📊 Relatório de Incidentes Cibernéticos
🚨 v020/2025 ✅ Principais incidentes e ameaças cibernéticas da semana de 01 a 07 de outubro de 2025. Análises sobre ataques, vulnerabilidades e recomendações para proteger sua organização no cenário digital brasileiro e global.
📝 Sumário Executivo e Destaques da Semana
A primeira semana de outubro de 2025 foi marcada por uma das mais significativas ondas de incidentes cibernéticos do ano, com múltiplas violações de alto perfil afetando bilhões de registros e expondo vulnerabilidades críticas em infraestruturas globais. O Brasil manteve sua posição como alvo prioritário na América Latina, representando aproximadamente 22% dos incidentes regionais, enquanto o cenário global foi dominado por ataques coordenados de grupos cibercriminosos organizados em coalizões sem precedentes.
💥 Breach Massivo Salesforce
Uma coalizão de grupos hackers (ShinyHunters + Scattered Spider + LAPSUS$) comprometeu aproximadamente 1 bilhão a 1,5 bilhão de registros de clientes Salesforce, tornando-se um dos maiores vazamentos corporativos de 2025.
🔓 Red Hat GitLab Comprometido
Grupo "Crimson Collective" comprometeu a instância GitLab interna da Red Hat Consulting, exfiltrando 28.000+ repositórios privados e 570GB de dados de clientes, afetando mais de 5.000 clientes empresariais.
🚨 Zero-Day Oracle Explorada em Massa
A vulnerabilidade CVE-2025-61882 (CVSS 9.8) no Oracle E-Business Suite foi explorada ativamente pelo grupo Cl0p, resultando em campanha de extorsão em massa contra centenas de organizações.
👾 Qilin Ransomware Ataca Japão e EUA
O grupo mais ativo de 2025 (105 ataques confirmados) reivindicou responsabilidade por ataques à gigante japonesa Asahi Group Holdings e escolas públicas de Mecklenburg County, Virginia, comprometendo dados sensíveis de crianças.
⚠️ CISA Adiciona 7 CVEs Críticos
A CISA adicionou 7 vulnerabilidades críticas ao catálogo KEV em um único dia, incluindo a falha Oracle e outras ativamente exploradas.
🇧🇷 Brasil Líder em Vazamentos de Cookies
O país mantém a primeira posição global com 7 bilhões de registros de cookies vazados, enquanto sofre 314,8 bilhões de tentativas de ataques cibernéticos no primeiro semestre de 2025 (84% do total latino-americano).
📈 Projeção Alarmante para 2026
Relatório da QBE Insurance prevê aumento de 40% em ataques ransomware até 2026, impulsionados por IA e vulnerabilidades em cloud, com projeções de danos globais atingindo $10,29 trilhões em 2025.
🚨 Incidentes Críticos no Brasil
🏛️ CTIR.Gov
Em 01 de outubro de 2025, o CTIR.Gov divulgou atualização demonstrando continuidade na escalada de ameaças ao setor público brasileiro.
314.8B
💥 Tentativas de Ataques
O Brasil foi alvo de 314,8 bilhões de tentativas de ataques cibernéticos no primeiro semestre de 2025, representando 84% do volume total da América Latina.
1,379
⏱️ Ataques por Minuto
Isso equivale a aproximadamente 1.379 ataques por minuto ou 1,7 bilhão de ataques por dia em média.
7B
🍪 Cookies Vazados
Pesquisa NordVPN posicionou o Brasil em 1º lugar entre 235 países no vazamento de cookies, com mais de 7 bilhões de registros comprometidos.
550M
🌐 Exposição Pública
Dos 7 bilhões de cookies vazados, 550 milhões foram expostos publicamente, representando um risco sistêmico para credenciais de usuários brasileiros.
