Maio de 2025 foi um mês marcado por intensa atividade cibernética em escala global. De grandes varejistas britânicos a instituições governamentais latino-americanas — passando por campanhas altamente direcionadas ao Brasil — os cibercriminosos intensificaram suas ações, utilizando táticas mais ousadas, sofisticadas e, principalmente, adaptadas aos contextos locais.
Um exemplo claro é a campanha de spam que utiliza e-mails falsos de Nota Fiscal Eletrônica (NF-e) como vetor inicial de infecção.
Ataques de ransomware, vazamentos massivos de dados e o uso criativo (e malicioso) de ferramentas legítimas moldaram um panorama cada vez mais desafiador para empresas e usuários.
A frequência e a sofisticação desses ataques reforçam a necessidade de vigilância constante, bem como o desenvolvimento de estratégias de defesa cibernética adaptativas e proativas.
A seguir, destacamos os principais incidentes do último mês, com foco especial no impacto e nas implicações para organizações brasileiras.
Cenário global: ataques cada vez mais sofisticados
Maio registrou mais de 14 grandes ataques envolvendo ransomware devastadores, vazamentos em larga escala e exploração ativa de vulnerabilidades críticas.
Organizações renomadas como Marks & Spencer, Coca-Cola, Coinbase e AT&T foram alvos de ciberataques sofisticados. Grupos como Scattered Spider, DragonForce e Rhysida demonstraram a velocidade com que as táticas evoluem — e como não estão mais restritas a atores isolados.
- Ransomwares seguem em ascensão, derrubando sites, sequestrando dados e exigindo resgates milionários. Em um dos casos, o prejuízo estimado chegou a £300 milhões.
- Ameaças internas, como colaboradores subornados, emergem como vetores de ataque altamente eficazes e resultam em vazamento de dados críticos.
- Fornecedores e prestadores de serviço também se tornaram alvos preferenciais, funcionando como porta de entrada para ataques direcionados a grandes corporações.
Insights Danresa:
O cenário evidencia uma mudança nas Táticas, Técnicas e Procedimentos (TTPs) dos adversários, com ênfase na exploração de relações de confiança e de alvos periféricos.
Em vez de mirar diretamente o núcleo das organizações, os cibercriminosos têm investido em comprometer terceiros e insiders, abrindo caminho para acessos privilegiados a dados e sistemas sensíveis.
Ao mesmo tempo, a escolha por marcas de grande visibilidade demonstra que os ataques têm também uma função psicológica: provocar medo, fragilizar reputações e acelerar pagamentos de resgate.
O cenário reforça a urgência de uma gestão de vulnerabilidades robusta. Ainda que falhas “zero-day” causem comoção, muitas das intrusões mais bem-sucedidas exploram vulnerabilidades já conhecidas — o que torna essencial a aplicação ágil de patches e atualizações.
Brasil segue na mira dos cibercriminosos
O Brasil permanece como um dos principais alvos de ameaças cibernéticas na América Latina. Em 2024, pelo menos 105 organizações brasileiras sofreram ataques de ransomware. Setores como saúde, serviços financeiros, governo e varejo foram os mais atingidos. Grupos como RansomHub, LockBit 3.0, Arcus Media, Qilin e Eraleign foram especialmente ativos no país.
A exposição de dados também é alarmante: mais de 1 bilhão de credenciais ligadas a indivíduos e organizações latino-americanas foram recuperadas em logs de infostealers — e o Brasil lidera em volume de exposição.
Em 2025, o dado mais preocupante é a personalização das campanhas maliciosas ao cenário nacional. Táticas de engenharia social adaptadas, e-mails em português e malwares ajustados para sistemas e bancos brasileiros já são o padrão.
Acompanhe abaixo os últimos incidentes:
- Campanha de spam NF-e
Uma sofisticada campanha de spam utilizando e-mails falsos de Nota Fiscal Eletrônica (NF-e), contas vencidas ou comprovantes de pagamento de instituições financeiras ou operadoras de telefonia celular. Essa tática explora um sistema legítimo e amplamente utilizado no Brasil, aumentando a probabilidade de interação do usuário.
Os e-mails continham links para o Dropbox, hospedando instaladores maliciosos para ferramentas comerciais de Monitoramento e Gerenciamento Remoto (RMM), visando usuários brasileiros, particularmente executivos de alto escalão e pessoal de finanças/RH. Esta campanha é atribuída a um Broker de Acesso Inicial (IAB).
