Maio de 2025 foi um mês marcado por intensa atividade cibernética em escala global. De grandes varejistas britânicos a instituições governamentais latino-americanas — passando por campanhas altamente direcionadas ao Brasil — os cibercriminosos intensificaram suas ações, utilizando táticas mais ousadas, sofisticadas e, principalmente, adaptadas aos contextos locais.  

Um exemplo claro é a campanha de spam que utiliza e-mails falsos de Nota Fiscal Eletrônica (NF-e) como vetor inicial de infecção. 

Ataques de ransomware, vazamentos massivos de dados e o uso criativo (e malicioso) de ferramentas legítimas moldaram um panorama cada vez mais desafiador para empresas e usuários.  

A frequência e a sofisticação desses ataques reforçam a necessidade de vigilância constante, bem como o desenvolvimento de estratégias de defesa cibernética adaptativas e proativas. 

A seguir, destacamos os principais incidentes do último mês, com foco especial no impacto e nas implicações para organizações brasileiras.

Cenário global: ataques cada vez mais sofisticados

Maio registrou mais de 14 grandes ataques envolvendo ransomware devastadores, vazamentos em larga escala e exploração ativa de vulnerabilidades críticas. 

Organizações renomadas como Marks & Spencer, Coca-Cola, Coinbase e AT&T foram alvos de ciberataques sofisticados. Grupos como Scattered Spider, DragonForce e Rhysida demonstraram a velocidade com que as táticas evoluem — e como não estão mais restritas a atores isolados. 

  • Ransomwares seguem em ascensão, derrubando sites, sequestrando dados e exigindo resgates milionários. Em um dos casos, o prejuízo estimado chegou a £300 milhões. 
  • Ameaças internas, como colaboradores subornados, emergem como vetores de ataque altamente eficazes e resultam em vazamento de dados críticos. 
  • Fornecedores e prestadores de serviço também se tornaram alvos preferenciais, funcionando como porta de entrada para ataques direcionados a grandes corporações.

Insights Danresa:

O cenário evidencia uma mudança nas Táticas, Técnicas e Procedimentos (TTPs) dos adversários, com ênfase na exploração de relações de confiança e de alvos periféricos.  

Em vez de mirar diretamente o núcleo das organizações, os cibercriminosos têm investido em comprometer terceiros e insiders, abrindo caminho para acessos privilegiados a dados e sistemas sensíveis.  

Ao mesmo tempo, a escolha por marcas de grande visibilidade demonstra que os ataques têm também uma função psicológica: provocar medo, fragilizar reputações e acelerar pagamentos de resgate. 

O cenário reforça a urgência de uma gestão de vulnerabilidades robusta. Ainda que falhas “zero-day” causem comoção, muitas das intrusões mais bem-sucedidas exploram vulnerabilidades já conhecidas — o que torna essencial a aplicação ágil de patches e atualizações. 

Brasil segue na mira dos cibercriminosos

O Brasil permanece como um dos principais alvos de ameaças cibernéticas na América Latina. Em 2024, pelo menos 105 organizações brasileiras sofreram ataques de ransomware. Setores como saúde, serviços financeiros, governo e varejo foram os mais atingidos. Grupos como RansomHub, LockBit 3.0, Arcus Media, Qilin e Eraleign foram especialmente ativos no país. 

A exposição de dados também é alarmante: mais de 1 bilhão de credenciais ligadas a indivíduos e organizações latino-americanas foram recuperadas em logs de infostealers — e o Brasil lidera em volume de exposição. 

Em 2025, o dado mais preocupante é a personalização das campanhas maliciosas ao cenário nacional. Táticas de engenharia social adaptadas, e-mails em português e malwares ajustados para sistemas e bancos brasileiros já são o padrão. 

Acompanhe abaixo os últimos incidentes: 

  • Campanha de spam NF-e 

Uma sofisticada campanha de spam utilizando e-mails falsos de Nota Fiscal Eletrônica (NF-e), contas vencidas ou comprovantes de pagamento de instituições financeiras ou operadoras de telefonia celular. Essa tática explora um sistema legítimo e amplamente utilizado no Brasil, aumentando a probabilidade de interação do usuário. 