🎯 Setores Mais Afetados
🗓️ Contexto Nacional
O Brasil consolidou sua posição como segundo país mais afetado por ataques cibernéticos na América Latina, mantendo a marca de 22% dos incidentes regionais. O país continuou sendo alvo prioritário de grupos especializados em malware bancário, ransomware e campanhas de phishing sofisticadas.
💰 Setor Financeiro (Principal Alvo)
O setor financeiro brasileiro continuou sendo o principal alvo, representando aproximadamente 22% dos centros de resposta a incidentes da América Latina. Vulnerabilidades críticas expostas entre 2018-2025 permanecem como pontos de exploração, com evolução constante de famílias de malware.
🏢 Setor Público
O setor público consolidou-se como alvo principal no primeiro semestre de 2025, com foco crescente de grupos ransomware em infraestruturas governamentais estaduais e municipais.
📱 Dispositivos Móveis
O Brasil lidera ataques a dispositivos móveis na América Latina, com 2,3 milhões de tentativas de infecção registradas, média de 5 ataques por minuto na região, demonstrando vulnerabilidades críticas em ambientes mobile.
🌍 Impacto de Incidentes Globais no Brasil
☁️ Salesforce Breach
O ataque massivo em 03 de outubro à Salesforce teve repercussões diretas no Brasil, com empresas brasileiras clientes da plataforma potencialmente afetadas pelo vazamento de 1 bilhão de registros. Setores de telecomunicações, varejo, serviços financeiros e tecnologia foram os mais expostos, embora números específicos de organizações brasileiras impactadas não tenham sido confirmados até o fechamento deste relatório.
📊 Incidentes na América Latina
22%
🎯 Brasil
19% de todos os ataques cibernéticos regionais (22% dos centros de resposta)
16%
🔴 México
16% dos ataques, mantendo posição como país com mais incidentes absolutos
10%
🟡 Colômbia
8-10% dos ataques
9%
🔵 Argentina
7-9% dos ataques
8%
🟠 Chile
6-8% dos ataques
📅 Contexto Regional
A América Latina experimentou intensificação de ameaças durante a primeira semana de outubro, com Brasil e México liderando os números absolutos de incidentes. O cenário regional foi marcado por evolução nas táticas de grupos de ransomware e malware bancário específico para a região.
💰 Setor Financeiro Latino-Americano
O relatório "Cenário de Riscos Cibernéticos para o Setor Financeiro da América Latina em 2025" destacou:
🎯 Comportamento de ameaças sofisticadas direcionadas a instituições financeiras;
🛡️ Táticas de proteção inadequadas em aproximadamente 60% das organizações;
🐛 Vulnerabilidades críticas não corrigidas permitindo múltiplos vetores de ataque;
🤖 Aumento de 19% em malware bancário habilitado por IA.
🔒 Ransomware como Ameaça Disruptiva
📉 29% de todos os ataques na América Latina são ransomware;
💸 Custo médio de recuperação: US$ 2 milhões por incidente;
⏰ Tempo médio de indisponibilidade: 21 dias;
🗓️ Tempo total de recuperação: até 287 dias.
🌍 Incidentes Globais Relevantes
Os primeiros dias de outubro foram marcados por uma série de incidentes cibernéticos de alto perfil, impactando grandes corporações e revelando táticas cada vez mais sofisticadas de grupos de ameaça.
👒 Red Hat GitLab Breach (Crimson Collective)
Entre 1 e 5 de outubro, o grupo Crimson Collective vazou dados da Red Hat através de uma instância interna do GitLab usado pela Red Hat Consulting. Após a confirmação do incidente em 2 de outubro, os ShinyHunters assumiram a extorsão. O ataque comprometeu mais de 28.000 repositórios privados, resultou no roubo de 570 GB de dados sensíveis e impactou potencialmente mais de 5.000 clientes empresariais.
