Ameaças Cibernéticas

Imagine a cena: um analista de help desk, no final de um dia agitado, é alvo de uma sofisticada campanha de engenharia social. Do outro lado da linha, uma voz firme e apressada se identifica como um executivo sênior da empresa, ele está em trânsito, com o notebook sem bateria, e precisa de acesso urgente a um relatório crítico. A solicitação é um clássico do manual do cibercrime: um reset de senha e, crucialmente, a reconfiguração do token de autenticação multifator (MFA) para o seu novo celular, pressionado pela urgência e pela autoridade do cargo, o analista, focado em ser prestativo e eficiente, segue os procedimentos, e em minutos, o acesso é concedido. O que ele não sabe é que acabou de entregar as chaves do reino a um dos grupos de cibercrime mais habilidosos da atualidade, provando que até mesmo as defesas de MFA podem ser contornadas quando o fator humano é explorado. Este cenário não é hipotético, é o manual de operações do Scattered Spider, um grupo de ameaças que aperfeiçoou a arte de transformar o elo mais forte de uma organização: seus colaboradores em sua maior vulnerabilidade. Em um mundo onde o custo médio de uma violação de dados atingiu a marca de $4.88 milhões, segundo o relatório Custo de uma Violação de Dados 2024 da IBM, e onde ataques originados por credenciais comprometidas levam, em média, 292 dias para serem identificados e contidos, de acordo com dados da própria IBM, a abordagem deste grupo representa uma mudança de paradigma. Eles não exploram primariamente falhas de software, mas sim as falhas sistêmicas nos processos de confiança e na psicologia humana. O Scattered Spider (também rastreado como UNC3944) profissionalizou a engenharia social contra help desks e equipes de TI, com um objetivo bem claro, que é contornar o MFA, sequestrar identidades e, em horas, escalar de e‑mail corporativo a ransomware (ex.: DragonForce). A ameaça não depende de 0‑days: ela passa agora a explorar processos e comportamentos. De acordo com o relatório DBIR 2024 da Verizon, 68% das violações envolvem um elemento humano não malicioso. O Scattered Spider (também rastreado como UNC3944 e Octo Tempest) capitaliza essa estatística, provando que o alvo do cibercrime moderno não é mais a máquina, mas o processo de confiança que a governa.  Neste artigo, vamos dissecar a anatomia de um ataque do Scattered Spider, desde a engenharia social meticulosamente planejada até a tomada de controle de infraestruturas críticas. Mais importante, mostraremos como uma defesa moderna, centrada em identidade e orquestrada por especialistas, é a única resposta eficaz para desarmar uma ameaça que reside dentro das nossas próprias linhas. Ouça o resumo do artigo: O manual de engenharia social do Scattered Spider O sucesso do Scattered Spider não se baseia na sorte, mas em um processo metódico e multifásico que explora a confiança em cada etapa. A cadeia de ataque é uma aula de manipulação psicológica e abuso de processos corporativos.E para entender toda essa cadeia de ataque é muito importante entender primeiro o perfil desse grupo, e depois vamos aprofundar nas fases dessa cadeia de ataque trazendo em primeira mão como que eles trabalham e pensam.  Perfil do Grupo O Scattered Spider (UNC3944) é um grupo com motivação financeira, composto por indivíduos falantes nativos de inglês, com registros de atividade atribuídos a integrantes localizados nos Estados Unidos e Reino Unido. Algumas investigações apontam para a participação de membros com idade inferior a 20 anos e com alto conhecimento em engenharia social e operações de intrusão. Origem e Histórico • Atividade registrada: desde 2022, com aumento significativo de incidentes a partir de 2023 • Primeiros alvos conhecidos: empresas de telecomunicações e provedores de tecnologia • Evolução tática: expansão para setores como finanças, varejo, hospitalidade, seguros e mídia, além de adoção de táticas mais sofisticadas de intrusão em ambientes de virtualização e nuvem Motivação • Primariamente financeira: com foco em extorsão por meio de ransomware e ameaça de vazamento de dados (double extortion) • Monetização adicional: por meio de roubo de credenciais e venda de acessos iniciais (Initial Access Brokerage) Características Operacionais • Engenharia Social como núcleo da operação: utilização de vishing, smishing, phishing por e-mail e mensagens instantâneas para se passar por helpdesk ou TI interno da vítima • Alta adaptabilidade: uso de múltiplas identidades, domínios falsos que imitam serviços legítimos e modificação rápida de infraestrutura para evitar detecção • Velocidade de execução: ataques completos, desde o acesso inicial até a exfiltração e criptografia, podem ocorrer em poucas horas • Infraestrutura distribuída: uso de VPNs, proxies, TOR, armazenamento em nuvem (Amazon S3, MEGA.nz) e canais de comunicação criptografados (TOX, Signal) Fase 1: Reconhecimento e preparação do terreno Antes de qualquer contato, o grupo realiza uma extensa pesquisa.  Utilizando técnicas de Inteligência de Fonte Aberta (OSINT), eles mapeiam a estrutura organizacional da vítima, identificando funcionários em posições-chave, como executivos, administradores de TI e equipes financeiras. Eles coletam informações pessoais e profissionais que serão usadas para construir pretextos críveis e convincentes. Paralelamente, eles preparam a infraestrutura técnica para o golpe. Isso inclui o registro de domínios look-a-like que imitam portais de Single Sign-On (SSO), Okta ou páginas de suporte da empresa-alvo, como [empresa]-servicedesk.com ou [empresa]-sso.com. Esses domínios serão a linha de frente de suas campanhas de phishing. Fase 2: O contato multicanal – Vishing, Smishing e MFA Fatigue Com o terreno preparado, o ataque social começa, frequentemente utilizando múltiplos canais para aumentar a pressão e a legitimidade percebida: Da identidade comprometida ao controle total Uma vez que o acesso inicial é obtido através da manipulação de um usuário ou de um processo, o Scattered Spider move-se rapidamente para se entrincheirar na rede, escalar privilégios e se tornar invisível para as equipes de defesa. Estabelecimento da persistência e evasão de defesas O grupo evita o uso de malwares tradicionais, que são facilmente detectados por assinaturas. Em vez disso, eles adotam uma abordagem de Living off the Land (LOTL), utilizando ferramentas legítimas de Acesso e Monitoramento Remoto (RMM), como AnyDesk, TeamViewer, ScreenConnect (ConnectWise) .  Ao instalar esses

