📊 Relatório de Incidentes Cibernéticos
🚨 v024/2025 ✅ Principais incidentes e ameaças cibernéticas da semana de 29 de outubro a 04 de novembro de 2025. Análises sobre ataques, vulnerabilidades e recomendações para proteger sua organização no cenário digital brasileiro e global.
📝 Sumário Executivo e Destaques da Semana
O principal destaque foi a acusação do Departamento de Justiça dos EUA contra três profissionais de cibersegurança, incluindo dois negociadores de ransomware, por operarem secretamente o grupo BlackCat/ALPHV. Globalmente, a Askul Corp. japonesa confirmou um vazamento de dados pós-ransomware, a sueca Miljödata sofreu uma violação expondo dados de 1,5 milhão de pessoas, e o grupo Cl0p explorou zero-days no Oracle E-Business Suite para atacar alvos como a Schneider Electric.
🚨 336 Ciberataques
Registrados em 45 países durante a semana, com o grupo hacktivista NoName057(16) sendo o mais ativo.
👥 Caso BlackCat/ALPHV
Três profissionais de cibersegurança, incluindo dois negociadores de ransomware, foram acusados de operar secretamente o prolífico grupo criminoso.
🚨 Brasil sob Ataque
O país concentra 84% das tentativas de ciberataques na América Latina, com 1 em cada 3 brasileiros sendo vítima de golpe financeiro.
⚡ Vulnerabilidade Crítica no WordPress
Uma falha no plugin Post SMTP (CVSS 9.8) coloca mais de 400.000 sites em risco de sequestro de contas de administrador, com exploração ativa confirmada.
📈 Ataques à Cadeia de Suprimentos em Recorde
Outubro de 2025 registrou um aumento de 30% nos ataques à cadeia de suprimentos de software, com os grupos Qilin e Akira liderando as ofensivas.
📉 Queda Histórica na Taxa de Pagamento
Pela primeira vez, a taxa de pagamento de resgates de ransomware caiu para menos de 25%, indicando uma possível mudança na estratégia das vítimas.
🚨 Incidentes Críticos no Brasil
84%
🌎 Brasil Concentra 84% dos Ciberataques na América Latina
Relatórios divulgados na semana confirmaram a posição do Brasil como o principal alvo de atividades cibercriminosas na região. O país foi responsável por 84% das tentativas de ataques cibernéticos na América Latina em 2025, com mais de meio milhão de ocorrências registradas apenas no primeiro semestre. Esses números destacam a urgência de fortalecer as defesas cibernéticas em todos os setores da economia nacional.
O Brasil continuou a ser um dos principais alvos de ciberataques na América Latina, com uma combinação de estatísticas preocupantes, golpes em massa e a escalada de disputas corporativas para o campo cibernético.
🏢 A "Guerra do Delivery"
A acirrada competição entre os aplicativos de entrega iFood e 99Food transbordou para o campo da espionagem corporativa. Em 30 de outubro, a 99 abriu uma investigação interna para apurar um vazamento de dados confidenciais, supostamente ocorrido através do furto de notebooks de funcionários. Investigações posteriores, reportadas em 4 de novembro, expuseram os bastidores da "guerra do delivery", envolvendo ex-funcionários suspeitos de vender informações sigilosas e o uso de consultorias para fins de espionagem.
📱 Golpe do Orçamento via WhatsApp
Divulgado em 5 de novembro, este novo vírus, disseminado pelo WhatsApp, foi classificado como tendo "potencial para ser o pior vírus de 2025". O golpe visa roubar dados pessoais e senhas, enganando as vítimas com falsas solicitações de orçamento.
💻 Phishing de Calendário (Google e Microsoft)
Criminosos começaram a explorar uma brecha nos serviços de calendário da Google e da Microsoft para aplicar golpes. Ao enviar convites maliciosos (ICS phishing), eles conseguem inserir compromissos falsos nos calendários das vítimas, uma técnica que muitas vezes contorna os filtros de spam de e-mail, aumentando a credibilidade do golpe.
🛡️ Ransomware no Varejo
Um relatório de 4 de novembro revelou que mais da metade dos varejistas brasileiros atingidos por ransomware acabam pagando o resgate. No entanto, houve uma nota positiva: 48% dos ataques foram interrompidos antes da criptografia dos dados, o maior nível em cinco anos, indicando uma melhoria na capacidade de detecção e resposta.
