspersky publicado em abril de 2026 e divulgado pelo Portal CIMM, 36% das grandes corporações brasileiras já sofreram algum tipo de ataque à cadeia de suprimentos, número alinhado à média global de 31% registrada entre empresas de todos os portes. O dado reflete algo estrutural: organizações de maior porte trabalham, em média, com cerca de 100 fornecedores e podem superar 130 terceiros com acesso direto aos seus sistemas. Cada um desses pontos de contato é uma superfície de risco que raramente passa por avaliação contínua. O Fórum Econômico Mundial reforça a gravidade do cenário: 65% das grandes empresas identificam vulnerabilidades em fornecedores e cadeias de suprimentos como o principal obstáculo para alcançar resiliência em cibersegurança. E ainda assim, conforme o mesmo estudo da Kaspersky, apenas 9% das empresas globalmente listam ataques na cadeia de suprimentos como sua principal preocupação. Há uma distância perigosa entre o risco percebido e o risco real. Essa desconexão não é acidental. Líderes tendem a priorizar ameaças com maior visibilidade: ransomware, APTs, violações diretas, enquanto os vetores que chegam por vias legítimas permanecem no ponto cego. E é exatamente nesse ponto cego que o atacante opera. Os vetores mais comuns no contexto brasileiro O mercado brasileiro apresenta características que ampliam a exposição a esse tipo de ameaça. A rápida digitalização do sistema financeiro, liderada por plataformas como o Pix, criou um ecossistema de centenas de integradores, fintechs e provedores de infraestrutura com acessos privilegiados ao núcleo do sistema bancário nacional. A maioria dessas empresas intermediárias opera com maturidade de segurança muito inferior à das grandes instituições que conectam. Os vetores de ataque mais recorrentes nesse contexto incluem SaaS sem auditoria contínua de segurança, terceiros com acesso privilegiado e sem gestão rigorosa de credenciais, APIs bancárias com tokens de longa duração ou sem rotação automatizada, e pipelines de desenvolvimento de parceiros com dependências open source não rastreadas. Cada um desses pontos representa, na prática, uma extensão do seu perímetro que você não controla, mas da qual você é igualmente responsável. A confiança implícita como vetor de ataque O conceito que estrutura esses ataques tem um nome técnico: trust relationship exploitation – a exploração de relacionamentos de confiança. Quando sua organização concede a um fornecedor acesso ao ambiente interno, seja via VPN, integração de API ou acesso a sistemas de gerenciamento, ela está, na prática, estendendo seu perímetro de segurança para além de qualquer controle direto. Segundo o estudo da Kaspersky citado pelo Portal CIMM, ataques que aproveitam esses relacionamentos de confiança estiveram entre as cinco maiores ameaças comuns no último ano, afetando 25% das empresas globalmente. O mecanismo é simples na sua lógica: em vez de escalar um sistema protegido, o atacante usa um acesso legítimo já existente para se mover dentro da rede da empresa-alvo sem disparar alertas. O tráfego pode aparentar legitimidade porque utiliza credenciais válidas, canais autorizados e padrões operacionais já esperados pelo ambiente. No caso da empresa de software, conforme análise publicada pelo portal TI Inside, Segundo informações publicamente divulgadas e análises preliminares do caso, há indícios de comprometimento de credenciais associadas a terceiros com acesso privilegiado. O acesso era legítimo. O comportamento não era. E essa distinção entre credencial válida e comportamento anômalo é exatamente onde a maioria dos modelos de segurança tradicionais falha. Em muitos cenários modernos, o alvo sequer é uma credencial humana, mas identidades não humanas, como tokens OAuth, chaves de API, service accounts e segredos utilizados em pipelines automatizados.  Por que o modelo de auditoria pontual não é suficiente A resposta convencional das organizações a esse risco tem sido a auditoria periódica de fornecedores: questionários de segurança, avaliações anuais, exigências contratuais de compliance. Essa abordagem foi eficaz quando as integrações eram simples e o número de fornecedores era pequeno. Ela não acompanha a realidade atual. Uma auditoria realizada em janeiro não captura uma vulnerabilidade introduzida em março. Um questionário respondido pelo time de segurança do fornecedor não reflete o comportamento real dos acessos que esse fornecedor mantém no seu ambiente. E um contrato com cláusulas de segurança não impede que um funcionário terceirizado aceite suborno para vazar credenciais. O que as organizações precisam não é de mais auditorias pontuais. É de visibilidade contínua sobre o comportamento de todos os acessos, sejam eles originados de usuários internos ou de terceiros. Essa visibilidade exige uma abordagem estruturada de gerenciamento de risco da cadeia de suprimentos, o