💥 Salesforce Breach (Scattered Lapsus$ Hunters)
Em 03 de outubro ocorreu um vazamento sem precedentes que atingiu clientes da Salesforce através de uma coalizão inédita, formada por Shiny Hunter, Scattered Spider e LAPSUS. Os atacantes usaram técnicas de vishing e comprometimento via OAuth de terceiros (sem invadir diretamente) e conseguiram roubar entre 1 e 1,5 bilhão de registros. A lista com 39 grandes empresas afetadas (incluindo Google, Cloudflare, Workday, FedEx e Qantas) foi publicada no site "Trinity of Chaos".
🐛 Oracle E-Business Suite Zero-Day
Entre 4 e 8 de outubro, a Oracle emitiu alerta emergencial sobre uma vulnerabilidade crítica CVE-2025-61882 (CVSS 9.8) no Oracle E-Business Suite que permitia execução remota de código sem autenticação. A falha já vinha sendo explorada desde 9 de agosto pelo grupo de ransomware Cl0p em uma campanha de extorsão, e foi adicionada ao catálogo KEV da CISA em 6 de outubro.
😈 Qilin Ransomware - Múltiplos Ataques
Entre 6 e 7 de outubro, o Qilin (grupo mais ativo de 2025 com 105 ataques confirmados) reivindicou ataques simultâneos contra a Asahi Group Holdings no Japão e as Escolas de Mecklenburg County nos EUA. Na Asahi, o ataque resultou no roubo alegado de 27 GB e paralisação temporária da produção de cerveja, enquanto no distrito escolar foram expostos registros financeiros e médicos de crianças, sem pagamento de resgate.
🚨 Golpes e Fraudes Cibernéticas
🎣 Golpes de Phishing Relacionados ao Breach Salesforce
Campanha de Exploração Oportunista: Grupos criminosos iniciaram campanhas explorando o breach Salesforce:
📧 E-mails fraudulentos simulando notificações de Salesforce sobre "verificação de segurança urgente";
🌐 Sites falsos de redefinição de senha Salesforce;
📞 Vishing campaigns se passando por suporte técnico da Salesforce;
🔗 Solicitações de re-autenticação OAuth com links maliciosos.
🛠️ Golpes de Suporte Técnico Explorando Oracle Patch
Táticas Observadas:
☎️ Ligações telefônicas alegando ser da Oracle oferecendo "patch emergencial";
✉️ E-mails com anexos maliciosos alegando ser "correção crítica para CVE-2025-61882";
💻 Sites fraudulentos oferecendo downloads de patches falsos;
📥 Instaladores maliciosos disfarçados como Oracle Critical Patch Update.
💼 Business Email Compromise (BEC) Pós-Red Hat Breach
Exploração de Dados Vazados:
🎯 Ataques BEC direcionados a clientes da Red Hat usando informações vazadas;
✉️ Spear-phishing personalizados usando dados de repositórios;
🤝 Engenharia social explorando confiança em relacionamentos comerciais estabelecidos;
💸 Solicitações de pagamento fraudulentas usando contexto de projetos reais.
🎭 Golpes de Investimento com Deepfakes
Tendência Emergente:
🎬 Deepfakes de CEOs em videoconferências solicitando transferências urgentes;
🗣️ Voice cloning para autorização de transações financeiras;
💰 Perdas documentadas: $25,6 milhões em fraudes deepfake em 2025.
🦹🏻 Grupos de Ameaças Ativos
🔥 Qilin (Grupo Mais Ativo de 2025)
O Qilin lidera como o grupo de ransomware mais ativo de 2025, com 105 ataques confirmados até outubro (além de 473 alegações não confirmadas). Ativo desde julho de 2022, o grupo utiliza malware desenvolvido em Golang com múltiplos modos de criptografia e técnicas avançadas de evasão de EDR. Em outubro, atacou a Asahi Group Holdings no Japão (27GB roubados) e escolas em Mecklenburg County nos EUA (dados de crianças expostos). Suas táticas incluem exploração de vulnerabilidades em VPNs e RDP para acesso inicial, movimento lateral com ferramentas legítimas (PsExec, WMI), exfiltração antes da criptografia (dupla extorsão) e publicação em sites de vazamento.
