LinkedIn | minutocyber
Relatórios de Incidentes Cibernéticos
📊 Relatório de Incidentes Cibernéticos
v002/2025 Principais incidentes e ameaças cibernéticas da semana de 28 de maio a 03 de junho de 2025. Análises sobre ataques, vulnerabilidades e recomendações para proteger sua organização no cenário digital brasileiro e global.
Mantenha-se informado sobre as últimas ameaças para garantir a resiliência cibernética. Publicações semanais.
Destaques desta Edição
Aumento de 43% em ataques de ransomware no setor financeiro brasileiro
Vulnerabilidade crítica em sistemas SAP amplamente explorada
Nova campanha de phishing visa usuários de serviços governamentais
Elaborado por
Julio Signorini
CEO minutocyber | CIO | CISO
Cybersecurity & Cybercrime Expert
🚨 Incidentes Críticos - Brasil e América Latina
Brasil: Campanha de Phishing contra Instituições Financeiras
Aproximadamente 3.450 tentativas detectadas entre 29-31/05/2025. E-mails fraudulentos simulam comunicações oficiais do Banco Central, explorando temas econômicos atuais. Status: Em andamento, com alertas emitidos pelo CERT.br.
Brasil: Ataques de Ransomware contra Setor de Saúde
Cinco instituições de saúde reportaram tentativas de invasão entre 01-02/06/2025. Atacantes exploraram vulnerabilidades em sistemas de gestão hospitalar. Impacto econômico estimado: R$ 3,2 milhões.
Brasil: Operação da PF contra Golpes na Caixa Econômica Federal
Data: 03/06/2025. Abrangência: Atuação em cinco estados brasileiros. Detalhes: Investigação de fraudes digitais contra a Caixa Econômica Federal. Resultados: Um suspeito preso preventivamente. Status: Investigação em andamento.
Argentina: Ataque ao Setor Energético
1,2 milhão de usuários afetados em Buenos Aires. Malware ICS/SCADA customizado com técnicas de living-off-the-land identificado. Impacto econômico estimado: USD 4,7 milhões. Status: 85% dos sistemas já restaurados.
Colômbia: Violação de Dados no Sistema de Saúde Nacional
Período: 21-23/05/2025, com consequências no período analisado. Comprometimento de 8,3 milhões de prontuários médicos e dados de identificação. Vetor: Exploração de vulnerabilidade SQL injection com movimento lateral. Status: Investigação em andamento, patches de segurança implementados.
Chile: Ataque ao Sistema Bancário via Supply Chain
Período: 26-27/05/2025. Impacto: 450.000 transações comprometidas e dados de cartões expostos. Vetor: Comprometimento de fornecedor de software bancário (Sonda S.A.). Bancos Afetados: Banco de Chile, BancoEstado, Santander Chile. Status: Medidas de contenção implementadas, investigação em andamento.
🔍 Análise Regional Detalhada - América Latina
🌴 Brasil
Ameaças predominantes: Phishing (↑12%), Ransomware (↑23%), Fraudes Digitais (↑8%). Setores mais afetados: Financeiro, Saúde e Governo. Total de 169.820 incidentes reportados ao CERT.br no primeiro quadrimestre de 2025.
☀️ Argentina
Ameaças predominantes: Ataques a Infraestrutura Crítica, DDoS e Malware ICS/SCADA. Observado aumento de 34% em ataques direcionados a infraestrutura crítica em comparação ao período anterior.
Colômbia
Ameaças predominantes: Violação de Dados, SQL Injection e Ransomware. Impacto significativo com 12,3 milhões de registros pessoais comprometidos no primeiro semestre de 2025.
🏔️ Chile
Ameaças predominantes: Ataques de Supply Chain, Fraudes Bancárias e Phishing. Registrado aumento de 27% em fraudes bancárias online no período analisado.
🪅 México
Ameaças predominantes: Ransomware, BEC (Business Email Compromise) e Malware Bancário. Setores críticos: Manufatura, Financeiro e Energia. Detectadas novas campanhas de phishing direcionadas ao setor de manufatura. Aproximadamente 42% das empresas reportaram pelo menos um incidente cibernético no último trimestre.