- Operação Phantom Enigma
Essa operação distribui extensões de navegador maliciosas, com foco especial em roubar credenciais bancárias, principalmente do Banco do Brasil.
As extensões agem em navegadores baseados em Chromium (Chrome, Edge, Brave), executando scripts maliciosos diretamente nas páginas dos bancos. Em alguns casos, essas campanhas vêm acompanhadas da instalação de ferramentas RMM para garantir persistência e dificultar a detecção.
Malwares mais prevalentes no Brasil
Segundo dados do 1º trimestre de 2025, algumas famílias de malware dominaram os ataques. Trata-se de um ecossistema cibercriminoso ágil e adaptável, onde ferramentas legítimas são constantemente reutilizadas:
Malware | Tipo | Destaques |
Spy.Guildma.CU/CV | Trojan bancário | 12% dos ataques. Captura tela, emulação de teclado e mouse, download de outros malwares. |
Spy.Delf.RAY | Trojan bancário | Manipula tráfego de rede e instala/desinstala software. |
VB.OSK | Worm | Capaz de replicação em rede, destruição de dados e camuflagem como arquivos de sistema. |
Rozena.SL (Bedep) | Backdoor (file-less) | Injeção de shellcode via PowerShell. |
Ghimob | Trojan móvel bancário | Espionagem e controle remoto em apps de bancos. |
Confira as 4 principais tendências observadas no Brasil
1. Exploração de ferramentas legítimas:
RMMs, PowerShell e até extensões de navegador viram armas.
2. Ascensão de Brokers e crescimento de IABs:
Acesso a empresas brasileiras é vendido abertamente na dark web.
3. Adoção de IA em ataques:
malware com código gerado por GenAI já é realidade.
Embora não específico para o Brasil, uma pesquisa da PwC indica que 68% dos executivos de segurança brasileiros afirmam que a GenAI aumentou sua superfície de ataque.
4. Roubo massivo de credenciais:
37 milhões de contas foram comprometidas em 2024 no Brasil. A exposição massiva de credenciais de usuários e organizações brasileiras alimenta esses ataques. Cuidado também para o Ghimob que está dominando o cenário de mobile banking.
As ameaças estão cada vez mais localizadas para o Brasil. Isso exige inteligência de ameaças adaptada ao nosso contexto, e não apenas o consumo de feeds genéricos globais.
Essas ameaças representam riscos financeiros, reputacionais e operacionais significativos para as organizações.
O direcionamento repetido a grandes marcas e as altas demandas de resgate ou recompensas oferecidas indicam um ambiente de alto risco, onde os invasores estão mais audaciosos e os defensores são forçados a gastos reativos significativos, alterando o equilíbrio econômico do cibercrime. Defesa proativa, inteligência de ameaças e capacidades robustas de resposta a incidentes são cruciais.
Vulnerabilidades Críticas e Exploits
Além do alto volume de ataques, o último mês apresentou um número significativo de vulnerabilidades de software divulgadas, muitas delas críticas e com exploração ativa por cibercriminosos.
Abaixo, a tabela detalha as CVEs mais relevantes de maio de 2025:
CVE ID | Produto | Tipo | CVS | Exploração Ativa | Descrição |
CVE-2025-30400 | Microsoft DWM Core Library | EoP | 7.8 | Sim | Elevação de privilégio no Desktop Window Manager. |
CVE-2025-30397 | Microsoft Scripting Engine | RCE | 7.5 | Sim | Corrupção de memória no mecanismo de script. |
CVE-2025-32709 | Windows Ancillary Function Driver for WinSock | EoP | 7.8 | Sim | Elevação de privilégio no driver auxiliar do Windows. |
CVE-2025-32701 | Windows Common Log File System Driver | EoP | 7.8 | Sim | Elevação de privilégio no driver de arquivos de log. |
CVE-2025-32706 | Windows Common Log File System Driver | EoP | 7.8 | Sim | Mesma falha, em módulo semelhante. |
CVE-2025-29813 | Microsoft Azure DevOps | EoP | 10.0 | Não | Elevação de privilégio crítica no Azure DevOps. |
CVE-2025-29827 | Microsoft Azure Automation | EoP | 9.9 | Não | Elevação de privilégio na automação do Azure. |
CVE-2025-29972 | Azure Storage Resource Provider | Spoofing | 9.9 | Não | Falsificação no provedor de armazenamento. |
CVE-2025-47733 | Microsoft Power Apps | Info Disclosure | 9.1 | Não | Vazamento de informações sensíveis. |
CVE-2025-29966/67 | Remote Desktop Client | RCE | 8.8 | Não | Execução remota de código via cliente RDP. |
CVE-2025-32756 | Produtos Fortinet (FortiVoice, FortiMail etc.) | RCE | 9.8 | Sim | Overflow de buffer em diversos appliances. |
CVE-2025-0944 | Trimble Cityworks | RCE | N/A | Sim (UAT-6382) | Utilizada por grupo chinês para atingir redes de governos locais dos EUA. |
Boas práticas para enfrentar o cibercrime
Com base nas ameaças identificadas, listamos abaixo recomendações para que sua empresa fortaleça a postura de segurança diante de um cenário cada vez mais hostil.