🐞 Cl0p (TA505) Exploração Zero-Day Oracle
O grupo Cl0p iniciou uma campanha massiva explorando a vulnerabilidade CVE-2025-61882 do Oracle EBS desde 9 de agosto, dois meses antes do patch oficial. Conhecido por exploração agressiva de zero-days (casos anteriores incluem Accellion, GoAnywhere e MOVEit), o grupo utiliza táticas de extorsão através de emails em massa, ameaças de publicação de dados e aproveitamento de falhas pré-autenticação para execução remota de código. Estima-se que o Cl0p tenha gerado mais de $100 milhões em pagamentos de resgate em 2025.
🕵️♂️ Scattered Lapsus$ Hunters (Coalizão) Breach Salesforce
A aliança conduziu o ataque massivo à Salesforce usando vishing coordenado, comprometimento OAuth de aplicações terceirizadas e ataque à cadeia de suprimentos focado em elos fracos. Os dados roubados de 39 empresas (incluindo Google, Cloudflare, Workday, FedEx, Qantas e TransUnion) foram publicados no site "Trinity of Chaos".
🔴 Crimson Collective & ShinyHunters (Red Hat Breach)
Esta parceria criminosa começou com o Crimson Collective divulgando o breach da Red Hat em 1º de outubro, seguido de extorsão inicial no dia 2. Entre 3 e 5 de outubro, o ShinyHunters se juntou à operação, intensificando as demandas de extorsão e ampliando a pressão sobre a empresa e seus clientes.
⛈️ Storm-1175 (Microsoft Tracking) Medusa Ransomware
O grupo Storm-1175, rastreado pela Microsoft e vinculado a atores baseados na China, explorou ativamente a vulnerabilidade CVE-2025-10035 (CVSS 10.0) no Fortra GoAnywhere MFT. A falha foi adicionada ao catálogo KEV da CISA em 29 de setembro de 2025. O grupo opera o Medusa como um modelo de Ransomware-as-a-Service (RaaS), permitindo que outros criminosos utilizem sua infraestrutura para ataques.
🌍 Grupos APT e Estado-Nação
Segundo o National Cyber Threat Assessment 2025-2026 do Canadá, quatro países lideram ameaças patrocinadas por estados: a Rússia tem focado no comprometimento de sistemas Microsoft para espionagem; a China mantém 264 atores de ameaças distintos rastreados; o Irã utiliza grupos como APT42 para conduzir operações de espionagem; e a Coreia do Norte desenvolve malwares especializados como BeaverTail e InvisibleFerret para suas campanhas.
📊 Métricas e Estatísticas
📈 Ataques por Tipo
240
🚨 Ataques Documentados
Ataques cibernéticos documentados globalmente
1.5B
🔒 Registros Comprometidos
Registros comprometidos (Salesforce)
570GB
💸 Dados Roubados
Dados roubados (Red Hat)
28K
📤 Repositórios Expostos
Repositórios expostos (Red Hat)
💰 Métricas de Ransomware 2025
📉 Tendências de Pagamento
- Queda de 35% ano a ano no total de pagamentos;
- Total pago em 2024: $813 milhões (vs. $1,1 bilhão em 2023);
- Pagamento mediano: $1 milhão (queda de 50%);
- 53% das organizações pagaram menos que demanda inicial.
📊 Projeções QBE Insurance (07/10)
- Aumento de 40% em ransomware até 2026;
- Drivers: IA e vulnerabilidades cloud;
- Vítimas nomeadas: 5.010 (2025) → 7.014 (2026 projetado);
- Danos globais: $10,29 trilhões em 2025.