O data center é a base da economia moderna, de transações bancárias a operações de e-commerce, toda a atividade digital depende da resiliência dessas infraestruturas. De acordo com um relatório da Mordor Intelligence, o mercado brasileiro de construção de data centers está projetado para crescer de US$ 3,39 bilhões em 2025 para US$ 7,07 bilhões até 2030.  Enquanto as organizações investem bilhões para proteger dados e aplicações, uma ameaça fundamental muitas vezes permanece invisível, os próprios sistemas que gerenciam o ambiente físico do data center. Recentemente, essa ameaça se materializou com a descoberta de seis vulnerabilidades de gravidade máxima em uma plataforma de monitoramento, a EcoStruxure IT Data Center Expert que é amplamente utilizada por uma grande empresa do setor de fornecimento de insumos elétricos.  Essas falhas não expõem apenas dados; elas entregam aos atacantes as chaves da sala de máquinas, permitindo o controle sobre energia, refrigeração e segurança física dos servidores. O problema revela uma quebra na cadeia de suprimentos de confiança, empresas confiam em seus provedores de data center, que, por sua vez, confiam nos fornecedores de tecnologia. Quando uma plataforma tão fundamental apresenta falhas críticas, todo o ecossistema fica comprometido.  Neste artigo iremos dissecar a anatomia dessas vulnerabilidades, analisar as catastróficas consequências de negócio e apresentar a estratégia de defesa proativa necessária para blindar o coração da operação digital. Ouça o resumo do artigo: Anatomia de uma Falha Sistêmica: Dissecando as Vulnerabilidades As vulnerabilidades foram identificadas na plataforma EcoStruxure IT Data Center Expert, especificamente nas versões 8.3 e anteriores. Este software é uma solução de monitoramento escalável que oferece uma visão centralizada da infraestrutura física de um data center. A descoberta e a divulgação responsável das falhas foram conduzidas por pesquisadores de segurança da KoreLogic, Inc., em coordenação com a Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA). O conjunto de seis vulnerabilidades cria múltiplos vetores para um comprometimento total do sistema, permitindo que um atacante, em alguns casos sem qualquer autenticação, execute código remotamente, escale privilégios e assuma o controle administrativo da plataforma. O Ataque Perfeito: As Seis Falhas Críticas A combinação dessas falhas permite que um adversário execute uma cadeia de ataque devastadora.  As principais vulnerabilidades incluem: A tabela a seguir resume a gravidade e o impacto de cada vulnerabilidade. O Efeito Dominó: Da Falha de Monitoramento à Catástrofe de Negócio A exploração dessas vulnerabilidades se traduz em consequências de alto impacto, que vão muito além de um vazamento de dados.  O controle sobre a infraestrutura física permite que um atacante provoque uma paralisação operacional completa, com perdas financeiras massivas e graves violações de conformidade. Da Invasão Digital à Destruição Física Imagine um cenário plausível: um atacante explora a vulnerabilidade mais crítica para obter acesso root (acesso com dados do administrador). Em vez de roubar dados, seu objetivo é a sabotagem.  Com alguns comandos, ele desliga as unidades de energia (PDUs) e os sistemas de refrigeração. Em minutos, os servidores superaquecem, levando a uma falha em cascata de hardware. O que começou como uma brecha de software se transforma em destruição física de ativos, paralisando completamente as operações. A Quantificação do Desastre Financeiro e Regulatório Uma paralisação dessa magnitude tem um custo astronômico.  De acordo com um levantamento da Forbes, o tempo de inatividade (downtime) para grandes empresas custa, em média, US$ 9.000 por minuto em 2024. Uma interrupção de poucas horas pode facilmente ultrapassar milhões de dólares em perdas.  Esse valor é agravado pelo custo de uma violação de dados no Brasil, que, segundo o relatório “Cost of a Data Breach 2025” da IBM, atingiu uma média de R$ 7,19 milhões. Além do prejuízo financeiro, uma falha de segurança na infraestrutura do data center desencadeia um efeito dominó de violações de conformidade: A tabela abaixo mapeia como uma falha na infraestrutura se traduz em riscos de negócio. Além do Patch: O Mandato da Defesa Proativa A recomendação oficial é atualizar a plataforma para a versão 9.0. No entanto, aplicar uma atualização no sistema que controla a energia e a refrigeração de um data center é uma operação de altíssimo risco, que pode, por si só, causar interrupções.  Isso cria uma perigosa janela de vulnerabilidade. Portanto, uma estratégia que depende exclusivamente da aplicação de patches é inerentemente falha para sistemas dessa criticidade. É necessária uma mudança de paradigma, abandonando o modelo reativo em favor de uma abordagem proativa.  Como a Asper reforça constantemente, “segurança não é reativa, é proativa”. O foco deve se deslocar da remediação para a construção de uma resiliência contínua. E quais são as prioridades, o que fazer na prática?  O time de especialistas da Asper preparou um checklists com ações que você pode considerar para mitigar essas vulnerabilidades nos primeiros 30 dias.  Nas primeiras 72 horas:  Durante 14 dias: Ao longo de 30 dias: O Cyber Fusion Center da Asper: Blindando o Coração da Operação A resposta para essa ameaça complexa não é uma única ferramenta, mas uma estratégia integrada, orquestrada por especialistas.  O Cyber Fusion Center (CFC) da Asper foi projetado para isso, posicionando a empresa não como um fornecedor, mas como um “Trust Advisor” que oferece a supervisão e a expertise necessárias para gerenciar riscos dessa magnitude. A abordagem proativa do CFC se materializa em pilares fundamentais: E o que fazer antes, durante e depois?  Antes Durante Depois Da Ameaça Invisível à Resiliência Calculada A descoberta das seis vulnerabilidades na plataforma de monitoramento de data centers serve como um alerta contundente. A camada de gerenciamento da infraestrutura física, muitas vezes negligenciada, representa uma superfície de ataque de altíssimo impacto. Uma falha neste nível não é apenas um incidente de TI; é um evento capaz de paralisar um negócio. O modelo de segurança reativo, baseado na espera por patches, é obsoleto. A verdadeira resiliência empresarial só é alcançada através de uma postura de segurança proativa, contínua e gerenciada por especialistas, exatamente o modelo entregue pelo Cyber Fusion Center da Asper. A base do seu negócio digital é tão forte quanto seu componente mais esquecido. A questão crítica