Os e-mails continham links para o Dropbox, hospedando instaladores maliciosos para ferramentas comerciais de Monitoramento e Gerenciamento Remoto (RMM), visando usuários brasileiros, particularmente executivos de alto escalão e pessoal de finanças/RH. Esta campanha é atribuída a um Broker de Acesso Inicial (IAB). 

  • Operação Phantom Enigma 

Essa operação distribui extensões de navegador maliciosas, com foco especial em roubar credenciais bancárias, principalmente do Banco do Brasil. 

As extensões agem em navegadores baseados em Chromium (Chrome, Edge, Brave), executando scripts maliciosos diretamente nas páginas dos bancos. Em alguns casos, essas campanhas vêm acompanhadas da instalação de ferramentas RMM para garantir persistência e dificultar a detecção. 

Malwares mais prevalentes no Brasil

Segundo dados do 1º trimestre de 2025, algumas famílias de malware dominaram os ataques. Trata-se de um ecossistema cibercriminoso ágil e adaptável, onde ferramentas legítimas são constantemente reutilizadas: 

Malware Tipo Destaques 
Spy.Guildma.CU/CV Trojan bancário 12% dos ataques. Captura tela, emulação de teclado e mouse, download de outros malwares. 
Spy.Delf.RAY Trojan bancário Manipula tráfego de rede e instala/desinstala software. 
VB.OSK Worm Capaz de replicação em rede, destruição de dados e camuflagem como arquivos de sistema. 
Rozena.SL (Bedep) Backdoor (file-less) Injeção de shellcode via PowerShell. 
Ghimob Trojan móvel bancário Espionagem e controle remoto em apps de bancos. 

Confira as 4 principais tendências observadas no Brasil

1. Exploração de ferramentas legítimas:

RMMs, PowerShell e até extensões de navegador viram armas.  

2. Ascensão de Brokers e crescimento de IABs:

Acesso a empresas brasileiras é vendido abertamente na dark web.  

3. Adoção de IA em ataques:

malware com código gerado por GenAI já é realidade. 

Embora não específico para o Brasil, uma pesquisa da PwC indica que 68% dos executivos de segurança brasileiros afirmam que a GenAI aumentou sua superfície de ataque. 

4. Roubo massivo de credenciais:

37 milhões de contas foram comprometidas em 2024 no Brasil. A exposição massiva de credenciais de usuários e organizações brasileiras alimenta esses ataques. Cuidado também para o Ghimob que está dominando o cenário de mobile banking.  

As ameaças estão cada vez mais localizadas para o Brasil. Isso exige inteligência de ameaças adaptada ao nosso contexto, e não apenas o consumo de feeds genéricos globais. 

Essas ameaças representam riscos financeiros, reputacionais e operacionais significativos para as organizações.  

O direcionamento repetido a grandes marcas e as altas demandas de resgate ou recompensas oferecidas indicam um ambiente de alto risco, onde os invasores estão mais audaciosos e os defensores são forçados a gastos reativos significativos, alterando o equilíbrio econômico do cibercrime. Defesa proativa, inteligência de ameaças e capacidades robustas de resposta a incidentes são cruciais. 

Vulnerabilidades Críticas e Exploits

Além do alto volume de ataques, o último mês apresentou um número significativo de vulnerabilidades de software divulgadas, muitas delas críticas e com exploração ativa por cibercriminosos. 

Abaixo, a tabela detalha as CVEs mais relevantes de maio de 2025: 

CVE ID 

Produto 

Tipo 

CVS 

Exploração Ativa 

Descrição 

CVE-2025-30400 

Microsoft DWM Core Library 

EoP 

7.8 

Sim 

Elevação de privilégio no Desktop Window Manager. 

CVE-2025-30397 

Microsoft Scripting Engine 

RCE 

7.5 

Sim 

Corrupção de memória no mecanismo de script. 

CVE-2025-32709 

Windows Ancillary Function Driver for WinSock 

EoP 

7.8 

Sim 

Elevação de privilégio no driver auxiliar do Windows. 

CVE-2025-32701 

Windows Common Log File System Driver 

EoP 

7.8 

Sim 

Elevação de privilégio no driver de arquivos de log. 

CVE-2025-32706 

Windows Common Log File System Driver 

EoP 

7.8 

Sim 

Mesma falha, em módulo semelhante. 

CVE-2025-29813 

Microsoft Azure DevOps 

EoP 

10.0 

Não 

Elevação de privilégio crítica no Azure DevOps. 