Ameaças Cibernéticas

A vulnerabilidade que você não vê é a que vira incidente

/

Falhas em softwares amplamente utilizados deixaram de ser uma exceção técnica para se tornarem um risco sistêmico para organizações de todos os portes. Quando um único componente  como um plugin de WordPress, um editor de texto ou uma solução de backup corporativa apresenta uma vulnerabilidade crítica, o impacto pode se propagar em efeito cascata por milhares de ambientes interconectados. Nos últimos meses, observamos exatamente esse cenário: centenas de milhares de sites WordPress potencialmente expostos por plugins populares, vulnerabilidades em aplicações nativas do sistema operacional com potencial de execução remota de código e exploração ativa de falhas críticas (CVSS ≥ 9.0) em soluções corporativas, além de ciclos contínuos de correções emergenciais por parte da Microsoft para dezenas de vulnerabilidades em Windows e serviços associados. Em ambientes digitais modernos, a superfície de ataque não está apenas na infraestrutura principal ela se estende silenciosamente aos componentes auxiliares. Plugins de WordPress, amplamente utilizados para expandir funcionalidades, são um exemplo clássico dessa dependência. Uma vulnerabilidade crítica no plugin WPvivid Backup & Migration para WordPress, instalado em mais de 900.000 sites, pode ser explorada para obter execução remota de código através do upload de arquivos arbitrários sem autenticação. A vulnerabilidade foi identificada como CVE-2026-1357 e recebeu uma pontuação de gravidade de 9,8. Ela afeta todas as versões do plugin até a 0.9.123 e pode levar à completa invasão do site. Apesar da gravidade do problema, pesquisadores da Defiant, empresa de segurança do WordPress, afirmam que apenas os sites com a opção não padrão “receber backup de outro site” ativada são afetados criticamente. Outro detalhe é que os atacantes têm uma janela de exploração de 24 horas, que corresponde à validade da chave gerada, necessária para que outros sites enviem arquivos de backup. A Defiant notificou o fornecedor, WPVividPlugins, em 22 de janeiro, após a validação da prova de conceito de exploração da vulnerabilidade. Uma atualização de segurança que corrige a CVE-2026-1357 foi lançada na versão 0.9.124 em 28 de janeiro. A correção inclui a adição de uma verificação para interromper a execução caso a descriptografia RSA falhe, a adição de sanitização de nomes de arquivos e a restrição de uploads apenas a tipos de arquivos de backup permitidos, como ZIP, GZ, TAR e SQL.Os usuários do plugin WPvivid Backup & Migration para WordPress devem estar cientes dos riscos associados à vulnerabilidade e atualizar para a versão 0.9.124 o mais rápido possível. O padrão é claro: vulnerabilidades deixam de representar um risco isolado e passam a configurar um risco em escala, com potencial de impactar simultaneamente milhares de organizações. Ouça o conteúdo: Quando uma falha vira risco em massa De acordo com especialistas, uma vulnerabilidade gravíssima foi descoberta no plugin WPvivid Backup & Migration, usado por mais de 900 mil sites WordPress em todo o mundo. A falha, catalogada como CVE‑2026‑1357, recebeu pontuação 9,8 no CVSS e permite a execução remota de código, dando aos atacantes a possibilidade de assumir controle total dos sites afetados.​ Em cenários como esses, vulnerabilidades com pontuação CVSS elevada (≥ 9.0) frequentemente permitem: Em outro caso recente, uma vulnerabilidade de injeção SQL no plugin Ally, de acessibilidade, expôs mais de 400 mil sites WordPress, permitindo que atacantes não autenticados acessassem o banco de dados e roubassem hashes de senhas, exigindo atualização urgente para a versão 4.1.0. Nessas situações, o esforço de criar um exploit se paga rapidamente: uma única cadeia de ataque automatizada encontra centenas de milhares de alvos com a mesma fragilidade, elevando drasticamente a eficiência da operação criminosa. Para organizações que usam WordPress como base de portais corporativos, blogs institucionais ou landing pages de campanhas, isso significa que uma simples decisão de plugin, tomada anos atrás e nunca mais revisitada, pode se transformar hoje na porta de entrada para sequestro de site, injeção de código malicioso e roubo de dados. O efeito colateral da modernização de softwares “simples” Nem só plugins de CMS entram nessa conta. A evolução do próprio Notepad mostra como recursos aparentemente inofensivos podem abrir uma superfície de ataque que antes não existia. Reportagens recentes explicam que a vulnerabilidade CVE‑2026‑20841, com pontuação 8,8 no CVSS, surgiu justamente após a Microsoft adicionar suporte a Markdown e links clicáveis ao editor no Windows 11. Segundo análises técnicas, arquivos Markdown maliciosos podem conter links que acionam protocolos internos do Windows, permitindo que o Notepad execute programas ou instaladores remotos sem validação adequada. Em campanhas reais, o ataque se desenha assim: um usuário recebe um arquivo aparentemente legítimo, abre no Notepad moderno e, ao clicar em um link, dispara a execução de código controlado por cibercriminosos, com os mesmos privilégios da conta, o que, em perfis administrativos, pode significar comprometimento total da estação. Esse caso expõe um ponto crítico: a cada novo recurso incorporado a aplicações legadas, a superfície de ataque aumenta.Sem uma visão clara de dependências, permissões e perfil de uso, empresas podem subestimar o risco de ferramentas que sempre foram tratadas como “baixa prioridade” na agenda de segurança. Em cenários reais, arquivos maliciosos podem explorar: Esse tipo de ataque é particularmente eficaz porque explora aplicações consideradas “de baixo risco”, frequentemente fora do radar de controles mais rigorosos de segurança. Backups sob ataque: a falha crítica no Dell RecoverPoint Do lado da infraestrutura, a vulnerabilidade CVE‑2026‑22769 no Dell RecoverPoint for Virtual Machines escancara como sistemas de backup e recuperação, pilares da continuidade de negócios, também podem se tornar vetor preferencial de ataque. De acordo com alertas oficiais, a falha recebeu pontuação máxima 10,0 no CVSS por permitir que um atacante remoto não autenticado, com conhecimento de credenciais embutidas (hard‑coded), obtenha acesso root ao sistema operacional do appliance. Relatórios apontam que um grupo rastreado como UNC6201, com ligações suspeitas à China, vem explorando essa falha desde pelo menos 2024, implantando backdoors e ferramentas de persistência para espionagem de longo prazo.  Em outras palavras: o mesmo componente encarregado de garantir resiliência a desastres pode se transformar, na prática, no mecanismo que permite o comprometimento silencioso de dados críticos e ambientes inteiros de virtualização. Quando sistemas de backup ficam expostos, o risco

Ameaças Cibernéticas

IA não é só proteção: ela também escala ataques

/

O cenário da cibersegurança global atravessa um ponto de inflexão sem precedentes.Se nos últimos anos a Inteligência Artificial foi celebrada como a grande aliada das equipes de defesa, 2025 e 2026 consolidam uma realidade mais sombria: os adversários aprenderam a usar a mesma tecnologia para industrializar ataques. Observa-se uma crescente adoção de modelos de IA por atores maliciosos, ampliando a automação e a escala de ataques.O surgimento de malwares que incorporam modelos de machine learning embarcados ou utilizam IA externamente para suporte à cadeia de ataque (ex.: geração de phishing, evasão dinâmica ou priorização de alvos) marca uma nova fase do cibercrime, onde as ameaças deixam de ser estáticas e passam a ser adaptativas, automatizadas e extremamente velozes. Para as organizações brasileiras, que já lidam com um volume de fraudes onde uma nova investida ocorre a cada 2,2 segundos, essa evolução não é apenas uma curiosidade técnica, mas um risco operacional crítico.A IA ofensiva não apenas acelera o ataque; ela altera sua natureza, deslocando a necessidade de defesa para modelos puramente comportamentais e orientados à identidade. A anatomia da IA ofensiva: da autonomia maliciosa à exploração de assistentes A integração da Inteligência Artificial diretamente na cadeia de ataque representa o principal ponto de ruptura no cibercrime moderno. Diferente de malwares tradicionais que seguem roteiros estáticos e previsíveis, as novas variantes utilizam modelos de aprendizado para contornar defesas em tempo real e adaptar seus payloads conforme o ambiente. Pesquisadores já identificaram  malwares com capacidade limitada de adaptação baseada em regras dinâmicas ou modelos auxiliares, especialmente em evasão e priorização de ações conforme as barreiras de segurança encontradas no dispositivo da vítima.Esse avanço técnico desloca o alvo estratégico dos criminosos para a infraestrutura de inteligência das organizações. A exploração de assistentes de IA, como o OpenClaw, ilustra bem esse movimento.Essas ferramentas tornaram-se o foco de infostealers avançados, que ao comprometer esses assistentes, os invasores capturam informações sensíveis como: Permitindo a obtenção de uma visão profunda da operação interna, o que especialistas descrevem como um espelho da vida digital do usuário. Como essas ferramentas manipulam dados sensíveis para facilitar processos legítimos, sua exploração permite que o atacante opere de forma furtiva, camuflando-se em comunicações confiáveis para evadir a detecção de firewalls e antivírus convencionais. Por que a IA escala o risco? A fragilidade dos controles tradicionais e o erro humano Um dos pontos mais sensíveis da IA ofensiva é a exploração do fator humano. Estima-se que o erro humano esteja por trás de 95% das violações de dados, e a IA potencializa essa fraqueza ao criar e-mails de phishing e páginas de login falsas que são virtualmente indistinguíveis das originais. Além disso, a própria tecnologia que deveria ajudar pode criar novas brechas. Testes de segurança recentes demonstraram que senhas geradas por IA frequentemente falham em critérios básicos de entropia. Dependendo do prompt e do modelo utilizado, senhas geradas por IA podem apresentar padrões previsíveis, caso não sejam aplicados critérios formais de geração criptograficamente segura e previsibilidade, tornando-as alvos fáceis para ataques de força bruta otimizados por algoritmos de aprendizado de máquina. Mesmo as melhores ferramentas falham sem a configuração e monitoramento adequados. Cibercriminosos evoluem todos os dias; sua defesa também precisa evoluir. O impacto estratégico para empresas brasileiras No Brasil, o cenário de ameaças atravessa uma fase de industrialização e profissionalização acelerada do cibercrime. A migração estratégica de organizações criminosas para o ambiente virtual atinge proporções críticas com a integração da Inteligência Artificial, que amplia a escala dos ataques ao explorar a vasta superfície de ataque gerada pela digitalização financeira e pela popularização de ferramentas de pagamento instantâneo. Diante de prejuízos que totalizaram R$ 10,1 bilhões em 2024 e um volume de investidas que equivale a uma nova tentativa de fraude a cada 2,2 segundos, a urgência pela elevação da maturidade digital nunca foi tão alta. Nesse contexto de riscos elevados, a cibersegurança deve ser encarada não como um custo, mas como um investimento estratégico vital para garantir a resiliência e a continuidade dos negócios. A IA ofensiva permite que ataques como o Device Takeover (DTO), vistos em cavalos de Troia como o Crocodilus, operem de forma síncrona, executando fraudes em tempo real enquanto o usuário permanece logado e inconsciente. Nesse cenário, a janela de resposta aceitável encolheu de horas para minutos. Característica Ataque Tradicional Ataque com IA Ofensiva Velocidade Manual ou scripts estáticos Automação em tempo real Engenharia Social E-mails genéricos com erros Phishing hiper-personalizado e contextual Evasão Ofuscação básica de código Criptografia dinâmica e código adaptativo Alvo Primário Credenciais para uso futuro Sequestro de sessão e tomada de controle (DTO) Resposta de Defesa Baseada em assinaturas e firewalls Comportamental, EDR/XDR e IA defensiva Como a IA amplia a superfície ofensiva Automação de Reconhecimento (TA0043  Reconnaissance)Modelos generativos permitem processar grandes volumes de OSINT, identificar padrões organizacionais, mapear tecnologias expostas e estruturar perfis de alvos com mínima intervenção humana. Engenharia Social Hipercontextual (T1566  Phishing)LLMs reduzem erros linguísticos, personalizam mensagens com base em dados vazados e adaptam tom e contexto ao perfil da vítima. Isso eleva significativamente a taxa de conversão de spear phishing. Uso de Credenciais Válidas (T1078  Valid Accounts) IA auxilia na priorização de credenciais roubadas, identificação de contas com maior privilégio e automação de testes de acesso em larga escala. Evasão Dinâmica (T1027 Obfuscated/Encrypted Files)Scripts automatizados e polimorfismo controlado por heurística permitem variações constantes no payload, dificultando detecção baseada em assinatura. Redução de Dwell TimeA automação ofensiva reduz o intervalo entre acesso inicial e impacto (exfiltração, fraude ou ransomware), comprimindo a janela de resposta das equipes de defesa. Blindagem em camadas: a resposta proativa da Asper Enfrentar uma ameaça que se move na velocidade da IA exige uma mudança fundamental de abordagem: da proteção passiva de perímetro para a detecção comportamental ativa no endpoint.Nossa abordagem utiliza a orquestração de tecnologias de elite para neutralizar esses adversários. A Inteligência Artificial deixou de ser exclusivamente um instrumento defensivo. A mesma capacidade de automação, análise massiva de dados e geração contextual que fortalece Cyber Fusion Center (CFC) modernos também está sendo incorporada à

"Marketplace de cibercrime no Telegram vendendo malware e acessos
Ameaças Cibernéticas

Crime como serviço: por que a barreira técnica deixou de proteger empresas

/

Imagine abrir o Telegram no fim do dia e, entre grupos de trabalho e mensagens pessoais,encontrar um canal que oferece acesso a ambientes corporativos expostos, painéis administrativos, VPNs e serviços remotos, spyware móvel e toolkits de intrusão e pós-exploração, tudo com preço tabelado, suporte “técnico” e atualizações frequentes. O que poderia parecer um cenário extremo hoje é parte da rotina de um ecossistema clandestino em plena expansão, em que o cibercrime opera como um negócio estruturado, com catálogos de produtos, intermediação de acesso e especialização em cada etapa da cadeia.Neste artigo, vamos mostrar como o modelo de crime como serviço está se consolidando em plataformas como o Telegram, por que isso torna ataques complexos muito mais acessíveis e o que essa industrialização do ataque muda, na prática, para a superfície de risco das empresas, especialmente quando credenciais e identidades passam a ser tratadas como mercadoria digital. Um dos modelos de crime como serviço (Crime-as-a-Service – CaaS) vem se consolidando rapidamente em plataformas como o Telegram, transformando o cibercrime em um ecossistema estruturado e acessível. Nesse cenário, ferramentas de ataque, credenciais comprometidas, malware e até acesso inicial a redes corporativas são comercializados como produtos digitais, muitas vezes com suporte técnico, atualizações e modelos de assinatura. Essa dinâmica reduz significativamente a barreira técnica que antes limitava a atuação de agentes maliciosos. Hoje, indivíduos com pouco conhecimento técnico podem executar ataques sofisticados simplesmente adquirindo kits prontos ou contratando serviços especializados dentro desse mercado clandestino. No Telegram, esse fenômeno se intensificou devido à facilidade de criação de canais e grupos privados, que funcionam como verdadeiros marketplaces do cibercrime. Neles, é comum encontrar: Além disso, o modelo de crime como serviço introduz uma especialização na cadeia de ataque, na qual diferentes atores desempenham funções específicas, como desenvolvimento de malware, coleta de credenciais, venda de acessos e execução final do ataque. Essa divisão de tarefas aumenta a eficiência do ecossistema criminoso e acelera a escala das operações. Como consequência, a proteção baseada apenas em barreiras técnicas tradicionais, como antivírus ou controles básicos de rede, torna-se insuficiente. As empresas passam a enfrentar um cenário em que identidades, credenciais e acessos corporativos se tornam ativos negociáveis, ampliando significativamente a superfície de risco. Nesse contexto, estratégias de defesa precisam evoluir para incluir monitoramento contínuo de ameaças, inteligência de fontes abertas e clandestinas, proteção de identidades e detecção de credenciais expostas, permitindo identificar sinais de comprometimento antes que sejam explorados em ataques mais amplos. Crime como serviço: o que mudou no jogo O cibercrime evoluiu de um modelo predominantemente artesanal para um ecossistema especializado, em que o mesmo grupo planeja, desenvolve e executa todo o ataque, para se tornar um ecossistema econômico com funções bem definidas. Em vez de fazer tudo sozinho, o atacante pode comprar cada etapa pronta: acesso inicial, ferramentas, infraestrutura e até suporte. Relatórios sobre Initial Access Brokers (IABs) mostram essa especialização com clareza: há grupos focados apenas em invadir redes, obter credenciais ou explorar vulnerabilidades, para depois revender esse acesso a operadores de ransomware, fraudadores financeiros e grupos de espionagem. Nesse cenário, o ataque se parece cada vez mais com uma cadeia de suprimentos, em que cada elo entrega uma peça pronta para o próximo. Plataformas de comunicação como o Telegram aceleram esse modelo ao oferecer grande alcance de distribuição e canais públicos, onde conteúdos podem circular rapidamente apesar da existência de mecanismos de moderação da plataforma. Nesses espaços, o que se vê é um mercado paralelo estruturado, com anúncios, “catálogos” de serviços, provas de conceito e até avaliações de reputação de vendedores. A barreira técnica, que antes funcionava como filtro natural, dá lugar a uma barreira puramente econômica: quem tem orçamento e consegue entrar nesses círculos passa a ter poder de ataque. Telegram como marketplace de spyware e exploits Um dos casos recentes que ilustram bem essa transformação é o ZeroDayRAT, um spyware móvel que ganhou espaço em canais de cibercrime no Telegram. De acordo com reportagens especializadas, o desenvolvedor mantém canais dedicados para venda, suporte ao cliente e divulgação de atualizações, oferecendo um pacote completo de vigilância móvel acessado por um painel web, com interface amigável e voltado abertamente para “uso comercial”. Análises técnicas indicam que o ZeroDayRAT é capaz de monitorar SMS, notificações de aplicativos, localização GPS, uso por aplicativo e ainda ativar remotamente câmera, microfone e recursos de keylogging. Em algumas variantes, o foco se expande para o roubo financeiro, com módulos voltados a interceptar carteiras de criptomoedas e redirecionar transferências. Tudo isso sem exigir que o comprador entenda profundamente de desenvolvimento de malware, engenharia reversa ou evasão de antivírus. O mesmo ambiente abriga a comercialização de exploits e credenciais associadas a vulnerabilidades em softwares corporativos. O caso do SmarterMail é um exemplo: após a divulgação de falhas críticas, rapidamente surgiram canais no Telegram oferecendo provas de conceito, ferramentas de exploração e dumps de credenciais de administradores de servidores comprometidos. O que antes exigia acompanhar listas de e-mail técnicas e compilar PoCs hoje aparece empacotado em “kits” prontos para uso, vendidos para qualquer interessado. Da vulnerabilidade ao acesso inicial: a cadeia do ataque Quando vulnerabilidades e ferramentas passam a circular dessa forma, o tempo entre a divulgação de uma falha e sua exploração em massa diminui drasticamente. Se antes muitas empresas contavam com algumas semanas até que um exploit se popularizasse, agora a janela é de dias ou mesmo horas. Algo semelhante acontece com campanhas que exploram o contexto brasileiro de notas fiscais eletrônicas. Análises recentes mostram operações que usam e-mails de spam em português, com temática de NF-e e cobranças em atraso, para enganar executivos e profissionais administrativos. Em vez de um PDF legítimo, o link ou anexo leva ao download de instaladores de ferramentas de Remote Monitoring and Management (RMM) comerciais, muitas vezes hospedados em serviços aparentemente confiáveis. Essas ferramentas, usadas de forma legítima por times de TI, são implantadas em modo de teste e, a partir daí, exploradas por corretores de acesso inicial para controlar máquinas corporativas à distância. O acesso conquistado é estabilizado, catalogado e depois leiloado

