A primeira semana de setembro de 2025 mostrou o retrato da cibersegurança moderna: ataques cada vez mais sofisticados, explorando a confiança em terceiros, combinados à exploração de falhas antigas, mas ainda presentes em softwares e sistemas críticos.
Enquanto no cenário global vimos a ascensão de vulnerabilidades de dia zero em softwares amplamente utilizados, como o WinRAR, e novos ataques à cadeia de suprimentos de plataformas SaaS.
Já no Brasil o impacto foi direto: $130 milhões desviados via PIX, vazamentos sensíveis no setor de saúde e uma falha crítica em um app nacional que expôs dados de milhares de usuários.
Além disso, a entrada em vigor da Resolução nº 15 da ANPD, que eleva o nível de exigência regulatória e coloca à prova a maturidade de resposta das organizações brasileiras.
Brasil e seus ataques mais recentes
- PIX: $130 milhões em um único golpe
Em vez de atacar bancos individualmente, criminosos exploraram credenciais válidas de um provedor com acesso privilegiado ao PIX, comprometendo múltiplas instituições.
Um golpe de $130 milhões que não expõe falhas do PIX, mas sim a fragilidade da cadeia de confiança entre bancos e fornecedores.
- Saúde em risco:
O grupo de ransomware KillSec comprometeu 34 GB de dados médicos, incluindo exames, laudos e até informações de menores, em laboratórios e clínicas.
Esse modelo de extorsão dupla (roubo seguido da ameaça de vazamento) afeta não apenas a fornecedora, mas todos os hospitais e pacientes envolvidos. É a prova de que a segurança dos dados de saúde no Brasil depende, diretamente, da maturidade cibernética dos fornecedores.
- Nova resolução da ANPD
Um aplicativo de relacionamentos expôs dados sensíveis de 17 mil usuários devido a uma falha de API (IDOR). Entre os dados vazados estavam fotos de documentos de identidade e informações financeiras.
Mais grave ainda foi a resposta da empresa: culpar o pesquisador de segurança, em vez de tratar o incidente de forma responsável. O caso serve como primeiro teste prático da Resolução nº 15 da ANPD, que exige comunicação em até 3 dias úteis.
Neste incidente, os critérios foram claros:
- Dados sensíveis: fotos de RG/ID.
- Dados financeiros: informações de pagamento.
- Larga escala: 17 mil usuários.
- GhostRedirector: diversificação do cibercrime
A campanha GhostRedirector, atribuída a um grupo chinês, comprometeu 65 servidores, a maioria no Brasil, para realizar envenenamento de SEO e promover sites de jogos de azar.
A técnica envolveu desde SQL Injection até o uso de ferramentas de escalonamento de privilégios (EfsPotato e BadPotato), explorando servidores locais como trampolim para operações ilícitas.
Patches de segurança e Zero Day do WinRAR
O Patch Tuesday da Microsoft trouxe 81 correções, incluindo duas de dia zero em componentes críticos como SQL Server (CVE-2024-21907) e Windows SMB (CVE-2025-55234).
Mesmo quando não há exploração ativa imediata, o risco é alto, mostrando que o gerenciamento de patches não é opcional, é vital.
Além disso, falhas em SharePoint (CVE-2025-53770) e Exchange (CVE-2025-53786) reforçam a fragilidade dos ambientes híbridos, que seguem no radar de grupos de espionagem e campanhas ativas de exploração.
O zero day do WinRAR (CVE-2025-8088) mostrou como softwares legados, amplamente confiáveis e usados há décadas, podem se transformar em armas de ataque.
A falha de path traversal já vem sendo explorada por grupos como RomCom e Paper Werewolf, permitindo execução remota de código a partir de arquivos maliciosos.
Insight DANRESA: A popularidade do software cria uma falsa sensação de segurança e justamente por isso seu impacto é devastador. A recomendação é clara: aplicar o patch imediatamente e avaliar até mesmo a remoção completa do software em ambientes onde não seja essencial.
Supply chain: confiança como vetor de ataque
O comprometimento da integração Salesloft/Drift via OAuth afetou ecossistemas que utilizam Salesforce mostrando um efeito dominó das integrações SaaS. Esse tipo de ataque evidencia uma superfície de ataque invisível para muitas empresas: as pontes de confiança digital.
Não foi uma falha no produto em si, mas na interconexão e isso muda a lógica de defesa. Hoje, a vulnerabilidade pode estar em um app secundário que, por confiança herdada, dá acesso ao núcleo da operação.
Tendências emergentes: o que esperar
- A economia do supply chain: atacar fornecedores é mais eficiente e rentável do que comprometer alvos finais.
- O imperativo da conformidade regulatória: com a Resolução nº 15 da ANPD, a capacidade de comunicar incidentes com agilidade será diferencial competitivo.
- O risco híbrido: ambientes que misturam nuvem e sistemas legados continuarão a ser explorados, com destaque para WinRAR, SharePoint e Exchange.
Recomendações estratégicas e perspectivas futuras
Ações imediatas em curto prazo:
- Aplicar patches críticos imediatamente (Microsoft, Cisco, WinRAR).
- Auditar plataformas de gerenciamento e habilitar MFA rigoroso.
- Revisar integrações SaaS/OAuth, removendo acessos desnecessários e monitorando comportamento anômalo.
Estratégias de médio prazo:
- Reavaliar riscos da cadeia de suprimentos com fornecedores críticos.
- Fortalecer planos de resposta a incidentes (IR) alinhados à Resolução nº 15 da ANPD.
- Endurecer infraestrutura híbrida, com segmentação de rede e autenticação multifator.
Cultura, conscientização e ações a longo prazo:
- Treinar colaboradores contra engenharia social e vishing, principal vetor humano.
- Fomentar uma cultura de segurança by design, incentivando a divulgação responsável de vulnerabilidades em vez de criminalizar pesquisadores.
Últimos Posts
Engenharia social como vetor de acesso inicial: como o NGSOC atua na detecção e resposta
Leia mais »
5 riscos na internet que você precisa conhecer antes que virem um incidente de segurança
Leia mais »
0 comentário