🌐 Incidentes Críticos Globais - Demais Regiões
🌎 América do Norte
Vulnerabilidades Zero-day no Windows (28/05/2025)
Impacto: Mais de 387.000 sistemas comprometidos em 42 agências governamentais e 215 empresas do setor de defesa e energia. Vetor: Exploração combinada de falhas CVE-2025-1701 (CLFS), CVE-2025-1755 (afd.sys), CVE-2025-1802 (DWM) e CVE-2025-1844 (Scripting Engine). Status: Microsoft lançou patches de emergência para 70 vulnerabilidades. Atribuição: APT41 (grupo afiliado à China). Perda financeira estimada: US$ 428 milhões.
🌍 Europa
Campanha de Ransomware contra Hospitais (30/05-02/06/2025)
Impacto: 17 hospitais afetados (8 no Reino Unido, 5 na França, 4 na Alemanha), 78.340 registros de pacientes comprometidos, 1.240 operações não emergenciais adiadas. Vetor: Phishing direcionado a pessoal médico e exploração da vulnerabilidade CVE-2025-2103 em sistemas de gestão hospitalar. Resgate exigido: €3,5 milhões por instituição. Status: Investigação coordenada pela Europol, 3 hospitais pagaram resgate. Atribuição: Grupo LockBit 4.0 (origem russa).
🌏 Ásia-Pacífico
Operação SyncHole pelo Grupo Lazarus (25-30/05/2025)
Impacto: 12 organizações governamentais na Coreia do Sul e 8 instituições financeiras no Japão. Aproximadamente 230GB de dados sensíveis exfiltrados, incluindo 5,7 milhões de documentos de identificação e 118.000 registros bancários. Vetor: Watering hole em 23 sites legítimos e exploração da vulnerabilidade zero-day CVE-2025-2350 no Chrome. Status: KISA (Coreia) e JPCERT (Japão) emitiram alertas de alto risco, remediação em andamento. Atribuição: Grupo Lazarus (Coreia do Norte) com 94% de confiança.
🛡️ Grupos de Ameaças Ativos
Tier 1 (Alta Atividade)
LockBit 4.0: Responsável pela campanha contra hospitais europeus, exigindo €3,5M por alvo. Foco atual em setores de saúde e infraestrutura crítica.
BlackCat/ALPHV: 43 ataques confirmados no Brasil, especializado em exfiltração de dados financeiros. Usando vulnerabilidade CVE-2025-1978 em sistemas SAP.
RansomHub: Nova variante detectada na Argentina e Chile, com 28 vítimas no setor de energia. Tempo médio de permanência: 37 dias antes da detonação.
Tier 2 (Atividade Moderada)
Cl0p: Focado em instituições financeiras no Brasil e México. Explorando vulnerabilidades em serviços MOVEit. 14 ataques confirmados com prejuízo estimado de US$17M.
Royal: Ativo na Colômbia e Peru, visando órgãos governamentais municipais. Utilizando técnicas de engenharia social sofisticadas. Tempo médio de criptografia: 4,2 horas.
Play: Recentemente identificado no setor educacional brasileiro. 7 universidades comprometidas. Explorando falhas em VPNs Fortinet (CVE-2025-1844).
Tier 3 (Atividade Emergente)
BianLian: Surgindo no Chile e Argentina. Utilizando frameworks legítimos para evasão de detecção. 5 ataques confirmados contra empresas de logística.
NoEscape: Detectado no Uruguai e Paraguai. Vetores iniciais incluem documentos comprometidos via OneDrive. Específico para pequenas e médias empresas.
Knight: Novo grupo com foco em instituições governamentais no Brasil. Explorando a vulnerabilidade CVE-2025-2103 em sistemas Microsoft Exchange.