CVE-2025-29827 

Microsoft Azure Automation 

EoP 

9.9 

Não 

Elevação de privilégio na automação do Azure. 

CVE-2025-29972 

Azure Storage Resource Provider 

Spoofing 

9.9 

Não 

Falsificação no provedor de armazenamento. 

CVE-2025-47733 

Microsoft Power Apps 

Info Disclosure 

9.1 

Não 

Vazamento de informações sensíveis. 

CVE-2025-29966/67 

Remote Desktop Client 

RCE 

8.8 

Não 

Execução remota de código via cliente RDP. 

CVE-2025-32756 

Produtos Fortinet (FortiVoice, FortiMail etc.) 

RCE 

9.8 

Sim 

Overflow de buffer em diversos appliances. 

CVE-2025-0944 

Trimble Cityworks 

RCE 

N/A 

Sim (UAT-6382) 

Utilizada por grupo chinês para atingir redes de governos locais dos EUA. 

Boas práticas para enfrentar o cibercrime

Com base nas ameaças identificadas, listamos abaixo recomendações para que sua empresa fortaleça a postura de segurança diante de um cenário cada vez mais hostil. 

  • Fortaleça a segurança de e-mails e extensões: implemente soluções avançadas de filtragem de e-mails para detectar e bloquear tentativas sofisticadas de phishing. 
  • Monitore e restrinja ferramentas como RMMs: se ferramentas RMM forem utilizadas legitimamente, controle rigorosamente sua implantação, monitore o uso em busca de atividades anômalas e evite abusos de versões de teste. Considere o uso de listas brancas de aplicativos para impedir a execução de softwares RMM não autorizados. 
  • Implemente EDRs com foco comportamental: implante e mantenha soluções avançadas de Detecção e Resposta em Endpoints (EDR), com capacidade de análise comportamental para identificar malwares e o uso indevido de ferramentas legítimas. 
  • Priorize patches em softwares: dê prioridade à correção de vulnerabilidades críticas, especialmente aquelas ativamente exploradas. Atente-se ao software comumente utilizado no Brasil. 
  • Reforce a proteção de credenciais e implemente IAM: utilize senhas fortes e únicas, e ative a autenticação multifator (MFA) em todos os serviços, especialmente em plataformas financeiras e governamentais. Monitore continuamente vazamentos de credenciais. 
  • Acompanhe ameaças internas e riscos com fornecedores: desenvolva um programa de gestão de ameaças internas focado na detecção de comportamentos anômalos, especialmente entre usuários com privilégios elevados, e estabeleça canais seguros para o relato de atividades suspeitas. 

A nova realidade digital exige estratégia

Os cibercriminosos estão adotando uma abordagem cada vez mais sofisticada, abusando de ferramentas legítimas, explorando vulnerabilidades amplamente conhecidas e usando engenharia social adaptada ao comportamento e à cultura digital brasileira. Isso torna a detecção mais difícil e impõe novos requisitos às equipes de segurança:

  • Monitoramento contínuo com foco comportamental, que vai além do antivírus tradicional baseado em assinatura. 
  • Capacidade de resposta rápida, reduzindo o tempo entre a invasão e a contenção do incidente. 
  • Inteligência de ameaças localizadas, considerando os vetores, linguagens e alvos específicos do Brasil. Os feeds genéricos, por si só, já não são suficientes. 

Insights Danresa:

O Brasil permanece como principal alvo de ransomware na América Latina, e as campanhas estão cada vez mais “abrasileiradas”. 

Com a Danresa, sua empresa tem mais que proteção: tem inteligência, estratégia e resposta. 

Oferecemos uma estrutura de cibersegurança completa, com tecnologias de ponta, equipe especializada e abordagem personalizada para o seu ambiente operacional. Unimos boas práticas técnicas à inteligência de ameaças localizadas para ajudar sua organização a: 

  • Reduzir riscos financeiros e reputacionais. 
  • Aumentar sua resiliência diante de um cenário de ameaças cada vez mais dinâmico. 
  • Transformar a segurança digital em diferencial competitivo. 

Juntos, por um futuro cibernético mais seguro. 

Saiba Mais

Últimos Posts


0 comentário

Deixe um comentário

Avatar placeholder

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *