Ameaças Cibernéticas

Nos últimos anos, o cibercrime evoluiu não apenas em sofisticação técnica, mas em estratégia. A nova tática que vem ganhando força em 2025 é o uso de plataformas legítimas, como serviços de armazenamento em nuvem, repositórios de código, fóruns corporativos  e até redes sociais para distribuir malwares de forma furtiva e eficaz. O grande trunfo dessa abordagem é a quebra de confiança: ao trafegar seus códigos maliciosos por caminhos “seguros”, os criminosos conseguem burlar defesas tradicionais, dificultar a detecção por antivírus e aumentar drasticamente o alcance de seus ataques. Neste artigo, vamos revelar como essa técnica vem sendo usada por grupos de cibercriminosos, quais os malwares mais recentes que se aproveitam dessa estratégia e, principalmente, como sua empresa pode se proteger com monitoramento contínuo, resposta a incidentes e tecnologias de ponta. A nova face do cibercrime: Como plataformas legítimas estão sendo exploradas Um novo vetor: a confiança como arma Em vez de depender de links suspeitos ou arquivos vindos de canais obscuros, cibercriminosos passaram a explorar o que há de mais familiar no dia a dia corporativo: plataformas legítimas. Elas são confiáveis, amplamente usadas e muitas vezes ignoradas pelas defesas tradicionais, tornando-se terreno fértil para códigos maliciosos. Plataformas conhecidas, ameaças ocultas Serviços como Google Drive, Dropbox, GitHub, Discord, Microsoft Teams e Slacl, essenciais para a produtividade e colaboração estão sendo utilizados como canais de distribuição de malwares. A camuflagem é eficaz: arquivos maliciosos se escondem sob a aparência de documentos inofensivos ou links rotineiros. Exemplos de ameaças atuais: Quando o malware está atrás de um link comum A sofisticação dessas ameaças não está apenas na técnica de ocultação, mas na personalização e adaptabilidade dos malwares utilizados. O Banshee Stealer, por exemplo, é uma ameaça que se esconde em arquivos compartilhados por Google Drive. Uma vez instalado, ele rouba dados de autenticação, cookies, histórico de navegação e até tokens de acesso bancário. Já o ResolverRAT foi identificado circulando em comunidades do Discord, disfarçado como ferramentas utilitárias. Seu diferencial está na capacidade de estabelecer controle remoto completo da máquina comprometida, transformando-a em um ponto de espionagem silencioso. O AsyncRAT, por sua vez, aproveita repositórios públicos do GitHub para disseminação, e já foi utilizado em campanhas direcionadas contra empresas de tecnologia, oferecendo controle persistente e funcionalidades de keylogger e exfiltração de arquivos. Outro nome relevante é o RedLine Stealer, que circula por Dropbox ou plataformas de compartilhamento de arquivos como payload escondido em executáveis aparentemente inofensivos. Seu foco principal é roubo de dados e exploração de sistemas internos. Quando o digital rotineiro vira armadilha Essa nova fase do cibercrime transforma rotinas comuns em potenciais brechas. Plugins duvidosos, links encurtados, arquivos ZIP e extensões mascaradas estão entre os métodos mais usados para disseminar ameaças, exigindo um olhar mais atento e sistemas de defesa mais sofisticados. O funcionamento desses ataques segue um fluxo meticulosamente planejado. Primeiro, o cibercriminoso escolhe uma plataforma amplamente confiável como Google Drive, GitHub ou Discord para hospedar o malware.  O objetivo é simples: utilizar a reputação positiva desses serviços para mascarar a intenção maliciosa do arquivo. A seguir, ele distribui o link para esse conteúdo infectado por meio de campanhas de phishing, mensagens em redes sociais, e-mails corporativos ou até via automação em fóruns técnicos. Muitas vezes, a mensagem vem acompanhada de um pretexto legítimo como uma suposta fatura, um convite ou uma colaboração em projeto elevando o índice de cliques. Quando o arquivo é baixado e executado, o malware inicia sua comunicação com um servidor de comando e controle (C2), permitindo que o atacante acione funcionalidades extras. A partir daí, a infecção pode escalar rapidamente: roubando credenciais, interceptando códigos de autenticação, transformando o endpoint em um proxy residencial para mascarar tráfego criminoso ou até participando de campanhas de DDoS. Por que a detecção está mais difícil? A sofisticação dos ataques que usam plataformas legítimas mudou completamente o jogo da cibersegurança. O que antes era facilmente filtrado por antivírus ou políticas básicas de firewall, agora passa despercebido por grande parte das soluções tradicionais. Camuflagem em ambientes familiares A confiança é uma arma poderosa e os atacantes sabem disso. Ao explorar plataformas que já fazem parte do dia a dia corporativo, como Google Drive, OneDrive, GitHub e Microsoft Teams, os cibercriminosos conseguem disfarçar o comportamento malicioso. Essas plataformas, por serem amplamente confiáveis e integradas a fluxos operacionais legítimos, muitas vezes escapam dos filtros tradicionais de segurança. Isso permite que arquivos perigosos passem como documentos inofensivos ou que links maliciosos sejam tratados como comunicações rotineiras. Esse tipo de disfarce reduz drasticamente a suspeita dos usuários e dificulta a ação dos sistemas automatizados, que tendem a confiar em domínios com boa reputação. O resultado? A janela entre infecção e detecção se alarga muitas vezes, com alto custo para a empresa. Fragmentação da cadeia de infecção As campanhas de malware de 2025 não são mais simples ou lineares. Hoje, os cibercriminosos criam cadeias fragmentadas e distribuídas de infecção: um e-mail pode conter um link aparentemente confiável, que direciona para um repositório de arquivos como Dropbox ou WeTransfer, onde um script ou arquivo ZIP desencadeia o ataque. Essa fragmentação torna mais difícil para ferramentas de segurança correlacionarem os eventos. Um alerta isolado pode parecer irrelevante até que, somado a outros, revele