- Fortaleça a segurança de e-mails e extensões: implemente soluções avançadas de filtragem de e-mails para detectar e bloquear tentativas sofisticadas de phishing.
- Monitore e restrinja ferramentas como RMMs: se ferramentas RMM forem utilizadas legitimamente, controle rigorosamente sua implantação, monitore o uso em busca de atividades anômalas e evite abusos de versões de teste. Considere o uso de listas brancas de aplicativos para impedir a execução de softwares RMM não autorizados.
- Implemente EDRs com foco comportamental: implante e mantenha soluções avançadas de Detecção e Resposta em Endpoints (EDR), com capacidade de análise comportamental para identificar malwares e o uso indevido de ferramentas legítimas.
- Priorize patches em softwares: dê prioridade à correção de vulnerabilidades críticas, especialmente aquelas ativamente exploradas. Atente-se ao software comumente utilizado no Brasil.
- Reforce a proteção de credenciais e implemente IAM: utilize senhas fortes e únicas, e ative a autenticação multifator (MFA) em todos os serviços, especialmente em plataformas financeiras e governamentais. Monitore continuamente vazamentos de credenciais.
- Acompanhe ameaças internas e riscos com fornecedores: desenvolva um programa de gestão de ameaças internas focado na detecção de comportamentos anômalos, especialmente entre usuários com privilégios elevados, e estabeleça canais seguros para o relato de atividades suspeitas.
A nova realidade digital exige estratégia
Os cibercriminosos estão adotando uma abordagem cada vez mais sofisticada, abusando de ferramentas legítimas, explorando vulnerabilidades amplamente conhecidas e usando engenharia social adaptada ao comportamento e à cultura digital brasileira. Isso torna a detecção mais difícil e impõe novos requisitos às equipes de segurança:
- Monitoramento contínuo com foco comportamental, que vai além do antivírus tradicional baseado em assinatura.
- Capacidade de resposta rápida, reduzindo o tempo entre a invasão e a contenção do incidente.
- Inteligência de ameaças localizadas, considerando os vetores, linguagens e alvos específicos do Brasil. Os feeds genéricos, por si só, já não são suficientes.
Insights Danresa:
O Brasil permanece como principal alvo de ransomware na América Latina, e as campanhas estão cada vez mais “abrasileiradas”.
Com a Danresa, sua empresa tem mais que proteção: tem inteligência, estratégia e resposta.
Oferecemos uma estrutura de cibersegurança completa, com tecnologias de ponta, equipe especializada e abordagem personalizada para o seu ambiente operacional. Unimos boas práticas técnicas à inteligência de ameaças localizadas para ajudar sua organização a:
- Reduzir riscos financeiros e reputacionais.
- Aumentar sua resiliência diante de um cenário de ameaças cada vez mais dinâmico.
- Transformar a segurança digital em diferencial competitivo.
Juntos, por um futuro cibernético mais seguro.
Saiba Mais
XDR (Extended Detection and Response): Um Guia Completo com Insights, Orientações e Estatísticas
Como a Sophos Atende o XDR com Suas Soluções de Cibersegurança
Diferença entre EDR, MDR e XDR: Uma Análise Abrangente
XDR (Extended Detection and Response): Um Guia Completo com Insights, Orientações e Estatísticas
Últimos Posts

0 comentário