No ambiente de trabalho moderno, a agilidade é sinônimo de sobrevivência. Ferramentas de colaboração como o Microsoft Teams não são mais um luxo, mas o sistema nervoso central que conecta equipes híbridas e impulsiona a produtividade. Contudo, essa mesma conectividade está sendo sistematicamente transformada em uma arma. De acordo com um relatório da Mimecast, 79% dos profissionais de segurança concordam que o uso de ferramentas de colaboração impõe novas e sérias ameaças. Este não é um risco teórico. Conforme apontado por relatórios da Microsoft e outras análises de segurança, grupos de ameaças ativos como o Midnight Blizzard e o Black Basta já exploram o Microsoft Teams para conduzir ataques de engenharia social altamente direcionados, contornando as defesas de e-mail tradicionais para entregar malware diretamente no coração das organizações. Eles exploram o ativo mais valioso e, ao mesmo tempo, mais vulnerável de uma empresa: a confiança.  Uma nova campanha do trojan Matanbuchus 3.0 exemplifica essa perigosa evolução. Ao se disfarçar de ajuda técnica em chamadas no Teams, os invasores enganam os usuários para que executem um loader de malware que abre as portas para o roubo de dados, movimentação lateral e, em última instância, ataques de ransomware devastadores.  Neste artigo, vamos dissecar a anatomia técnica do Matanbuchus 3.0, analisar por que as defesas convencionais falham em detectá-lo e apresentar a estratégia de segurança proativa e em camadas necessárias para neutralizar essa e outras ameaças que se escondem por trás da fachada da colaboração. Ouça o resumo do artigo: Anatomia de um Invasor Silencioso: A Cadeia de Infecção do Matanbuchus 3.0 O Matanbuchus 3.0 não se baseia em força bruta, mas em engano e furtividade.  Sua cadeia de infecção é um processo multifásico cuidadosamente orquestrado para abusar de ferramentas e processos legítimos, tornando-se praticamente invisível para as defesas que não conseguem analisar o comportamento em contexto. Engenharia Social em Tempo Real: O Vetor Teams O ponto de entrada não é um e-mail de phishing genérico, mas uma interação humana em tempo real. De acordo com pesquisadores de segurança que analisaram a campanha, os atacantes iniciam o contato através de chamadas externas no Microsoft Teams, se passando por uma equipe de suporte de TI.  Durante a chamada, eles manipulam a vítima para que ative o Quick Assist, uma funcionalidade legítima do Windows para assistência remota. Uma vez estabelecida a confiança e o acesso visual, o falso técnico instrui o usuário a executar um script, alegando ser parte de um processo de correção ou atualização.  O uso de uma ferramenta legítima como o Quick Assist é uma tática deliberada para evitar suspeitas e contornar controles de segurança que poderiam bloquear softwares de acesso remoto de terceiros. A Arquitetura do Engano: DLL Side-Loading e o Disfarce do Notepad++ O script executado pela vítima desencadeia o download de um arquivo compactado.  Dentro dele, não há um executável obviamente malicioso, mas sim uma armadilha técnica conhecida como DLL side-loading.  A análise técnica da campanha revela que o arquivo contém três componentes principais: Quando o usuário (ou o script) executa o GUP.exe, o sistema operacional, por padrão, procura as DLLs necessárias primeiro no mesmo diretório do executável.  Ao fazer isso, ele carrega a DLL maliciosa em vez da versão legítima localizada no sistema. Esse processo permite que o código malicioso do Matanbuchus seja executado sob o disfarce de um processo confiável e assinado digitalmente, uma tática de evasão altamente eficaz. O Arsenal Pós-Invasão: De Loader a Precursor de Ransomware Uma vez ativo na memória, o Matanbuchus 3.0 revela sua verdadeira natureza: um loader de malware extremamente versátil.  Ele funciona como uma porta de entrada, projetado para baixar e executar silenciosamente payloads de segundo estágio.  Conforme detalhado em relatórios sobre a ameaça, suas capacidades incluem: Mais criticamente, o Matanbuchus é um conhecido precursor de algumas das ameaças mais destrutivas da atualidade. Como observado em diversas análises de segurança, campanhas anteriores o utilizaram para implantar malwares como Danabot e Qakbot, e mais notavelmente, o Cobalt Strike.  O Cobalt Strike é uma ferramenta de teste de penetração legítima, mas amplamente abusada por grupos de ransomware para realizar reconhecimento de rede, movimentação lateral e exfiltração de dados antes da criptografia final.  A presença do Matanbuchus em uma rede é, portanto, um forte indicador de que um ataque de ransomware em larga escala pode ser iminente, tornando a compreensão das suas táticas de acesso inicial um ponto crucial para a defesa.  O Ponto Cego da Segurança Tradicional: Por Que Antivírus e Firewalls São Insuficientes A sofisticação do Matanbuchus 3.0 não reside apenas em seu vetor de entrega, mas em suas técnicas avançadas de evasão e persistência, projetadas especificamente para explorar os pontos cegos das ferramentas de segurança legadas. Evasão na Memória e Ofuscação Avançada A principal estratégia de evasão do Matanbuchus é evitar o disco a todo custo. Ao operar “diretamente na memória”, como apontam análises de segurança, ele frustra a maioria dos antivírus tradicionais, que são otimizados para escanear arquivos armazenados.  Além disso, a análise da versão 3.0 mostra melhorias significativas em suas técnicas de ofuscação: Persistência Furtiva via COM Para garantir sua sobrevivência após uma reinicialização do sistema, o Matanbuchus precisa estabelecer persistência. Em vez de usar métodos facilmente detectáveis, como adicionar uma chave ao registro “Run” do Windows, ele emprega uma técnica muito mais furtiva.  Conforme detalhado por pesquisadores que investigaram a ameaça, a versão 3.0 utiliza a infraestrutura Component Object Model (COM) do Windows, combinada com injeção de shellcode, para criar uma tarefa agendada.7 Esse método é significativamente mais complexo de detectar e rastrear, pois abusa de funcionalidades internas do sistema operacional de uma maneira não convencional. A tabela abaixo resume como as táticas do Matanbuchus 3.0 contornam sistematicamente os controles de segurança tradicionais, evidenciando a necessidade de uma mudança de paradigma na defesa. Defesa em Profundidade: A Resposta Orquestrada do Cyber Fusion Center da Asper Diante de uma ameaça que abusa da confiança e opera nas sombras de processos legítimos, uma defesa reativa está fadada ao fracasso.  A filosofia da Asper é clara: “segurança não é reativa,