a verdadeira ameaça. Enquanto isso, o malware já está ativo, coletando dados ou abrindo portas para outros ataques. Obfuscação e engenharia de evasão Para evitar a detecção por sistemas de antivírus, firewalls ou gateways de segurança, os atacantes utilizam técnicas de obfuscação, embaralhando o código malicioso com camadas de codificação, compressão ou encriptação. Isso dificulta a análise estática (antes da execução) e até mesmo a inspeção durante o tráfego. Além disso, os malwares modernos utilizam técnicas condicionais, nas quais o código malicioso só é ativado em situações específicas como após um clique, em determinados horários, ou dependendo da localização geográfica da vítima. Essa inteligência adaptativa torna a detecção em tempo real ainda mais desafiadora, exigindo mecanismos de sandboxing, análise comportamental e investigação contínua. Limitações das ferramentas tradicionais Antivírus convencionais, baseados em assinaturas conhecidas, simplesmente

O crescimento das botnets no Brasil coloca empresas e usuários em risco, com dispositivos sendo usados em ataques sem que os donos percebam. Recentemente, um alerta crítico chamou atenção para o Brasil: dos 1,6 milhão de dispositivos infectados globalmente, cerca de 400 mil estão em território nacional, colocando o país entre os epicentros dessa nova ameaça. Esses dispositivos, em sua maioria TV Boxes piratas, já estão sendo utilizados para ataques de negação de serviço (DDoS), distribuição de malware e fraudes digitais, comprometendo não apenas usuários domésticos, mas também redes corporativas. Mais do que nunca, compreender o funcionamento das botnets, seus impactos e as estratégias de defesa tornou-se essencial para empresas que desejam proteger sua operação e manter a continuidade dos negócios. Ao longo deste artigo, vamos revelar como essas ameaças silenciosas se formam, qual o real impacto sobre organizações de todos os portes e, principalmente, como é possível fortalecer a segurança digital para resistir a esse novo cenário de riscos. Prepare-se para uma imersão estratégica no universo das botnets, e descubra como transformar ameaças em oportunidade de blindar seu futuro digital. O que é uma Botnet e por que ela é tão perigosa? Botnets: quando seu dispositivo vira uma ameaça sem você perceber Uma botnet é uma rede de dispositivos “sequestrados” por cibercriminosos. Cada equipamento infectado, seja ele um computador, roteador, TV Box, smartphone ou qualquer outro dispositivo IoT, torna-se um “zumbi” controlado remotamente sem o conhecimento do usuário. Esses dispositivos são usados de forma coordenada para realizar uma variedade de atividades maliciosas, operando muitas vezes de maneira silenciosa, sem levantar suspeitas imediatas. Como as botnets transformam riscos isolados em ameaças globais As botnets têm finalidades diversas, que incluem: Ataques DDoS (Distributed Denial of Service), nos quais a sobrecarga de servidores, sites e aplicações com tráfego malicioso pode tirar serviços do ar, causando prejuízos financeiros e danos à reputação. Elas também são usadas para a distribuição de malwares em larga escala, propagando infecções rapidamente por redes inteiras. Outro uso comum é o roubo de dados: credenciais, informações financeiras, dados sensíveis corporativos e pessoais são capturados silenciosamente. Por fim, botnets impulsionam campanhas de phishing, disparando e-mails e mensagens fraudulentas para enganar usuários e obter acesso privilegiado a sistemas e informações. O elo fraco da IoT: como a conectividade amplia a ameaça Com a explosão da Internet das Coisas (IoT), houve um aumento exponencial na quantidade de dispositivos conectados à internet, muitos deles sem qualquer proteção adequada. Dispositivos como câmeras IP, smart TVs, roteadores domésticos e TV Boxes se tornaram alvos fáceis para cibercriminosos, ampliando consideravelmente a superfície de ataque disponível para a formação de botnets cada vez mais massivas e difíceis de conter. Hoje, um único dispositivo IoT comprometido pode ser a porta de entrada silenciosa para ataques devastadores dentro de redes corporativas e residenciais. O caso BadBox 2.0: Um alerta para o Brasil Dentro da máquina: Como o BadBox 2.0 opera Após a ativação, os dispositivos comprometidos pela botnet BadBox 2.0 se conectam automaticamente a servidores de comando e controle (C2), permitindo que agentes maliciosos assumam o controle remoto dessas máquinas. A partir daí, os dispositivos podem ser utilizados para diferentes fins criminosos, como: Essa versatilidade transforma cada dispositivo em um vetor de ataque dinâmico — e invisível à primeira vista. Indicadores de comprometimento (IOCs) Para auxiliar na identificação de comportamentos suspeitos associados à botnet BadBox 2.0, é essencial monitorar determinados domínios, endereços IP e hostnames maliciosos. Abaixo, listamos alguns dos principais IOCs identificados: Domínios suspeitos:bluefish[.]work, giddy[.]cc, joyfulxx[.]com, mtcpuouo[.]com, pasiont[.]com, ztword[.]com, pixelscast[.]com, swiftcode[.]work, tvsnapp[.]com. Endereços IP monitorados:92.63.197[.]14, 139.162.36[.]224, 172.104.186[.]191, 139.162.40[.]221, 143.42.75[.]145, 192.46.227[.]25. Hostnames comprometidos:cool[.]hbmc[.]net, sg100[.]idcloudhost[.]com, www[.]bluefish[.]work, www[.]giddy[.]cc, www[.]msohu[.]shop, cast[.]jutux[.]work, home[.]1ztop[.]work, old[.]1ztop[.]work. Esses IOCs podem ser usados para criar regras de bloqueio em firewalls, detecção via SIEM ou ações de threat hunting. Táticas e técnicas usadas: Mapeamento MITRE ATT&CK A operação da BadBox 2.0 segue padrões técnicos reconhecidos internacionalmente, especialmente no ecossistema MITRE ATT&CK. Entre as táticas e técnicas observadas: Mapear essas táticas permite desenvolver respostas alinhadas a frameworks internacionais e aprimorar os controles existentes. Entendendo a ameaça por trás do BadBox 2.0 O BadBox 2.0 é uma botnet massiva que surgiu a partir