Ameaças Cibernéticas

Golpe no LinkedIn: quando networking vira acesso inicial para malware

/

Em muitos incidentes atuais, o ciclo de ataque mudou, o ponto de partida não é um exploit sofisticado nem uma falha de firewall, é uma conversa. O atacante constrói contexto, empresta credibilidade da rede social, usa linguagem de recrutamento e, quando a vítima já está “dentro da história”, entrega o que realmente importa: um arquivo, um link, um “material da vaga”, uma “proposta” ou um “teste técnico”. Esse padrão se alinha diretamente às táticas de Initial Access descritas na matriz MITRE ATT&CK, especialmente Spearphishing (T1566) e User Execution (T1204). Em janeiro deste ano, foi detectada uma campanha que usa mensagens privadas no LinkedIn para distribuir um trojan de acesso remoto (RAT) e abrir caminho para controle persistente do endpoint corporativo. A lógica é direta: se a etapa inicial parece networking, o alvo tende a baixar e executar algo com menos atrito do que faria por e-mail.  O risco corporativo aqui não está apenas em “cair no golpe”. Está no que acontece depois: o quanto uma identidade comprometida consegue fazer dentro do ambiente, quais privilégios ela acumula e quão rápido a organização detecta e contém o acesso inicial antes que ele vire movimentação lateral, roubo de credenciais e exfiltração de dados. Ouça o conteúdo: Por que o LinkedIn virou vetor de intrusão O LinkedIn é, por design, um ambiente de confiança contextual: ali, a expectativa é de networking, oportunidades e relacionamento profissional. Essa “normalidade” reduz o nível de suspeita, principalmente quando o interlocutor parece legítimo (perfil completo, conexões em comum, histórico de interações) e quando a abordagem é gradual, com conversa bem escrita e objetivos plausíveis (vaga, parceria, consultoria).  O outro componente é operacional: a maioria das organizações amadureceu controles em e-mail (filtros, reputação, sandbox, triagem de anexos), mas tende a ter menos visibilidade e governança sobre mensagens privadas em redes sociais. O ataque se beneficia do fato de que mensagens diretas em plataformas sociais costumam ser menos monitoradas, dificultando até estimar a escala real da campanha.  Há, ainda, um ponto crítico de comportamento. O próprio LinkedIn alerta que fraudadores podem usar “e-mails, mensagens ou links” para direcionar a vítima a sites falsos ou infectar o computador com malware, e lista indicadores comuns como urgência e pedidos para abrir anexos que instalaram uma “atualização” de software. Ou seja: o risco não é teórico; está alinhado aos padrões que a plataforma reconhece e orienta usuários a reportarem. LinkedIn como superfície de Reconhecimento e Pretexting O LinkedIn se tornou vetor relevante porque oferece: Sob a ótica MITRE ATT&CK: O atacante constrói o pretexto antes de entregar o artefato. A engenharia social é progressiva e plausível. Como o recrutamento armado entrega malware e acesso inicial O roteiro do “recrutamento armado” tende a ser progressivo: (1) contato e construção de confiança; (2) entrega de um artefato “legítimo” (arquivo, pacote, documento); (3) execução pelo usuário; (4) persistência e canal de comando e controle; (5) expansão do acesso. No caso relatado, o atacante convence a vítima a baixar um arquivo supostamente ligado à oportunidade discutida. A isca é um arquivo auto extraível que, ao ser executado, deposita componentes que reforçam a aparência de legitimidade (por exemplo, um leitor de PDF legítimo e documentos “isca”), ao mesmo tempo em que prepara a execução maliciosa.  A técnica-chave descrita é o DLL sideloading: um executável legítimo, quando iniciado, carrega uma biblioteca DLL maliciosa “ao lado” e passa a executar o código do atacante como se fosse parte do funcionamento normal do aplicativo. No relato, isso ajuda a mascarar a execução, porque do ponto de vista do sistema parece “apenas um leitor de PDF abrindo documentos”.  Esse padrão conversa diretamente com documentações de especialistas: criminosos podem executar payloads ao “side-loadar” DLLs, plantando e invocando um aplicativo legítimo que carrega a DLL maliciosa. Na prática, isso é uma forma clássica de “se esconder atrás” de um processo confiável, reduzindo ruído e dificultando bloqueios simples por reputação.  Outro detalhe relevante do caso noticiado é a ênfase em reduzir rastros em disco: a execução de código (shellcode) diretamente em memória é destacada como diferencial para evitar deixar artefatos que facilitariam detecção e análise posterior. Soma-se a isso a obtenção de persistência (por exemplo, via mecanismos de inicialização automática), o que transforma um “clique” em acesso remoto contínuo no endpoint corporativo. O pós-clique: por que identidade e privilégios decidem o estrago Depois que o acesso inicial acontece, o objetivo raramente é “ficar no endpoint”. O passo seguinte é se aproximar de recursos mais valiosos: credenciais, tokens, acessos privilegiados, movimentação lateral e, por fim, dados sensíveis ou sistemas críticos. Um caminho típico deste encadeamento seria: mapear rede, identificar ativos críticos e ampliar permissões até alcançar sistemas “centrais” do ambiente.  É aqui que a discussão fica madura: o impacto de um comprometimento depende do que aquela identidade consegue acessar. Do lado das técnicas, “valid accounts” são recurso valioso para criminosos: obter e abusar credenciais de contas reais permite passar por controles de acesso e operar com aparência de normalidade. Isso é parte do motivo pelo qual ataques “humanos” são menos alarmantes: eles se misturam ao tráfego e aos padrões do dia a dia.  Do lado dos princípios de segurança, define-se “least privilege” como restringir privilégios ao mínimo necessário para executar tarefas. Esse princípio não é “teoria de compliance”: ele é um mecanismo direto de redução do raio de explosão quando uma conta é comprometida.  Sinais de alerta para RH, TI e liderança O ponto sensível desse vetor é que ele mistura rotina legítima (recrutamento) com execução técnica (instalação/abertura de artefatos). Por isso, o alinhamento precisa sair do “treine o usuário” e virar política, processo e controle. Na conversa (sinais comportamentais), procure padrões que aumentam risco: urgência (“preciso disso hoje”), insistência para migrar rapidamente para download/execução, dificuldade em validar identidade por canais oficiais e pedidos para rodar algo “para testar” ou “para validar ambiente”. Esses sinais são consistentes com indicadores de phishing que o próprio LinkedIn lista (como urgência) e com a lógica observada em campanhas que constroem confiança antes de entregar a carga.  No artefato (sinais

Ameaças Cibernéticas

Extensões maliciosas: quando o Chrome vira porta dos fundos corporativo

/

O navegador tornou-se o novo endpoint crítico, onde extensões falsas e “VPNs gratuitas” são usadas como implantes para roubar dados. Criminosos utilizam ferramentas de IA falsas e extensões que carregam código via servidores externos para burlar a revisão das lojas oficiais.
Riscos Principais:
Roubo de Sessão: Captura de cookies e tokens de autenticação para burlar o MFA.
Espionagem Direta: Leitura de e-mails no Gmail, capturas de tela e acesso a dados bancários.
Sabotagem de Defesa: Bloqueio de páginas de segurança e ocultação de alertas para impedir a resposta a incidentes.
Como se proteger:
A Asper recomenda tratar o browser como um ativo governado, aplicando listas de permissão (allowlists) para extensões e monitoramento comportamental via Cyber Fusion Center (CFC) para detectar desvios em tempo real.

Ameaças Cibernéticas

149 milhões de senhas: o “mega vazamento” que nasceu no endpoint

/

Em janeiro de 2026, deparamos com a notícia de que se identificou um banco de dados exposto na internet com cerca de 149 milhões de combinações de usuário e senha, totalizando aproximadamente  ~96–98 GB de dados brutos. Entre as credenciais, havia logins associados a serviços como e-mail, redes sociais, streaming, serviços financeiros e até sistemas governamentais. Relatos públicos indicam que esse conjunto foi montado ao longo do tempo a partir de logs de infostealers, malwares especializados em roubar informações diretamente de dispositivos comprometidos. Em vez de explorarem uma falha em um único provedor, os criminosos agregam credenciais coletadas em escala global, de vítimas diversas, criando uma espécie de “wish list” para ataques futuros a qualquer alvo que reutilize aquelas senhas. Esse caso reforça um ponto incômodo para as empresas: muitas das credenciais expostas não nasceram de uma brecha interna em aplicações corporativas, mas da combinação entre dispositivos pessoais ou de trabalho infectados, hábitos frágeis de senha e falta de higiene de identidade ao longo do tempo. O mito do “Mega Vazamento” vs. A Realidade dos Info Stealers Muitas vezes, a discussão sobre grandes vazamentos foca no local onde os dados foram encontrados (como fóruns na Dark Web), mas ignora a origem da infecção. O volume intenso de fraudes digitais no Brasil, que contribuiu para perdas de R$ 10,1 bilhões em 2024, reflete uma sofisticação crescente no uso de vetores que capturam informações diretamente no endpoint. Os Info Stealers são projetados para sequestrar sessões, capturar cookies de autenticação, senhas salvas em navegadores e até chaves de recuperação de carteiras digitais enquanto o usuário permanece inconsciente do ataque. Diferente de ataques tradicionais que visam apenas credenciais estáticas, malwares modernos operam em tempo real. Eles exploram o fator humano através de engenharia social, como e-mails de phishing com faturas falsas (NF-e) ou anúncios maliciosos em redes sociais, induzindo o colaborador a baixar arquivos que parecem legítimos. De acordo com dados de especialistas, o Brasil registra mais de um milhão de tentativas de fraude por mês, o que equivale a uma nova investida a cada 2,2 segundos. Esse cenário prova que a higiene de credenciais e o monitoramento fora do perímetro tradicional tornaram-se vitais para a continuidade do negócio. Como funcionam os infostealers e por que eles escalam tão bem Infostealers capturam dados sensíveis armazenados ou usados no dia a dia, como logins, senhas, cookies de sessão e URLs de autenticação. Eles varrem navegadores, fazem keylogging em tempo real e extraem tokens de aplicativos corporativos.Esses “logs” são enviados a servidores de controle e revendidos ou agregados em bases massivas, como a dos 149 milhões de registros. Esses acervos são indexados por serviço ou domínio, facilitando testes automatizados contra qualquer