Brasil: o alvo mais visado da América Latina
O Brasil consolidou-se como o país mais atacado por ransomware na América Latina. Dados de inteligência de ameaças de 2024–2025 registraram 248 incidentes críticos envolvendo grupos de ransomware ativos, com 166 ataques direcionados exclusivamente a organizações brasileiras.
Os grupos mais ativos no ecossistema brasileiro são:
- RansomHub — operação de ransomware-as-a-service (RaaS) surgida em 2024 que rapidamente se tornou uma das mais prolíficas, absorvendo afiliados do desarticulado LockBit.
- LockBit 3.0 — mesmo após a operação Cronos (fevereiro de 2024) que derrubou sua infraestrutura, afiliados continuam operando sob variantes do builder vazado.
- Qilin / Agenda — grupo com crescimento acelerado, especializado em hipervisores VMware ESXi, impactando ambientes de nuvem e virtualização.
- Black Basta — ativo em setores de manufatura, saúde e serviços financeiros no Brasil.
Setores mais impactados
Os setores com maior taxa de incidentes em organizações brasileiras em 2024:
| Setor | % dos Ataques |
|---|---|
| Serviços Financeiros | 24% |
| Manufatura & Indústria | 21% |
| Saúde & Hospitais | 17% |
| Governo & Autarquias | 14% |
| Varejo & E-commerce | 11% |
| Outros | 13% |
O setor financeiro lidera em parte pela Resolução CMN nº 5.274/2025, que obrigou bancos e fintechs a reportar incidentes e elevar sua maturidade de segurança — aumentando a visibilidade sobre ataques antes subnotificados.
Como os ataques acontecem no contexto brasileiro
1. Credenciais expostas como vetor inicial
O Brasil lidera globalmente na exposição de credenciais corporativas em infostealers e fóruns da dark web. Ferramentas como RedLine Stealer, LummaC2 e Meduza Stealer são distribuídas em fóruns PT-BR, coletando sessões autenticadas de VPNs, RDPs e portais de acesso remoto.
O ciclo típico é:
- Credencial corporativa coletada por infostealer (frequentemente via cracked software)
- Comercialização em fóruns como RAMP, BreachForums e canais Telegram brasileiros
- Acesso inicial vendido a grupo de ransomware como Initial Access Broker (IAB)
- Movimento lateral e exfiltração antes da criptografia
2. Phishing com temáticas brasileiras
E-mails simulando cobranças de SERASA, boletos bancários, notificações da Receita Federal e multas do DETRAN são vetores populares. A linguagem em português e o conhecimento do contexto regulatório brasileiro tornam esses ataques mais convincentes que campanhas internacionais.
3. Exploração de serviços expostos remotamente
Portas RDP expostas (3389/TCP), appliances VPN sem patch (Fortinet, Pulse Secure, Citrix) e instâncias Exchange desatualizadas respondem por grande parte dos acessos iniciais. Varreduras automáticas identificam ativos brasileiros em minutos após a publicação de um CVE crítico.
Estratégias de mitigação
Visibilidade antes do impacto
A principal vantagem defensiva é a antecipação. O monitoramento ativo deve incluir:
- Credenciais corporativas em fóruns e logs de infostealers
- Referências à empresa em canais de vazamento (leak sites) da dark web
- Exposição de ativos externos (EASM) com identificação de serviços vulneráveis
Resposta estruturada
Organizações com plano de resposta a incidentes (IRP) documentado e testado reduzem o tempo médio de contenção (MTTC) em até 70% em comparação com organizações sem playbooks. Elementos críticos:
- Isolamento de rede automático ao detectar comportamento de criptografia em massa
- Backups offsite e air-gapped testados regularmente
- Contato pré-estabelecido com equipe de IR especializada
- Plano de comunicação para notificação à ANPD em até 72h (obrigação LGPD)
Hardening de identidade
Implementar MFA em todos os acessos remotos é a medida de maior impacto por menor custo. Grupos de ransomware raramente investem em quebrar MFA quando há alvos mais fáceis disponíveis.
O papel da Inteligência de Ameaças
Organizações que operaram com CTI (Cyber Threat Intelligence) dedicada identificaram 3,4x mais indicadores de comprometimento antes do impacto em comparação com aquelas que dependiam apenas de ferramentas de detecção reativa.
A inteligência de ameaças com cobertura do ecossistema criminoso brasileiro — fóruns, canais Telegram, leak sites em PT-BR — oferece um diferencial crítico: detectar a intenção antes da ação.
Para entender como a PurpleHat monitora o ecossistema de ameaças brasileiro e apoia a proteção da sua organização, fale com nossos especialistas.