da infecção de TV Boxes piratas, muitas delas já contaminadas diretamente na fábrica. A operação foi descoberta por investigações internacionais publicadas em março de 2025, envolvendo especialistas em segurança cibernética e agências de inteligência. O funcionamento é alarmante: ao conectar esses dispositivos aparentemente inofensivos à rede, eles passam a operar silenciosamente como pontos de apoio para crimes digitais, executando tarefas maliciosas sem o conhecimento dos usuários. No total, 1,6 milhão de dispositivos foram comprometidos, dos quais 400 mil estavam ativos no Brasil,  evidenciando a posição de destaque do país no cenário global de botnets. Esses dispositivos são utilizados para lançar ataques DDoS contra infraestruturas críticas, propagar ransomware e malwares bancários, além de criar redes de proxies para esconder atividades ilícitas. O grande diferencial do BadBox 2.0 é sua sofisticação. Ele utiliza técnicas de evasão avançadas, dificultando a detecção pelas soluções de segurança tradicionais e se atualiza remotamente, adaptando-se para escapar de bloqueios e patches de segurança. Como o BadBox 2.0 impacta empresas e consumidores Embora o foco inicial pareça ser consumidores finais, o verdadeiro impacto do BadBox 2.0 recai sobre empresas de todos os tamanhos. A disseminação massiva de dispositivos infectados aumenta a superfície de ataque para infiltração em redes corporativas por meio de funcionários em home office. Além disso, esses dispositivos permitem a utilização da infraestrutura corporativa para realizar ataques externos, comprometendo reputações e operações. O tráfego mascarado gerado pelas botnets também facilita o roubo de dados estratégicos e propriedade intelectual, expondo as empresas a riscos severos. Empresas que não controlam o acesso de dispositivos externos correm o risco de se tornarem vítimas ou vetores involuntários em ataques ainda mais abrangentes. O que aprendemos com o caso BadBox 2.0 O principal aprendizado com o BadBox 2.0 é que ameaças invisíveis estão muito mais próximas do que se imagina. Não se trata apenas de proteger servidores e data centers: o desafio agora é controlar o que

A ascensão da inteligência artificial no cibercrime está transformando profundamente a forma como empresas operam, inovam e protegem seus dados, mas do outro lado da equação, criminosos também estão se beneficiando dessa evolução. Segundo um relatório recente da União Europeia, a IA está sendo usada para fortalecer o crime organizado, reduzindo drasticamente o tempo entre a invasão e o comprometimento de redes corporativas. Neste artigo, vamos explorar como a IA está sendo utilizada no cibercrime moderno, quais os principais riscos emergentes e, mais importante, como empresas podem empregar a mesma tecnologia para fortalecer suas defesas e garantir a continuidade do negócio. Inteligência artificial no cibercrime: ataques cada vez mais rápidos Ferramentas automatizadas e crimes em escala De acordo com o Europol (Agência da União Europeia para Cooperação Policial), a IA já está sendo utilizada para automatizar etapas essenciais de ataques cibernéticos. Ferramentas de phishing geradas por IA, deepfakes e ataques baseados em linguagem natural são apenas algumas das técnicas em expansão. A capacidade dessas ferramentas de aprender e se adaptar em tempo real torna a detecção e contenção muito mais desafiadora. Além disso, criminosos estão treinando modelos para reconhecer padrões de comportamento humano, o que permite simular ações legítimas dentro de sistemas corporativos. Isso dificulta a identificação por ferramentas tradicionais de segurança baseadas apenas em regras fixas ou listas de reputação. Essa é a realidade da inteligência artificial no cibercrime: mais acessível, rápida e imprevisível do que nunca. Democratização do cibercrime O portal Time destaca que essa automação reduz drasticamente o tempo e o conhecimento necessários para que cibercriminosos lancem ataques sofisticados. Já não é preciso ser um programador experiente: com ferramentas de IA generativa, criminosos podem criar códigos maliciosos, escrever e-mails altamente convincentes e construir scripts que exploram vulnerabilidades conhecidas. Essa democratização do crime digital amplia o número de atacantes em potencial. Esse fenômeno está sendo impulsionado por comunidades no submundo digital que compartilham algoritmos e ferramentas, criando um verdadeiro ecossistema de crime como serviço (CaaS). A barreira técnica de entrada caiu, e o tempo de ação também. Um ataque que antes exigia semanas de planejamento agora pode ser orquestrado em poucas horas. O impacto nas empresas: Riscos e desafios emergentes Velocidade e evasão Com a inteligência artificial potencializando o cibercrime, os ataques estão se tornando mais rápidos, precisos e difíceis de detectar. O risco não está apenas na invasão em si, mas na velocidade com que ela é executada e na sofisticação com que se disfarça. Um ataque que antes levava dias para se estruturar, agora pode ser lançado em minutos, com múltiplas camadas de disfarce e evasão. Além disso, a inteligência artificial permite a adaptação dinâmica do ataque durante sua execução. Isso significa que os cibercriminosos conseguem ajustar seus vetores de exploração em tempo real, contornando proteções tradicionais, desviando de firewalls e confundindo sistemas de detecção com simulações comportamentais humanas. Esse grau de evasão torna quase impossível depender apenas de sistemas estáticos ou defesas baseadas em assinaturas. Novas formas de engenharia social As técnicas de engenharia social também evoluíram com o uso da IA. Hoje, as empresas enfrentam uma dificuldade crescente em diferenciar comunicações legítimas de mensagens forjadas com precisão por modelos generativos. Um simples e-mail pode simular com perfeição o tom, a assinatura e até o contexto de interações internas, tornando-se praticamente indistinguível de uma mensagem real. Além