👥 Golpes Financeiros
Uma pesquisa do Datafolha apontou que 1 em cada 3 brasileiros foi vítima de algum tipo de golpe financeiro virtual no último ano, um número que reflete a escala massiva do problema no país.
🔍 Impacto do Megavazamento de Credenciais
O vazamento de 183 milhões de credenciais de e-mail e senha, reportado na semana anterior, continuou a repercutir, com ampla divulgação na mídia nacional sobre os riscos para os usuários brasileiros. Este vasto conjunto de dados serve como combustível para novos ataques de credential stuffing e campanhas de phishing direcionado.
🌎 Incidentes na América Latina
Embora o Brasil domine as manchetes, a atividade cibercriminosa é uma preocupação crescente em toda a América Latina. A região enfrenta desafios semelhantes de rápida digitalização sem o correspondente amadurecimento das práticas de segurança, tornando-se um alvo atraente para uma variedade de ameaças.
🌎 Ameaças Comuns na Região
💰 Malware Bancário (Trojans)
A região continua sendo um campo de testes e um mercado lucrativo para trojans bancários. A sofisticação desses malwares, muitos dos quais são desenvolvidos localmente, representa uma ameaça constante para os clientes de bancos e instituições financeiras.
🔒 Ransomware
Grupos de ransomware globais, como Qilin e Akira, não discriminam por geografia e têm visado cada vez mais organizações na América Latina que possuem capacidade de pagamento, mas defesas potencialmente mais fracas.
🎣 Fraudes e Phishing
Golpes como o "Golpe do Orçamento" via WhatsApp, embora proeminentes no Brasil, são rapidamente replicados em outros países de língua espanhola, adaptando a isca para o contexto local.
🛡️ Desafios de Segurança
Um desafio persistente na América Latina é a lacuna de conscientização e investimento em cibersegurança. Muitas empresas, especialmente as de pequeno e médio porte, ainda veem a segurança como um custo em vez de um investimento essencial para a continuidade dos negócios. Isso é agravado pela escassez de profissionais de cibersegurança qualificados na região, um problema que afeta a capacidade de resposta a incidentes e a implementação de defesas proativas.
🌐 Incidentes Globais Relevantes
A semana foi marcada por revelações sobre a sofisticação e a audácia dos atores de ameaças, desde a exploração de zero-days em plataformas críticas até ataques que paralisaram grandes corporações e expuseram dados sensíveis de milhões de pessoas.
🏢 Schneider Electric e Pan American Silver Corp Atacadas pelo Cl0p
Em 3 de novembro, a Check Point Research revelou que o notório grupo de ransomware Cl0p explorou uma vulnerabilidade zero-day no Oracle E-Business Suite (CVE-2025-61882) para atacar a gigante industrial Schneider Electric e a empresa de mineração Pan American Silver Corp. O incidente é mais um exemplo da estratégia do Cl0p de focar em vulnerabilidades de alto impacto em softwares corporativos para realizar campanhas de extorsão em massa, uma tática que se provou devastadora em ataques anteriores, como o que explorou a falha no MOVEit Transfer.
📊 Violação Massiva de Dados na Western Sydney University
A Western Sydney University, na Austrália, confirmou ter sofrido um ciberataque de grande escala que expôs uma vasta gama de dados pessoais de estudantes e funcionários. A violação incluiu nomes, números de telefone, e-mails, números de identificação fiscal, detalhes de passaportes e informações de contas bancárias. Relatórios indicam que os hackers expuseram falhas de segurança de longa data na universidade, destacando a vulnerabilidade do setor de educação a ataques que visam roubar grandes volumes de dados valiosos.
💰 Impacto Financeiro do Ciberataque na Marks & Spencer (M&S)
Seis meses após um ciberataque em abril de 2025, a varejista britânica Marks & Spencer revelou o impacto financeiro devastador do incidente. Em 5 de novembro, a empresa reportou uma queda de 55,4% no lucro do primeiro semestre, atribuída diretamente ao ataque que paralisou completamente seu negócio online. O caso serve como um estudo de caso sombrio sobre os efeitos financeiros duradouros que um único incidente de segurança pode ter em uma grande corporação.
🏢 Conduent
Novas informações divulgadas em 30 de outubro confirmaram que a violação de dados na Conduent, uma empresa de serviços de processos de negócios, impactou mais de 10,5 milhões de pessoas. A violação, que ocorreu em 2024, foi reivindicada por um grupo de ransomware, e a escala do impacto só agora veio à tona, ressaltando o longo tempo que pode levar para que a verdadeira dimensão de uma violação seja compreendida.
🏢 Ribbon Communications
A empresa americana de telecomunicações Ribbon Communications sofreu um ciberataque que se suspeita ter sido realizado por atores de estado-nação. O incidente, reportado em 3 de novembro, é um lembrete de que empresas de infraestrutura de comunicação são alvos de alto valor para grupos de espionagem que buscam obter acesso a redes críticas.
🚨 Golpes
A sofisticação e a escala dos golpes continuaram a aumentar, com os criminosos aproveitando a IA para criar iscas mais convincentes e explorando novas plataformas para contornar as defesas tradicionais.
📈 Aumento Massivo de Golpes de Calendário (ICS Phishing)
Uma das tendências mais marcantes da semana foi o aumento massivo de ataques de phishing através de convites de calendário (ICS phishing) no Google Calendar e no Microsoft Calendar. Conforme reportado pela Forbes e pela Sublime Security em 3 de novembro, os criminosos estão enviando convites maliciosos que, uma vez aceitos, criam eventos falsos nos calendários das vítimas. Esses eventos contêm links para sites de phishing de credenciais ou malwares. A técnica é particularmente eficaz porque os convites de calendário muitas vezes contornam os filtros de spam de e-mail e aparecem como notificações legítimas nos dispositivos dos usuários.
💻 A Era dos Golpes Potencializados por IA
Relatórios da semana indicaram um aumento alarmante no uso de Inteligência Artificial (IA) para potencializar golpes. A taxa de vitimização de golpes nos EUA, por exemplo, dobrou de 31% em 2024 para 62% em 2025. A IA está sendo usada para:
🚨 Criar mensagens de phishing altamente personalizadas que são quase indistinguíveis de comunicações legítimas;
💻 Gerar deepfakes de áudio e vídeo para enganar as vítimas em chamadas de vídeo ou áudio, especialmente em golpes direcionados a idosos;
💻 Automatizar a criação de sites e conteúdos fraudulentos em larga escala.
💻 Gerar deepfakes de áudio e vídeo para enganar as vítimas em chamadas de vídeo ou áudio, especialmente em golpes direcionados a idosos;
💻 Automatizar a criação de sites e conteúdos fraudulentos em larga escala.
🎯 Phishing de OAuth por Código de Dispositivo
Uma técnica de phishing mais técnica, mas altamente eficaz, que ganhou destaque foi o abuso do fluxo de autenticação OAuth por código de dispositivo. Este método, que afeta plataformas como Azure e Google, engana os usuários para que concedam permissões a aplicativos maliciosos, dando aos atacantes acesso persistente às suas contas e dados.
👀 Golpe do Orçamento (Brasil)
Um novo golpe disseminado pelo WhatsApp, que usa a isca de uma solicitação de orçamento para induzir as vítimas a instalar malware, foi amplamente divulgado como uma ameaça significativa.
🎯 Phishing Direcionado
Em Emmet County, EUA, golpistas miraram especificamente em indivíduos e empresas com aplicações pendentes na comissão de planejamento local, mostrando como os criminosos usam informações públicas para criar iscas de phishing direcionadas e convincentes.
🚨 Grupos de Ameaças Ativos e Atividades Relevantes
A semana trouxe uma reviravolta chocante no mundo do ransomware, com "caçadores" se tornando a "caça", e uma contínua atividade de grupos estabelecidos explorando novas vulnerabilidades e expandindo suas operações.
🔗 Qilin e Akira Lideram Ataques à Cadeia de Suprimentos
Um relatório da Cyble confirmou que outubro de 2025 foi um mês recorde para ataques à cadeia de suprimentos de software, com um aumento de 30% em relação ao pico anterior. Os grupos Qilin e Akira foram os principais responsáveis por essa tendência. O Qilin, em particular, consolidou sua posição como o grupo de ransomware mais ativo de 2025, ultrapassando a marca de 700 ataques no ano e continuando a visar setores críticos como manufatura e varejo.
⚠️ Cl0p Explora Novo Zero-Day da Oracle
O grupo Cl0p demonstrou mais uma vez sua proficiência na exploração de vulnerabilidades zero-day. Desta vez, o grupo usou uma falha no Oracle E-Business Suite (CVE-2025-61882) para lançar uma campanha de extorsão em massa, com vítimas confirmadas como a Schneider Electric e a Pan American Silver Corp. A estratégia do Cl0p de focar em falhas de software corporativo de grande alcance continua a ser altamente lucrativa e disruptiva.
💰 DragonForce Cartel: A Evolução do Ransomware
O grupo DragonForce, que surgiu em 2023, ganhou proeminência em 2025 ao se autodenominar um "cartel" de ransomware. O grupo evoluiu suas ferramentas, começando com um construtor vazado do LockBit 3.0 e depois migrando para uma base de código personalizada do Conti v3, outro grupo notório que foi desmantelado. Essa evolução mostra como os grupos de ransomware se adaptam e reutilizam ferramentas de antecessores para criar operações mais sofisticadas.
💰 O Caso BlackCat/ALPHV
O destaque absoluto da semana foi a acusação, pelo Departamento de Justiça dos EUA, de que três profissionais de cibersegurança, incluindo dois negociadores de ransomware, estavam secretamente operando o grupo BlackCat/ALPHV. Este desenvolvimento sem precedentes revela uma confluência perigosa de conhecimento interno e intenção criminosa. Os acusados, Martin e Goldberg, supostamente usaram sua experiência em resposta a incidentes para refinar as operações do BlackCat, tornando-o um dos grupos de ransomware mais prolíficos e eficazes dos últimos anos. O caso levanta sérias questões sobre a confiança e a verificação de antecedentes na indústria de cibersegurança.
👥 Outros Grupos Ativos
👥 Akira
Foi o grupo mais ativo nas últimas 24 horas de 4 de novembro, com 5 novos incidentes relatados.
🕷️ Scattered Spider
Relatórios indicam que o grupo, ligado ao ataque da JLR, está aumentando a velocidade de suas operações de implantação de ransomware.
🔒 LockBit
Apesar das ações policiais, o grupo ressurgiu em 2025 com um novo kit de ferramentas (LockBit 4.0) e continua a ser uma ameaça significativa.
💰 RansomHub, INC, Lynx, PLAY, Sinobi
Todos esses grupos foram citados como sendo particularmente bem-sucedidos e ativos em 2025, especialmente na Europa, com um grande ecossistema de afiliados.
📊 Métricas e Estatísticas
Os dados da semana revelam um cenário de ameaças em constante crescimento, tanto em volume quanto em sofisticação, com estatísticas alarmantes sobre a prevalência de golpes e o custo do cibercrime.
📊 Estatísticas de Golpes e Violações de Dados
62%
🚨 Taxa de Vitimização de Golpes (EUA)
A taxa de americanos vítimas de golpes dobrou de 31% em 2024 para 62% em 2025. (F-Secure)
1/3
💰 Vítimas de Golpes Financeiros (Brasil)
Um terço dos brasileiros foi vítima de golpe financeiro virtual no último ano. (Datafolha)
10.5M
🏢 Violação da Conduent
Número de pessoas impactadas pela violação de dados na Conduent.
183M
👥 Megavazamento de Credenciais
Número de contas de e-mail e senhas expostas no vazamento divulgado por Troy Hunt.
🌐 Estatísticas Globais de Cibercrime e Ransomware
📊 Vetores de Ataque e Vulnerabilidades
🚨 Top Vulnerabilidades, IoCs e Alertas Ativos
A semana foi repleta de alertas sobre vulnerabilidades críticas, com várias delas sendo ativamente exploradas na natureza, exigindo ação imediata dos administradores de sistemas.
⚠️ CVE-2025-11833: Vulnerabilidade Crítica no Plugin Post SMTP do WordPress
⚡ Severidade: Crítica (CVSS 9.8)
💻 Produto: Plugin Post SMTP para WordPress (mais de 400.000 instalações ativas)
🚨 Status: Exploração Ativa Confirmada desde 1º de novembro.
🎯 Impacto: Permite que um atacante sequestre completamente uma conta de administrador, levando ao controle total do site.
🛡️ Ação: Atualização imediata para a versão 3.6.1 ou superior é crucial.
💻 Produto: Plugin Post SMTP para WordPress (mais de 400.000 instalações ativas)
🚨 Status: Exploração Ativa Confirmada desde 1º de novembro.
🎯 Impacto: Permite que um atacante sequestre completamente uma conta de administrador, levando ao controle total do site.
🛡️ Ação: Atualização imediata para a versão 3.6.1 ou superior é crucial.
⚠️ CISA Adiciona Novas Vulnerabilidades ao Catálogo KEV
A CISA adicionou duas novas vulnerabilidades ao seu catálogo, indicando que ambas estão sendo ativamente exploradas:
⚠️ CVE-2025-48703: Uma vulnerabilidade no Control Web Panel (CWP), um painel de controle de hospedagem web popular.
⚠️ Vulnerabilidade no Gladinet CentreStack: Uma falha no software de compartilhamento e sincronização de arquivos.
⚠️ Vulnerabilidade no Gladinet CentreStack: Uma falha no software de compartilhamento e sincronização de arquivos.
Agências federais dos EUA foram instruídas a aplicar as correções até 25 de novembro.
⚠️ CVE-2024-1086: Falha no Kernel do Linux Explorada em Ataques de Ransomware
⚡ Severidade: Crítica
💻 Produto: Kernel do Linux
🚨 Status: Ativamente Explorada em ataques de ransomware.
🎯 Impacto: Permite a escalação de privilégios, um passo fundamental para que os atacantes obtenham controle total sobre um sistema comprometido.
💻 Produto: Kernel do Linux
🚨 Status: Ativamente Explorada em ataques de ransomware.
🎯 Impacto: Permite a escalação de privilégios, um passo fundamental para que os atacantes obtenham controle total sobre um sistema comprometido.
⚠️ Outras Vulnerabilidades Notáveis
💻 CVE-2025-61882 (Oracle E-Business Suite)
A vulnerabilidade zero-day explorada pelo grupo Cl0p para atacar grandes corporações como a Schneider Electric.
💻 CVE-2025-11953 (React Native CLI)
Uma vulnerabilidade crítica de Execução Remota de Código (RCE) que ameaça desenvolvedores que usam a popular interface de linha de comando do React Native.
📱 RCE Crítico no Android
A atualização de segurança de novembro do Google para o Android corrigiu uma falha crítica de RCE no componente System, que poderia permitir que um atacante executasse código remotamente.
💻 CVE-2025-41244 (VMware)
Uma falha de escalação de privilégios explorada por um grupo ligado à China, adicionada ao catálogo KEV da CISA na semana anterior, mas que continua relevante.
🔍 Indicadores de Comprometimento (IoCs)
🎣 ICS Phishing
Fique atento a convites de calendário (.ics) inesperados ou suspeitos. Verifique o remetente e desconfie de eventos que peçam para você clicar em links ou escanear códigos QR.
👻 Backdoor SesameOp
Uma nova campanha revelou um backdoor que abusa da API OpenAI Assistants para operações de Comando e Controle (C2) furtivas. Isso indica uma nova fronteira na evasão de detecção, usando APIs de IA legítimas para mascarar o tráfego malicioso.
🤖 Golpes de IA
Desconfie de mensagens ou chamadas extremamente personalizadas e convincentes, especialmente aquelas que criam um senso de urgência. A tecnologia de deepfake está tornando a verificação de identidade mais difícil do que nunca.
✍🏼 Assine o RIC
Google Docs
Cadastre-se para receber o RIC semanal da minutocyber
Mantenha-se à frente das ameaças digitais com inteligência estratégica semanal. Tenha acesso exclusivo a uma coleção abrangente de relatórios semanais de cibersegurança que mapeiam o cenário de ameaças no Brasil, América Latina e cenário global. Cada edição oferece relatos cronológicos detalhados, identificados por códigos de versão e datas precisas, construídos a partir de mais de 90 fontes de pesquisa especializadas e confiáveis. O que você receberá: 📊 Análises aprofundadas de incidentes e vu