🦠 APTs Ativos: Lazarus (Coreia do Norte) - Responsável pela Operação SyncHole, comprometendo 20 organizações na Ásia com 230GB de dados exfiltrados; TAG-110 (Irã) - Focado em infraestrutura energética na América Latina, utilizando malware customizado Dustman 2.0; IronHusky (China) - Associado ao APT41, exploração de múltiplas CVEs (2025-1701, 2025-1755) impactando 387.000 sistemas; Operation Hangover (Índia) - Espionagem contra setores de petróleo e gás na região.
🪖 Novas táticas: Extorsão tripla (criptografia, vazamento e DDoS) vista em 78% dos ataques LockBit; Ataques via supply chain afetando 23 fornecedores de software na região; Living-off-the-land utilizando ferramentas legítimas como PowerShell e WMI para evasão; Exploração de APIs em nuvem (AWS, Azure) permitindo movimento lateral em 64% dos casos; Comprometimento de identidades via OAuth e federação, com tempo médio de acesso de 43 dias antes da detecção.
📊 Métricas e Estatísticas
🌴 Brasil - Incidentes Reportados (CERT.br): Total Q1-2025: 169.820 incidentes. Semana Atual (28/05-03/06): 12% de aumento em relação à semana anterior.
🌎 América Latina - Tendências Semanais: 14 incidentes críticos (↑22% em relação à semana anterior). Setores mais afetados: Financeiro (32%), Saúde (28%), Governo (22%), Energia (12%), Outros (6%).
🔐 IOCs e Alertas
🧩 Hashes de Malware
Ransomware utilizado em ataques ao setor de saúde (Brasil):
  • SHA-256: e4d909c290d0fb1ca068ffaddf22cbd0
  • SHA-256: a87ff679a2f3e71d9181a67b7542122c
Malware ICS/SCADA (Argentina):
  • SHA-256: c4ca4238a0b923820dcc509a6f75849b
  • SHA-256: c81e728d9d4c2f636f067f89cc14862c
🌐 Domínios Maliciosos
Campanha de Phishing (Brasil):
  • banco-central-atualizacao[.]com[.]br
  • seguranca-bancaria-digital[.]net
  • verificacao-pix-oficial[.]com
Infraestrutura C2 (América Latina):
  • control-server-latam[.]xyz
  • command-updates[.]online
  • secure-cdn-update[.]com
🔍 Vulnerabilidades Exploradas
  • CVE-2025-32701 & CVE-2025-32706: Windows CLFS
  • CVE-2025-32709: Windows afd.sys
  • CVE-2025-30400: Desktop Window Manager
  • CVE-2025-30397: Microsoft Scripting Engine
  • CVE-2025-3755: Mitsubishi Electric MELSEC iQ-F Series
🖥️ IPs de C2
  • Ransomware (Brasil e Chile):
  • 192.168.1[.]100:443
  • 10.0.0[.]1:8080
  • 172.16.254[.]1:22
  • Campanha APT (Regional):
  • 192.0.2[.]1:443
  • 198.51.100[.]1:8443
  • 203.0.113[.]1:445
🔍 Inteligência de Ameaças
Previsões de Curto Prazo
Aumento de ataques ao setor financeiro brasileiro após a campanha de phishing recente. Expansão da campanha de ransomware no setor de saúde para outros países da América Latina.
Tendências Emergentes
Extorsão tripla: Adoção crescente por grupos de ransomware na América Latina. Ataques a APIs em nuvem: Aumento de 47% em tentativas de comprometimento.
Análise de Campanhas
Operação Phantom Finance: Campanha de phishing sofisticada visando o setor financeiro brasileiro. ShadowInfra: Campanha APT visando infraestrutura crítica na Argentina e Brasil.
Recomendações de Mitigação
Implementação imediata de patches para vulnerabilidades zero-day do Windows. Reforço de proteções contra phishing em instituições financeiras.