disso, esses ataques têm a capacidade de mudar de comportamento em tempo real. A IA adapta as estratégias à medida que identifica obstáculos ou falhas na tentativa inicial, o que permite que o ataque continue se desdobrando sob novas formas, mesmo após tentativas de contenção. Outro ponto crítico é a velocidade. Scripts maliciosos impulsionados por IA conseguem explorar múltiplas vulnerabilidades simultaneamente em poucos segundos, o que exige um nível de atenção e resposta que vai além da capacidade humana ou de sistemas tradicionais. Modelos treinados com dados públicos e corporativos conseguem replicar padrões de fala, personalizar comunicações e até simular ligações telefônicas com vozes clonadas de executivos reais. O nível de persuasão dessas abordagens faz com que até colaboradores experientes cometam erros, acreditando estarem lidando com fontes legítimas. Segundo a TRM Labs, essa nova geração de ataques exige uma postura de defesa mais inteligente e responsiva, pois o tempo de resposta tornou-se um fator crítico. Em muitos casos, o impacto de um único erro pode comprometer uma infraestrutura inteira, tornando a prevenção e a educação contínua fatores indispensáveis. Como combater a inteligência artificial no cibercrime com IA defensiva Com o avanço do uso da inteligência artificial no cibercrime, não há mais espaço para defesas estáticas ou estratégias reativas. A verdadeira resposta exige o uso da mesma tecnologia — mas sob uma ótica estratégica, ética e preventiva. A IA aplicada à segurança da informação tem o poder de transformar o modo como organizações monitoram, detectam e reagem a ameaças digitais. A inteligência deixa de ser apenas um diferencial técnico e se torna um ativo tático, capaz de proteger a reputação, os ativos e a continuidade operacional de empresas expostas a riscos constantes. Monitoramento preditivo e resposta em tempo real Uma das principais vantagens do uso da IA na cibersegurança é a sua capacidade de identificar anomalias antes mesmo que elas se tornem uma ameaça real. Isso acontece por meio de análises comportamentais avançadas, onde o sistema aprende os padrões normais de funcionamento da infraestrutura digital e consegue sinalizar qualquer desvio — mesmo que ainda não tenha sido catalogado como uma ameaça conhecida. Além disso, a IA é capaz de processar milhões de eventos simultaneamente, cruzando dados de múltiplas fontes, endpoints e sistemas em tempo real. Isso cria uma visão ampla e integrada do ambiente digital da organização, algo essencial em ecossistemas cada vez mais distribuídos e conectados. Em cenários críticos, a resposta automatizada da IA pode ser acionada em segundos, isolando máquinas, bloqueando acessos e neutralizando a propagação de códigos maliciosos — muitas vezes antes mesmo de o time de segurança perceber a intrusão. Segundo a Biometric Update, sistemas baseados em IA já conseguem reduzir em até 80%

Em março de 2025, o Brasil registrou o primeiro vazamento de dados do ano envolvendo o sistema de pagamentos PIX. O incidente, confirmado pelo Banco Central, afetou 25.349 chaves vinculadas a uma instituição financeira autorizada a operar pelo Banco Central. Embora não tenham sido expostas senhas ou detalhes de transações, os dados vazados incluíam nome, CPF mascarado, instituição financeira, agência e tipo de conta. O que parece pouco à primeira vista é, na prática, uma mina de ouro para os fraudadores. Esses dados são suficientes para aplicar golpes de engenharia social, simular atendimentos bancários falsos e enganar vítimas por telefone ou e-mail. Mais do que um evento isolado, esse vazamento simboliza uma mudança no jogo da segurança financeira: os ataques não estão mais focados apenas em sistemas, mas nas identidades. A escala do problema: o Brasil no epicentro das fraudes digitais O vazamento ocorrido em março de 2025 reforça uma tendência alarmante: o Brasil ocupa uma posição de destaque no mapa global das ameaças cibernéticas. Esse não é um caso isolado. O Brasil tem se consolidado como um dos países mais afetados por crimes cibernéticos. De acordo com dados recentes da Surfshark, o país liderou em contas violadas na América Latina em 2024, com 84,6 milhões de contas comprometidas — um salto de 2.400% em relação ao ano anterior. Essa realidade se agrava com o sucesso do PIX. Em 2024, o sistema movimentou R$ 26,4 trilhões, se consolidando como o principal meio de pagamento do país. O crescimento da plataforma, embora positivo para a economia, tornou o ambiente ainda mais atraente para cibercriminosos. Diante dessa nova paisagem, cresce a necessidade de uma abordagem mais estratégica, onde a proteção de dados e identidade ganha papel central. A nova fronteira da cibersegurança: identidades e acessos Identidade é o novo perímetro À medida que as organizações se tornam mais conectadas, distribuídas e expostas a novos modelos de operação, o conceito de perímetro de segurança se transforma. Essa mudança no cenário da segurança digital mostra que não basta mais proteger sistemas: é preciso proteger as pessoas e suas credenciais. Em uma era de ambientes distribuídos, home office, cloud computing e sistemas interconectados como o PIX, a identidade se tornou o novo perímetro. A chave: governança de identidades e acessos Para proteger as identidades, é essencial adotar uma abordagem estruturada de governança. A governança de identidade consiste em práticas e tecnologias que garantem que apenas as pessoas certas tenham acesso aos recursos certos, no momento certo. Ela automatiza concessões e revogações de acesso, detecta comportamentos suspeitos e reforça a conformidade com legislações como LGPD, SOX e ISO. Essa mudança de mentalidade exige que empresas abandonem abordagens pontuais e adotem soluções robustas, que vão da estratégia à execução. Por que o PIX amplia o risco? Embora o PIX seja uma tecnologia robusta e bem-sucedida, seu crescimento exponencial e integração com diversos sistemas bancários e aplicativos digitais trouxe à tona novos pontos de atenção. O recente vazamento de dados associado ao sistema ilustra como qualquer brecha, por menor que seja, pode ser explorada por agentes mal-intencionados. Mas o real problema não está no PIX em si, e sim na forma como as empresas lidam com a segurança de dados e acessos. A ausência de governança de identidade, controles inadequados sobre quem acessa o quê e a falta de visibilidade sobre permissões e integrações são os verdadeiros gatilhos para ataques e fraudes. Esse tipo de incidente não se limita ao PIX: é um sintoma de uma falha estrutural na segurança digital de muitas organizações. Sistemas de pagamento, plataformas de e-commerce, aplicações em nuvem e até áreas internas de RH e financeiro são alvos potenciais quando identidades estão desprotegidas. O ponto de atenção aqui é claro: os dados de identidade são o novo campo de batalha da segurança cibernética. E, para vencê-lo, é preciso mudar a abordagem, da reação para a prevenção, do perímetro para a identidade. Fraudes mais comuns após vazamentos de dados Não é à toa que o número de fraudes cresce após vazamentos. Quando dados pessoais e financeiros caem nas mãos erradas, eles se tornam matéria-prima para ataques altamente direcionados. Golpistas usam essas informações para aplicar engenharia social em níveis cada vez mais sofisticados, criando armadilhas quase imperceptíveis para o usuário comum. Um dos golpes mais recorrentes é o phishing personalizado, que simula comunicações oficiais e utiliza dados reais para induzir o erro da vítima. Outra técnica frequente é o SIM swap, que consiste na clonagem do chip do celular para interceptar códigos de autenticação e tomar o controle de contas digitais. Golpes via aplicativos de mensagens, como o WhatsApp, também são comuns — muitas vezes simulando atendimentos de bancos ou centrais de suporte. Além disso, criminosos têm explorado cobranças via PIX com extrema criatividade, gerando boletos ou QR Codes falsos para enganar usuários desavisados. A combinação entre dados vazados e rapidez das transações torna a fraude quase invisível, especialmente sem um sistema de governança que controle e monitore acessos. O elo entre dados expostos e prejuízos financeiros está cada vez mais curto — e mais perigoso. Como a SailPoint ajuda a prevenir vazamentos e fraudes financeiras Em um ambiente onde a velocidade dos ataques cibernéticos rivaliza com a agilidade dos próprios sistemas de pagamento, confiar apenas em métodos tradicionais de defesa é uma aposta arriscada. O que as empresas precisam é de uma solução que antecipe ameaças, automatize processos críticos e ofereça visibilidade total sobre as identidades que operam dentro da organização. Com esse novo cenário, soluções tradicionais não bastam. É preciso inteligência e automação para prever riscos e agir antes do dano acontecer. É exatamente isso que a plataforma SailPoint entrega. Funcionalidades críticas para o contexto PIX e financeiro A SailPoint automatiza o ciclo de vida das identidades digitais. Com ela, cada novo usuário recebe exatamente os acessos de que precisa — nada a mais, nada a menos. Essa granularidade reduz drasticamente as chances de acessos indevidos ou negligenciados. Além disso, a auditoria em tempo real permite rastrear tudo o que acontece, enquanto

Em fevereiro de 2025, o Brasil registrou um recorde histórico: mais de 960 ataques de ransomware em um único mês, segundo relatório da SonicWall. O número impressiona, mas o que mais chama atenção é o perfil das vítimas. Grandes empresas, com tecnologias avançadas e times internos robustos de TI, estão entre os principais alvos.  Esse cenário escancara um paradoxo preocupante: porque organizações altamente estruturadas continuam sendo vulneráveis a sequestros digitais? Neste artigo analisamos essa nova realidade e mostramos por que a aparência de segurança pode ser mais perigosa do que a própria exposição. O crescimento do ransomware: Uma epidemia silenciosa Nos últimos anos, o ransomware deixou de ser uma ameaça pontual para se tornar uma epidemia digital. O aumento de 126% no volume global de ataques nos primeiros meses de 2025, conforme apontado pela SonicWall e divulgado pelo TecMundo, revela uma tendência clara: o crime cibernético está mais organizado, sofisticado e agressivo. No Brasil, que figura entre os países mais afetados, grandes corporações têm sido alvos recorrentes, com ataques que paralisam operações inteiras, sequestram dados críticos e geram perdas milionárias. A profissionalização dos grupos criminosos e o uso de ransomware como serviço (RaaS) ampliaram o alcance e a frequência das ofensivas, tornando cada empresa um possível alvo em potencial. Ransomware como serviço (RaaS): o modelo que democratizou o cibercrime Uma das principais razões para o crescimento acelerado do ransomware em 2025 é o modelo conhecido como Ransomware as a Service (RaaS). Plataformas criminosas passaram a oferecer kits completos para lançamento de ataques, com interfaces amigáveis, suporte técnico, atualizações constantes e até programas de afiliação. Isso permitiu que indivíduos com pouco ou nenhum conhecimento técnico se tornassem operadores de ransomware em questão de horas. Segundo dados da Digital Recovery, cerca de 60% dos ataques de ransomware registrados em 2025 têm origem em estruturas de RaaS, tornando essa modalidade o principal vetor da nova onda de sequestros digitais. Os grupos mais perigosos em atividade global Entre os grupos mais ativos e temidos do ano estão LockBit 3.0, BlackCat (ALPHV) e Cl0p. O LockBit sozinho foi responsável por mais de 1.400 ataques somente no primeiro trimestre de 2025, conforme relatório do BuiltIn. Operando com táticas empresariais, esses grupos oferecem suporte técnico às vítimas, canais de negociação via chat, cronômetros de vazamento e estratégias de dupla extorsão. Ao mesmo tempo em que criptografam dados e paralisam os sistemas, ameaçam expor as informações em fóruns públicos — dobrando o impacto do ataque. América Latina no radar do cibercrime O relatório da SonicWall, repercutido pelo IT Forum, indica que a América Latina registrou o maior crescimento proporcional de ataques de ransomware em 2025. O Brasil se destacou negativamente, com mais de 4.000 ataques acumulados apenas no primeiro trimestre. Fatores como infraestrutura digital heterogênea, legislações em evolução e baixa maturidade em governança de segurança tornam a região altamente vulnerável. O foco de atuação dos grupos criminosos tem migrado de países da Europa para mercados latino-americanos, onde a taxa de sucesso e o valor dos resgates têm se mostrado mais atrativos. Vetores de entrada: Onde está o verdadeiro risco? A engenharia dos ataques segue padrões já conhecidos, mas que continuam incrivelmente eficazes. O que mudou em 2025 foi a sofisticação na execução, o uso de automação e a capacidade dos criminosos de orquestrar múltiplas técnicas em cadeia. Os vetores de entrada, antes tratados como pontos isolados, hoje fazem parte de estratégias integradas, que combinam engenharia social, exploração técnica e persistência avançada. A falsa sensação de segurança, alimentada por uma infraestrutura aparentemente sob controle, segue sendo o principal ponto cego de muitas empresas. Phishing evoluído: a manipulação invisível Em 2025, o phishing segue como o vetor de ataque número um. Mas o que mudou foi sua complexidade. Segundo o relatório da IBCybersecurity, ataques de phishing agora utilizam técnicas de inteligência artificial generativa para criar e-mails altamente personalizados, simulando comunicações internas com perfeição. Há casos em que o criminoso utiliza dados de redes sociais e vazamentos anteriores para replicar padrões de escrita e assinaturas de executivos reais. A engenharia social deixou de ser “simples enganação” — ela virou manipulação cognitiva sofisticada. Exploração de vulnerabilidades conhecidas (mas ignoradas) Falhas em softwares desatualizados e sistemas sem patch continuam abrindo portas silenciosas para invasores. Muitas dessas vulnerabilidades já têm CVEs catalogadas há meses, mas seguem sem correção por falta de processos internos, priorização equivocada ou incompatibilidades entre sistemas. Em especial, o aumento de integrações com SaaS e plataformas legadas cria pontes frágeis de segurança. A SonicWall apontou que mais de 40% dos ataques registrados em 2025 exploraram brechas conhecidas e não corrigidas — o que demonstra um problema estrutural, não tecnológico. Ataques via RDP e credenciais comprometidas O Remote Desktop Protocol (RDP) continua sendo uma porta de entrada favorita dos atacantes, especialmente em empresas com ambientes híbridos ou políticas de acesso remoto mal estruturadas. Muitas vezes, acessos RDP ficam expostos na internet pública ou protegidos por senhas fracas. Além disso, vazamentos de credenciais em repositórios públicos (como leaks de fóruns ou bancos de dados vendidos no dark web) alimentam ataques de credential stuffing — onde robôs testam automaticamente combinações de login e senha em larga escala. Em 2025, esse tipo de ataque cresceu 38% em relação ao ano anterior, segundo o relatório da Digital Recovery. O fator humano ainda é o elo mais frágil Mesmo com firewalls, EDRs e autenticação multifator, o fator humano segue como vetor crítico. Cargas de trabalho elevadas, distração, pressa e falta de treinamento criam um ambiente onde o erro humano se torna inevitável. Ataques bem-sucedidos geralmente envolvem a colaboração (involuntária) de um funcionário. Seja clicando em um link, compartilhando um arquivo ou ignorando um alerta de sistema, o usuário final ainda é o elo mais explorado pelos cibercriminosos. Empresas que não treinam continuamente sua equipe estão, na prática, investindo em blindagem com a porta destrancada. Os impactos estratégicos para empresas de grande porte O impacto do ransomware em grandes corporações vai muito além da questão técnica. Em 2025, a natureza dos ataques se tornou mais destrutiva, e

O cenário de ameaças digitais evoluiu rapidamente nos últimos anos, e os malwares estão no centro dessa transformação. Eles deixaram de ser simples arquivos maliciosos para se tornarem ferramentas altamente sofisticadas, muitas vezes controladas por redes de cibercriminosos organizados. De acordo com o Threat Intelligence Report da Check Point Research (março de 2025), a distribuição de malwares por plataformas legítimas cresceu 48%, revelando como os atacantes estão se aproveitando da confiança em serviços amplamente utilizados para ampliar seu alcance. Além disso, o crescimento no número de dispositivos conectados e a digitalização acelerada dos processos empresariais ampliaram a superfície de ataque. Empresas de todos os portes, especialmente aquelas com ambientes distribuídos e infraestrutura híbrida, enfrentam o desafio de proteger seus endpoints contra ameaças que muitas vezes passam despercebidas pelas ferramentas tradicionais. O aumento de 300% na detecção de malwares em endpoints no terceiro trimestre de 2024, conforme dados do IT Security, é um indicativo claro dessa nova realidade. Neste artigo, vamos explorar como os malwares estão se transformando, por que os modelos convencionais de proteção estão se tornando obsoletos e de que forma soluções como o CrowdStrike Falcon Complete têm se consolidado como aliadas indispensáveis para garantir a segurança digital em tempo real. O que está por trás dessa nova geração de malwares? A nova geração de malwares representa um salto qualitativo nas técnicas e objetivos dos cibercriminosos. Ao contrário das versões mais simples e previsíveis do passado, os malwares atuais operam com precisão cirúrgica, muitas vezes passando despercebidos por sistemas de defesa tradicionais. Eles não apenas exploram vulnerabilidades técnicas, mas também comportamentais, tornando o fator humano uma das maiores portas