O cenário de ameaças digitais de 2025 já se desenha com uma intensidade sem precedentes. Em um sinal alarmante de que as defesas corporativas estão sob uma pressão crescente, o volume de ataques de negação de serviço distribuído (DDoS) mitigados nos primeiros seis meses do ano já ultrapassou o total registrado durante todo o ano de 2024. Dados da Cloudflare indicam que, enquanto 21,3 milhões de ataques foram bloqueados ao longo de 2024, o primeiro semestre de 2025 sozinho já contabiliza 27,8 milhões de incidentes. Esta escalada vertiginosa não representa um pico anômalo, mas a consolidação de uma nova e perigosa normalidade. A “maré crescente” de tráfego hostil é mais do que uma metáfora; é um dilúvio de dados maliciosos que ameaça submergir infraestruturas digitais e paralisar operações críticas. A aceleração não é linear, mas exponencial, tornando obsoletos os modelos de risco e os orçamentos de segurança baseados em tendências históricas. As organizações que planejam suas defesas com base no cenário de 2024 estão, na prática, se preparando para uma guerra que não existe mais. A transformação, no entanto, vai além dos números. A natureza dos ataques DDoS está mudando fundamentalmente. A força bruta está dando lugar à sofisticação cirúrgica, os vetores de ataque se multiplicam e as motivações evoluem da simples interrupção para a extorsão financeira e a espionagem estratégica. Este artigo irá dissecar essa nova realidade, analisando a anatomia da nova geração de ataques DDoS, seu impacto direto no negócio e a abordagem estratégica necessária para garantir a resiliência digital. Em um ambiente onde o risco é dinâmico e complexo, a sobrevivência depende de uma postura de segurança proativa, orquestrada por um parceiro de confiança, um verdadeiro Trust Advisor. Ouça o resumo do artigo: A anatomia da nova geração de ataques DDoS Compreender a ameaça DDoS em 2025 exige uma análise que vá além da contagem de incidentes. É preciso dissecar as táticas, técnicas e procedimentos (TTPs) que definem esta nova era de tráfego hostil.  A evolução é marcada por um aumento dramático no volume e na velocidade, uma sofisticação multivetorial com foco na camada de aplicação e uma economia do cibercrime que torna ataques devastadores acessíveis a um custo irrisório. Volume e velocidade sem precedentes: A era dos ataques hipervolumétricos e de rajada A escala dos ataques atingiu um patamar antes inimaginável. O conceito de “ataques hipervolumétricos”, definidos como ataques que excedem 1 terabit por segundo (Tbps) ou 1 bilhão de pacotes por segundo (Bpps) tornou-se uma ocorrência quase diária.  Em meados de maio de 2025, a Cloudflare bloqueou o maior ataque DDoS já registrado, atingindo um pico de 7.3 Tbps. Para contextualizar, um ataque dessa magnitude possui capacidade suficiente para saturar não apenas a infraestrutura de uma grande corporação, mas a de nações inteiras.  A frequência desses mega-ataques é igualmente alarmante: mais de 6.500 incidentes hipervolumétricos foram registrados apenas no segundo trimestre de 2025, uma média de 71 por dia. Paralelamente, os atacantes refinaram suas táticas para maximizar o impacto e evadir a detecção. Os “burst attacks” (ataques de rajada) são um exemplo claro dessa evolução. Conforme apontam relatórios do setor, estes ataques, que cresceram 36,5% no último ano, são caracterizados por sua curta duração, frequentemente menos de cinco minutos, mas com picos de tráfego imensos. A estratégia por trás dessa tática é deliberada: sobrecarregar os sistemas de forma tão rápida que as defesas manuais ou baseadas em limites de taxa, que buscam anomalias sustentadas, não conseguem reagir a tempo. A resposta precisa ser automatizada e ocorrer em segundos, não em minutos. Sofisticação multivetorial e a migração para a camada de aplicação (L7) A era dos ataques DDoS unidimensionais chegou ao fim. Os adversários modernos orquestram campanhas complexas que exploram múltiplas vulnerabilidades simultaneamente.  A tabela a seguir ilustra a transição das táticas tradicionais para as abordagens modernas que definem o cenário de 2025: Atualmente, mais de 55% dos ataques são “multivetoriais”, combinando inundações de rede (Camadas 3 e 4) com ataques à camada de aplicação (Camada 7) para sobrecarregar as defesas em todas as frentes. A distribuição dos vetores de ataque nas camadas de rede e transporte (L3/L4) mostra uma preferência clara por inundações de pacotes genéricos (IP flood), que representam 64.7% dos incidentes, seguidos por UDP flood (14.9%), TCP flood (11.5%) e SYN flood (8.8%). No entanto, o pivô estratégico mais significativo é a migração dos ataques para a camada de aplicação (L7), com um foco especial em Interfaces de Programação de Aplicações (APIs).  Relatórios de mercado apontam um aumento de 33% nos ataques a aplicações web e APIs em 2024, com um volume impressionante de 150 bilhões de ataques a APIs registrados entre janeiro de 2023 e dezembro de 2024.  As APIs tornaram-se alvos preferenciais por duas razões principais: são a espinha dorsal que conecta os serviços digitais modernos e, crucialmente, o tráfego de ataque L7 é muito mais difícil de distinguir do tráfego de usuários legítimos, exigindo uma análise de segurança muito mais profunda e contextual. Essa mudança tática revela uma intenção mais complexa. Um ataque DDoS volumétrico pode não ser o objetivo final, mas sim uma cortina de fumaça.  Ao lançar um ataque massivo para desviar a atenção e os recursos da equipe de segurança, um adversário pode, simultaneamente, conduzir um ataque cirúrgico e de baixo volume contra uma API vulnerável para exfiltrar dados ou implantar malware. Isso transforma a mitigação de DDoS de um simples problema de disponibilidade em um componente crítico de uma estratégia de detecção e resposta a incidentes (XDR), exigindo uma visibilidade unificada que apenas um centro de operações integrado pode fornecer. A economia do cibercrime: Botnets gigantes e DDoS-as-a-Service A escalada dos ataques é alimentada por uma economia subterrânea robusta e em plena expansão. A “democratização” do cibercrime, através de plataformas de DDoS-as-a-Service (DDoS para aluguel), permite que atores com pouca ou nenhuma habilidade técnica lancem ataques devastadores por uma fração do custo.  Esses serviços, frequentemente anunciados em fóruns da dark web, aceitam pagamentos em criptomoedas e oferecem painéis de controle intuitivos para orquestrar ataques multivetoriais.

Ouça o resumo do artigo: Imagine acordar e descobrir que US$ 1,5 bilhão foram drenados de uma das maiores exchanges de criptomoedas do mundo em questão de minutos. Ou que R$ 1 bilhão desapareceram do sistema bancário brasileiro através de uma única credencial comprometida. Estes não são cenários hipotéticos, são a realidade brutal do primeiro semestre de 2025. O denominador comum entre o hack da Bybit e o caso C&M Software no Brasil vai muito além dos valores milionários envolvidos. No mundo digital, credencial é rei – e, pior, podem ser expostas em repositórios públicos, ataques de phishing, infecções por malware ou falhas de MFA. Em cibersegurança, a posse de credenciais privilegiadas equivale ao controle total sobre ativos críticos.  Quem conquista a chave certa tem acesso direto ao valor, seja em bitcoin ou reais, seja em exchanges globais ou nos sistemas do Banco Central. Ao longo deste artigo, vamos analisar esses acontecimentos do primeiro semestre sob outro ponto de vista e mostrar como eles impactam e devem redefinir a estratégia de cibersegurança do mercado financeiro. Os números que redefinem a ameaça cibernética O primeiro semestre de 2025 estabeleceu novos recordes alarmantes no cenário global de crimes cibernéticos. Segundo dados da Chainalysis, mais de US$ 2,17 bilhões foram roubados em criptoativos entre janeiro e junho. Para colocar em perspectiva: em 2022, considerado até então o pior ano da história, foram necessários 214 dias para atingir US$ 2 bilhões em prejuízos. Em 2025, esse marco foi ultrapassado em apenas 142 dias. A TRM Labs confirma esses números preocupantes, identificando cerca de 75 ataques e explorações distintos no setor cripto ao longo do primeiro semestre. O que torna esses dados ainda mais relevantes é que mais de 80% dos valores subtraídos tiveram origem em ataques direcionados à infraestrutura das plataformas, envolvendo roubo de chaves privadas (senhas que acessam carteiras digitais), comprometimento de frases-semente (sequências que recuperam contas) e violações em interfaces de usuários. O Hack da Bybit: Anatomia de um mega ataque Em 21 de fevereiro de 2025, hackers vinculados ao grupo Lazarus da Coreia do Norte executaram o maior roubo da história das criptomoedas. A Bybit, segunda maior exchange de derivativos cripto do mundo, perdeu aproximadamente 400.000 ETH, equivalentes a US$ 1,5 bilhão. O ataque não foi um simples caso de força bruta ou phishing tradicional. Investigações conduzidas pela TRM Labs e posteriormente confirmadas pelo FBI revelaram que os atacantes exploraram uma vulnerabilidade no processo de assinatura de transações da exchange. Especificamente, conseguiram comprometer o sistema de cold wallet da Bybit — ironicamente, o método de armazenamento considerado mais seguro para criptoativos. A sofisticação técnica do ataque impressiona os especialistas. Em vez de mirar carteiras pessoais ou sistemas menos protegidos, o grupo Lazarus direcionou seus esforços para a infraestrutura central da exchange, demonstrando conhecimento profundo dos sistemas de custódia de criptomoedas. Dentro de minutos após o comprometimento inicial, os fundos foram movimentados através de múltiplas carteiras e convertidos utilizando pontes cross-chain e mixers para obscurecer o rastro. Lazarus Group (também conhecido como APT38, Hidden Cobra, Guardians of Peace, TraderTraitor) A falha explorada pode ter envolvido comprometimento de múltiplas etapas de autenticação ou má configuração de módulos HSM/software de assinatura. Caso C&M Software: A vulnerabilidade do sistema financeiro nacional Enquanto o mundo ainda absorvia o impacto do hack da Bybit, o Brasil enfrentava seu próprio pesadelo cibernético. Em julho de 2025, a C&M Software, empresa que conecta instituições financeiras menores ao Sistema de Pagamentos Brasileiro (SPB), foi alvo do que especialistas consideram o maior ataque hacker da história do sistema financeiro nacional. O prejuízo, inicialmente estimado em R$ 800 milhões, pode ultrapassar R$ 1 bilhão conforme novas instituições relatam perdas relacionadas ao caso. Seis instituições financeiras foram diretamente afetadas, incluindo a BMP Money Plus, que sozinha perdeu R$ 541 milhões. O que torna este caso particularmente revelador é sua simplicidade. Não houve exploração de vulnerabilidades zero-day ou malware sofisticado. O ataque baseou-se em engenharia social e falha de segregação de credenciais. Um funcionário da C&M Software admitiu à polícia que repassou suas credenciais de acesso para terceiros, permitindo que criminosos acessassem as contas reserva de clientes da empresa no Banco Central. O denominador comum: Credenciais como moeda universal do crime Analisando tanto o caso Bybit quanto o C&M Software, emerge um padrão claro que João Saud, Co-CEO da Asper, já havia identificado: “Instituições financeiras se tornaram alvo preferencial de invasores devido ao volume de transações instantâneas e à adoção de novos rails como open finance, cripto e PIX”; em seu artigo no portal da TI Inside. A realidade é que credencial tornou-se a moeda universal do cibercrime. No universo das criptomoedas, uma chave privada comprometida significa acesso direto aos fundos, sem necessidade de aprovações ou validações adicionais. No sistema bancário tradicional, credenciais privilegiadas permitem movimentações instantâneas via PIX, contornando controles que dependem de segregação de funções adequada. Dados do Cyber Fusion Center da Asper revelam que instituições financeiras brasileiras sofrem, em média, 1.774 ataques semanais por organização, superando a média global de 1.696 ataques. O tempo médio para detectar e conter uma ameaça é de 277 dias, segundo estudo da IBM — um prazo que permite aos atacantes movimentar valores astronômicos sem detecção. Por que as instituições financeiras são alvos preferenciais? O fenômeno não é coincidência. Como observa João Saud, a digitalização acelerada do sistema financeiro criou uma superfície de ataque sem precedentes. O PIX, que movimentou R$ 27,3 trilhões em 2024, o Open Finance, que já conta com 39 milhões de consentimentos ativos, e a integração crescente com criptomoedas criaram um ecossistema onde valor pode ser transferido instantaneamente, 24 horas por dia. Esta realidade é confirmada por estudos internacionais. No Brasil, o setor financeiro é responsável por 20,18% de todos os incidentes cibernéticos registrados no país.  A explicação é simples: liquidez imediata.t Diferentemente de outros setores, onde atacantes precisam converter dados roubados ou propriedade intelectual em dinheiro através de processos complexos, instituições financeiras oferecem acesso direto ao valor. Um único conjunto de credenciais privilegiadas pode resultar em transferências de milhões em questão

Ouça o resumo do Artigo:   O cenário de fraudes digitais no Brasil apresenta números que chamam atenção. No primeiro trimestre de 2025, os dados da Serasa Experian revelam mais de um milhão de tentativas de fraude por mês – o equivalente a uma nova investida a cada 2,2 segundos. Esse volume intenso, que contribuiu para perdas de R$ 10,1 bilhões em 2024, reflete uma sofisticação crescente por parte dos adversários cibernéticos. Nesse contexto emerge o Crocodilus, um trojan bancário que redefine as regras do jogo. Diferente dos malwares tradicionais que roubam credenciais para uso posterior, ele sequestra sessões bancárias e executa transações fraudulentas em tempo real, enquanto o usuário legítimo permanece logado e, na maioria das vezes, inconsciente do ataque. Essa capacidade de Device Takeover (DTO) representa uma evolução técnica significativa que expõe limitações dos modelos de segurança baseados em perímetro. A sofisticação do Crocodilus, que combina engenharia social, abuso de funcionalidades do sistema operacional e canais de comunicação furtivos, torna firewalls e antivírus tradicionais insuficientes.  Neste artigo, vamos analisar a anatomia técnica do Crocodilus, entender por que o Brasil se consolidou como laboratório global para essas ameaças e apresentar as estratégias de defesa necessárias para neutralizar este tipo de ameaça. Crocodilus vs. Trojans Tradicionais: Por que esta ameaça exige uma nova abordagem de defesa Nos últimos anos, os malwares bancários seguiram um padrão previsível de atuação, com foco em captura de credenciais para uso posterior. No entanto, o Crocodilus marca uma ruptura nesse modelo ao operar em tempo real e durante sessões legítimas, elevando a complexidade e a urgência da resposta de segurança.   A tabela a seguir compara os trojans bancários tradicionais com o Crocodilus 4.0 e destaca os impactos diretos para a estratégia de defesa das organizações. O ecossistema do “Cangaço Digital”: Por que o Brasil é o laboratório global de trojans bancários O surgimento de uma ameaça como o Crocodilus no Brasil não é um acaso. O país consolidou-se como um epicentro global para o desenvolvimento e a disseminação de malwares financeiros.  De acordo com um relatório da Kaspersky, a América Latina registrou um crescimento de 70% nos ataques a dispositivos móveis entre agosto de 2023 e julho de 2024, com o Brasil liderando de forma isolada, somando 1,8 milhão de bloqueios de ataques nesse período.  Mais do que um alvo, o Brasil é um polo de inovação para o cibercrime: estima-se que 13 das 18 famílias mais frequentes de trojans bancários em atividade tenham origem brasileira. Este cenário é alimentado por um volume de ataques incessante. Dados da Serasa Experian do primeiro trimestre de 2025 revelam mais de um milhão de tentativas de fraude por mês, o que equivale a uma nova tentativa a cada 2,2 segundos. O setor de “Bancos e Cartões” é o alvo preferencial, concentrando 54% de todas as investidas.  A rápida digitalização dos serviços financeiros, impulsionada por tecnologias como o Pix, criou uma superfície de ataque vasta e extremamente lucrativa, atraindo organizações criminosas que migraram suas operações para o ambiente virtual. Este fenômeno foi apropriadamente classificado como “cangaço digital” pelo diretor-geral da Polícia Federal, Andrei Passos Rodrigues, elevando a fraude de um problema puramente técnico para uma questão de segurança pública e estabilidade econômica.  Consequentemente, a pressão regulatória sobre as instituições financeiras aumenta, com órgãos como o Banco Central do Brasil (BACEN) exigindo controles mais rígidos e uma capacidade de resposta a incidentes cada vez mais ágil e eficaz. Operar neste ambiente exige mais do que tecnologia; exige uma profunda compreensão das táticas, técnicas e procedimentos (TTPs) locais, que estão na vanguarda das ameaças globais. Anatomia de um Predador: A engenharia técnica do Crocodilus O Crocodilus opera com uma precisão cirúrgica, combinando múltiplos vetores de entrada com técnicas avançadas para tomar o controle do dispositivo e evadir a detecção. Sua cadeia de infecção é multivetorial. Em campanhas observadas na Europa, os operadores utilizaram anúncios maliciosos no Facebook, prometendo bônus e promoções para induzir as vítimas a baixar um aplicativo falso. O malware também se disfarça de aplicativos populares, como o Google Chrome, ou de atualizações de sistema para enganar o usuário.5 Um dos vetores mais insidiosos, e de grande relevância para o ambiente corporativo, envolve o uso de engenharia social por e-mail. O ataque se inicia com uma mensagem de phishing, frequentemente disfarçada de um boleto ou fatura pendente. Anexado ao e-mail, há um arquivo PDF malicioso. Ao ser aberto, este documento executa um código que, por sua vez, injeta um script JavaScript no navegador ou diretamente no sistema da vítima. Esse script é o ponto de partida para baixar o payload principal do Crocodilus e iniciar a fase de tomada de controle. Uma vez instalado, o malware foca em obter a permissão para utilizar os Serviços de Acessibilidade do Android. Esta é a sua “chave mestra”.  Com essa permissão, o Crocodilus ganha a capacidade de: Para roubar credenciais de forma eficaz, o Crocodilus emprega overlay attacks avançados, sobrepondo telas de login falsas, porém idênticas às originais, sobre os aplicativos bancários legítimos. Para garantir que suas atividades fraudulentas não sejam percebidas, ele pode ativar um modo stealth, exibindo uma tela preta e silenciando o dispositivo enquanto drena a conta da vítima. A comunicação com seus servidores de Comando e Controle (C2) é outro ponto de sofisticação. O malware estabelece canais WebSocket cifrados, uma tecnologia que cria uma conexão persistente e bidirecional.  Diferente do tráfego HTTP/S convencional, o tráfego WebSocket é mais difícil de ser inspecionado por firewalls e gateways de segurança, garantindo aos atacantes um canal de comunicação estável e furtivo para enviar comandos e exfiltrar dados. Para completar, o código do Crocodilus é protegido por múltiplas camadas de evasão, incluindo empacotamento, criptografia XOR e um design “emaranhado” que visa frustrar tentativas de engenharia reversa por parte de analistas de segurança. Aprofundando o ataque: o que torna o Crocodilus tão difícil de detectar A evolução do Crocodilus não está apenas na superfície do sistema, ela se estende às camadas mais profundas, onde as ferramentas de segurança tradicionais têm pouca visibilidade.

Em 2025, os ataques cibernéticos atingiram um pico alarmante, um relatório recente feito pela Hiscox Cyber Readiness revelou que 67% das organizações globais sofreram pelo menos um ataque cibernético nos últimos 12 meses, sendo que no Brasil, a média semanal chegou a 2.766 tentativas por empresa. Segundo esse mesmo relatório o número global subiu drasticamente dos 53% do ano anterior, marcando o quarto aumento anual consecutivo.  Ao longo desse artigo, iremos explicar por que a curva segue crescente, iremos mapear os princípiais vetores de intrusão de 2025, e trazer para você práticas para migrar a defesa reativa para um modelo de defesa proativa. Panorama dos ataques cibernéticos em 2025 Os números deixam claro que 2025 vem sendo um ano desafiador em termos de segurança digital. O salto para 67% de empresas atacadas globalmente representa um aumento acentuado na taxa de incidentes e acende um alerta para todos os setores.  Conforme mencionado, essa elevação mantém uma tendência preocupante de crescimento ano após ano. Para contextualizar essa evolução, o gráfico abaixo ilustra a porcentagem de organizações que reportaram ataques cibernéticos nos últimos anos, segundo os relatórios anuais da Hiscox: Além de multiplicar‐se em volume, os ataques diversificaram métodos e objetivos, o que nos leva aos vetores mais críticos de 2025. No Brasil, por exemplo, o número de ataques semanais por organização praticamente dobrou em 2024, atingindo uma média de 2.766 ataques semanais no 2º trimestre, um aumento de 67% em relação a 2023. No 3º trimestre de 2024, a média subiu para 2.766 ataques semanais por organização, impressionantes 95% acima do mesmo período do ano anterior.  Além da quantidade de ataques, a persistência e determinação dos atacantes aumentaram. No cenário global, 17% das organizações relataram ter sofrido mais de 50 ataques distintos em apenas um ano, um indicativo claro de agentes maliciosos incansáveis e de campanhas automatizadas que vasculham a internet em busca de alvos vulneráveis.  Em outras palavras, entender como os criminosos entram é tão importante quanto saber quantas vezes entram. Os vetores de ataques estão cada vez mais diversificados Segundo o relatório, “business email compromise” (BEC), ou comprometimento de e-mail corporativo, foi novamente o ponto de entrada mais comum para invasores, repetindo o primeiro lugar pelo segundo ano consecutivo.  Esse tipo de ataque envolve geralmente phishing direcionado, em que o criminoso engana alguém da empresa para obter acesso indevido (por exemplo, assumindo o controle de uma conta de e-mail interna).  No Reino Unido, um subtipo de BEC, fraudes de desvio de pagamentos representou 57% dos ataques reportados em 2024, ilustrando como engenharia social e técnicas de phishing continuam extremamente eficazes contra organizações despreparadas. A exploração de vulnerabilidades em sistemas e aplicações A cada ano, milhares de novas falhas de segurança (CVE) são descobertas e divulgadas publicamente e os atacantes correm para explorar aquelas que ficam sem correção. Uma infraestrutura sem gerenciamento adequado de patches pode ser comprometida em questão de horas após a revelação de uma falha crítica.  Em ambientes de multicloud e adoção acelerada de novas tecnologias, manter todas as ferramentas integradas e atualizadas é um desafio. Brechas não corrigidas funcionam como portas escancaradas para invasores, permitindo desde ataques de ransomware até roubos silenciosos de dados. Portanto, entender as principais ameaças e vetores é o primeiro passo; o próximo é avaliar os impactos que esses ataques podem trazer. Principais ameaças e vetores em 2025 : phishing, ransomware e falha humana Phishing, BEC e o elo humano fraco Ataques baseados em phishing e suas variantes direcionadas, como spear phishing e BEC – permanecem entre os vetores mais prevalentes em 2025. Esses golpes exploram o elo mais vulnerável da segurança: as pessoas.  Quase metade (46%) das organizações que sofreram violações identificaram um erro ou ação de um funcionário como ponto inicial da invasão. Isso inclui casos em que alguém clicou em um link malicioso, abriu um anexo infectado ou compartilhou credenciais achando que a solicitação vinha de fonte confiável.  Por esse motivo, empresas em todo o mundo têm investido em conscientização: 65% dos líderes aumentaram o treinamento de segurança cibernética para colaboradores remotos, visando reduzir esse risco humano. Mesmo assim, a engenharia social evolui e engana até usuários cautelosos. E-mails fraudulentos hoje imitam com perfeição comunicações legítimas de parceiros ou diretores da empresa, levando vítimas a tomar ações danosas.  No ataque BEC típico, o invasor intercepta ou falsifica uma conversa de e-mail corporativo para solicitar um pagamento indevido – muitas vezes se passando por um fornecedor ou superior hierárquico. Em ambientes com pouca verificação de procedimentos, as perdas podem ser enormes. A sofisticação cresceu tanto que nesses tipos de ataques estão sendo usados domínios falsos e QR Codes maliciosos. A lição aqui é clara: a falha humana continua sendo um fator crítico em segurança, e abordá-la requer tanto tecnologia (filtros de e-mail, autenticação multifator) quanto educação contínua dos usuários. Ransomware: a ameaça esmagadora  Se o phishing é a porta de entrada, o ransomware é possivelmente o visitante indesejado mais temido ao atravessá-la.  Nos últimos anos, os ataques de ransomware dispararam em volume e impacto. Janeiro de 2025 marcou um recorde histórico, com 590 incidentes de ransomware documentados globalmente apenas nesse mês  um número cinco vezes maior que o registrado em janeiro de 2022.  No acumulado de 2024, houve 5.414 ataques de ransomware divulgados publicamente, representando um aumento de 11% em relação a 2023. Mais da metade das organizações já vivenciou um ataque de ransomware: 59% das empresas foram alvo desse tipo de extorsão no último ano. Diante desses dados, fica evidente que não se trata mais de “se” sua empresa será atacada, mas “quando”. O modus operandi também se sofisticou. Ataques antes oportunistas tornaram-se operações meticulosas e repetíveis, muitas vezes conduzidas por gangues especializadas que funcionam como empresas criminosas. Elas invadem redes, exfiltram dados sigilosos (96% dos casos incluem exfiltração antes da criptografia (tática double extortion)) e só então criptografam os sistemas, aumentando a pressão para o pagamento do resgate.  Em suma, o ransomware consolidou-se como uma das ameaças mais urgentes da atualidade. Nenhuma empresa, grande ou pequena, pode ignorar

A ascensão do Brasil no ranking global de ataques DDoS no Brasil mostra que o país se tornou um alvo crítico na geopolítica digital. Em apenas três meses segundo relatórios da Cloudfare, mais de 20,5 milhões de ataques DDoS foram registrados globalmente, um salto impressionante de 358% em comparação ao ano anterior (e 198% acima do início de 2024).  A própria Cloudflare reportou ter bloqueado esse volume massivo de tentativas no 1º trimestre, incluindo mais de 700 ataques “hipervolumétricos” (acima de 1 Tbps de tráfego cada), uma média de oito megataques por dia. Esses números assombrosos ilustram como os ataques de Distributed Denial of Service (DDoS) voltaram a subir exponencialmente, alimentados por agentes de ameaça cada vez mais audaciosos e uma superfície de ataque digital em expansão.  Nesse contexto global turbulento, o Brasil desponta simultaneamente como vítima frequente e fonte emergente dessas ofensivas, configurando um cenário de duplo risco que acende um sinal de alerta para a segurança digital no país. Crescimento global e o papel do Brasil nos ataques DDoS em 2025 Relatórios recentes elaborados pela Cloudfare confirmam que o Brasil está entre os 10 países mais visados por DDoS no mundo. No ranking da Cloudflare para o 1º trimestre de 2025, o país ocupou a 6ª posição em quantidade de ataques recebidos, mantendo-se exatamente na mesma posição de alto risco já registrada no final de 2024.  Essa persistência no Top 10 indica que os fatores que tornam o Brasil um alvo atraente são estruturais e contínuos, não apenas eventos pontuais. De fato, somente no segundo semestre de 2024 o Brasil sofreu mais de 514 mil ataques DDoS. O maior desses atingiu picos de 788 Gbps de banda e 251 milhões de pacotes por segundo, magnitude capaz de congestionar praticamente qualquer infraestrutura. Ou seja, mesmo antes da onda global de 2025, o país já enfrentava um volume e intensidade elevadíssimos de ataques. Paralelamente, o Brasil também se destacou como foco de origem de tráfego malicioso. No começo de 2025, o país saltou para a 6ª posição entre as maiores origens de ataques DDoS do mundo, subindo sete colocações em relação ao relatório anterior. A ascensão do Brasil como ponto de origem de tráfego malicioso revela falhas estruturais de segurança em ISPs e a falta de hardening em dispositivos conectados. Por que o Brasil virou origem de tantos ataques DDoS em 2025 Uma série de fatores estruturais, tecnológicos e sociais transformou o país em terreno fértil para a proliferação de botnets e a execução de ataques de negação de serviço: Em números: 514 mil ataques em apenas seis meses; picos de 788 Gbps/251 Mpps; 6ª posição tanto como alvo quanto como origem de DDoS em 2025. Esse avanço sugere uma proliferação alarmante de redes zumbis dentro do território nacional, dispositivos comprometidos (desde computadores e servidores até câmeras e IoT) recrutados por botnets para disparar ataques. Em outras palavras, além de ser alvo, o Brasil tornou-se um notável exportador de ataques, evidenciando falhas de segurança generalizadas que permitiram a infecção em larga escala de ativos domésticos.  Esse fenômeno traz riscos duplos: não só contribui para ameaças globais, mas também pode facilmente se voltar contra infraestruturas brasileiras, caso essas botnets locais sejam direcionadas a alvos internos. Ademais, tal notoriedade negativa pode levar a bloqueios preventivos de endereços IP brasileiros no exterior, prejudicando tráfego legítimo e a reputação digital do país.  O recado é claro, o panorama de ameaças DDoS no Brasil é crítico e persistente, requerendo uma estratégia robusta e coordenada de mitigação a longo prazo, em vez de meras reações pontuais. Setores mais visados e impactos operacionais e financeiros Nem todos os alvos são atingidos por DDoS com a mesma frequência ou impacto, os agressores tendem a mirar setores cujos serviços são críticos ou cuja indisponibilidade gera maiores prejuízos.  No cenário global, por exemplo, o setor de Jogos de Azar e Cassinos liderou a lista de alvos no início de 2025, seguido de perto por Telecomunicações e Serviços de Internet. Esse padrão também se reflete no Brasil, ainda que com particularidades locais.  Os setores mais visados em ataques DDoS e os potenciais impactos Infraestrutura de Telecomunicações e Internet Provedores de telecom (operadoras de telefonia, internet e data centers) estão no topo da lista de vítimas de DDoS no Brasil. Apenas no segundo semestre de 2024, as operadoras de telecomunicação sem fio sofreram cerca de 48.845 ataques DDoS, com picos de tráfego chegando a 433 Gbps.  Em segundo lugar, ficaram os grandes provedores de hospedagem e infraestrutura de TI. A razão é estratégica, derrubar um provedor fundamental cria um efeito cascata, um ataque bem-sucedido a uma grande telco pode degradar o acesso à internet de milhares de empresas e usuários, enquanto atingir um provedor de nuvem/hospedagem tira do ar inúmeros sites e serviços de uma vez.  Em suma, os atacantes miram esses setores pela possibilidade de causar danos colaterais em larga escala, maximizando o impacto de uma única ofensiva. Isso torna a proteção de telecom e backbone da internet uma prioridade nacional, já que a indisponibilidade ampla desses serviços críticos repercute em toda a economia. Serviços Financeiros e Saúde Instituições financeiras figuram consistentemente entre os alvos preferenciais de criminosos digitais. Globalmente, no 1º tri de 2025, o segmento de Fintech/Financeiro concentrou 54% dos ataques DDoS de aplicação e 22% dos de rede, liderando as estatísticas em nível mundial.  O setor financeiro concentra mais da metade dos ataques de aplicação no mundo, com destaque para fintechs e bancos digitais que operam 24/7. Um ataque de 30 minutos pode interromper milhões em transações e provocar reações em cadeia no mercado. No Brasil, não por acaso, bancos comerciais aparecem entre os setores mais atacados (6ª posição em volume de ataques no fim de 2024). A motivação é clara, serviços financeiros lidam com transações vitais e dados sensíveis, de modo que uma queda de sistema provoca interrupção de pagamentos, prejuízo imediato e perdas de confiança.  Além disso, ataques DDoS muitas vezes servem de cortina de fumaça para invasões mais graves, como roubo de dados e