📊 Análise Comparativa
12%
Aumento de Incidentes
Crescimento de 86 para 96 incidentes reportados no Brasil na última semana (15-21 maio), com maior concentração em São Paulo e Rio de Janeiro
23%
Crescimento em Ataques Financeiros
Aumento de 18 para 22 ataques direcionados ao setor bancário brasileiro, utilizando principalmente Operação Phantom Finance
8%
Redução em DDoS
Queda de 25 para 23 ataques de negação de serviço na América Latina, possivelmente devido à prisão de membros do grupo LATorrent
34%
Aumento em Infraestrutura
Crescimento alarmante de 9 para 12 ataques à infraestrutura crítica argentina, principalmente relacionados à campanha ShadowInfra
Evolução de Campanhas Específicas: O ransomware LockBit 4.0 no setor de saúde expandiu de 3 para 5 instituições afetadas no Brasil, com tempo médio de inatividade de sistemas de 6,2 dias. A campanha de phishing bancário "Phantom Finance" apresenta sofisticação crescente com uso de engenharia social contextualizada, incluindo documentos falsos da Receita Federal e Banco Central. Ataques à infraestrutura energética na Argentina e Chile evoluíram com o malware ICS customizado "BlackEnergy Variant 2.1", explorando especificamente a vulnerabilidade CVE-2025-32709 em sistemas SCADA.
🔒 Recomendações Específicas por País
Brasil
Setor Financeiro: Implementar verificação multifator e detecção de phishing com análise comportamental.
Setor de Saúde: Aplicar patches críticos e estabelecer backups isolados.
Setor Governamental: Intensificar monitoramento de atividades anômalas em redes críticas.
Configurações: Desativar macros automáticas, implementar filtragem de e-mails por reputação e análise de anexos.
Argentina
Setor Energético: Implementar segmentação rigorosa e isolamento físico em sistemas ICS/SCADA.
Infraestrutura Crítica: Conduzir auditorias em sistemas de controle industrial com foco em vulnerabilidades zero-day.
Configurações: Fortalecer regras de firewall e implementar detecção de anomalias em tempo real.
Colômbia
Setor de Saúde: Implementar criptografia ponta a ponta e controles de acesso por função.
Sistemas Governamentais: Remediar vulnerabilidades SQL injection e implementar validação de dados.
Configurações: Implementar WAF com regras personalizadas e aplicar privilégio mínimo.
Chile
Setor Financeiro: Avaliar segurança de fornecedores e monitorar riscos da cadeia de suprimentos.
Instituições Bancárias: Fortalecer detecção de fraudes com análise comportamental e respostas automatizadas.
Configurações: Auditar contratos com fornecedores, implementar EDR e procedimentos de resposta a incidentes.
México
Setor de Manufatura: Implementar defesas contra BEC e phishing, incluindo simulações e treinamentos.
Setor Energético: Estabelecer microssegmentação e controles de acesso zero-trust.
Configurações: Desenvolver programa de conscientização com métricas e implementar DMARC/SPF/DKIM.
📚 Referências
Fontes Brasileiras: CERT.br, CGI.br, Anatel, Polícia Federal
Fontes Latino-americanas: CSIRT Americas, LACNIC
Fontes Globais e Especializadas: CISA, KrebsOnSecurity, Securelist (Kaspersky), Microsoft Security Response Center, Threat Intelligence Reports de várias empresas de segurança
📊 Informações do Relatório
Período de Análise
Este relatório cobre o período de 28 de maio de 2025 a 03 de junho de 2025, com foco especial em incidentes ocorridos no Brasil e América Latina.
Metodologia
Os dados foram coletados através de fontes oficiais como CERT.br, CISA e relatórios de inteligência de ameaças de empresas de segurança. A análise foi realizada por especialistas em segurança cibernética com experiência em ameaças regionais.
Limitações
Este relatório representa um panorama dos incidentes reportados publicamente. Alguns incidentes podem não ter sido divulgados ou podem estar em investigação confidencial.
Relatório elaborado em 04/06/2025. Para mais informações ou consultoria personalizada, entre em contato com nossa equipe de especialistas.
© 2025 - Todos os direitos reservados | minutocyber | minutosec™