de entrada para ataques. Automatização e inteligência artificial a serviço do cibercrime O uso de inteligência artificial não é mais exclusividade das empresas. De acordo com um relatório da União Europeia citado pelo CISO Advisor, grupos cibercriminosos estão aplicando IA para acelerar e automatizar cada etapa de seus ataques, desde a criação de malwares até a escolha dos alvos. O resultado é uma redução de até 50% no tempo necessário para comprometer contas corporativas, permitindo uma escala de ataques antes impossível. Disfarce em plataformas legítimas Uma das estratégias mais eficazes da nova onda de malwares é o uso de plataformas confiáveis como vetor de ataque. Ferramentas amplamente utilizadas como Google Drive, Discord e Dropbox têm sido manipuladas para abrigar arquivos maliciosos, dificultando a identificação por sistemas de proteção convencionais. Segundo análise da Check Point Research, o uso dessas plataformas cresceu quase 50% em 2024, refletindo uma mudança preocupante no comportamento do cibercrime. Phishing mais preciso e contextualizado A evolução dos malwares também passa pela sofisticação das campanhas de phishing. Mensagens maliciosas agora utilizam dados públicos e vazamentos anteriores para criar abordagens altamente personalizadas, simulando comunicações internas da empresa ou até replicando interfaces de sistemas corporativos. Essa capacidade de enganar usuários com tamanha precisão eleva drasticamente os riscos, especialmente em ambientes onde a educação em cibersegurança não acompanha a velocidade das ameaças. Esses fatores explicam por que os malwares atuais exigem muito mais do que soluções convencionais de proteção. Eles desafiam não só a tecnologia, mas também a cultura organizacional de segurança. Por isso, nos próximos tópicos, vamos explorar como as empresas podem se preparar estrategicamente para enfrentar essa nova realidade com proteção de ponta e resposta em tempo real. Exemplos recentes que reforçam a gravidade da situação A nova geração de malwares não está apenas crescendo em volume, mas também em sofisticação. Os ataques de 2025 mostram que as organizações não podem mais depender de defesas tradicionais, os criminosos estão explorando novas superfícies, se infiltrando por canais legítimos e encurtando o tempo entre a invasão e o impacto real. Casos recentes deixam claro o quanto o cenário evoluiu e os riscos aumentaram. DeepSeek AI: vulnerabilidades não corrigidas e dados sensíveis expostos No início de março de 2025, a startup chinesa DeepSeek AI, conhecida pelo avanço em inteligência artificial, teve mais de 1 milhão de registros vazados. A violação foi causada por um malware que explorou uma falha conhecida, mas que não havia sido corrigida a tempo. Segundo o Let’s Defend, o ataque não exigiu técnicas complexas, apenas a combinação entre uma vulnerabilidade pública e a ausência de monitoramento avançado foi suficiente para permitir a invasão e o vazamento. O caso expôs não apenas dados sensíveis, mas também a fragilidade de empresas que não contam com estratégias modernas de detecção e resposta. Malwares em “tráfego legítimo”: o novo disfarce do cibercrime Plataformas como Google Drive, Dropbox e até serviços de mensagens corporativas estão sendo usadas como veículos para disseminação de malwares. Conforme apontado pela CISO Advisor, o cibercrime está adotando táticas cada vez mais difíceis de identificar, escondendo malwares dentro de arquivos aparentemente inofensivos, distribuídos por canais considerados confiáveis. Isso torna as defesas tradicionais, como antivírus baseados em assinatura, ineficazes, e exige um novo modelo de detecção que vá além da simples análise estática de arquivos. O Brasil no topo dos alvos de ransomware De acordo com o TecMundo, fevereiro de 2025 registrou o maior número de vítimas de ransomware em um único mês no Brasil, colocando o país entre os mais afetados globalmente. O que chama atenção é que muitas das empresas atingidas já possuíam soluções de segurança convencionais. O problema é que essas soluções não eram capazes de detectar comportamentos anômalos em tempo real nem de isolar os ataques antes que causassem danos. Com demandas de resgate em criptomoedas e sequestro de backups, os prejuízos ultrapassaram a casa dos milhões, além do impacto reputacional. Por que os antivírus tradicionais não são mais suficientes? Os antivírus convencionais operam com base em assinaturas, o que significa que só conseguem detectar malwares que já foram identificados anteriormente. Essa abordagem torna-se ineficaz diante de ameaças que se modificam constantemente ou que atuam sem utilizar arquivos, os chamados ataques fileless. De acordo com relatório da CrowdStrike, cerca de 71% das violações atuais envolvem esse tipo de ameaça, que não depende de arquivos executáveis, dificultando a detecção. Além disso, a velocidade com que novas

Os ataques cibernéticos estão cada vez mais sofisticados e perigosos. Infostealers, um tipo de malware projetado para roubar credenciais e informações sensíveis, já infectaram mais de 30 milhões de dispositivos nos últimos anos, segundo um levantamento da Hudson Rock. Esses ataques resultaram em vazamentos massivos de dados corporativos, facilitando invasões, fraudes financeiras e comprometimentos de sistemas críticos. A governança de identidade e controle de acessos se tornou uma necessidade urgente para empresas que desejam se proteger contra essas ameaças. Mas como esses ataques acontecem? E como as empresas podem se proteger de forma eficaz? Vamos explorar tudo isso agora. A evolução dos infostealers e seu impacto nas empresas De ameaças simples a ataques sofisticados Os infostealers surgiram como malwares simples, projetados para roubar senhas, tokens de autenticação, cookies e dados financeiros. Diferente dos ransomwares, que bloqueiam sistemas e exigem resgates, esses malwares operam silenciosamente, capturando credenciais e vendendo-as na dark web ou utilizando-as em ataques direcionados. Segundo um relatório da Lumu Technologies (2024), a inteligência artificial generativa permitirá que criminosos refinem suas técnicas antes que as empresas consigam reagir, tornando os infostealers ainda mais letais. Já um estudo da Kela, “The State of Cybercrime 2024”, revelou que mais de 330 milhões de credenciais foram expostas por infostealers, comprometendo pelo menos 4,3 milhões de dispositivos globalmente. Esse crescimento consolidou esses malwares como uma das ferramentas favoritas dos cibercriminosos. O impacto dos Infostealers na segurança corporativa Com a evolução dessas ameaças, os infostealers passaram a operar sob o modelo Malware as a Service (MaaS), permitindo que qualquer criminoso adquira um infostealer pronto para uso, sem precisar de conhecimento técnico. Isso ampliou drasticamente o alcance dos ataques, tornando-os mais acessíveis e frequentes. Além disso, os infostealers modernos não se limitam a roubar senhas armazenadas em navegadores. Muitos capturam tokens de autenticação e cookies de sessão, permitindo que criminosos acessem contas mesmo após a troca de senhas. Isso reduz a eficácia de medidas tradicionais de segurança. Outro fator preocupante é a automação dos ataques. Hackers utilizam inteligência artificial para testar credenciais vazadas em centenas de serviços simultaneamente (credential stuffing), aumentando a taxa de sucesso das invasões. Especialistas apontam que os infostealers já são responsáveis por grande parte dos ataques que resultam em ransomwares e outras violações críticas. A necessidade de uma abordagem avançada de segurança Diante desse cenário, confiar apenas em antivírus e firewalls não é mais suficiente. Empresas precisam adotar estratégias avançadas de governança de identidade e controle contínuo de acessos, garantindo que credenciais comprometidas não se tornem uma porta de entrada para ataques devastadores. Estatísticas alarmantes: O risco crescente dos infostealers Os ataques com infostealers cresceram exponencialmente, comprometendo milhões de dispositivos e tornando-se um dos maiores riscos à segurança digital. Um estudo da Hudson Rock revelou que mais de 30 milhões de dispositivos foram infectados, atingindo até sistemas de grandes organizações como Pentágono, FBI e Lockheed Martin. Além disso, a Kela apontou que mais de 330 milhões de credenciais vazaram nos últimos anos, afetando milhões de empresas e usuários. No setor financeiro, a Kaspersky identificou que, entre 2023 e 2024, 2,3 milhões de cartões bancários foram vendidos na dark web após infecções por infostealers, expondo consumidores e instituições a fraudes milionárias. O Brasil é um dos países mais afetados da América Latina, representando 19% das infecções da região, segundo um estudo da Security Leaders. O setor público também sofre com esses ataques: um levantamento da Veja revelou que, nos últimos cinco anos, o governo federal registrou 58 mil incidentes cibernéticos, incluindo 9 mil vazamentos de dados. Esses números deixam claro que a governança de identidade e o controle rigoroso de acessos são urgentes. Sem automação e monitoramento contínuo, empresas e governos permanecerão vulneráveis a ataques cada vez mais sofisticados. Casos reais: O preço dos vazamentos de credenciais Os infostealers já causaram algumas das maiores violações de dados dos últimos anos, afetando tanto empresas privadas quanto instituições governamentais. Em 2024, a Snowflake foi alvo de um ataque onde criminosos usaram credenciais vazadas para acessar dados de empresas como Ticketmaster e Banco Santander, impactando milhões de usuários. No setor financeiro, o Banco Santander também sofreu um vazamento significativo ao ter um banco de dados comprometido, expondo clientes na Espanha, Chile e Uruguai. Já no setor público, um levantamento revelou que, nos últimos cinco anos, o governo brasileiro registrou 58 mil incidentes cibernéticos, evidenciando que a falta de controle sobre credenciais expõe até instituições altamente protegidas. Esses casos mostram que credenciais comprometidas são um dos maiores riscos cibernéticos atuais. Empresas que não adotam políticas rigorosas de controle de acessos e monitoramento contínuo ficam vulneráveis a ataques que podem gerar prejuízos financeiros, danos à reputação e sanções regulatórias severas. Com leis como LGPD, GDPR e CCPA, a governança de identidade e a automação na gestão de acessos deixaram de ser apenas uma recomendação – são uma necessidade para evitar novos vazamentos e fortalecer a segurança digital. Como proteger sua empresa contra infostealers e vazamentos de dados? Com o crescimento das ameaças cibernéticas, empresas precisam de estratégias eficazes para impedir que credenciais comprometidas sejam exploradas por criminosos. Apenas antivírus e firewalls não são mais suficientes. É essencial adotar controle rigoroso de acessos, monitoramento contínuo e políticas robustas de governança de identidade. Monitoramento contínuo e controle de credenciais Uma das melhores formas de prevenir ataques é identificar precocemente credenciais vazadas. Muitas empresas só descobrem que foram comprometidas quando já é tarde demais. Para evitar esse cenário, é fundamental utilizar ferramentas que monitoram a dark web, soluções de gestão de identidade para detectar acessos suspeitos e auditorias regulares para garantir que usuários tenham apenas as permissões necessárias. Autenticação e gerenciamento inteligente de acessos O uso exclusivo de senhas já não protege contra ataques. Infostealers capturam credenciais e tokens de autenticação, tornando essencial a adoção de múltiplas camadas de segurança. Empresas devem investir em autenticação multifator (MFA) avançada, implementar políticas de Zero Trust para validar acessos continuamente e reforçar o controle sobre contas privilegiadas, reduzindo riscos de acessos indevidos. Automação e resposta rápida a incidentes Os ataques baseados em