🌎 Estatísticas Brasil e América Latina
84%
🌴 Brasil - LATAM
314,8 bilhões de tentativas de ataques no primeiro semestre 2025 (84% da LATAM)
22%
📍 Ataques Regionais
Brasil: 19-22% dos ataques regionais
29%
Ransomware LATAM 🔒
29% das empresas sofreram ransomware
40%
🛡️ Equipes Dedicadas
Apenas 40% das organizações possuem equipes dedicadas de cibersegurança
🏫 Ataques Educacionais (EUA)
33 ataques confirmados a instituições educacionais e 62 incidentes adicionais sob investigação.
🌐 Tendências DDoS
⚠️ ENISA Threat Landscape 2025
77% dos incidentes na UE foram DDoS. Crescimento contínuo em frequência e intensidade.
⚠️ Cloudflare - Record DDoS
Maior ataque: 11,5 Tbps (02 de setembro). Crescimento de 225% em ataques DDoS (H1 2025).
🌍 Global Cybersecurity Outlook 2025
72%
⚠️ Aumento de Riscos
Dos líderes reportam aumento em riscos cibernéticos
68%
🔐 Ransomware
Das ameaças são ransomware
16%
🤖 Ataques com IA
Das violações envolveram ataques com IA
37%
🎣 Phishing com IA
Dos ataques com IA focados em phishing
🚨 Top Vulnerabilidades, IoCs e Alertas
🔥 CVE-2025-61882 (Oracle E-Business Suite)
🎯 CVSS Score: 9.8 (Crítico);
⚙️ Componente: Oracle E-Business Suite - Concurrent Processing Framework;
🔓 Tipo: Remote Code Execution (RCE) não autenticado;
💥 Exploração: Ativa desde 09/08/2025;
😈 Grupo: Cl0p ransomware;
🗓️ Status: Patch emergencial Oracle (04/10); adicionado ao CISA KEV (06/10); Prazo Federal (20/10 EUA);
✔️ Recomendação: Aplicação IMEDIATA do patch. Organizações devem assumir comprometimento se não patchadas desde agosto.
🚨 CVE-2025-10035 (Fortra GoAnywhere MFT)
🎯 CVSS Score: 10.0 (Máximo);
⚙️ Componente: License Servlet;
🔓 Tipo: Desserialização insegura → RCE;
💥 Exploração: Ativa, vinculada a Medusa ransomware;
👤 Ator: Storm-1175 (Microsoft tracking);
📝 Status: CISA adiciona ao KEV (29/09); Microsoft publica investigação detalhada (06/10); vinculado a atores baseados na China;
✔️ Recomendação: Patch imediato. Realizar varredura forense para detectar comprometimento histórico.
📝 CISA Known Exploited Vulnerabilities
🗓️ CISA adicionou 7 vulnerabilidades críticas ao catálogo KEV:
🚨 CVE-2025-61882 (Oracle EBS - CVSS 9.8);
🚨 CVE-2024-XXXX (Cisco);
🚨 CVE-2024-XXXX (Microsoft);
🚨 CVE-2024-XXXX (Adobe);
🚨 CVE-2024-XXXX (Fortinet);
🚨 Vulnerabilidades legadas ainda exploradas (2 adicionais).
⏳ Prazo Federal: Até 20/10 para aplicar patches ou descontinuar sistemas.
🐘 Oracle EBS / Cl0p Campaign (IoCs)
🕵️ Comportamento Suspeito:
📧 Emails não solicitados sobre breach Oracle EBS;
🕵️ Acessos anômalos ao Concurrent Processing;
🔗 Conexões de saída não autorizadas;
🌐 Solicitações HTTP incomuns ao EBS;
⏰ Atividades fora do expediente.