alvo.O segredo da escala está na infecção massiva de endpoints: não é preciso mirar uma empresa específica. O reaproveitamento de senhas e a falta de monitoramento fazem o resto, transformando cada colaborador em vetor potencial. Malwares como: São especializados em: Do dispositivo à crise corporativa: impacto nas identidades e contas privilegiadas Do ponto de vista corporativo, o risco central não é apenas uma conta de streaming comprometida, mas a combinação perigosa entre credenciais reaproveitadas, Single Sign-On (SSO) e contas com privilégios excessivos.O risco é significativamente reduzido quando há MFA resistente a phishing (FIDO2/WebAuthn). O cenário torna-se mais crítico quando há reutilização de senha sem MFA forte ou quando tokens de sessão válidos são exfiltrados. Quando um infostealer obtém usuário, senha e a URL de autenticação de um colaborador, o atacante ganha vários caminhos possíveis: Bases massivas de credenciais baseadas em infostealers mostram logins ligados a domínios governamentais, serviços financeiros, plataformas digitais e grandes empresas. Para atacantes, isso alimenta campanhas automatizadas de credential stuffing que testam senhas em múltiplos serviços até encontrar uma combinação funcional. Na linguagem do board, o roteiro é conhecido: “o incidente começou fora” (em um notebook pessoal ou endpoint de um colaborador), mas o impacto foi totalmente interno, com acesso indevido a sistemas, risco de fraude, possibilidade de vazamento e até extorsão. A partir do momento em que o atacante entra com um login válido, a linha entre ambiente pessoal e ambiente corporativo praticamente desaparece. Por que a resposta passa pela cadeia de identidade A discussão em torno dos 149 milhões de credenciais expostas reforça que não basta proteger a rede se a cadeia de identidade continua frágil. Alguns princípios tornam‑se prioritários: Especialistas apontam que muitos desses acervos misturam senhas antigas e recentes, o que significa que uma parte da base já não é válida, mas outra parte continua perfeitamente utilizável. Do ponto de vista de risco, isso obriga empresas a assumir que credenciais de colaboradores podem estar circulando sem que haja qualquer alerta imediato no SOC.Tratar a identidade como o novo perímetro deixa de ser apenas discurso e passa a ser requisito operacional. A empresa precisa saber quem tem acesso a quê, por quanto tempo e com qual nível de privilégio e, principalmente, precisa conseguir reduzir rapidamente a “superfície de estrago” quando uma credencial cai.​ A resposta estratégica: visibilidade, governança e contenção Frente a esse fluxo (endpoint infectado, credencial roubada, teste corporativo), a defesa precisa operar em camadas conectadas, do sinal inicial à redução de impacto.Começa com detecção fora do perímetro: um Cyber Fusion Center (CFC) monitora abusos de login anômalos (geolocalização estranha, falhas de MFA) e correlaciona com dumps públicos de credenciais, acionando contenção imediata (bloqueio de contas, isolamento de endpoints) antes da escalada. Na camada de identidade, governança com SailPoint limita o estrago: mapeia acessos, aplica menor privilégio e automatiza revisões, garantindo que uma credencial vazada não dê acesso amplo a sistemas críticos. Isso fecha brechas de movimentação lateral que infostealers exploram via SSO. Quando o alvo é o núcleo sensível, CyberArk protege contas privilegiadas: isola senhas administrativas em cofres, monitora sessões e rotaciona credenciais pós-incidente, frustrando tentativas de escalada. Cyber Threat Intelligence (CTI) Asper atua de forma proativa na antecipação de riscos, realizando monitoramento ativo contínuo de vazamentos de dados, fóruns da deep e dark web, marketplaces clandestinos e campanhas maliciosas em andamento. A equipe correlaciona essas

Ameaças Cibernéticas

Menos criptografia, mais vazamento: por que o KPI de ransomware enganou todos em 2025