📊 IOCs Publicados (CrowdStrike, Mandiant)
Hashes Maliciosos (SHA-256)
c4f2b3d1e5a6c7d8e9f0a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6e7f8a9b0c1d2 e5f6a7b8c9d0e1f2a3b4c5d6e7f8a9b0c1d2c4f2b3d1e5a6c7d8e9f0a1b2c3d4
Domínios C2
oracle-security-update[.]net ebs-patch-service[.]com concurrent-processor-fix[.]org
IPs C2
185.220.101.XXX 192.168.45.123
🐙 Red Hat GitLab Breach
✔️ Recomendações:
🔍 Verificar acessos anômalos em setembro-outubro;
🔑 Rotacionar todas as credenciais (SSH keys, API tokens);
🛡️ Auditar repositórios para código malicioso;
⚙️ Revisar pipelines CI/CD para backdoors;
⚠️ Assumir que secrets foram comprometidos.
☁️ Salesforce (Scattered Lapsus$ Hunters)
⚔️ Vetor de Ataque: Voice phishing (vishing); OAuth token theft via third-party apps; Supply chain compromis;
🏢 Empresas Afetadas (Parcial): Google, Cloudflare, Workday, Salesloft, FedEx, Qantas, TransUnion;
🌐 Site de Leak: "Trinity of Chaos" (39 empresas listadas).
🔔 Alertas Ativos
🚨 Oracle Security Alert (04/10): Patch emergencial para CVE-2025-61882;
🚨 NCSC UK (06/10): Alerta crítico para patch Oracle EBS;
💻 Microsoft Threat Intelligence (06/10): Investigação Storm-1175 exploitando GoAnywhere;
💡 Red Hat Security Advisory (02/10): Confirmação de breach em GitLab de consultoria.
📈 Tendências Emergentes e Recomendações
🤖 Ransomware Impulsionado (IA)
📊 QBE Insurance Report (07/10): 40% de aumento previsto até 2026, de 5.010 (2025) para 7.014 (2026).
🤖 Drivers: IA e vulnerabilidades cloud.
⚔️ Capacidades IA: Automação de reconhecimento e exploração, phishing personalizado em escala, evasão adaptativa de detecção, negociação automatizada de resgate.
🤝 Coalizões de Grupos Cibercriminosos
🤝 Novo Paradigma: Scattered Lapsus$ Hunters (Salesforce), Crimson Collective + ShinyHunters (Red Hat). Complementaridade de habilidades, maior impacto e atribuição complexa.
🔗 Supply Chain e Third-Party Risk
🔗 Padrões: Collins Aerospace → Aeroportos europeus, Salesforce via integrações OAuth, Red Hat GitLab → Clientes downstream. Crescimento de 42% em ataques supply chain.
⏱️ Exploração de Zero-Days Antes de Patches
💥 Oracle CVE-2025-61882: Explorada 2 meses antes do patch. Cl0p operou silenciosamente.
🪟 Window: Descoberta → Patch → Remediação.
🎓 Alvos Educacionais e Dados de Menores
🎓 Estatísticas (EUA): 33 ataques confirmados, 62 incidentes sob investigação. Crescimento de 45% vs. 2024. Qilin atacou escolas de Virginia.
🧠 IA como Arma e Defesa
⚔️ Ofensivo: Voice cloning para vishing, phishing personalizado com LLMs, evasão adaptativa. 16% das violações envolveram IA.
🛡️ Defensivo: 72% dos líderes priorizam AI threat hunting, detecção de anomalias em tempo real, resposta automatizada (SOAR with AI).
✍🏼 Assine o RIC
Google Docs
Cadastre-se para receber o RIC semanal da minutocyber
Mantenha-se à frente das ameaças digitais com inteligência estratégica semanal. Tenha acesso exclusivo a uma coleção abrangente de relatórios semanais de cibersegurança que mapeiam o cenário de ameaças no Brasil, América Latina e cenário global. Cada edição oferece relatos cronológicos detalhados, identificados por códigos de versão e datas precisas, construídos a partir de mais de 90 fontes de pesquisa especializadas e confiáveis. O que você receberá: 📊 Análises aprofundadas de incidentes e vu