/

Relatórios recentes sobre ransomware na indústria manufatureira mostram uma queda expressiva na taxa de criptografia: os ataques que efetivamente chegaram a criptografar dados caíram de 74% em 2024 para 40% em 2025, a menor marca em cinco anos. Ao mesmo tempo, metade dos incidentes passou a ser interrompida antes da criptografia, mais que o dobro do observado no ano anterior, sinalizando que controles de detecção e resposta estão mais eficientes na “ponta visível” do ataque. A queda na taxa de criptografia deve ser interpretada como um indicador de impacto final reduzido, e não necessariamente como evidência direta de menor taxa de intrusão. Indicadores de detecção e indicadores de impacto medem estágios distintos do ciclo de ataque e não são intercambiáveis. A leitura apressada desses números levou muita liderança a concluir que “o problema do ransomware está diminuindo”, mas o quadro real é bem diferente. Em paralelo à queda da criptografia, cresceu o número de casos em que os invasores simplesmente roubam dados sensíveis e usam a ameaça de exposição pública, multas e perda de contratos como principal mecanismo de extorsão. Em 2025, 10% dos ataques à manufatura já foram de “extorsão pura”, sem qualquer criptografia, contra apenas 3% no ano anterior, e em 39% dos episódios que ainda envolvem criptografia também há roubo de dados. Neste contexto, exfiltração não se limita à transferência massiva de dados para fora do ambiente, mas inclui atividades de staging, agregação, compressão e preparação de informações sensíveis, frequentemente realizadas com ferramentas legítimas do próprio sistema (living-off-the-land), antes da movimentação externa propriamente dita. Em outras palavras, o ataque “bem‑sucedido” para o criminoso já não depende de paralisar o ambiente: basta exfiltrar propriedade intelectual, informações de clientes, contratos estratégicos ou dados de produção e chantagear a organização a partir daí. Em ambientes de manufatura, dados como fórmulas, parâmetros de produção, contratos de fornecimento e desenhos industriais frequentemente possuem valor estratégico maior do que a indisponibilidade temporária de sistemas, o que torna a exfiltração um vetor de extorsão particularmente eficaz. Essa virada faz com que indicadores focados apenas em criptografia contem apenas metade da história e deixem de capturar o que realmente determina o tamanho do prejuízo. Análises recentes indicam que o padrão mais recorrente nos relatórios de incidentes cibernéticos deixou de ser a indisponibilidade de sistemas e passou a ser a exploração silenciosa de ambientes digitais, com ênfase em fraudes financeiras e ataques orientados a dados. Esse movimento evidencia a vulnerabilidade de ecossistemas financeiros e transacionais não apenas a interrupções técnicas, mas, sobretudo, à exfiltração de informações e ao abuso de confiança em fluxos digitais legítimos. Entre os temas mais frequentemente observados, destacam-se: Esses eventos reforçam que o impacto financeiro e reputacional ocorre, em muitos casos, antes de qualquer ação visível, como indisponibilidade ou criptografia, ampliando de forma significativa o risco regulatório, contratual e operacional. Diante desse cenário, torna-se crítico reforçar não apenas controles reativos, mas principalmente a detecção precoce, a correlação de sinais de pré-exfiltração e a governança de identidades, elementos centrais para reduzir o dwell time e limitar o potencial de prejuízo em ataques modernos. Por que medir apenas criptografia virou um risco de negócio Quando o ransomware era primordialmente sinônimo de criptografia, fazia sentido acompanhar métricas como “quantos ataques chegaram a cifrar dados” ou “quanto tempo levamos para restaurar sistemas”.Hoje, com a combinação de exfiltração e extorsão, o impacto financeiro e reputacional passa a ocorrer antes do estágio em que o dado é bloqueado. Em ataques modernos de ransomware, especialmente orientados à extorsão por dados, surge um estágio crítico de pré-impacto, situado entre a intrusão inicial e qualquer ação visível como criptografia. É nesse intervalo que ocorre a maior parte da coleta de credenciais, mapeamento de dados sensíveis e preparação para exfiltração. Relatórios especializados indicam que, em 2025, a maioria dos incidentes de ransomware envolveu algum grau de exfiltração de dados antes da criptografia, transformando praticamente todo ataque em um vazamento em potencial. O aumento de ataques interrompidos antes da criptografia é consistente com maior capacidade de detecção e resposta, mas também com uma mudança deliberada de tática dos atacantes, que buscam maximizar retorno antes de gerar ruído operacional. Ambos os fatores devem ser considerados na análise. Além de aumentar a alavancagem dos criminosos, essa mudança amplia o escopo da crise: entra em cena o risco regulatório (por conta de legislações de proteção de dados), o risco contratual (cláusulas de SLA e confidencialidade) e o risco de danos irreversíveis à marca. Ao mesmo tempo, a economia do crime também mudou: a média de demandas de resgate caiu cerca de 20% entre 2024 e 2025, de 1,5 milhão para 1,2 milhão de dólares, enquanto o percentual de organizações que aceitam pagar vem diminuindo, essa redução de pagamentos não indica menor pressão criminosa, mas sim a migração para modelos de chantagem baseados em dados roubados, inclusive com pressão indireta sobre fornecedores, parceiros e clientes, mesmo que aquelas que pagam tendam a desembolsar uma fração maior do valor exigido.Isso indica que atacantes compensam a queda na proporção de pagamentos ampliando o uso de chantagem baseada em dados roubados, inclusive pressionando terceiros ligados à vítima principal, como fornecedores e clientes. Se o board olha apenas para “menos dados criptografados” e “menos resgates pagos”, pode inferir que a estratégia atual é suficiente, quando na prática o risco real está migrando para um ponto que os KPIs tradicionais não capturam. Para a liderança, isso é crítico: significa que o indicador confortável pode estar mascarando uma superfície de ataque ainda ampla, dwell time elevado e um ambiente pronto para um vazamento de alto impacto. O que muda nos KPIs de segurança em 2026 Diante desse cenário, o desafio não é só bloquear a criptografia, mas impedir que o atacante permaneça tempo suficiente no ambiente para localizar, agrupar e exfiltrar dados valiosos. Isso exige que os KPIs de segurança sejam recalibrados para acompanhar o ciclo completo do ataque, da intrusão inicial à movimentação lateral, escalada de privilégios e extração silenciosa de informações. Algumas métricas passam a ser decisivas para uma visão

Jki-linkedin-in Instagram

Nossos Escritórios

SEDE

São Paulo, SP
Rua Ministro Jesuíno Cardoso, 454, Edifício The One, Sala 83, Vila Nova Conceição - CEP: 04544051
(11) 3294-6776

Traçar rota

FILIAIS

Rio de Janeiro, RJ
Avenida das Américas, 3434, Bloco 7, Salas 602 e 603, Barra da Tijuca, CEP: 22640102
(21) 2186-7594

Traçar rota

Florianópolis, SC
Square Corporate, Torre Jurerê B, Sala 214 e 216, Rodovia José Carlos Daux, 5500, Saco Grande, CEP: 88032005

Traçar rota

Brasília, DF
SHIS QI 03 Bloco F, 1º andar, Comércio Local,
CEP: 71605450
(61) 3047-8777

Traçar rota

New York, NY
1270 Avenue of the Americas, Suite 210
New York, NY 10020

Traçar rota

Asper © . Todos os direitos reservados.

Logo_Aguiar_black 1

Informação

é proteção!

Receba em primeira mão nossos artigos, análises e materiais exclusivos sobre cibersegurança feitos pela Asper.